• 企業(yè)推廣分銷B2B平臺
  • 累計為企業(yè)宣傳展示1.2億次以上
  • 分銷模式,讓每個人都愿意幫您做生意
  • 30多萬銷售員注冊,快速對接銷售渠道

傳統(tǒng)防火墻用于數(shù)據(jù)中心內(nèi)部的五大缺陷

時間: 2021-09-09 20:21
字體大?。?

  一日復(fù)一日,不同規(guī)模的企業(yè)都面臨著網(wǎng)絡(luò)犯罪和惡意內(nèi)部人員的威脅。在2020年,Verizon報告全球有超過3,950件被確認(rèn)的數(shù)據(jù)泄露事件,相比前一年幾乎翻倍。這些數(shù)據(jù)泄露影響了幾百萬人,造成企業(yè)大量的時間、金錢和資源損失,并且對企業(yè)發(fā)展都有深遠(yuǎn)的影響。

  傳統(tǒng)防火墻用于數(shù)據(jù)中心內(nèi)部的五大缺陷

  在今天快速變化的世界,CISO們需要一種能夠?qū)Τ掷m(xù)增長的動態(tài)負(fù)載與內(nèi)部流量進(jìn)行防御的方式。傳統(tǒng)安全解決方案已經(jīng)不足以應(yīng)對了。VMware Threat Analysis Unit新發(fā)布了一份威脅報告中,著重提到了一種新的方案,尤其針對邊界內(nèi)進(jìn)行防御。在這份報告中,結(jié)論很明顯:即使部署了主要的邊界防御,惡意人員依然活躍在網(wǎng)絡(luò)中。

  VMware的網(wǎng)絡(luò)安全產(chǎn)品市場高級主管指出了五個內(nèi)部數(shù)據(jù)中心的傳統(tǒng)防火墻缺陷。

  缺陷一:邊界防火墻主要針對舊流量模式,而非新流量模式

  大部分內(nèi)部防火墻是從企業(yè)的邊界防火墻精簡而來,用于確保南北流量安全。然而,在現(xiàn)代數(shù)據(jù)中心中,有大量的東西流量,意味著數(shù)據(jù)中心內(nèi)有很多平行移動的情況。隨著越來越多的一體化應(yīng)用被部署或者重建到分布式應(yīng)用中,如今東西向流量已經(jīng)遠(yuǎn)超南北向流量。

  太多組織犯了將自己傳統(tǒng)邊界防火墻改造后保護(hù)內(nèi)部網(wǎng)絡(luò)的錯誤。雖然這件事看上去很吸引人,但是用邊界防火墻監(jiān)測東西流量不僅昂貴,而且還在管控大量動態(tài)負(fù)載的強(qiáng)度和性能上十分低效。

  缺陷二:邊界防火墻缺少延展性

  用邊界防火墻監(jiān)測南北流量一般不會產(chǎn)生性能瓶頸,因?yàn)榱髁恳?guī)模并沒有東西流量那么大。但是如果企業(yè)用邊界防火墻監(jiān)測所有(或者大部分)東西流量,成本和復(fù)雜性會幾何級增長到企業(yè)根本無法解決的地步。

  缺陷三:發(fā)卡對頭發(fā)不錯,但是對數(shù)據(jù)中心流量可不好

  如果邊界防火請被用于監(jiān)測東西流量,流量會被強(qiáng)制從一個中心化的設(shè)備進(jìn)出,從而導(dǎo)致發(fā)卡流量模式的產(chǎn)生,會造成大量的網(wǎng)絡(luò)資源使用。除了會增加延遲,無論是從網(wǎng)絡(luò)設(shè)計還是從網(wǎng)絡(luò)運(yùn)行層面來看,發(fā)卡內(nèi)部網(wǎng)絡(luò)流量還會增加網(wǎng)絡(luò)的復(fù)雜性。網(wǎng)絡(luò)在設(shè)計的時候必須考慮到會有額外的發(fā)卡流量穿過邊界防火墻。在運(yùn)營層面,安全運(yùn)營團(tuán)隊(duì)必須貼合網(wǎng)絡(luò)設(shè)計,并且留意給防火墻額外流量時的限制。

  缺陷四:邊界防火墻不提供清晰的可視化能力

  監(jiān)測東西流量并貫徹顆粒度策略要求到負(fù)載等級的可視化能力。標(biāo)準(zhǔn)的邊界防火墻沒有對負(fù)載交互的高可視化能力,也沒有微隔離服務(wù)建造現(xiàn)代化的分布式應(yīng)用。缺乏應(yīng)用流的可視化能力會讓創(chuàng)建和執(zhí)行負(fù)載或者單獨(dú)流量等級的規(guī)則極度困難。

  缺陷五:我有安全策略了,但應(yīng)用在哪?

  傳統(tǒng)的防火墻管理界面被設(shè)計于管理幾十個分離的防火墻,但并不是設(shè)計支持帶有自動化配置安全策略的負(fù)載靈活能力。因此,當(dāng)邊界防火墻被用作內(nèi)部防火墻的時候,網(wǎng)絡(luò)和安全運(yùn)營人員必須在一個新的工作負(fù)載創(chuàng)建的時候,手動建立新的安全策略;并且當(dāng)一個負(fù)載被移除或者停用的時候,修改這些策略。

  用零信任重新思考內(nèi)部數(shù)據(jù)中心安全

  在這些缺陷的情況下,現(xiàn)在是時候重新思考內(nèi)部數(shù)據(jù)中心安全,并且開始應(yīng)用零信任安全了。如果傳統(tǒng)的邊界防火墻不適合,或者無法有效地成為內(nèi)部防火墻,那哪種解決方案是最適合監(jiān)測東西流量?基于上述的缺陷,組織應(yīng)該開始考量防火墻的支持以下能力:

  分布式和顆粒度執(zhí)行安全策略。

  可延展性以及吞吐量,在不影響性能的情況下處理大流量。

  對網(wǎng)絡(luò)和服務(wù)器架構(gòu)低影響。

  應(yīng)用內(nèi)可視化。

  負(fù)載移動性與自動化策略管理。

  一個邊界防火墻要滿足這些要求,無法避免地會有極高的成本和復(fù)雜性,還可能會發(fā)生大量的安全失效事件。但是,一個分布式的軟件定義方案是部署內(nèi)部防火墻監(jiān)測東西流量的最有效方式,一個正確的軟件定義內(nèi)部防火墻方案可以可延展地、低成本地、高效地保護(hù)成千上萬的工作負(fù)載,橫跨數(shù)千個應(yīng)用;同時在數(shù)據(jù)中心啟用零信任模型,可以幫助企業(yè)更進(jìn)一步實(shí)現(xiàn)整體的零信任安全框架。

  點(diǎn)評

  當(dāng)外部的邊界逐漸模糊以后,威脅在內(nèi)部的橫向移動就更需要注意,以便能夠第一時間發(fā)現(xiàn)攻擊并將攻擊限制在有限范圍內(nèi)。因此,數(shù)據(jù)中心內(nèi)部的防護(hù)需要應(yīng)對大量的東西向流量,在復(fù)雜的內(nèi)部環(huán)境中獲得可視化能力。這需要基于零信任構(gòu)建網(wǎng)絡(luò),并使用微隔離對網(wǎng)絡(luò)分區(qū)進(jìn)行管理。


Copyright © 商名網(wǎng) All Rights Reserved.