摘要:不妨把丑話說在前頭下一代防火墻已死���,而死因是云�。由防火墻入侵預(yù)防系統(tǒng)和代理合并而來�,成為了安全界的瑞士軍刀。這將進(jìn)一步侵蝕傳統(tǒng)的價值����。這造成了一種有害的文化安全人員被賦予重大的責(zé)任,卻毫無實際行使這一責(zé)任的權(quán)力�����。死亡才會帶來變化��。
不妨把丑話說在前頭:下一代防火墻(NGFW)已死��,而死因是云��。
然而����,這不是立即處死,而是面對一個更敏捷的競爭對手�����,慢慢變得無關(guān)緊要��。如今NGFW產(chǎn)品彌漫著死亡和腐爛的氣息��。它們臃腫不堪���、售價不菲且效果很差����。它們被一貫過分強調(diào)其重要性的用戶狂熱地頂禮膜拜����。十年后,NGFW將淪為美其名曰的路由器�。
但是,不必驚慌��。你仍有時間為NGFW之后的生活安排打點�。
你用不著與NGFW同生共死
NGFW(或一些人喜歡所稱的UTM)稱霸安全界已有近10年。NGFW由防火墻�、入侵預(yù)防系統(tǒng)和Web代理合并而來,成為了安全界的瑞士軍刀����。每個人都有NGFW����,當(dāng)然你購買的NGFW是最好的���。
NGFW不僅是許多安全計劃的核心技術(shù)�����,對于一些人來說��,NGFW本身還是安全計劃��。首席信息安全官(CISO)被問及其安全計劃時一開始常常這么回答“嗯��,我們在邊界處有Palo Alto的NGFW……”��,這并不罕見��。這不是安全計劃��!這種過于強調(diào)NGFW的現(xiàn)狀意味著��,對于整個職業(yè)生涯立足于這項技術(shù)的那些人來說�,這種死亡不會輕易到來。
然而正如Tyler所說���,你用不著與NGFW同生共死?���,F(xiàn)在是與時俱進(jìn)了�。
大限之日
在你十分激動之前�����,不妨探討一下NGFW奄奄一息的四個原因:
1���、網(wǎng)絡(luò)邊界消失了��。
2����、NGFW不是為云架構(gòu)設(shè)計的
3���、云提供商以極少的成本提供同樣的功能�,現(xiàn)在和將來都如此����。
4��、NGFW沒什么效果�。
以上這些是觀察趨勢�、尤其是涉及云的趨勢后得出的結(jié)論。
消失的邊界
現(xiàn)代企業(yè)組織充其量是脆弱的網(wǎng)絡(luò)邊界��。隨著公司將更多的數(shù)據(jù)和工作負(fù)載轉(zhuǎn)移到云和SaaS提供商��,“邊界”因此擴展到那些提供商�����。加上日益壯大的遠(yuǎn)程辦公者群體����,以前存在的任何軟邊界都變得完全很短暫,稍縱即逝����。沒有清晰的邊界,每一臺筆記本電腦�、電話和物聯(lián)網(wǎng)設(shè)備都是邊界。出于所有同樣的原因�����,傳統(tǒng)的核心數(shù)據(jù)中心也在消失。
這正是推動Zscaler等云端點公司發(fā)展的因素��。幾年前的RSA展會上���,Zscaler所設(shè)的攤位很有意思����,你可以拿一把大錘砸Palo Altos和CheckPoints之類的NGFW硬件�����。我得承認(rèn)�,我砸過好幾臺思科ASA���。
當(dāng)時����,我認(rèn)為這只是營銷噱頭而已����。然而Zscaler隨后迎來了Howard Beale時刻:當(dāng)你的員工����、數(shù)據(jù)和系統(tǒng)分布在云端���、家里和咖啡店時����,硬件已毫無意義�����。
Zscaler代表由塊頭龐大的網(wǎng)絡(luò)設(shè)備向云提供商轉(zhuǎn)變����,云提供商在云端聚集了連接和數(shù)據(jù),并提供了你所需要的所有安全掃描�����、過濾和保護(hù)���。你在云端或SaaS提供商處有關(guān)鍵的業(yè)務(wù)系統(tǒng)時�,購買的那只龐大Palo Alto或Checkpoint設(shè)備對云端或SaaS提供商的安全而言毫無意義。本地NGFW淪為了辦公室中一個基本的連接設(shè)備�����。
云原生
你將數(shù)據(jù)和工作負(fù)載移到云端后����,網(wǎng)絡(luò)的整個概念隨之發(fā)生變化。AWS和Azure之類的云提供商提供的是軟件定義網(wǎng)絡(luò)�。所有流量和連接進(jìn)行了虛擬化和抽象化處理,與實際的電線和路由器分離開來�。這在根本就沒有網(wǎng)絡(luò)的SaaS提供商當(dāng)中體現(xiàn)得尤為明顯。
此外���,基于軟件的網(wǎng)絡(luò)沒有傳統(tǒng)網(wǎng)絡(luò)的限制。傳統(tǒng)的“三層”網(wǎng)絡(luò)聚集并集中了訪問����,因為這種結(jié)構(gòu)很高效,但它有個缺點:所有流量必須返回中央路由和NGFW進(jìn)行訪問�����。
在云端�����,這毫無必要。流量直接通到它要去的地方��。比如說�����,如果你有應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器���,無需通過路由器來連接它們����,而是可以讓它們對等互聯(lián)(peering)�����。由于你不控制底層物理連接�����,因此沒有理由返回中心點�。
對等互聯(lián)提供了極其精細(xì)而動態(tài)的訪問控制。你不僅可以控制網(wǎng)絡(luò)�����、應(yīng)用程序和用戶層訪問,還可以基于特定條件或觸發(fā)器�,自動授予和吊銷該訪問權(quán)。使用云管理解決方案����,你可以不斷審核那些控制機制,倘若任何訪問違反公司政策�����,即可吊銷���。傳統(tǒng)的硬件網(wǎng)絡(luò)幾乎不可能有這種級別的控制��。
此外���,如果使用原生云服務(wù)——比如AWS的身份和訪問管理(IAM)或Azure的托管Active Directory��,沒有實際的服務(wù)器要連接���。相反�,你可以將VPC或主機與服務(wù)本身實行對等互聯(lián)。
對等互聯(lián)簡化了網(wǎng)絡(luò)����,又沒有減少任何訪問控制。從某種意義上說��,你根本不需要聯(lián)網(wǎng)��。
雙擊查看原圖
將NGFW放在云托管的系統(tǒng)和原生服務(wù)之間很笨拙���,在一些情況下甚至是不可能的���。雖然所有NGFW制造商都提供云版本的產(chǎn)品,但大多數(shù)情況下與VPN連接器無異�����。它們提供的任何安全功能很容易被其他功能取代����。
因此,正由于云端沒有NGFW��,基于主機的安全解決方案隨之大行其道�����。趨勢科技等公司多年前就明白了這點,開始發(fā)布云版本的產(chǎn)品�����,基于主機的平臺上的這些產(chǎn)品提供所有NGFW功能��。此外�,當(dāng)你自動部署和配置這些端點時,可以為環(huán)境中的每個主機統(tǒng)一執(zhí)行安全機制�����。
談?wù)凣uard Duty AWS和Azure等云平臺提供(或即將提供)NGFW功能����。無需大型設(shè)備(或虛擬映像)。
AWS發(fā)布Guard Duty后�����,AWS的發(fā)展方向顯而易見���。AWS不僅想掌控你的計算工作負(fù)載�����,還想掌控所有基礎(chǔ)架構(gòu)�����。
Guard Duty是一個原生AWS應(yīng)用程序�����,提供入侵檢測監(jiān)控功能����,而傳統(tǒng)的入侵檢測/預(yù)防系統(tǒng)(IDS/IPS)幾乎不可能將這種功能部署到云網(wǎng)絡(luò)中����,因為你看不到完整的網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)抽象也意味著你無法嗅探流量�����。
在今后幾年���,AWS和Azure會以某種方式將NGFW的所有功能作為原生產(chǎn)品來提供�。對于任何IaaS提供商來說這是合理的舉措。另外�����,隨著原生NGFW功能得到日益廣泛的采用���,成本會急劇下降���。這將進(jìn)一步侵蝕傳統(tǒng)NGFW的價值。
重大失敗
NGFW奄奄一息的最后一個原因也許是最明顯的:NGFW沒什么效果���。每家聲稱遭遇重大泄密事件的企業(yè)組織都有NGFW�����,而這些NGFW對于阻止泄密基本上起不到什么作用���。
公平地說,泄密的根源并不是NGFW技術(shù)��,而是一系列日積月累的架構(gòu)和組織問題共同進(jìn)一步削弱了NGFW的價值�。
這些問題包括:
1、有很多方法可以使用移動網(wǎng)絡(luò)或物理設(shè)備繞過NGFW。
2�����、要求訪問不受限制的可信賴第三方常常繞過所有NGFW安全機制�����。
3�、管理NGFW的人員無權(quán)執(zhí)行規(guī)則����,生怕“阻止合法流量”。
4�����、監(jiān)視和響應(yīng)NGFW警報的做法無效��,因為:
警報管理工具(比如SIEM)管理起來復(fù)雜又費時���;
缺少有才干的安全員工�;
數(shù)量過多的警報��;
消極抵抗��、避免沖突的企業(yè)文化阻止報告泄密事件,因為這會引起審查����。
最后一點可能最具破壞性和普遍性。許多大型企業(yè)組織打造的文化不能容忍正常的人為錯誤�。這對于信息安全而言尤其具有破壞性。能力差的領(lǐng)導(dǎo)人對信息安全從業(yè)人員提出了完全不切實際的期望和約束���。要求他們知道一切�����,沒有遺漏任何環(huán)節(jié)�,如果發(fā)生不好的情況�,就要受到嚴(yán)懲。在過去這十年�����,幾乎每一次泄密事件都揭示了這種文化的弊端����。
這造成了一種有害的文化:安全人員被賦予重大的責(zé)任,卻毫無實際行使這一責(zé)任的權(quán)力。這也是為什么許多人堅決不放手NGFW�。操控大型NGFW是他們唯一擁有的權(quán)力。
然而��,公司不鼓勵他們報告任何攻擊事件����,因為糟糕的領(lǐng)導(dǎo)人(出于可笑的期望)會怪罪他們發(fā)出警報�。這是許多NGFW供應(yīng)商助長的一條強大的負(fù)反饋回路,因為它使那些沒用的安全人員可以購買尺寸更大�、功能更強大的設(shè)備。
這就是為什么我們需要NGFW死亡��。死亡才會帶來變化��。
你可以從冰冷�、死氣沉沉的機架撬走我的NGFW
雙擊查看原圖
現(xiàn)在你可能因認(rèn)同我對NGFW的看法而頗為沮喪,或者怒氣沖沖�����,弄清楚我存在哪些人格缺陷���,以便好攻擊我��。
我先自爆家丑:我易怒�、很胖,經(jīng)常咒罵�����。我還把過多的錢砸在汽車上�,時常說些冒犯他人的話。
我確信你可以憑上面任何一條或全部而鄙視我�����。
不過在你將Fortinet標(biāo)識從FortiBolts撕掉之前��,先冷靜一下���。NGFW沒有很快死亡�。你在那家Palo Alto增值經(jīng)銷商(VAR)上花的所有錢不會立即浪費掉����。這種死亡是慢慢的。NGFW不會完全死亡���,它會改變���。
五到十年后���,NGFW將更像是一種云連接設(shè)備。你已經(jīng)在Fortinet和Palo Alto(剛收購了Evident.IO)那里看到了這方面的早期苗頭����。它會繼續(xù)控制訪問。但你會更像管理SaaS訂閱服務(wù)那樣管理它����。此外���,與AWS�、Azure和Salesforce等云服務(wù)安全受控制地連接的功能也將直接集成到平臺中���。
此外�����,AWS和Azure將擁有各自類似NGFW的服務(wù)��,這意味著你可以完全拋棄本地NGFW���,使用廉價的路由器���。這使得Zscaler之類的服務(wù)比龐大硬件設(shè)備更為明智。
這里出現(xiàn)的一個更大動向是����,本地系統(tǒng)變得越來越無關(guān)緊要。NGFW實際上是這個更大趨勢的一部分�����。隨著公司將越來越多的工作負(fù)載轉(zhuǎn)移到云端���,所有那些硬件設(shè)備都變得越來越無足輕重�。
2012年���,人們竭力將Exchange服務(wù)留在本地��。8年后��,擁有本地Exchange服務(wù)器這個想法很可笑�。6到10年后�,擁有一個價值10萬美元的核心NGFW這個想法似乎同樣很可笑����。此外����,你的VAR奄奄一息,不過那是另一個話題了���。
為末路做準(zhǔn)備
如果你想為NGFW的消亡做準(zhǔn)備��,答案完全在于你的Azure或AWS控制臺�。雖然下面不是你可以做準(zhǔn)備的完整清單���,但有助于邁出第一步。
重新關(guān)注端點安全��,尤其是在端點處提供NGFW功能的解決方案���。
如果你的員工隊伍很分散����,那么應(yīng)關(guān)注Zscaler之類的公司��。
將那些工作負(fù)載轉(zhuǎn)移到云端,越早越好��。
云安全與本地安全不是一回事��。這個話題不在本文的討論范圍之內(nèi)�����,不過就一句話�����,你根本無法將你的所有本地設(shè)備直接搬到云端�、期望它們都能正常運行。
安全計劃的核心應(yīng)該是風(fēng)險管理和個人發(fā)展���,而不是技術(shù)���。
SIEM技術(shù)在云端更重要。你需要數(shù)據(jù)來制定決策���。這也是另一個話題��。
如你所見����,一旦你打開了通向后NGFW世界的大門,事情會發(fā)生重大變化���。你的團(tuán)隊越關(guān)注云�����,就會越適應(yīng)這種變化�。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/126056.html
