微信号:YunTouTiao

介绍:云计算领域科技媒体:传播观点,传播价值;Web:www.yuntoutiao.com ,欢迎互动~~~

云在杀死防火墙

2017-11-30 21:13 Maria Korolov

我们所知道的防火墙跟不上当今企业应用的要求。



传统的防火墙已死,或者至少奄奄一息。


专家们表示,云和混合环境、移动访问以及在线应用已经使防火墙几乎过时了,而数据中心运营商应该考虑用更精细化的安全技术来替代原先的防火墙。


应用程序和数据过去驻留在数据中心,它们由数据中心提供给本身在企业网络上的员工。


Skyport Systems公司的首席技术官迈克尔•比斯利(Michael Beesley)说:“即使在异地环境,员工也通过VPN连接到企业网络。”


如今不再是这样。现在,应用程序可能驻留在云和混合环境中,或者由外部服务提供商通过网站来提供。无论人在何处,员工和客户常常通过互联网来访问应用程序。


那就意味着防火墙无法看到出现的情况、连接来自哪里或前往哪里,而IP地址一直在变化,或者被CloudFlare之类的内容分发网络隐蔽起来。


他说:“防火墙变成了瞎子,两眼抹黑。”


与此同时,以前在许多不同端口之间分发的流量现在都集中于端口80和端口443。


比斯利说:“我认为我们在接近一个引爆点,即出于必要,许多企业在如何为自己确保安全这方面会采用不同的做法。经验数据显示,在混合环境下,防火墙没有发挥作用。基础设施需要与时俱进、成为一种零信任环境,而不是试图从网络的角度来确保安全。”


然后还有加密问题。


据谷歌声称,Chrome浏览器中79%的流量目前是加密的流量。


Kudelski Security公司的研究主管瑞安•斯帕尼尔(Ryan Spanier)说:“杀死防火墙的是浏览器。由于你的客户要求互联网上的内容,而防火墙无法阻止。”


如果是加密流量,防火墙只知道流量的来源和目的地;由于现在一切都在云端,即便这也告诉不了你太多信息。他说:“再也没有留给防火墙的太多空间了。”


据网络安全厂商Ixia在本月发布的一份调查显示,88%的调查对象表示,由于无法深入了解公共云上的数据流量,他们遇到了与业务相关的问题。


最后是应用程序开发模式的转变。企业已经由在专用服务器上运行应用程序改为虚拟机、进而改为容器,每次转变大大增加了需要保护的端点数量,同时又加快了启动和关闭新服务器的速度。


这使得环境变得异常复杂,传统的防火墙已难以跟上所有变化。


Aporeto是一家总部位于加利福尼亚州圣何塞的应用安全公司,联合创始人阿米尔•谢里夫(Amir Sharif)说:“防火墙在死去,很快就会死亡。”


他表示,当下的一股浪潮是Serverless应用大行其道;由于微服务蔚然成风,变革步伐即将再提升一个数量级。


他说:“我一直在考量允许什么流量、禁止什么流量,防火墙方面的开销变得非常大。那些节点不断启动和关闭,防火墙跟不上这个步伐。”


谢里夫表示,他经常从客户那里听到这个问题有多严重。


他说:“我们在华尔街的一个客户提到,每当他推出一款应用程序,至少要更新14000条不同的防火墙规则。”


为了紧跟形势,安全解决方案需要与应用程序紧密结合;启动容器或微服务时,让它们得以确保安全性。


另一个办法就是将白名单做入到容器中,以便只有本该在容器中运行的应用程序才可以运行,只能连接到允许它们连接的外部服务。


这种方法的最佳典例就是谷歌的BeyondCorp战略。谷歌的信息安全主管希瑟•阿德金斯(Heather Adkins)在今年的RSA大会上做了一场报告,报告题为《谷歌如何在不用防火墙的情况下保护企业安全边界?》。


尽管防火墙存在诸多问题,但企业不会很快就会丢弃它们。


据FireMon最近开展的一项调查,90%的调查对象表示,防火墙对于安全而言仍跟过去一样重要,或者比过去任何时候都来得重要。


FireMon的主管乔希•梅菲尔德(Josh Mayfield)表示,然而,防火墙的性质会发生变化。它将变成这样一种方法:不太关注僵硬的规则,更加关注特定资产方面的策略。


他说:“有形的边界消失后,你只好依靠策略成为无形的边界。未来的防火墙将可以感知资产、资产的属性和连接点等信息。”


他表示,资产和工作负载从一处转移到另一处,安全策略会如影相随,这意味着许多公司再也没必要不断重写防火墙规则了。


相关阅读:

Gartner:2016年企业网络防火墙魔力象限|「云头条」

美国投入60亿美元的防火墙 形同虚设

废弃防火墙:Google决定不再区分内外网



 
云头条 更多文章 网络管理:3分钟排障秘技,一招胜过十年功 AWS 掌门人称 “Serverless” 是软件界的下一场革命 迅雷金融炮轰迅雷:玩客币是骗局,未使用区块链技术 用 Linux 和 Go 换掉 x86 固件 ! 女生征婚:喜欢懂云计算的
猜您喜欢 揭秘《我是歌手》总决赛第8位嘉宾 App开发需要了解的基本技术 一步步教你如何入门精益数据分析! 【干货】揭密腾讯云金融机房硬件配置 Ceph管理节点故障mds迁移到存储节点