基于云的防火墻有兩種,雖然底層技術可能相同,但它們其實時兩種類型的產品:一種用于保護企業的網絡和用戶,另一種保護云基礎設施和服務器。讓我們看看這兩者的區別。
這兩種防火墻我們分別稱為Vanila和Strawberry(筆者僅使用這兩個詞語用于區分二者,便與討論),這兩種都是檢查入站和出站數據包以阻止惡意流量的軟件。但它們有很大的不同,我們可以將它們視為兩個重要的網絡安全工具:兩者都旨在保護你、你的網絡以及你的真實和虛擬資產。
讓我們看看這兩者的概述:
Vanilla防火墻通常是獨立的產品或服務,旨在保護企業網絡及其用戶,這與內部部署防火墻設備類似,只不過它在云計算中。服務提供商將其稱為軟件即服務(SaaS)防火墻、安全即服務(SECaaS)或者甚至防火墻即服務(FaaS)。
相比之下,Strawberry防火墻是基于云的服務,它運行在虛擬數據中心中--使用平臺即服務(PaaS)或基礎設施即服務(IaaS)模型中的服務器。在這些情況下,防火墻應用運行在虛擬服務器,保護云端應用程序之間的流量。行業有時候稱其為下一代防火墻,有時候是指在本地或在云中運行的高級防火墻系統。
那么,我們為什么需要這些新的防火墻?為什么不將1U防火墻設備加入到機架中,連接到路由器?理由很簡單:因為網絡邊界的定義已經改變。防火墻以前就像是安全設施入口處的保安。只有授權人員可進入該設施,包裹在進入和離開建筑物時都會進行搜查。此外,你的用戶在設施內工作,數據中心和服務器都在內部。因此,保護網絡相對簡單。里面的事物受到保護,外面不安全,唯一出入方式是通過防火墻。
而現在已經不是這樣,授權用戶可以再任何地方,用戶也可從任何地方訪問應用。這些應用可能位于內部數據中心、公共或私有IaaS/PaaS云內企業控制的服務器中,第三方SaaS應用也可能位于云中。只有相對較少的企業流量通過內部路由器,這也是為什么我們需要基于云的vanilla防火墻保護所有用戶以及基于云的Strawberry防火墻擴展安全策略到IaaS/PaaS環境的原因。
防火墻即服務
云端vanilla防火墻就像是傳統內部防火墻設備,只不過它們是互聯網服務提供商或防火墻服務專有SaaS提供商提供(即FaaS提供商)的服務。你可能會為這一服務支付固定費用,或者你可能基于某些因素按月支付費用,例如總體帶寬消耗以及可選服務(例如域過濾)。
配置FaaS非常簡單。如果這是你的電信運營商提供的附加服務,你可能不需要更改設置或者做任何其他操作。系統管理員會得到儀表板或管理控制臺來顯示活動,可能讓他們選擇查看的內容。
如果FaaS是由第三方提供商提供,你可能需要更改路由器設置來連接到該提供商。在某種意義上,它將是你的互聯網提供商。
FaaS的優勢是你可擴展保護到遠程員工或者正在旅行的員工。這些用戶將通過安全通道連接到云防火墻提供商,可能是虛擬專用網絡(VPN)。這樣的話,他們可訪問具有企業級防火墻保護的互聯網,并可通過該防火墻訪問基于云的服務,并連接回企業。總之,這可為遠程及旅行的員工提供與內部員工相同的保護。
遠程員工支持是FaaS的一個主要優勢。另一個優勢是,它可將成本從資本支出轉移到運營支出,這對于很多企業來說都非常重要。
對于FaaS,你只需要支付你使用部分的費用,你不必購買超出需求的防火墻設備容量以便為最繁忙的時間段做準備。這樣的話,你就有過多的內部防火墻容量,特別是當你已經開始遷移服務到云端時。通過關閉這些設備,你基本上將安全外圍都外包到更有效的服務。
還有一個好處是,當出現新興零日威脅或者補丁時,FaaS提供商可快速做出變更,你不需要下載和安裝更新。當然,潛在缺點是你完全依靠FaaS提供商來做到這一點。然而,由于大多數服務提供商都有全職安全團隊并訂閱所有威脅情報服務,可全天候響應,筆者認為他們可比大部分中小企業甚至大型企業更好地保持防火墻更新以及配置正確。
另一個優勢是抵御分布式拒絕服務(DDoS)攻擊。“在過去,你可能會在互聯網末端抵御DDoS,但現實是DDoS攻擊可能會淹沒你,無論你有多少帶寬,”惠普企業數字解決方案和傳輸團隊首席技術官Simon Leech稱,“選擇云端則不一樣,因為云計算提供商有足夠的帶寬來擊退千兆或者TB級的攻擊。”
換句話說,任何攻擊都將由帶寬豐富的FaaS服務器定向和阻止,而不會影響到你自己的互聯網連接。最終結果是:FaaS提供商應該可為你提供一個干凈的互聯網連接。
很多供應商都提供FaaS選項,例如AT&T公司的Managed Firewall Security以及Wedge Networks公司的Cloud Network Defense。筆者個人建議是:大部分中小企業會發現來自電信運營商或者ISP的FaaS產品更容易使用且經濟實惠。這些服務提供商可能還與品牌防火墻提供商有合作協議。
針對IaaS/PaaS的防火墻
在云中的虛擬防火墻用于保護你的云基礎設施和服務,而FaaS與之完全不同,FaaS旨在保護你的網絡邊界以及遠程或履行最終用戶。
在IaaS/PaaS世界,你從服務提供商租用基礎設施,你可以在其上創建和管理自己的虛擬服務器。這些服務器可用于存儲、托管現成或本地應用、兩層或三層網絡服務--這完全取決于你。在某些情況下,這些基于云的應用完全獨立。在其他情況,它們可能會鏈接(通過VPN)到數據中心內其他服務器和應用。這里重要的是,這些虛擬服務器完全由你和你的團隊管理,這可為你提供最大的靈活性,以及100%的責任。
在這種情況下,則必須使用虛擬防火墻。它們可保護你的云服務器免受來自外部的惡意流量或者攻擊,它們還可保護你的云服務器免受其他受攻擊服務器的影響,例如在內部攻擊或者成功外部攻擊的情況下。
而云防火墻是一個應用,你可從云主機或者你喜歡的防火墻供應商獲取云防火墻。這些下一代防火墻或者虛擬防火墻以不同方式提供。你可能會看到它們是完全配置的虛擬機,讓你可用于云基礎設施的前端;或者,它們可能作為二進制文件提供,讓你可安裝和運行在現有虛擬機中,例如web服務器或者事務數據庫服務器。
幾乎每個知名防火墻提供商都提供IaaS/PaaS防火墻產品和許可證選項。例如:來自Palo Alto NetworksVM-Series虛擬化下一代防火墻和Zscaler的云計算防火墻。
對于虛擬防火墻,在定義如何配置以及它們所保護的內容方面,你幾乎有著無限的選擇。你可創建一個防火墻僅保護特定虛擬服務器組或者單臺服務器。這里的術語時微分段。與物理數據中心內機架式防火墻設備不同,你可在幾秒內改變防火墻配置,只需要點擊鼠標或者運行腳本即可。而不需要移動電纜!該防火墻還可通過規則進行分段,基于特定應用或用戶角色來保護,而不只是虛擬服務器。
微分段的優勢是讓你可將安全策略綁定到單個虛擬機。“在軟件定義數據中心或者混合云中,每次我配置新的虛擬機時,我都希望虛擬機在配置時有安全策略,”HPE的Leech稱,“這樣的話,當該虛擬機在云計算網絡移動和遷移時,安全策略將跟隨它。此外,當虛擬機被卸載時,我希望該安全策略也消失。”
Vanilla還是Strawberry?
· 請記住,當你遷移服務器和應用到IaaS/PaaS的云端時,你并沒有轉移安全責任。當然,云服務提供商可能會承擔部分責任,但他們并不會負責保護你的服務器免受這些虛擬服務器操作系統或應用中的惡意軟件、攻擊、數據滲出或未修補漏洞。這是你的工作,雖然這一挑戰主要是保持軟件更新,同樣重要的是使用防火墻保護一切。
· 如果你使用內部部署防火墻保護網絡,并且遠程或旅行用戶不受企業級防火墻保護,則可以考慮FaaS。
· 如果你的IaaS/PaaS虛擬服務器僅受云服務提供商的基本安全服務保護,你應該考慮安裝和管理自己的虛擬防火墻來保護你的服務。這是你的工作和責任。
京公網安備 11010502049343號