防火墻是網絡安全的核心部分且日趨復雜,始終與企業面臨的不斷變化的威脅抗爭。更新的防火墻能夠分析網絡流量行為、協議以及應用層數據。然而,當將資源轉移到亞馬遜云上時,企業可能會發現沒有相同數量和類型的的防火墻可供選擇。在這篇技巧中,我們將會針對云網絡安全,調查AWS內置的防火墻、第三方的防火墻以及開源防火墻。
AWS防火墻
內置的AWS防火墻對于信息安全專家來說還有許多待改進之處。為了在EC2內創建防火墻規則,企業可以創建“安全群組。”這些群組描繪了應用于EC2的防火墻規則集,每一個群組僅允許企業配置入站規則。對于使用亞馬遜虛擬私有云(VPC)服務的用戶來說,可以創建入站和出站規則,但是有云VPC服務高昂的成本,會導致這項實施花費更多。
至于檢查能力,AWS防火墻過濾器和IP選項集捆在一起,操縱基本的分組分段(但是允許攻擊者通常阻礙入侵檢測系統所創建的異常片段),且執行簡單的狀態過濾器。然而,在AWS防火墻內,對于任何規則允許未登錄,這是個非常明顯的短處。大多數網絡和安全團隊都希望對這些登錄進行入侵檢測和分析,使用單機或者安全事件管理工具。盡管亞馬遜防火墻可能在一些場景中足夠充分,但是安全專業人士更喜歡選擇的AWS網絡安全選擇。
針對AWS的第三方防火墻
幾乎沒有第三方的防火墻選項能夠和AWS整合。Check Point已經將Check Point Security Gateway R75整合到AWS市場中。這意味著尋求安裝VPC環境的企業可以創建新的虛擬Check Point防火墻,并將其整合到企業的私有云中。
Check Point防火墻表現的更像是傳統的Check Point設備,提供了狀態流量檢測和控制功能、應用和協議分析規則以及VPN連接。Check Point的虛擬設備能夠同各種亞馬遜實例類型整合,也支持Check Point“軟件刀鋒”功能,這個功能為安全性能集提供了模塊化的方法。Check Point是目前唯一在防火墻領域成熟的廠商產品,能夠完全整合到亞馬遜的市場之中。思科和Juniper在AWS市場上還沒有任何產品,盡管他們都提供虛擬防火墻平臺(分別為ASA 1000v和vGW產品)。
除了Check Point選項意外,企業在亞馬遜EC2中安裝防火墻要取決于他們自己所使用的開源軟件解決方案。Smoothwall有開源和商業產品,在單一包中提供了包過濾、Web過濾和電子郵件保護。該公司提供的基于軟件的商業選項可以直接安裝到亞馬遜圖像中,或者作為VMware圖像直接導入到EC2中。其他的開源選項有Openwall,提供了防火墻功能以及其他的安全選項,可以當做虛擬機安裝,然后導入到亞馬遜中。
主機型防火墻
很多企業正在轉向主機型防火墻選項,從而增大亞馬遜EC2中基于網絡的安全。除了針對 Linux和Windows虛擬機的自帶操作系統防火墻之外,企業可以考慮通過安全即服務提供商管理防火墻控制。像CloudPassage就是這樣的廠商,免費提供了限制使用的Halo防火墻代理和管理平臺,提供了附加的計劃以及功能,包括配置監控、漏洞評估和賬戶管理。該廠商的防火墻代理同Linux 和Windows上現有的防火墻連接,但是提供了簡單的中心管理和控制,以及登錄和過濾工具。
未來,很可能會有更多的商業防火墻提供商會將其產品適用亞馬遜以及其他的云,但是企業至少現在還有一些防火墻選項。
對于試圖在云環境中開發健全的“深度防御”的信息安全專家來說,這很重要,隨著公有基礎架構即服務(IaaS)云資產在互聯網或者內網暴露就需要保護。很多企業可能沒有意識到自有AWS防火墻功能有限,遠不及等價的現代企業世界中的防火墻平臺。增加更多的功能防火墻實例,以及主機型過濾器和檢測,提供更大范圍的覆蓋。
京公網安備 11010502049343號