一日复一日,不同规模的企业都面临着网络犯罪和恶意内部人员的威胁。在2020年,Verizon报告全球有超过3,950件被确认的数据泄露事件,相比前一年几乎翻倍。这些数据泄露影响了几百万人,造成企业大量的时间、金钱和资源损失,并且对企业发展都有深远的影响。
在今天快速变化的世界,CISO们需要一种能够对持续增长的动态负载与内部流量进行防御的方式。传统安全解决方案已经不足以应对了。VMware Threat Analysis Unit新发布了一份威胁报告中,着重提到了一种新的方案,尤其针对边界内进行防御。在这份报告中,结论很明显:即使部署了主要的边界防御,恶意人员依然活跃在网络中。
VMware的网络安全产品市场高级主管DhruvJain指出了五个内部数据中心的传统防火墙缺陷。
缺陷一:边界防火墙主要针对旧流量模式,而非新流量模式
大部分内部防火墙是从企业的边界防火墙精简而来,用于确保南北流量安全。然而,在现代数据中心中,有大量的东西流量,意味着数据中心内有很多平行移动的情况。随着越来越多的一体化应用被部署或者重建到分布式应用中,如今东西向流量已经远超南北向流量。
太多组织犯了将自己传统边界防火墙改造后保护内部网络的错误。虽然这件事看上去很吸引人,但是用边界防火墙监测东西流量不仅昂贵,而且还在管控大量动态负载的强度和性能上十分低效。
缺陷二:边界防火墙缺少延展性
用边界防火墙监测南北流量一般不会产生性能瓶颈,因为流量规模并没有东西流量那么大。但是如果企业用边界防火墙监测所有(或者大部分)东西流量,成本和复杂性会几何级增长到企业根本无法解决的地步。
缺陷三:发卡对头发不错,但是对数据中心流量可不好
如果边界防火请被用于监测东西流量,流量会被强制从一个中心化的设备进出,从而导致发卡流量模式的产生,会造成大量的网络资源使用。除了会增加延迟,无论是从网络设计还是从网络运行层面来看,发卡内部网络流量还会增加网络的复杂性。网络在设计的时候必须考虑到会有额外的发卡流量穿过边界防火墙。在运营层面,安全运营团队必须贴合网络设计,并且留意给防火墙额外流量时的限制。
缺陷四:边界防火墙不提供清晰的可视化能力
监测东西流量并贯彻颗粒度策略要求到负载等级的可视化能力。标准的边界防火墙没有对负载交互的高可视化能力,也没有微隔离服务建造现代化的分布式应用。缺乏应用流的可视化能力会让创建和执行负载或者单独流量等级的规则极度困难。
缺陷五:我有安全策略了,但应用在哪?
传统的防火墙管理界面被设计于管理几十个分离的防火墙,但并不是设计支持带有自动化配置安全策略的负载灵活能力。因此,当边界防火墙被用作内部防火墙的时候,网络和安全运营人员必须在一个新的工作负载创建的时候,手动建立新的安全策略;并且当一个负载被移除或者停用的时候,修改这些策略。
用零信任重新思考内部数据中心安全
在这些缺陷的情况下,现在是时候重新思考内部数据中心安全,并且开始应用零信任安全了。如果传统的边界防火墙不适合,或者无法有效地成为内部防火墙,那哪种解决方案是最适合监测东西流量?基于上述的缺陷,组织应该开始考量防火墙的支持以下能力:
- 分布式和颗粒度执行安全策略。
- 可延展性以及吞吐量,在不影响性能的情况下处理大流量。
- 对网络和服务器架构低影响。
- 应用内可视化。
- 负载移动性与自动化策略管理。
一个边界防火墙要满足这些要求,无法避免地会有极高的成本和复杂性,还可能会发生大量的安全失效事件。但是,一个分布式的软件定义方案是部署内部防火墙监测东西流量的最有效方式,一个正确的软件定义内部防火墙方案可以可延展地、低成本地、高效地保护成千上万的工作负载,横跨数千个应用;同时在数据中心启用零信任模型,可以帮助企业更进一步实现整体的零信任安全框架。
点评
当外部的边界逐渐模糊以后,威胁在内部的横向移动就更需要注意,以便能够第一时间发现攻击并将攻击限制在有限范围内。因此,数据中心内部的防护需要应对大量的东西向流量,在复杂的内部环境中获得可视化能力。这需要基于零信任构建网络,并使用微隔离对网络分区进行管理。