摘要:不妨把丑話說(shuō)在前頭下一代防火墻已死�,而死因是云�。由防火墻入侵預(yù)防系統(tǒng)和代理合并而來(lái),成為了安全界的瑞士軍刀�����。這將進(jìn)一步侵蝕傳統(tǒng)的價(jià)值���。這造成了一種有害的文化安全人員被賦予重大的責(zé)任���,卻毫無(wú)實(shí)際行使這一責(zé)任的權(quán)力。死亡才會(huì)帶來(lái)變化��。
不妨把丑話說(shuō)在前頭:下一代防火墻(NGFW)已死���,而死因是云�����。
然而�,這不是立即處死���,而是面對(duì)一個(gè)更敏捷的競(jìng)爭(zhēng)對(duì)手�,慢慢變得無(wú)關(guān)緊要。如今NGFW產(chǎn)品彌漫著死亡和腐爛的氣息�����。它們臃腫不堪��、售價(jià)不菲且效果很差�。它們被一貫過(guò)分強(qiáng)調(diào)其重要性的用戶狂熱地頂禮膜拜。十年后���,NGFW將淪為美其名曰的路由器。
但是����,不必驚慌。你仍有時(shí)間為NGFW之后的生活安排打點(diǎn)�����。
你用不著與NGFW同生共死
NGFW(或一些人喜歡所稱的UTM)稱霸安全界已有近10年���。NGFW由防火墻��、入侵預(yù)防系統(tǒng)和Web代理合并而來(lái)�,成為了安全界的瑞士軍刀��。每個(gè)人都有NGFW���,當(dāng)然你購(gòu)買的NGFW是最好的���。
NGFW不僅是許多安全計(jì)劃的核心技術(shù),對(duì)于一些人來(lái)說(shuō)����,NGFW本身還是安全計(jì)劃。首席信息安全官(CISO)被問(wèn)及其安全計(jì)劃時(shí)一開(kāi)始常常這么回答“嗯�����,我們?cè)谶吔缣幱蠵alo Alto的NGFW……”�,這并不罕見(jiàn)��。這不是安全計(jì)劃��!這種過(guò)于強(qiáng)調(diào)NGFW的現(xiàn)狀意味著,對(duì)于整個(gè)職業(yè)生涯立足于這項(xiàng)技術(shù)的那些人來(lái)說(shuō)�,這種死亡不會(huì)輕易到來(lái)���。
然而正如Tyler所說(shuō),你用不著與NGFW同生共死?����,F(xiàn)在是與時(shí)俱進(jìn)了��。
大限之日
在你十分激動(dòng)之前�,不妨探討一下NGFW奄奄一息的四個(gè)原因:
1、網(wǎng)絡(luò)邊界消失了��。
2、NGFW不是為云架構(gòu)設(shè)計(jì)的
3�����、云提供商以極少的成本提供同樣的功能����,現(xiàn)在和將來(lái)都如此����。
4�、NGFW沒(méi)什么效果。
以上這些是觀察趨勢(shì)�����、尤其是涉及云的趨勢(shì)后得出的結(jié)論����。
消失的邊界
現(xiàn)代企業(yè)組織充其量是脆弱的網(wǎng)絡(luò)邊界。隨著公司將更多的數(shù)據(jù)和工作負(fù)載轉(zhuǎn)移到云和SaaS提供商���,“邊界”因此擴(kuò)展到那些提供商�����。加上日益壯大的遠(yuǎn)程辦公者群體�,以前存在的任何軟邊界都變得完全很短暫�,稍縱即逝。沒(méi)有清晰的邊界�����,每一臺(tái)筆記本電腦、電話和物聯(lián)網(wǎng)設(shè)備都是邊界�。出于所有同樣的原因,傳統(tǒng)的核心數(shù)據(jù)中心也在消失���。
這正是推動(dòng)Zscaler等云端點(diǎn)公司發(fā)展的因素�。幾年前的RSA展會(huì)上�,Zscaler所設(shè)的攤位很有意思,你可以拿一把大錘砸Palo Altos和CheckPoints之類的NGFW硬件��。我得承認(rèn)���,我砸過(guò)好幾臺(tái)思科ASA�。
當(dāng)時(shí)�,我認(rèn)為這只是營(yíng)銷噱頭而已。然而Zscaler隨后迎來(lái)了Howard Beale時(shí)刻:當(dāng)你的員工�、數(shù)據(jù)和系統(tǒng)分布在云端、家里和咖啡店時(shí)�,硬件已毫無(wú)意義。
Zscaler代表由塊頭龐大的網(wǎng)絡(luò)設(shè)備向云提供商轉(zhuǎn)變���,云提供商在云端聚集了連接和數(shù)據(jù),并提供了你所需要的所有安全掃描、過(guò)濾和保護(hù)����。你在云端或SaaS提供商處有關(guān)鍵的業(yè)務(wù)系統(tǒng)時(shí),購(gòu)買的那只龐大Palo Alto或Checkpoint設(shè)備對(duì)云端或SaaS提供商的安全而言毫無(wú)意義�。本地NGFW淪為了辦公室中一個(gè)基本的連接設(shè)備。
云原生
你將數(shù)據(jù)和工作負(fù)載移到云端后�,網(wǎng)絡(luò)的整個(gè)概念隨之發(fā)生變化。AWS和Azure之類的云提供商提供的是軟件定義網(wǎng)絡(luò)�。所有流量和連接進(jìn)行了虛擬化和抽象化處理,與實(shí)際的電線和路由器分離開(kāi)來(lái)�。這在根本就沒(méi)有網(wǎng)絡(luò)的SaaS提供商當(dāng)中體現(xiàn)得尤為明顯。
此外����,基于軟件的網(wǎng)絡(luò)沒(méi)有傳統(tǒng)網(wǎng)絡(luò)的限制。傳統(tǒng)的“三層”網(wǎng)絡(luò)聚集并集中了訪問(wèn)�,因?yàn)檫@種結(jié)構(gòu)很高效,但它有個(gè)缺點(diǎn):所有流量必須返回中央路由和NGFW進(jìn)行訪問(wèn)���。
在云端���,這毫無(wú)必要。流量直接通到它要去的地方�。比如說(shuō)����,如果你有應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器�����,無(wú)需通過(guò)路由器來(lái)連接它們�,而是可以讓它們對(duì)等互聯(lián)(peering)。由于你不控制底層物理連接��,因此沒(méi)有理由返回中心點(diǎn)����。
對(duì)等互聯(lián)提供了極其精細(xì)而動(dòng)態(tài)的訪問(wèn)控制。你不僅可以控制網(wǎng)絡(luò)��、應(yīng)用程序和用戶層訪問(wèn)��,還可以基于特定條件或觸發(fā)器�,自動(dòng)授予和吊銷該訪問(wèn)權(quán)。使用云管理解決方案����,你可以不斷審核那些控制機(jī)制,倘若任何訪問(wèn)違反公司政策���,即可吊銷����。傳統(tǒng)的硬件網(wǎng)絡(luò)幾乎不可能有這種級(jí)別的控制����。
此外,如果使用原生云服務(wù)——比如AWS的身份和訪問(wèn)管理(IAM)或Azure的托管Active Directory���,沒(méi)有實(shí)際的服務(wù)器要連接�����。相反�,你可以將VPC或主機(jī)與服務(wù)本身實(shí)行對(duì)等互聯(lián)����。
對(duì)等互聯(lián)簡(jiǎn)化了網(wǎng)絡(luò),又沒(méi)有減少任何訪問(wèn)控制�����。從某種意義上說(shuō)���,你根本不需要聯(lián)網(wǎng)�。
雙擊查看原圖
將NGFW放在云托管的系統(tǒng)和原生服務(wù)之間很笨拙,在一些情況下甚至是不可能的���。雖然所有NGFW制造商都提供云版本的產(chǎn)品�,但大多數(shù)情況下與VPN連接器無(wú)異��。它們提供的任何安全功能很容易被其他功能取代���。
因此�����,正由于云端沒(méi)有NGFW���,基于主機(jī)的安全解決方案隨之大行其道。趨勢(shì)科技等公司多年前就明白了這點(diǎn)�,開(kāi)始發(fā)布云版本的產(chǎn)品,基于主機(jī)的平臺(tái)上的這些產(chǎn)品提供所有NGFW功能��。此外����,當(dāng)你自動(dòng)部署和配置這些端點(diǎn)時(shí)�,可以為環(huán)境中的每個(gè)主機(jī)統(tǒng)一執(zhí)行安全機(jī)制�。
談?wù)凣uard Duty AWS和Azure等云平臺(tái)提供(或即將提供)NGFW功能。無(wú)需大型設(shè)備(或虛擬映像)����。
AWS發(fā)布Guard Duty后�,AWS的發(fā)展方向顯而易見(jiàn)。AWS不僅想掌控你的計(jì)算工作負(fù)載����,還想掌控所有基礎(chǔ)架構(gòu)。
Guard Duty是一個(gè)原生AWS應(yīng)用程序�����,提供入侵檢測(cè)監(jiān)控功能����,而傳統(tǒng)的入侵檢測(cè)/預(yù)防系統(tǒng)(IDS/IPS)幾乎不可能將這種功能部署到云網(wǎng)絡(luò)中,因?yàn)槟憧床坏酵暾木W(wǎng)絡(luò)數(shù)據(jù)包�。網(wǎng)絡(luò)抽象也意味著你無(wú)法嗅探流量。
在今后幾年����,AWS和Azure會(huì)以某種方式將NGFW的所有功能作為原生產(chǎn)品來(lái)提供�����。對(duì)于任何IaaS提供商來(lái)說(shuō)這是合理的舉措��。另外��,隨著原生NGFW功能得到日益廣泛的采用����,成本會(huì)急劇下降����。這將進(jìn)一步侵蝕傳統(tǒng)NGFW的價(jià)值。
重大失敗
NGFW奄奄一息的最后一個(gè)原因也許是最明顯的:NGFW沒(méi)什么效果���。每家聲稱遭遇重大泄密事件的企業(yè)組織都有NGFW����,而這些NGFW對(duì)于阻止泄密基本上起不到什么作用�。
公平地說(shuō),泄密的根源并不是NGFW技術(shù)����,而是一系列日積月累的架構(gòu)和組織問(wèn)題共同進(jìn)一步削弱了NGFW的價(jià)值�����。
這些問(wèn)題包括:
1��、有很多方法可以使用移動(dòng)網(wǎng)絡(luò)或物理設(shè)備繞過(guò)NGFW��。
2�����、要求訪問(wèn)不受限制的可信賴第三方常常繞過(guò)所有NGFW安全機(jī)制。
3�����、管理NGFW的人員無(wú)權(quán)執(zhí)行規(guī)則�,生怕“阻止合法流量”。
4�����、監(jiān)視和響應(yīng)NGFW警報(bào)的做法無(wú)效���,因?yàn)椋?/p>
警報(bào)管理工具(比如SIEM)管理起來(lái)復(fù)雜又費(fèi)時(shí)����;
缺少有才干的安全員工;
數(shù)量過(guò)多的警報(bào)��;
消極抵抗����、避免沖突的企業(yè)文化阻止報(bào)告泄密事件,因?yàn)檫@會(huì)引起審查���。
最后一點(diǎn)可能最具破壞性和普遍性��。許多大型企業(yè)組織打造的文化不能容忍正常的人為錯(cuò)誤���。這對(duì)于信息安全而言尤其具有破壞性。能力差的領(lǐng)導(dǎo)人對(duì)信息安全從業(yè)人員提出了完全不切實(shí)際的期望和約束�����。要求他們知道一切�,沒(méi)有遺漏任何環(huán)節(jié),如果發(fā)生不好的情況�����,就要受到嚴(yán)懲。在過(guò)去這十年�����,幾乎每一次泄密事件都揭示了這種文化的弊端�。
這造成了一種有害的文化:安全人員被賦予重大的責(zé)任,卻毫無(wú)實(shí)際行使這一責(zé)任的權(quán)力�。這也是為什么許多人堅(jiān)決不放手NGFW。操控大型NGFW是他們唯一擁有的權(quán)力����。
然而,公司不鼓勵(lì)他們報(bào)告任何攻擊事件�,因?yàn)樵愀獾念I(lǐng)導(dǎo)人(出于可笑的期望)會(huì)怪罪他們發(fā)出警報(bào)�����。這是許多NGFW供應(yīng)商助長(zhǎng)的一條強(qiáng)大的負(fù)反饋回路�,因?yàn)樗鼓切](méi)用的安全人員可以購(gòu)買尺寸更大、功能更強(qiáng)大的設(shè)備�。
這就是為什么我們需要NGFW死亡。死亡才會(huì)帶來(lái)變化��。
你可以從冰冷、死氣沉沉的機(jī)架撬走我的NGFW
雙擊查看原圖
現(xiàn)在你可能因認(rèn)同我對(duì)NGFW的看法而頗為沮喪�,或者怒氣沖沖,弄清楚我存在哪些人格缺陷�,以便好攻擊我。
我先自爆家丑:我易怒��、很胖�,經(jīng)常咒罵。我還把過(guò)多的錢砸在汽車上���,時(shí)常說(shuō)些冒犯他人的話����。
我確信你可以憑上面任何一條或全部而鄙視我��。
不過(guò)在你將Fortinet標(biāo)識(shí)從FortiBolts撕掉之前���,先冷靜一下�����。NGFW沒(méi)有很快死亡��。你在那家Palo Alto增值經(jīng)銷商(VAR)上花的所有錢不會(huì)立即浪費(fèi)掉���。這種死亡是慢慢的�����。NGFW不會(huì)完全死亡���,它會(huì)改變。
五到十年后��,NGFW將更像是一種云連接設(shè)備�。你已經(jīng)在Fortinet和Palo Alto(剛收購(gòu)了Evident.IO)那里看到了這方面的早期苗頭。它會(huì)繼續(xù)控制訪問(wèn)�����。但你會(huì)更像管理SaaS訂閱服務(wù)那樣管理它����。此外����,與AWS、Azure和Salesforce等云服務(wù)安全受控制地連接的功能也將直接集成到平臺(tái)中�����。
此外,AWS和Azure將擁有各自類似NGFW的服務(wù)�����,這意味著你可以完全拋棄本地NGFW�,使用廉價(jià)的路由器。這使得Zscaler之類的服務(wù)比龐大硬件設(shè)備更為明智�。
這里出現(xiàn)的一個(gè)更大動(dòng)向是,本地系統(tǒng)變得越來(lái)越無(wú)關(guān)緊要����。NGFW實(shí)際上是這個(gè)更大趨勢(shì)的一部分。隨著公司將越來(lái)越多的工作負(fù)載轉(zhuǎn)移到云端��,所有那些硬件設(shè)備都變得越來(lái)越無(wú)足輕重���。
2012年�,人們竭力將Exchange服務(wù)留在本地��。8年后��,擁有本地Exchange服務(wù)器這個(gè)想法很可笑��。6到10年后,擁有一個(gè)價(jià)值10萬(wàn)美元的核心NGFW這個(gè)想法似乎同樣很可笑�。此外,你的VAR奄奄一息�,不過(guò)那是另一個(gè)話題了。
為末路做準(zhǔn)備
如果你想為NGFW的消亡做準(zhǔn)備�����,答案完全在于你的Azure或AWS控制臺(tái)���。雖然下面不是你可以做準(zhǔn)備的完整清單����,但有助于邁出第一步�����。
重新關(guān)注端點(diǎn)安全��,尤其是在端點(diǎn)處提供NGFW功能的解決方案���。
如果你的員工隊(duì)伍很分散,那么應(yīng)關(guān)注Zscaler之類的公司��。
將那些工作負(fù)載轉(zhuǎn)移到云端,越早越好���。
云安全與本地安全不是一回事�。這個(gè)話題不在本文的討論范圍之內(nèi)���,不過(guò)就一句話����,你根本無(wú)法將你的所有本地設(shè)備直接搬到云端���、期望它們都能正常運(yùn)行����。
安全計(jì)劃的核心應(yīng)該是風(fēng)險(xiǎn)管理和個(gè)人發(fā)展�,而不是技術(shù)。
SIEM技術(shù)在云端更重要���。你需要數(shù)據(jù)來(lái)制定決策�。這也是另一個(gè)話題����。
如你所見(jiàn)��,一旦你打開(kāi)了通向后NGFW世界的大門�����,事情會(huì)發(fā)生重大變化�����。你的團(tuán)隊(duì)越關(guān)注云��,就會(huì)越適應(yīng)這種變化��。
