基於雲的防火牆有兩種,雖然底層技術可能相同,但它們其實時兩種類型的產品:一種用於保護企業的網絡和用戶,另一種保護雲基礎設施和服務器。讓我們看看這兩者的區別。
這兩種防火牆我們分別稱為Vanila和Strawberry(筆者僅使用這兩個詞語用於區分二者,便與討論),這兩種都是檢查入站和出站數據包以阻止惡意流量的軟件。但它們有很大的不同,我們可以將它們視為兩個重要的網絡安全工具:兩者都旨在保護你、你的網絡以及你的真實和虛擬資產。
讓我們看看這兩者的概述:
Vanilla防火牆通常是獨立的產品或服務,旨在保護企業網絡及其用戶,這與內部部署防火牆設備類似,只不過它在雲計算中。服務提供商將其稱為軟件即服務(SaaS)防火牆、安全即服務(SECaaS)或者甚至防火牆即服務(FaaS)。
相比之下,Strawberry防火牆是基於雲的服務,它運行在虛擬數據中心中--使用平臺即服務(PaaS)或基礎設施即服務(IaaS)模型中的服務器。在這些情況下,防火牆應用運行在虛擬服務器,保護雲端應用程序之間的流量。行業有時候稱其為下一代防火牆,有時候是指在本地或在雲中運行的高級防火牆系統。
那麼,我們為什麼需要這些新的防火牆?為什麼不將1U防火牆設備加入到機架中,連接到路由器?理由很簡單:因為網絡邊界的定義已經改變。防火牆以前就像是安全設施入口處的保安。只有授權人員可進入該設施,包裹在進入和離開建築物時都會進行搜查。此外,你的用戶在設施內工作,數據中心和服務器都在內部。因此,保護網絡相對簡單。裡面的事物受到保護,外面不安全,唯一出入方式是通過防火牆。
而現在已經不是這樣,授權用戶可以再任何地方,用戶也可從任何地方訪問應用。這些應用可能位於內部數據中心、公共或私有IaaS/PaaS雲內企業控制的服務器中,第三方SaaS應用也可能位於雲中。只有相對較少的企業流量通過內部路由器,這也是為什麼我們需要基於雲的vanilla防火牆保護所有用戶以及基於雲的Strawberry防火牆擴展安全策略到IaaS/PaaS環境的原因。
防火牆即服務
雲端vanilla防火牆就像是傳統內部防火牆設備,只不過它們是互聯網服務提供商或防火牆服務專有SaaS提供商提供(即FaaS提供商)的服務。你可能會為這一服務支付固定費用,或者你可能基於某些因素按月支付費用,例如總體帶寬消耗以及可選服務(例如域過濾)。
配置FaaS非常簡單。如果這是你的電信運營商提供的附加服務,你可能不需要更改設置或者做任何其他操作。系統管理員會得到儀表板或管理控制檯來顯示活動,可能讓他們選擇查看的內容。
如果FaaS是由第三方提供商提供,你可能需要更改路由器設置來連接到該提供商。在某種意義上,它將是你的互聯網提供商。
FaaS的優勢是你可擴展保護到遠程員工或者正在旅行的員工。這些用戶將通過安全通道連接到雲防火牆提供商,可能是虛擬專用網絡(VPN)。這樣的話,他們可訪問具有企業級防火牆保護的互聯網,並可通過該防火牆訪問基於雲的服務,並連接回企業。總之,這可為遠程及旅行的員工提供與內部員工相同的保護。
遠程員工支持是FaaS的一個主要優勢。另一個優勢是,它可將成本從資本支出轉移到運營支出,這對於很多企業來說都非常重要。
對於FaaS,你只需要支付你使用部分的費用,你不必購買超出需求的防火牆設備容量以便為最繁忙的時間段做準備。這樣的話,你就有過多的內部防火牆容量,特別是當你已經開始遷移服務到雲端時。通過關閉這些設備,你基本上將安全外圍都外包到更有效的服務。
還有一個好處是,當出現新興零日威脅或者補丁時,FaaS提供商可快速做出變更,你不需要下載和安裝更新。當然,潛在缺點是你完全依靠FaaS提供商來做到這一點。然而,由於大多數服務提供商都有全職安全團隊並訂閱所有威脅情報服務,可全天候響應,筆者認為他們可比大部分中小企業甚至大型企業更好地保持防火牆更新以及配置正確。
另一個優勢是抵禦分佈式拒絕服務(DDoS)攻擊。“在過去,你可能會在互聯網末端抵禦DDoS,但現實是DDoS攻擊可能會淹沒你,無論你有多少帶寬,”惠普企業數字解決方案和傳輸團隊首席技術官Simon Leech稱,“選擇雲端則不一樣,因為雲計算提供商有足夠的帶寬來擊退千兆或者TB級的攻擊。”
換句話說,任何攻擊都將由帶寬豐富的FaaS服務器定向和阻止,而不會影響到你自己的互聯網連接。最終結果是:FaaS提供商應該可為你提供一個乾淨的互聯網連接。
很多供應商都提供FaaS選項,例如AT&T公司的Managed Firewall Security以及Wedge Networks公司的Cloud Network Defense。筆者個人建議是:大部分中小企業會發現來自電信運營商或者ISP的FaaS產品更容易使用且經濟實惠。這些服務提供商可能還與品牌防火牆提供商有合作協議。
針對IaaS/PaaS的防火牆
在雲中的虛擬防火牆用於保護你的雲基礎設施和服務,而FaaS與之完全不同,FaaS旨在保護你的網絡邊界以及遠程或履行最終用戶。
在IaaS/PaaS世界,你從服務提供商租用基礎設施,你可以在其上創建和管理自己的虛擬服務器。這些服務器可用於存儲、託管現成或本地應用、兩層或三層網絡服務--這完全取決於你。在某些情況下,這些基於雲的應用完全獨立。在其他情況,它們可能會鏈接(通過VPN)到數據中心內其他服務器和應用。這裡重要的是,這些虛擬服務器完全由你和你的團隊管理,這可為你提供最大的靈活性,以及100%的責任。
在這種情況下,則必須使用虛擬防火牆。它們可保護你的雲服務器免受來自外部的惡意流量或者攻擊,它們還可保護你的雲服務器免受其他受攻擊服務器的影響,例如在內部攻擊或者成功外部攻擊的情況下。
而云防火牆是一個應用,你可從雲主機或者你喜歡的防火牆供應商獲取雲防火牆。這些下一代防火牆或者虛擬防火牆以不同方式提供。你可能會看到它們是完全配置的虛擬機,讓你可用於雲基礎設施的前端;或者,它們可能作為二進制文件提供,讓你可安裝和運行在現有虛擬機中,例如web服務器或者事務數據庫服務器。
幾乎每個知名防火牆提供商都提供IaaS/PaaS防火牆產品和許可證選項。例如:來自Palo Alto NetworksVM-Series虛擬化下一代防火牆和Zscaler的雲計算防火牆。
對於虛擬防火牆,在定義如何配置以及它們所保護的內容方面,你幾乎有著無限的選擇。你可創建一個防火牆僅保護特定虛擬服務器組或者單臺服務器。這裡的術語時微分段。與物理數據中心內機架式防火牆設備不同,你可在幾秒內改變防火牆配置,只需要點擊鼠標或者運行腳本即可。而不需要移動電纜!該防火牆還可通過規則進行分段,基於特定應用或用戶角色來保護,而不只是虛擬服務器。
微分段的優勢是讓你可將安全策略綁定到單個虛擬機。“在軟件定義數據中心或者混合雲中,每次我配置新的虛擬機時,我都希望虛擬機在配置時有安全策略,”HPE的Leech稱,“這樣的話,當該虛擬機在雲計算網絡移動和遷移時,安全策略將跟隨它。此外,當虛擬機被卸載時,我希望該安全策略也消失。”
Vanilla還是Strawberry?
請記住,當你遷移服務器和應用到IaaS/PaaS的雲端時,你並沒有轉移安全責任。當然,雲服務提供商可能會承擔部分責任,但他們並不會負責保護你的服務器免受這些虛擬服務器操作系統或應用中的惡意軟件、攻擊、數據滲出或未修補漏洞。這是你的工作,雖然這一挑戰主要是保持軟件更新,同樣重要的是使用防火牆保護一切。
如果你使用內部部署防火牆保護網絡,並且遠程或旅行用戶不受企業級防火牆保護,則可以考慮FaaS。
如果你的IaaS/PaaS虛擬服務器僅受雲服務提供商的基本安全服務保護,你應該考慮安裝和管理自己的虛擬防火牆來保護你的服務。這是你的工作和責任。
閱讀更多 IT168企業級 的文章
