為何一個智能、理想的防火牆對業務的安全性與成功至關重要?
防火牆技術一度相當的簡潔、明瞭。通過預習對其設定安全策略,防火牆可以過濾進出流量,允許安全流量進入內部網絡,而把惡意流量阻擋在外。不過,由於時代的變化,安全技術和網絡犯罪手法都在進化。
隨著雲計算、SaaS應用、移動互聯網和物聯網設備的啟用,2020年的企業網絡將會連接得更緊密——不過也更容易受到攻擊。畢竟,將物聯網設備連入網絡會給黑客帶來更多的攻擊入口。事實上,已經有67%的公司經歷了物聯網安全問題。不難想象,這將會給幾乎所有公司帶來影響。
合規、隱私和數據安全問題已經不只是CISO與CIO的問題,這些對CEO與公司董事會同樣重要。鑑於所有公司都在面臨日益增長的網絡攻擊威脅,啟用擁有以下七種關鍵能力的下一代防火牆(NGFW)已然成為了一個必須要做的事情。
能力1:管理
對NGFW的探索起源於統一安全管理平臺。NGFW需要強大的安全管理能力與高效的功能來滿足現代企業的分佈式網絡——包括了雲、數據中心、移動設備、電腦以及物聯網設備。安全管理不只是安全策略以及設備設置,還需要兼顧使用的便利性、操作的效率、以及平臺的統一能力。其他關鍵能力包括滿足IT網絡的可擴展性、自動化工作流程、以及在整個安全架構中的策略一致性。
能力2:威脅防護
威脅防護的核心技術包括反釣魚、反病毒、反機器人。這些技術需求超過了傳統防火牆通過硬件集成IPS進行防護的方式。雲端的分析能力與威脅情報能提供更多的威脅防護能力,比如惡意軟件特徵的自動升級等。
能力3:應用檢查與控制
隨著規模的擴展,企業需要選擇擁有足夠強大的應用支持能力的防火牆去識別新型的、複雜的應用。防火牆逐漸擁有更廣、更深都的識別能力,同時更為智能,應對動態的變化。
能力4:基於身份的動態檢查與控制
傳統的防火牆規則只是基於了IP地址,但是由於動態地址、雲架構以及組策略的出現,這一方式需要升級。企業需要防火牆能夠支持更多的策略,包括第三方商店、公有云與私有云對象、包括Office 365和AWS地理位置信息在內的外部服務、以及物聯網為代表的新設備類型。防火牆還需要威脅情報和自動化來建立動態策略並嚴格執行。智能的自動化能力能夠通過降低手動設置帶來的人為錯誤,減少安全風險與運維成本。
能力5:混合雲支持
為了滿足越來越多的“雲優先”企業,防火牆需要能夠有對雲環境的自動化編排能力。這可以通過用基於動態工作負載與高效的消耗模型,提供可擴展的服務。
能力6:擁有高級安全功能的可擴展服務
NGFW需要隨著用戶需求的增加,有可擴展的能力。NGFW不能因為硬件性能產生侷限,從而導致組織和機構無法部署最新的威脅防護技術與算法。這類侷限會對雲環境產生極大的影響——就和傳統意義上使用硬件服務器一樣。超大網絡(hyperscale network)安全技術能夠啟用預部署的雲級別安全能力,並且隨著吞吐量和安全需求的改變而進行延展。
能力7:加密流量檢測
最近,谷歌研究發現,在由終端用戶的Chrome瀏覽器活動產生的流量中,超過90%的流量是加密流量。由於加密流量的增加以及網絡威脅變得越來高級並更具破壞性,防火牆需要有能力檢測加密流量並執行相關的控制策略與主動威脅防禦。
結語
許多組織都需要支持有多種安全策略的複雜安全架構。這種部署方式會導致過於繁雜的集成、錯誤配置、以及低效的運作。因此,在選擇下一代防火牆或者企業級防火牆的時候,需要全面考慮安全架構與安全運營。可以發現,NGFW不只是網絡流量策略的執行工具;它們是更為智能的安全網關,能對應用以及多個維度的威脅進行防禦。
關鍵詞:下一代防火牆;NGFW
閱讀更多 數世諮詢 的文章
