第一款商業(yè)防火墻 DEC SEAL,于1992年發(fā)售。25年之后,防火墻依然是企業(yè)安全基礎(chǔ)設(shè)施中的核心構(gòu)件塊。誠(chéng)然,防火墻自面世起經(jīng)過(guò)了很多發(fā)展變化,每個(gè)進(jìn)化階段都加入了更復(fù)雜的安全功能。
我們從僅需要用戶(hù)編寫(xiě)出站策略的流量狀態(tài)防火墻,發(fā)展到支持更細(xì)粒度過(guò)濾和深度包檢測(cè)的下一代防火墻(NGFW),不僅網(wǎng)絡(luò)協(xié)議和端口,特定應(yīng)用流量也能識(shí)別。虛擬數(shù)據(jù)中心的采用,引領(lǐng)了虛擬防火墻的發(fā)展,增添了更多需要管理的設(shè)備。
而如今,隨著向私有和公共云的遷移,出現(xiàn)了更多可供選擇的安全控制:商業(yè)云防火墻、云提供商自有的控制,以及基于主機(jī)的防火墻。
翻譯問(wèn)題
目前的現(xiàn)實(shí)是,公司企業(yè)的環(huán)境通常都是混合的:數(shù)代防火墻、技術(shù)和廠商大雜燴。管理如此混雜的環(huán)境是一大挑戰(zhàn),因?yàn)槊恳淮阑饓Α⒚總€(gè)廠商的產(chǎn)品,用的是不同的語(yǔ)法和語(yǔ)義來(lái)創(chuàng)建安全策略。
就拿同時(shí)采用傳統(tǒng)防火墻和NGFW的企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)。該企業(yè)可能有一套全公司范圍內(nèi)應(yīng)用的社交媒體站點(diǎn)封鎖規(guī)則,但其市場(chǎng)部又需要能夠訪問(wèn)Facebook。Facebook流量流經(jīng)兩種類(lèi)型的防火墻——意味著新安全策略需要針對(duì)兩種防火墻都來(lái)一份。
對(duì)NGFW而言,添加這條新規(guī)則直觀又簡(jiǎn)單。Facebook可在防火墻規(guī)則集中被設(shè)置為預(yù)定義的‘允許’應(yīng)用,而對(duì)其他社交媒體站點(diǎn)的訪問(wèn)和來(lái)自其他部門(mén)的訪問(wèn)請(qǐng)求,則被禁止。然而,傳統(tǒng)防火墻理解不了“Facebook”這個(gè)詞:它只能理解Facebook使用的默認(rèn)“源地址”、“目的地址”、“服務(wù)”和“動(dòng)作”協(xié)議——http和https。
于是,實(shí)際上,在NGFW和傳統(tǒng)防火墻上做安全策略修改,涉及的是完全不同的過(guò)程和語(yǔ)言。配置設(shè)備的工程師必須既要清楚了解應(yīng)用間的映射(因?yàn)橐贜GFW中定義),還要熟知它們各自的服務(wù)、協(xié)議和端口(因?yàn)橐趥鹘y(tǒng)防火墻中定義),這樣規(guī)則和策略才能在兩種環(huán)境中都得到正確的設(shè)置。
編寫(xiě)這些策略或作出網(wǎng)絡(luò)變動(dòng)時(shí),各產(chǎn)品間出現(xiàn)的任何錯(cuò)誤或“翻譯差錯(cuò)”,都有可能導(dǎo)致非預(yù)期的應(yīng)用掉線或引入安全漏洞——要么源于重要流量被無(wú)心封堵,要么是其他流量被無(wú)意間允許了。典型企業(yè)網(wǎng)絡(luò)環(huán)境中都有數(shù)十乃至上百個(gè)防火墻,如此倍增下來(lái),無(wú)異于通往超級(jí)大混亂的絕佳秘方。
云端并發(fā)癥
當(dāng)這些過(guò)程擴(kuò)展到云部署,取決于所用的云安全控制,IT團(tuán)隊(duì)還會(huì)遭遇到額外的難題。某家云提供商可能會(huì)對(duì)特定服務(wù)器提供多個(gè)安全分組,而其他提供商可能只允許單一安全組——但又可能允許與VLAN中所有服務(wù)器相關(guān)聯(lián)的安全組。從較高層次看,你可以為基礎(chǔ)流量過(guò)濾指定一個(gè)最小公約數(shù),但一旦想要開(kāi)始做點(diǎn)更復(fù)雜的事——企業(yè)網(wǎng)絡(luò)所需的細(xì)粒度過(guò)濾,有些提供商可能就沒(méi)有能力提供這些功能了。
而且,每家提供商的語(yǔ)義模型都不同,你能用其產(chǎn)品過(guò)濾的東西,你的控制規(guī)則能應(yīng)用的地方,也各不相同;與公司已經(jīng)部署的內(nèi)部防火墻也有差異。
這各不相同的語(yǔ)言意味著,在異構(gòu)網(wǎng)絡(luò)環(huán)境中跨多個(gè)不同類(lèi)型防火墻部署安全策略,是一件極端復(fù)雜的事——意味著甚至做最簡(jiǎn)單的改變(比如為公司某部門(mén)啟用Facebook或YouTube訪問(wèn)),都充滿(mǎn)了風(fēng)險(xiǎn)。
打破語(yǔ)言障礙
那么,怎樣才能除去安全策略修改中的風(fēng)險(xiǎn),減少I(mǎi)T團(tuán)隊(duì)必須在多種防火墻語(yǔ)言中轉(zhuǎn)換的麻煩呢?無(wú)論企業(yè)內(nèi)部還是云端,各種安全控制用以構(gòu)建各自規(guī)則和策略的不同語(yǔ)法及詞匯間,能有辦法相互翻譯即可。這樣IT團(tuán)隊(duì)就可以讓安全資產(chǎn)理解各自業(yè)務(wù)的語(yǔ)言了。
為跨越語(yǔ)言障礙,以統(tǒng)一的控制臺(tái)和單一的命令集,有效優(yōu)化及管理安全,你需要具備以下4個(gè)關(guān)鍵功能的自動(dòng)化管理解決方案:
1. 可見(jiàn)性與控制
你要能虛擬化整個(gè)網(wǎng)絡(luò)上的全部防火墻、網(wǎng)關(guān)和安全控制,以單一面板盡在掌握。
2. 管理正常修改
你要能將這些安全產(chǎn)品的全面配置與管理作為日常運(yùn)營(yíng)的一部分。所以你選擇的解決方案必須要能翻譯所用各個(gè)安全控制的不同語(yǔ)法和邏輯,要能協(xié)調(diào)一致地自動(dòng)實(shí)現(xiàn)安全策略修改。該解決方案還應(yīng)記錄下所有修改動(dòng)作。
3. 管理較大改動(dòng)
重大網(wǎng)絡(luò)架構(gòu)改動(dòng)也對(duì)安全策略管理提出了較高要求。將數(shù)據(jù)中心或應(yīng)用遷移到云端,或者團(tuán)隊(duì)選擇了另一家供應(yīng)商時(shí),你得能在異構(gòu)環(huán)境中自動(dòng)調(diào)整你的安全策略。
4. 表現(xiàn)出合規(guī)
網(wǎng)絡(luò)安全是你必須向?qū)徲?jì)和監(jiān)管機(jī)構(gòu)展現(xiàn)出合規(guī)的重要領(lǐng)域。一套能自動(dòng)跟蹤所有過(guò)程和改動(dòng),主動(dòng)評(píng)估風(fēng)險(xiǎn),提供即時(shí)可用審計(jì)報(bào)告的解決方案,有助于提升審計(jì)準(zhǔn)備度,維持持續(xù)的合規(guī)狀態(tài)。
通用語(yǔ)
一套正確的解決方案,可使企業(yè)確保自身全部防火墻資產(chǎn)理解并響應(yīng)常見(jiàn)的安全要求,無(wú)論這些防火墻被部署在哪里。安全策略也能連續(xù)一致地應(yīng)用,無(wú)需耗時(shí)費(fèi)力還易出錯(cuò)的人工過(guò)程,并能保證網(wǎng)絡(luò)流量能在企業(yè)內(nèi)部網(wǎng)絡(luò)和私營(yíng)或公共云環(huán)境中安全流通。
畢竟,企業(yè)的安全和合規(guī),是你絕對(duì)不能在翻譯中迷失掉的兩件事。