下一代防火墻到底是什么?云和復雜性又如何影響到它?
作者:星期二, 九月 11, 20180

傳統防火墻跟蹤記錄流量來源域名及其流向的端口。下一代防火墻則做的多的多——監視消息內容以防惡意軟件和數據滲漏,還能實時反應阻止威脅。最新的防火墻還加入了行為分析、應用安全、內容監視,零日惡意軟件檢測、對云和混合環境的支持,甚至終端防護,可以防止未授權訪問和數據滲漏,且未來還能做到更多。

簡直堪稱一攬子工程。其主要思想是:將所有東西都集中到一處,管理工作就會簡化。一些防火墻供應商和第三方提供商,已經開始通過提供基于意圖的安全來解決管理問題了——用戶可以為管理和配置設置協調一致的策略,還能設置合規相關的策略。

Gartner預測,到2020年,下一代防火墻將覆蓋幾乎所有互聯網終端。但絕大多數企業只會用到一兩個下一代功能。

下一代防火墻市場將如何改變

下一代防火墻面世已近十年,獨立安全研究及測評機構NSS實驗室報告顯示,超過80%的企業目前已部署有下一代防火墻。下一代防火墻堪稱公司企業頭號安全控制措施。

然而,NSS實驗室今年夏天的安全測試中,沒有任何一個下一代防火墻展現出對攻擊變種的完全適應力——雖然10個被測對象中有6個得分上了90。可提高的空間還很大。

NSS實驗室的下一代防火墻推薦

NSS實驗室最新防火墻安全對比測試結果出爐,下列供應商在下一代防火墻的安全有效性方面得分最高:

  • Barracuda Networks CloudGen Firewall F800.CCE v7.2.0
  • Forcepoint NGFW 2105 Appliance v6.3.3 build 19153 (更新包:1056)
  • Fortinet FortiGate 500E V5.6.3GA build 7858
  • Palo Alto Networks PA-5220 PAN-OS 8.1.1
  • SonicWall NSa 2650 SonicOS Enhanced 6.5.0.10-73n
  • Versa Networks FlexVNF 16.1R1-S6

市場研究公司 Markets & Markets 預測,下一代防火墻市場規模將從2017年的23.9億美元,增長到2022年的42.7億美元,復合年增長率達12.3%。原因是過去幾年中威脅態勢和企業邊界都發生了巨大變化。

Gartner的調查表明,典型的防火墻生命周期是3到5年。2011和2012年間,下一代防火墻有一波購買小高峰。于是,未來一年內,這批防火墻將迎來大批量替換潮——因為它們不再滿足當前網絡吞吐量和出站TLS通信解密的需求。今天的公司企業還更傾向于使用云或混合基礎設施,用戶能通過Web應用和移動設備隨時隨地接入。

下一代防火墻試圖適應云技術發展

目前為止,下一代防火墻供應商尚未能完全將其功能應用到云環境。這需要大量的工程攻關,而目前供應商們還不具備完美的云副本,無論是虛擬化的還是實體的。

不過,他們正利用云技術提供的其他功能,包括威脅情報數據實時共享。新出現的首例威脅相當難以阻斷。但只要給個一兩分鐘,憑借防火墻的云功能,在實時更新加持下,后面的第10例、15例、20例都能做到有效防護。

下一代防火墻能提供終端安全嗎?

下一代防火墻延有可能伸進終端安全空間嗎?如果能融合,企業管理起安全來就更容易了。但這種情況大概是不會發生的。

在可預見的未來,邊界防護和終端防護將依然是兩個完全不同的領域,但這兩種技術集能彼此互利。終端上感知的信息可以輔助防火墻更有效地工作

防火墻供應商 Check Point Software Technologies 預測,企業安全的下一場變革——將當前下一代防火墻與云、移動和終端防護結合到一起,將產生全新的一類安全工具,而不再是一個防火墻。

Check Point 的 Infinity Architecture 就是此思維下的產物,是新品類的產品,不是下一代防火墻。Check Point 認為,著眼整個基礎設施,將其作為一個統一的可擴展的系統,從各個不同拓撲加以觀察,是更為健康的方式。

單憑防火墻不足以確保整個企業的安全。防火墻將成為高級威脅解決方案中的一個層級,或者一個組件。

高級威脅解決方案,或者說高級威脅防護,還包括能自動評估威脅并拒之門外的專用威脅情報網關、安全DNS服務、微分隔,以及智能應用控制。

下一代防火墻管理及合規將愈趨復雜

防火墻安全策略管理及網絡風險分析解決方案提供商 FireMon 的防火墻現狀報告中稱,防火墻規則及策略的復雜度是企業安全人員最大的防火墻難題,策略合規和審計準備度位列第二難,防火墻規則優化次之。另外,絕大多數受訪公司維護有10個以上的防火墻,26%的公司報告稱自家環境中有超過100個防火墻。

怎樣打理防火墻規則庫并最小化風險?

1. 清除技術性錯誤

防火墻策略中的技術性錯誤指無效或不正確的規則,或者說不服務于業務需求的那些(比如:隱藏規則、影子規則、冗余規則和重合規則)。

2. 去掉未使用的訪問規則

規則庫中或許會存在一些兼容并提供(或阻止)正確訪問權限的規則,但這些規則就是沒有被用到。確定規則使用情況的最佳方法,是將活躍策略行為與長期網絡流量模式相關聯。

3. 精煉過于寬松的規則

定義不良的業務需求,結合上嚴格緊迫的截止期限,往往催生出超過業務所需的寬泛權限規則——比如包含“任意”字眼的那些規則。

4. 持續監視策略

持續監視你的策略,以避免再次搞亂你好不容易理清的防火墻規則,維持一個更好的安全及合規態勢。

公司企業為防火墻設立的任何規則及策略,通常會被鏡像到其環境中的其他安全產品里。普通網絡里會有80-90個終端解決方案在桌面層級、服務器層級和網絡層級保護企業的安全。

最新的防火墻迭代可以整合某些終端解決方案,某種程度上幫助對抗愈趨復雜的威脅態勢,但新的威脅層出不窮,企業環境也在不斷發展變化,進化不會終止。同時,一些新的風險領域,比如某些云環境或軟件即服務(SaaS)應用,甚至都不在安全團隊控制之下,而是其他部門在管理。

事實上,復雜性的問題正變得越來越嚴峻。隨著環境中復雜度的不斷增加,出錯的概率也在增加——人為錯誤、配置錯誤。因為復雜度趨于增長,基礎設施中的各種問題也在發酵、成熟。

通過意圖管理安全,也就是基于總體原則來創建具體防火墻規則和安全配置,應該能解決這一問題,但技術尚未走到這一步。幾乎沒有公司敢拍胸脯說“我的安全策略是安全實現的真實反映”。

在未來,公司企業將能夠定義其安全意圖,將會用策略計算引擎自動創建所需防火墻規則。安全控制或許在數據中心,或許在傳統防火墻,或許在云端虛擬防火墻、原生控制或容器中。但我們應關注自身安全意圖,關注如何從技術上自動化實施我們的安全策略,用上下文化的情報,無需人工干預。在業務速度和安全實施速度之間造成差距的傳統過程都應該被去除。

幸運的是,安全供應商正轉向允許信息在某中心位置交換和處理的開放API。所有主流下一代防火墻供應商都在提供該API結構。對FireMon之類集中式管理產品而言,這是很棒的消息。

防火墻供應商還在踏入策略及合規管理領域,不過通常都只關注管理自己的產品,而不是環境中其他供應商的產品。

比如說,Check Point Compliance Blade 產品就只能與 Check Point 的產品互動。供應商們并沒有放眼企業基礎設施中部署的所有產品。這一點似乎不會改變,因為對他們沒有實質上的觸動,他們也只是盡力做好自己能做的工作而已。

Gartner關于下一代防火墻的炒作曲線:

https://www.gartner.com/doc/3869071/nextgeneration-firewall-hype-obstacle-enterprises

NSS實驗室下一代防火墻測試報告:

https://www.nsslabs.com/company/news/press-releases/nss-labs-announces-2018-next-generation-firewall-group-test-results/

Market&Market市場報告:

https://www.marketsandmarkets.com/Market-Reports/next-generation-firewall-ngfw-market-32240698.html

企業戰略集團2018高級威脅年文章:

https://www.csoonline.com/article/3239331/security/2018-the-year-of-advanced-threat-prevention.html

相關閱讀

下一代防火墻 突破于威脅可視化

從下一代防火墻到下一代安全體系

從下一代防火墻到終端安全 看Palo Alto的進化

 

分享:

相關文章

寫一條評論

 

 

0條評論