Don Meyer
思科安全產(chǎn)品營(yíng)銷總監(jiān)
歡迎閱讀防火墻未來(lái)展望系列博文,本篇是第 1 部分。
過(guò)去二十年來(lái),防火墻一直扮演著保障網(wǎng)絡(luò)連接安全性的重要角色。防火墻最初的設(shè)計(jì)主要圍繞著一個(gè)原則,那就是內(nèi)部流量和用戶是可信任的,而網(wǎng)絡(luò)外的流量與之相反。于是,人們通過(guò)部署防火墻在不同網(wǎng)絡(luò)之間搭建起信任邊界。這一網(wǎng)絡(luò)邊界搖身成為為企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)、用戶和設(shè)備提供防護(hù)的邏輯安全控制點(diǎn)。除此之外,所有網(wǎng)絡(luò)流量(無(wú)論是來(lái)自公司總部、數(shù)據(jù)中心還是遠(yuǎn)程工作人員)都要經(jīng)過(guò)這個(gè)單一控制點(diǎn),從而降低了信任邊界維護(hù)工作的難度,并有助于實(shí)施一致的控制措施。那時(shí),一切都在掌控之中。
之后,數(shù)字技術(shù)開(kāi)始迅猛發(fā)展
數(shù)字技術(shù)的發(fā)展,使我們的工作方式、數(shù)據(jù)使用方式、以及交流互動(dòng)方式發(fā)生了極大的轉(zhuǎn)變。而“云”的出現(xiàn)則使局面變得更加復(fù)雜:我們的許多關(guān)鍵業(yè)務(wù)應(yīng)用程序開(kāi)始從數(shù)據(jù)中心和本地網(wǎng)絡(luò)遷移到一些我們?cè)僖矡o(wú)法獨(dú)有或控制的地方。與此同時(shí),企業(yè)的分支機(jī)構(gòu)也開(kāi)始通過(guò)直連互聯(lián)網(wǎng)的方式來(lái)使用那些目前經(jīng)常被托管在數(shù)據(jù)中心之外的服務(wù)。此外,無(wú)論在辦公區(qū)域之內(nèi)還是之外,用戶們都能借助自己的個(gè)人設(shè)備,訪問(wèn)越來(lái)越豐富的網(wǎng)絡(luò)資源。
隨著網(wǎng)絡(luò)互聯(lián)程度的日益提升,單一邊界或控制點(diǎn)的概念早已不復(fù)存在。針對(duì)“邊界溶解”和防火墻存在必要性這兩個(gè)問(wèn)題,業(yè)內(nèi)人士也一直議論紛紛。而我的觀點(diǎn)很明確,那就是防火墻不僅比以往更加重要,而且現(xiàn)在,任何地方都需要部署防火墻,部署更多的防火墻 - 包括我們的本地網(wǎng)絡(luò)、分支機(jī)構(gòu)、網(wǎng)關(guān)、數(shù)據(jù)中心內(nèi)部、云端、終端、甚至深入到應(yīng)用程序工作負(fù)載的內(nèi)部。
由宏觀轉(zhuǎn)向微觀
現(xiàn)在,擺在我們面前的不再是一個(gè)單一的邊界,而是橫跨多個(gè)網(wǎng)絡(luò)、設(shè)備、用戶和數(shù)據(jù)的一系列“微觀邊界”。我們往往需要通過(guò)整合不同的終端技術(shù)來(lái)保障這些新興“邊界”的安全,而這需要大量的人工干預(yù)才能實(shí)現(xiàn)。再加上負(fù)責(zé)管理所有新增設(shè)備的專業(yè)人才嚴(yán)重短缺,所以我們面臨的挑戰(zhàn)更加嚴(yán)峻。因此,為了能夠維持策略的一致性和威脅洞察的統(tǒng)一性,企業(yè)紛紛開(kāi)始實(shí)施一些迥然不同的安全解決方案。來(lái)看看這樣做的結(jié)果是什么。不僅網(wǎng)絡(luò)本身和網(wǎng)絡(luò)安全變得越來(lái)越復(fù)雜,因配置錯(cuò)誤和不一致導(dǎo)致的數(shù)據(jù)泄露和破壞也時(shí)有發(fā)生。
盡管我們也在想方設(shè)法來(lái)緩解這個(gè)復(fù)雜的局面,但是惡意分子也在不斷通過(guò)更多威脅載體發(fā)動(dòng)更頻繁、更復(fù)雜的威脅攻擊。根據(jù)《思科網(wǎng)絡(luò)安全報(bào)告-2019 年度威脅報(bào)告》(??點(diǎn)擊查看報(bào)告),惡意攻擊者正通過(guò)一系列日益復(fù)雜的方法來(lái)入侵我們的網(wǎng)絡(luò);而入侵成功率的不斷提高也充分表明了現(xiàn)有技術(shù)手段在現(xiàn)代威脅面前幾近徒勞。
我們面臨的現(xiàn)狀…
然而最令人苦惱的地方在于,我們?cè)械目梢?jiàn)性和控制力蕩然無(wú)存。我們?cè)僖矡o(wú)法深入了解用戶和數(shù)據(jù)的去向以及業(yè)務(wù)所面臨的風(fēng)險(xiǎn)程度。難以及時(shí)判斷出誰(shuí)在跟誰(shuí)通信,難以及時(shí)發(fā)現(xiàn)我們是否已被入侵。除此之外,變革的節(jié)奏也隨著越來(lái)越多的企業(yè)紛紛踏上數(shù)字化轉(zhuǎn)型之路而不斷加快,反倒為意圖不軌的惡意攻擊者創(chuàng)造了絕佳的機(jī)會(huì)。而對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全的人員來(lái)說(shuō),這無(wú)疑帶來(lái)了一個(gè)棘手的問(wèn)題。要徹底解決這一問(wèn)題,到底該從哪里入手?
是時(shí)候反思防火墻的意義
防火墻的重要性并沒(méi)有減弱,事實(shí)上,它比以往任何時(shí)候都更重要,但我們需要從不同的角度來(lái)考慮它。我們必須超越形式因素和物理或虛擬設(shè)備,將防火墻作為一種功能來(lái)使用,不管是數(shù)據(jù)中心、云端、還是分支機(jī)構(gòu),防火墻的任務(wù)都是按需下發(fā)通用策略,實(shí)現(xiàn)威脅可視,開(kāi)展威脅分析,提供世界一流的安全控制措施 – 而這也是更快速、更準(zhǔn)確地預(yù)防、檢測(cè)和阻止攻擊的關(guān)鍵要素。
一直以來(lái),思科都在為實(shí)現(xiàn)這一愿景而努力,旨在為客戶搭建起適應(yīng)當(dāng)下、面向未來(lái)的最強(qiáng)勁安全防御機(jī)制。請(qǐng)繼續(xù)關(guān)注“防火墻未來(lái)展望”系列博文,了解更多相關(guān)資訊。
即將發(fā)布:
防火墻未來(lái)展望,第 2 部分:勿讓復(fù)雜性毀掉您的安全