軟件防火墻是一種軟件形式的防火墻,而不是物理設(shè)備,可以部署在服務(wù)器或虛擬機(jī)上以保護(hù)云環(huán)境。*注意:術(shù)語“軟件防火墻”不應(yīng)與術(shù)語“防火墻軟件”混淆,后者描述運(yùn)行下一代防火墻 (NGFW) 的操作系統(tǒng)。
軟件防火墻旨在保護(hù)難以或不可能部署物理防火墻的環(huán)境中的數(shù)據(jù)、工作負(fù)載和應(yīng)用程序,包括:
- 軟件定義網(wǎng)絡(luò) (SDN)
- 管理程序
- 公共云環(huán)境
- 虛擬化數(shù)據(jù)中心
- 分支機(jī)構(gòu)
- 容器環(huán)境
- 混合和多云環(huán)境
軟件防火墻如何工作
軟件防火墻體現(xiàn)了與硬件防火墻(也稱為下一代防火墻或 NGFW)相同的防火墻技術(shù)。軟件防火墻提供多種部署選項(xiàng),以滿足混合/多云環(huán)境和現(xiàn)代云應(yīng)用程序的需求。它們可以部署到任何虛擬化網(wǎng)絡(luò)或云環(huán)境中。
軟件防火墻與硬件防火墻
硬件和軟件防火墻之間最重要的區(qū)別是外形因素,但還有其他幾個(gè)值得注意的地方。軟件和硬件防火墻在網(wǎng)絡(luò)安全中都起著至關(guān)重要的作用。因此,軟件防火墻并不比硬件防火墻好,反之亦然。相反,每種都適用于不同的情況。
| 參數(shù) | 軟件防火墻 | 硬件防火墻 |
|---|---|---|
| 外形尺寸 |
|
|
| 部署選項(xiàng) |
|
|
| 復(fù)雜 |
|
|
軟件防火墻的類型
軟件防火墻通常屬于以下三類之一:
- 虛擬防火墻
- 容器防火墻
- 托管服務(wù)防火墻
每種類型都針對(duì)不同的環(huán)境和目的提供特定的功能。但是,每個(gè)軟件防火墻都會(huì)監(jiān)視和保護(hù)東西向、傳入和傳出的網(wǎng)絡(luò)流量。軟件防火墻阻止可疑活動(dòng)并防止?jié)B漏。
虛擬防火墻(也稱為云防火墻或虛擬化 NGFW)
虛擬防火墻保護(hù)一系列環(huán)境,包括:
- 混合云
- 個(gè)人私有云和公共云
- 虛擬化分支機(jī)構(gòu)
- 5G部署
- 3 個(gè)虛擬防火墻用例
虛擬防火墻可以檢查和控制公共云環(huán)境中的南北邊界流量,并在數(shù)據(jù)中心和分支機(jī)構(gòu)內(nèi)分割東西向流量。虛擬防火墻通過微分段提供高級(jí)威脅預(yù)防措施。
在公共云中,虛擬防火墻為云服務(wù)提供商 (CSP) 提供的原生保護(hù)措施增加了保護(hù)。它們還保護(hù)與云應(yīng)用程序的關(guān)鍵網(wǎng)絡(luò)連接。在這些情況下,基于云的防火墻通常充當(dāng)來賓虛擬機(jī)。有些可以提供跨多個(gè) CSP 部署的可見性。
高端虛擬防火墻可以提供以下好處:
- 支持組織履行公共云用戶安全義務(wù)
- 確保符合監(jiān)管標(biāo)準(zhǔn)
- 增強(qiáng)每個(gè) CSP 獨(dú)有的內(nèi)置安全功能
容器防火墻
容器防火墻的行為類似于虛擬防火墻,但專為 Kubernetes 環(huán)境構(gòu)建。容器防火墻通過將安全性深度集成到 Kubernetes 編排中,幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)保護(hù)開發(fā)人員。這一點(diǎn)很重要,因?yàn)榍度朐?Kubernetes 環(huán)境中的容器工作負(fù)載可能難以使用傳統(tǒng)防火墻進(jìn)行保護(hù)。
托管服務(wù)防火墻
軟件防火墻也可作為托管服務(wù)提供,類似于許多其他軟件即服務(wù) (SaaS) 產(chǎn)品。一些托管服務(wù)防火墻產(chǎn)品提供了一種靈活的方式來部署應(yīng)用程序級(jí)(第 7 層)安全性,而無需管理監(jiān)督。作為托管服務(wù),其中一些防火墻還可以快速擴(kuò)展和縮減。
需要軟件防火墻的網(wǎng)絡(luò)安全挑戰(zhàn)
在虛擬化、去中心化環(huán)境的世界中,出現(xiàn)了許多網(wǎng)絡(luò)安全挑戰(zhàn),這些挑戰(zhàn)無法通過應(yīng)用于傳統(tǒng)數(shù)據(jù)中心的解決方案來解決。
消失的安全邊界
將網(wǎng)絡(luò)內(nèi)部和外部分開的傳統(tǒng)安全邊界的概念已經(jīng)受到挑戰(zhàn)一段時(shí)間了。隨著混合云/多云戰(zhàn)略的激增,當(dāng)今的現(xiàn)代架構(gòu)使得定義邊界變得更加困難。此外,大部分架構(gòu)由服務(wù)提供商運(yùn)行的云組成。這導(dǎo)致信息在網(wǎng)絡(luò)和互聯(lián)網(wǎng)上不斷移動(dòng)。
日益危險(xiǎn)的威脅形勢(shì)
40% 的企業(yè)已經(jīng)遭受過至少一次基于云的數(shù)據(jù)泄露,考慮到云時(shí)代的持續(xù)時(shí)間很短,這一比例非常可觀。這些成功攻擊的受害者不僅僅是云新手,還有在網(wǎng)絡(luò)安全方面擁有大量投資和專業(yè)知識(shí)的老牌企業(yè)。
云和網(wǎng)絡(luò)團(tuán)隊(duì)之間相互矛盾的安全觀點(diǎn)
從應(yīng)用程序開發(fā)開始,轉(zhuǎn)向云優(yōu)先戰(zhàn)略對(duì)安全性具有深遠(yuǎn)影響。安全性并不總是云開發(fā)人員的首要考慮因素。他們的任務(wù)是盡快開發(fā)和發(fā)布。事實(shí)上,14% 的云開發(fā)人員表示應(yīng)用程序安全是重中之重,而三分之二的人通常會(huì)在他們的代碼中留下已知的漏洞和漏洞。此外,開發(fā)團(tuán)隊(duì)通常會(huì)認(rèn)為云服務(wù)提供商提供的本機(jī)安全性“足夠好”。
網(wǎng)絡(luò)安全通常出現(xiàn)在開發(fā)生命周期的后期,限制了可用選項(xiàng)的范圍。此外,當(dāng)網(wǎng)絡(luò)安全團(tuán)隊(duì)推薦諸如 NGFW 之類的安全解決方案時(shí),他們有責(zé)任證明他們的建議不會(huì)減慢業(yè)務(wù)速度或延遲實(shí)現(xiàn)價(jià)值的時(shí)間。
云原生在混合/多云架構(gòu)中引入網(wǎng)絡(luò)安全問題
開發(fā)方法的一個(gè)特別具有破壞性的變化是使用特定于供應(yīng)商的編排服務(wù),例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用這些工具,開發(fā)人員只需上傳應(yīng)用程序代碼,編排服務(wù)就會(huì)自動(dòng)處理部署。雖然這種自動(dòng)化水平極大地簡(jiǎn)化了開發(fā)人員的工作,但它也加劇了混合/多云架構(gòu)中的網(wǎng)絡(luò)安全問題。
更大的攻擊面
數(shù)據(jù)中心正在演變?yōu)樗接性疲渲斜镜貞?yīng)用程序托管在虛擬機(jī)上,而不是直接托管在物理服務(wù)器上。其他應(yīng)用程序在虛擬化環(huán)境中的公共云上運(yùn)行,通常使用容器和 Kubernetes 編排。在此模型中,互連主導(dǎo)架構(gòu),使攻擊面更大且更難以定義。
混合/多云環(huán)境往往會(huì)帶來合規(guī)性挑戰(zhàn)
責(zé)任共擔(dān)模式
責(zé)任共擔(dān)模型只是混合/多云架構(gòu)的一個(gè)方面,它可能難以實(shí)現(xiàn)合規(guī)性。
服務(wù)提供商實(shí)施一些必要的控制,因此必須提供可以納入審計(jì)的證據(jù)。幸運(yùn)的是,客戶通常可以從 CSP“繼承”控制權(quán)。如果文檔到位,這會(huì)簡(jiǎn)化合規(guī)性。
CSP 不監(jiān)督的項(xiàng)目,例如應(yīng)用程序,從審計(jì)的角度來看是用戶的責(zé)任。
地理差異
另一個(gè)合規(guī)性挑戰(zhàn)是混合/多云架構(gòu)通常跨越多個(gè)地區(qū)和司法管轄區(qū)的方式。這可能會(huì)引起諸如數(shù)據(jù)局部性和數(shù)據(jù)保護(hù)法規(guī)之類的問題。
軟件防火墻的好處
保護(hù)混合/多云架構(gòu)帶來了傳統(tǒng)安全解決方案無法克服的挑戰(zhàn)。物理防火墻是許多網(wǎng)絡(luò)應(yīng)用程序的關(guān)鍵安全工具。然而,當(dāng)涉及到現(xiàn)代混合/多云基礎(chǔ)設(shè)施和云原生開發(fā)方法時(shí),它并不總是唯一的選擇。
全面保護(hù)
入境保護(hù)
眾所周知,混合/多云環(huán)境的邊界沒有明確定義。軟件防火墻可以更輕松地定義邊界和所需的執(zhí)行點(diǎn)。
例如:用戶可以對(duì)數(shù)據(jù)庫進(jìn)行微分段并建立一個(gè)策略,只允許特定應(yīng)用程序的后端與其通信。這可以防止來自外部世界的入站威脅。旨在滲透應(yīng)用程序、竊取敏感數(shù)據(jù)或加密數(shù)據(jù)的威脅將被阻止。
出境保護(hù)
今天的現(xiàn)代應(yīng)用程序通常會(huì)訪問第三方代碼或開源代碼。這需要聯(lián)系 GitHub 等存儲(chǔ)庫以獲取第三方軟件更新。更新可能會(huì)被誤導(dǎo)到命令和控制服務(wù)器。
軟件防火墻提供出站保護(hù)。這確保只訪問必要的存儲(chǔ)庫。出站保護(hù)還確保只訪問經(jīng)過批準(zhǔn)的 URL,防止未經(jīng)授權(quán)訪問惡意或感染惡意軟件的 URL。
側(cè)面保護(hù)
在云中,應(yīng)用程序不會(huì)在孤島中運(yùn)行。相反,它們通過 API 和網(wǎng)絡(luò)通信進(jìn)行通信。應(yīng)用程序還與云內(nèi)外的用戶對(duì)話。這通常是為了確保用戶可以訪問和使用這些應(yīng)用程序。
如果保護(hù)面被滲透,軟件防火墻會(huì)阻止云內(nèi)的橫向移動(dòng)。這包括云到云或 VCP。因此,威脅在云中移動(dòng)或追蹤其他資源的能力極其有限。
相對(duì)容易設(shè)置和維護(hù)
軟件防火墻不需要前往物理位置、重新布置電纜或與 CLI 交互。事實(shí)上,部署、擴(kuò)展和策略更改通常是自動(dòng)化的。員工無需花費(fèi)數(shù)小時(shí)進(jìn)行日常手動(dòng)操作。
