搜索讓世界變的簡單

軟件防火墻與硬件防火墻

硬件和軟件防火墻之間最重要的區(qū)別是外形因素，但還有其他幾個值得注意的地方。軟件和硬件防火墻在網(wǎng)絡(luò)安全中都起著至關(guān)重要的作用。因此，軟件防火墻并不比硬件防火墻好，反之亦然。相反，每種都適用于不同的情況。

軟件防火墻的類型

軟件防火墻通常屬于以下三類之一：

• 虛擬防火墻
• 容器防火墻
• 托管服務(wù)防火墻

每種類型都針對不同的環(huán)境和目的提供特定的功能。但是，每個軟件防火墻都會監(jiān)視和保護(hù)東西向、傳入和傳出的網(wǎng)絡(luò)流量。軟件防火墻阻止可疑活動并防止?jié)B漏。

虛擬防火墻（也稱為云防火墻或虛擬化 NGFW）

虛擬防火墻保護(hù)一系列環(huán)境，包括：

• 混合云
• 個人私有云和公共云
• 虛擬化分支機(jī)構(gòu)
• 5G部署
• 3 個虛擬防火墻用例

虛擬防火墻可以檢查和控制公共云環(huán)境中的南北邊界流量，并在數(shù)據(jù)中心和分支機(jī)構(gòu)內(nèi)分割東西向流量。虛擬防火墻通過微分段提供高級威脅預(yù)防措施。

在公共云中，虛擬防火墻為云服務(wù)提供商 (CSP) 提供的原生保護(hù)措施增加了保護(hù)。它們還保護(hù)與云應(yīng)用程序的關(guān)鍵網(wǎng)絡(luò)連接。在這些情況下，基于云的防火墻通常充當(dāng)來賓虛擬機(jī)。有些可以提供跨多個 CSP 部署的可見性。

高端虛擬防火墻可以提供以下好處：

• 支持組織履行公共云用戶安全義務(wù)
• 確保符合監(jiān)管標(biāo)準(zhǔn)
• 增強(qiáng)每個 CSP 獨有的內(nèi)置安全功能

容器防火墻

容器防火墻的行為類似于虛擬防火墻，但專為 Kubernetes 環(huán)境構(gòu)建。容器防火墻通過將安全性深度集成到 Kubernetes 編排中，幫助網(wǎng)絡(luò)安全團(tuán)隊保護(hù)開發(fā)人員。這一點很重要，因為嵌入在 Kubernetes 環(huán)境中的容器工作負(fù)載可能難以使用傳統(tǒng)防火墻進(jìn)行保護(hù)。

托管服務(wù)防火墻

軟件防火墻也可作為托管服務(wù)提供，類似于許多其他軟件即服務(wù) (SaaS) 產(chǎn)品。一些托管服務(wù)防火墻產(chǎn)品提供了一種靈活的方式來部署應(yīng)用程序級（第 7 層）安全性，而無需管理監(jiān)督。作為托管服務(wù)，其中一些防火墻還可以快速擴(kuò)展和縮減。

需要軟件防火墻的網(wǎng)絡(luò)安全挑戰(zhàn)

在虛擬化、去中心化環(huán)境的世界中，出現(xiàn)了許多網(wǎng)絡(luò)安全挑戰(zhàn)，這些挑戰(zhàn)無法通過應(yīng)用于傳統(tǒng)數(shù)據(jù)中心的解決方案來解決。

消失的安全邊界

將網(wǎng)絡(luò)內(nèi)部和外部分開的傳統(tǒng)安全邊界的概念已經(jīng)受到挑戰(zhàn)一段時間了。隨著混合云/多云戰(zhàn)略的激增，當(dāng)今的現(xiàn)代架構(gòu)使得定義邊界變得更加困難。此外，大部分架構(gòu)由服務(wù)提供商運行的云組成。這導(dǎo)致信息在網(wǎng)絡(luò)和互聯(lián)網(wǎng)上不斷移動。

日益危險的威脅形勢

40% 的企業(yè)已經(jīng)遭受過至少一次基于云的數(shù)據(jù)泄露，考慮到云時代的持續(xù)時間很短，這一比例非常可觀。這些成功攻擊的受害者不僅僅是云新手，還有在網(wǎng)絡(luò)安全方面擁有大量投資和專業(yè)知識的老牌企業(yè)。

云和網(wǎng)絡(luò)團(tuán)隊之間相互矛盾的安全觀點

從應(yīng)用程序開發(fā)開始，轉(zhuǎn)向云優(yōu)先戰(zhàn)略對安全性具有深遠(yuǎn)影響。安全性并不總是云開發(fā)人員的首要考慮因素。他們的任務(wù)是盡快開發(fā)和發(fā)布。事實上，14% 的云開發(fā)人員表示應(yīng)用程序安全是重中之重，而三分之二的人通常會在他們的代碼中留下已知的漏洞和漏洞。此外，開發(fā)團(tuán)隊通常會認(rèn)為云服務(wù)提供商提供的本機(jī)安全性“足夠好”。

網(wǎng)絡(luò)安全通常出現(xiàn)在開發(fā)生命周期的后期，限制了可用選項的范圍。此外，當(dāng)網(wǎng)絡(luò)安全團(tuán)隊推薦諸如 NGFW 之類的安全解決方案時，他們有責(zé)任證明他們的建議不會減慢業(yè)務(wù)速度或延遲實現(xiàn)價值的時間。

云原生在混合/多云架構(gòu)中引入網(wǎng)絡(luò)安全問題

開發(fā)方法的一個特別具有破壞性的變化是使用特定于供應(yīng)商的編排服務(wù)，例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用這些工具，開發(fā)人員只需上傳應(yīng)用程序代碼，編排服務(wù)就會自動處理部署。雖然這種自動化水平極大地簡化了開發(fā)人員的工作，但它也加劇了混合/多云架構(gòu)中的網(wǎng)絡(luò)安全問題。

更大的攻擊面

數(shù)據(jù)中心正在演變?yōu)樗接性?，其中本地?yīng)用程序托管在虛擬機(jī)上，而不是直接托管在物理服務(wù)器上。其他應(yīng)用程序在虛擬化環(huán)境中的公共云上運行，通常使用容器和 Kubernetes 編排。在此模型中，互連主導(dǎo)架構(gòu)，使攻擊面更大且更難以定義。

混合/多云環(huán)境往往會帶來合規(guī)性挑戰(zhàn)

責(zé)任共擔(dān)模式

責(zé)任共擔(dān)模型只是混合/多云架構(gòu)的一個方面，它可能難以實現(xiàn)合規(guī)性。

服務(wù)提供商實施一些必要的控制，因此必須提供可以納入審計的證據(jù)。幸運的是，客戶通?？梢詮?CSP“繼承”控制權(quán)。如果文檔到位，這會簡化合規(guī)性。

CSP 不監(jiān)督的項目，例如應(yīng)用程序，從審計的角度來看是用戶的責(zé)任。

地理差異

另一個合規(guī)性挑戰(zhàn)是混合/多云架構(gòu)通常跨越多個地區(qū)和司法管轄區(qū)的方式。這可能會引起諸如數(shù)據(jù)局部性和數(shù)據(jù)保護(hù)法規(guī)之類的問題。

軟件防火墻的好處

保護(hù)混合/多云架構(gòu)帶來了傳統(tǒng)安全解決方案無法克服的挑戰(zhàn)。物理防火墻是許多網(wǎng)絡(luò)應(yīng)用程序的關(guān)鍵安全工具。然而，當(dāng)涉及到現(xiàn)代混合/多云基礎(chǔ)設(shè)施和云原生開發(fā)方法時，它并不總是唯一的選擇。

全面保護(hù)

入境保護(hù)

眾所周知，混合/多云環(huán)境的邊界沒有明確定義。軟件防火墻可以更輕松地定義邊界和所需的執(zhí)行點。

例如：用戶可以對數(shù)據(jù)庫進(jìn)行微分段并建立一個策略，只允許特定應(yīng)用程序的后端與其通信。這可以防止來自外部世界的入站威脅。旨在滲透應(yīng)用程序、竊取敏感數(shù)據(jù)或加密數(shù)據(jù)的威脅將被阻止。

出境保護(hù)

今天的現(xiàn)代應(yīng)用程序通常會訪問第三方代碼或開源代碼。這需要聯(lián)系 GitHub 等存儲庫以獲取第三方軟件更新。更新可能會被誤導(dǎo)到命令和控制服務(wù)器。

軟件防火墻提供出站保護(hù)。這確保只訪問必要的存儲庫。出站保護(hù)還確保只訪問經(jīng)過批準(zhǔn)的 URL，防止未經(jīng)授權(quán)訪問惡意或感染惡意軟件的 URL。

側(cè)面保護(hù)

在云中，應(yīng)用程序不會在孤島中運行。相反，它們通過 API 和網(wǎng)絡(luò)通信進(jìn)行通信。應(yīng)用程序還與云內(nèi)外的用戶對話。這通常是為了確保用戶可以訪問和使用這些應(yīng)用程序。

如果保護(hù)面被滲透，軟件防火墻會阻止云內(nèi)的橫向移動。這包括云到云或 VCP。因此，威脅在云中移動或追蹤其他資源的能力極其有限。

相對容易設(shè)置和維護(hù)

軟件防火墻不需要前往物理位置、重新布置電纜或與 CLI 交互。事實上，部署、擴(kuò)展和策略更改通常是自動化的。員工無需花費數(shù)小時進(jìn)行日常手動操作。