軟件防火墻是一種軟件形式的防火墻,而不是物理設備,可以部署在服務器或虛擬機上以保護云環境。*注意:術語“軟件防火墻”不應與術語“防火墻軟件”混淆,后者描述運行下一代防火墻 (NGFW) 的操作系統。
軟件防火墻旨在保護難以或不可能部署物理防火墻的環境中的數據、工作負載和應用程序,包括:
- 軟件定義網絡 (SDN)
- 管理程序
- 公共云環境
- 虛擬化數據中心
- 分支機構
- 容器環境
- 混合和多云環境
軟件防火墻如何工作
軟件防火墻體現了與硬件防火墻(也稱為下一代防火墻或 NGFW)相同的防火墻技術。軟件防火墻提供多種部署選項,以滿足混合/多云環境和現代云應用程序的需求。它們可以部署到任何虛擬化網絡或云環境中。
軟件防火墻與硬件防火墻
硬件和軟件防火墻之間最重要的區別是外形因素,但還有其他幾個值得注意的地方。軟件和硬件防火墻在網絡安全中都起著至關重要的作用。因此,軟件防火墻并不比硬件防火墻好,反之亦然。相反,每種都適用于不同的情況。
| 參數 | 軟件防火墻 | 硬件防火墻 |
|---|---|---|
| 外形尺寸 |
|
|
| 部署選項 |
|
|
| 復雜 |
|
|
軟件防火墻的類型
軟件防火墻通常屬于以下三類之一:
- 虛擬防火墻
- 容器防火墻
- 托管服務防火墻
每種類型都針對不同的環境和目的提供特定的功能。但是,每個軟件防火墻都會監視和保護東西向、傳入和傳出的網絡流量。軟件防火墻阻止可疑活動并防止滲漏。
虛擬防火墻(也稱為云防火墻或虛擬化 NGFW)
虛擬防火墻保護一系列環境,包括:
- 混合云
- 個人私有云和公共云
- 虛擬化分支機構
- 5G部署
- 3 個虛擬防火墻用例
虛擬防火墻可以檢查和控制公共云環境中的南北邊界流量,并在數據中心和分支機構內分割東西向流量。虛擬防火墻通過微分段提供高級威脅預防措施。
在公共云中,虛擬防火墻為云服務提供商 (CSP) 提供的原生保護措施增加了保護。它們還保護與云應用程序的關鍵網絡連接。在這些情況下,基于云的防火墻通常充當來賓虛擬機。有些可以提供跨多個 CSP 部署的可見性。
高端虛擬防火墻可以提供以下好處:
- 支持組織履行公共云用戶安全義務
- 確保符合監管標準
- 增強每個 CSP 獨有的內置安全功能
容器防火墻
容器防火墻的行為類似于虛擬防火墻,但專為 Kubernetes 環境構建。容器防火墻通過將安全性深度集成到 Kubernetes 編排中,幫助網絡安全團隊保護開發人員。這一點很重要,因為嵌入在 Kubernetes 環境中的容器工作負載可能難以使用傳統防火墻進行保護。
托管服務防火墻
軟件防火墻也可作為托管服務提供,類似于許多其他軟件即服務 (SaaS) 產品。一些托管服務防火墻產品提供了一種靈活的方式來部署應用程序級(第 7 層)安全性,而無需管理監督。作為托管服務,其中一些防火墻還可以快速擴展和縮減。
需要軟件防火墻的網絡安全挑戰
在虛擬化、去中心化環境的世界中,出現了許多網絡安全挑戰,這些挑戰無法通過應用于傳統數據中心的解決方案來解決。
消失的安全邊界
將網絡內部和外部分開的傳統安全邊界的概念已經受到挑戰一段時間了。隨著混合云/多云戰略的激增,當今的現代架構使得定義邊界變得更加困難。此外,大部分架構由服務提供商運行的云組成。這導致信息在網絡和互聯網上不斷移動。
日益危險的威脅形勢
40% 的企業已經遭受過至少一次基于云的數據泄露,考慮到云時代的持續時間很短,這一比例非常可觀。這些成功攻擊的受害者不僅僅是云新手,還有在網絡安全方面擁有大量投資和專業知識的老牌企業。
云和網絡團隊之間相互矛盾的安全觀點
從應用程序開發開始,轉向云優先戰略對安全性具有深遠影響。安全性并不總是云開發人員的首要考慮因素。他們的任務是盡快開發和發布。事實上,14% 的云開發人員表示應用程序安全是重中之重,而三分之二的人通常會在他們的代碼中留下已知的漏洞和漏洞。此外,開發團隊通常會認為云服務提供商提供的本機安全性“足夠好”。
網絡安全通常出現在開發生命周期的后期,限制了可用選項的范圍。此外,當網絡安全團隊推薦諸如 NGFW 之類的安全解決方案時,他們有責任證明他們的建議不會減慢業務速度或延遲實現價值的時間。
云原生在混合/多云架構中引入網絡安全問題
開發方法的一個特別具有破壞性的變化是使用特定于供應商的編排服務,例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用這些工具,開發人員只需上傳應用程序代碼,編排服務就會自動處理部署。雖然這種自動化水平極大地簡化了開發人員的工作,但它也加劇了混合/多云架構中的網絡安全問題。
更大的攻擊面
數據中心正在演變為私有云,其中本地應用程序托管在虛擬機上,而不是直接托管在物理服務器上。其他應用程序在虛擬化環境中的公共云上運行,通常使用容器和 Kubernetes 編排。在此模型中,互連主導架構,使攻擊面更大且更難以定義。
混合/多云環境往往會帶來合規性挑戰
責任共擔模式
責任共擔模型只是混合/多云架構的一個方面,它可能難以實現合規性。
服務提供商實施一些必要的控制,因此必須提供可以納入審計的證據。幸運的是,客戶通常可以從 CSP“繼承”控制權。如果文檔到位,這會簡化合規性。
CSP 不監督的項目,例如應用程序,從審計的角度來看是用戶的責任。
地理差異
另一個合規性挑戰是混合/多云架構通常跨越多個地區和司法管轄區的方式。這可能會引起諸如數據局部性和數據保護法規之類的問題。
軟件防火墻的好處
保護混合/多云架構帶來了傳統安全解決方案無法克服的挑戰。物理防火墻是許多網絡應用程序的關鍵安全工具。然而,當涉及到現代混合/多云基礎設施和云原生開發方法時,它并不總是唯一的選擇。
全面保護
入境保護
眾所周知,混合/多云環境的邊界沒有明確定義。軟件防火墻可以更輕松地定義邊界和所需的執行點。
例如:用戶可以對數據庫進行微分段并建立一個策略,只允許特定應用程序的后端與其通信。這可以防止來自外部世界的入站威脅。旨在滲透應用程序、竊取敏感數據或加密數據的威脅將被阻止。
出境保護
今天的現代應用程序通常會訪問第三方代碼或開源代碼。這需要聯系 GitHub 等存儲庫以獲取第三方軟件更新。更新可能會被誤導到命令和控制服務器。
軟件防火墻提供出站保護。這確保只訪問必要的存儲庫。出站保護還確保只訪問經過批準的 URL,防止未經授權訪問惡意或感染惡意軟件的 URL。
側面保護
在云中,應用程序不會在孤島中運行。相反,它們通過 API 和網絡通信進行通信。應用程序還與云內外的用戶對話。這通常是為了確保用戶可以訪問和使用這些應用程序。
如果保護面被滲透,軟件防火墻會阻止云內的橫向移動。這包括云到云或 VCP。因此,威脅在云中移動或追蹤其他資源的能力極其有限。
相對容易設置和維護
軟件防火墻不需要前往物理位置、重新布置電纜或與 CLI 交互。事實上,部署、擴展和策略更改通常是自動化的。員工無需花費數小時進行日常手動操作。
