下一代防火墙排名品牌(最好用的防火墙软件推荐)
下一代防火墙排名品牌(最好用的防火墙软件推荐)
2024-11-25 02:46:51  作者:丑丑丑帅哥  网址:https://m.xinb2b.cn/sport/bpw158661.html

作者:Andrew Plato是安全情报公司Anitian的CEO兼创始人。


不妨把丑话说在前头:下一代防火墙(NGFW)已死,而死因是云。

然而,这不是立即处死,而是面对一个更敏捷的竞争对手,慢慢变得无关紧要。如今NGFW产品弥漫着死亡和腐烂的气息。它们臃肿不堪、售价不菲且效果很差。它们被一贯过分强调其重要性的用户狂热地顶礼膜拜。十年后,NGFW将沦为美其名曰的路由器。

但是,不必惊慌。你仍有时间为NGFW之后的生活安排打点。

你用不着与NGFW同生共死

NGFW(或一些人喜欢所称的UTM)称霸安全界已有近10年。NGFW由防火墙、入侵预防系统和Web代理合并而来,成为了安全界的瑞士军刀。每个人都有NGFW,当然你购买的NGFW是最好的。

NGFW不仅是许多安全计划的核心技术,对于一些人来说,NGFW本身还是安全计划。首席信息安全官(CISO)被问及其安全计划时一开始常常这么回答“嗯,我们在边界处有Palo Alto的NGFW……”,这并不罕见。这不是安全计划!这种过于强调NGFW的现状意味着,对于整个职业生涯立足于这项技术的那些人来说,这种死亡不会轻易到来。

然而正如Tyler所说,你用不着与NGFW同生共死。现在是与时俱进了。

大限之日

在你十分激动之前,不妨探讨一下NGFW奄奄一息的四个原因:

1、网络边界消失了。

2、NGFW不是为云架构设计的

3、云提供商以极少的成本提供同样的功能,现在和将来都如此。

4、NGFW没什么效果。

以上这些是观察趋势、尤其是涉及云的趋势后得出的结论。

消失的边界

现代企业组织充其量是脆弱的网络边界。随着公司将更多的数据和工作负载转移到云和SaaS提供商,“边界”因此扩展到那些提供商。加上日益壮大的远程办公者群体,以前存在的任何软边界都变得完全很短暂,稍纵即逝。没有清晰的边界,每一台笔记本电脑、电话和物联网设备都是边界。出于所有同样的原因,传统的核心数据中心也在消失。

这正是推动Zscaler等云端点公司发展的因素。几年前的RSA展会上,Zscaler所设的摊位很有意思,你可以拿一把大锤砸Palo Altos和CheckPoints之类的NGFW硬件。我得承认,我砸过好几台思科ASA。

当时,我认为这只是营销噱头而已。然而Zscaler随后迎来了Howard Beale时刻:当你的员工、数据和系统分布在云端、家里和咖啡店时,硬件已毫无意义。

Zscaler代表由块头庞大的网络设备向云提供商转变,云提供商在云端聚集了连接和数据,并提供了你所需要的所有安全扫描、过滤和保护。你在云端或SaaS提供商处有关键的业务系统时,购买的那只庞大Palo Alto或Checkpoint设备对云端或SaaS提供商的安全而言毫无意义。本地NGFW沦为了办公室中一个基本的连接设备。

云原生

你将数据和工作负载移到云端后,网络的整个概念随之发生变化。AWS和Azure之类的云提供商提供的是软件定义网络。所有流量和连接进行了虚拟化和抽象化处理,与实际的电线和路由器分离开来。这在根本就没有网络的SaaS提供商当中体现得尤为明显。

此外,基于软件的网络没有传统网络的限制。传统的“三层”网络聚集并集中了访问,因为这种结构很高效,但它有个缺点:所有流量必须返回中央路由和NGFW进行访问。

在云端,这毫无必要。流量直接通到它要去的地方。比如说,如果你有应用服务器和数据库服务器,无需通过路由器来连接它们,而是可以让它们对等互联(peering)。由于你不控制底层物理连接,因此没有理由返回中心点。

对等互联提供了极其精细而动态的访问控制。你不仅可以控制网络、应用程序和用户层访问,还可以基于特定条件或触发器,自动授予和吊销该访问权。使用云管理解决方案,你可以不断审核那些控制机制,倘若任何访问违反公司政策,即可吊销。传统的硬件网络几乎不可能有这种级别的控制。

此外,如果使用原生云服务——比如AWS的身份和访问管理(IAM)或Azure的托管Active Directory,没有实际的服务器要连接。相反,你可以将VPC或主机与服务本身实行对等互联。

对等互联简化了网络,又没有减少任何访问控制。从某种意义上说,你根本不需要联网。


将NGFW放在云托管的系统和原生服务之间很笨拙,在一些情况下甚至是不可能的。虽然所有NGFW制造商都提供云版本的产品,但大多数情况下与VPN连接器无异。它们提供的任何安全功能很容易被其他功能取代。

因此,正由于云端没有NGFW,基于主机的安全解决方案随之大行其道。趋势科技等公司多年前就明白了这点,开始发布云版本的产品,基于主机的平台上的这些产品提供所有NGFW功能。此外,当你自动部署和配置这些端点时,可以为环境中的每个主机统一执行安全机制。

谈谈Guard Duty

AWS和Azure等云平台提供(或即将提供)NGFW功能。无需大型设备(或虚拟映像)。

AWS发布Guard Duty后,AWS的发展方向显而易见。AWS不仅想掌控你的计算工作负载,还想掌控所有基础架构。

Guard Duty是一个原生AWS应用程序,提供入侵检测监控功能,而传统的入侵检测/预防系统(IDS/IPS)几乎不可能将这种功能部署到云网络中,因为你看不到完整的网络数据包。网络抽象也意味着你无法嗅探流量。

在今后几年,AWS和Azure会以某种方式将NGFW的所有功能作为原生产品来提供。对于任何IaaS提供商来说这是合理的举措。另外,随着原生NGFW功能得到日益广泛的采用,成本会急剧下降。这将进一步侵蚀传统NGFW的价值。


重大失败

NGFW奄奄一息的最后一个原因也许是最明显的:NGFW没什么效果。每家声称遭遇重大泄密事件的企业组织都有NGFW,而这些NGFW对于阻止泄密基本上起不到什么作用。

公平地说,泄密的根源并不是NGFW技术,而是一系列日积月累的架构和组织问题共同进一步削弱了NGFW的价值。

这些问题包括:

1、有很多方法可以使用移动网络或物理设备绕过NGFW。

2、要求访问不受限制的可信赖第三方常常绕过所有NGFW安全机制。

3、管理NGFW的人员无权执行规则,生怕“阻止合法流量”。

4、监视和响应NGFW警报的做法无效,因为:

警报管理工具(比如SIEM)管理起来复杂又费时;缺少有才干的安全员工;数量过多的警报;消极抵抗、避免冲突的企业文化阻止报告泄密事件,因为这会引起审查。

最后一点可能最具破坏性和普遍性。许多大型企业组织打造的文化不能容忍正常的人为错误。这对于信息安全而言尤其具有破坏性。能力差的领导人对信息安全从业人员提出了完全不切实际的期望和约束。要求他们知道一切,没有遗漏任何环节,如果发生不好的情况,就要受到严惩。在过去这十年,几乎每一次泄密事件都揭示了这种文化的弊端。

这造成了一种有害的文化:安全人员被赋予重大的责任,却毫无实际行使这一责任的权力。这也是为什么许多人坚决不放手NGFW。操控大型NGFW是他们唯一拥有的权力。

然而,公司不鼓励他们报告任何攻击事件,因为糟糕的领导人(出于可笑的期望)会怪罪他们发出警报。这是许多NGFW供应商助长的一条强大的负反馈回路,因为它使那些没用的安全人员可以购买尺寸更大、功能更强大的设备。

这就是为什么我们需要NGFW死亡。死亡才会带来变化。

你可以从冰冷、死气沉沉的机架撬走我的NGFW


现在你可能因认同我对NGFW的看法而颇为沮丧,或者怒气冲冲,弄清楚我存在哪些人格缺陷,以便好攻击我。

我先自爆家丑:我易怒、很胖,经常咒骂。我还把过多的钱砸在汽车上,时常说些冒犯他人的话。

我确信你可以凭上面任何一条或全部而鄙视我。

不过在你将Fortinet标识从FortiBolts撕掉之前,先冷静一下。NGFW没有很快死亡。你在那家Palo Alto增值经销商(VAR)上花的所有钱不会立即浪费掉。这种死亡是慢慢的。NGFW不会完全死亡,它会改变。

五到十年后,NGFW将更像是一种云连接设备。你已经在Fortinet和Palo Alto(刚收购了Evident.IO)那里看到了这方面的早期苗头。它会继续控制访问。但你会更像管理SaaS订阅服务那样管理它。此外,与AWS、Azure和Salesforce等云服务安全受控制地连接的功能也将直接集成到平台中。

此外,AWS和Azure将拥有各自类似NGFW的服务,这意味着你可以完全抛弃本地NGFW,使用廉价的路由器。这使得Zscaler之类的服务比庞大硬件设备更为明智。

这里出现的一个更大动向是,本地系统变得越来越无关紧要。NGFW实际上是这个更大趋势的一部分。随着公司将越来越多的工作负载转移到云端,所有那些硬件设备都变得越来越无足轻重。

2012年,人们竭力将Exchange服务留在本地。8年后,拥有本地Exchange服务器这个想法很可笑。6到10年后,拥有一个价值10万美元的核心NGFW这个想法似乎同样很可笑。此外,你的VAR奄奄一息,不过那是另一个话题了。

为末路做准备

如果你想为NGFW的消亡做准备,答案完全在于你的Azure或AWS控制台。虽然下面不是你可以做准备的完整清单,但有助于迈出第一步。

重新关注端点安全,尤其是在端点处提供NGFW功能的解决方案。如果你的员工队伍很分散,那么应关注Zscaler之类的公司。将那些工作负载转移到云端,越早越好。云安全与本地安全不是一回事。这个话题不在本文的讨论范围之内,不过就一句话,你根本无法将你的所有本地设备直接搬到云端、期望它们都能正常运行。安全计划的核心应该是风险管理和个人发展,而不是技术。SIEM技术在云端更重要。你需要数据来制定决策。这也是另一个话题。

如你所见,一旦你打开了通向后NGFW世界的大门,事情会发生重大变化。你的团队越关注云,就会越适应这种变化。

结束语

2003年Richard Stiennon宣布IDS死亡时,他被困扰了多年。人们以轻蔑、愤怒和幼稚的骚扰对待新想法,这样的反应很正常。当然,Stiennon是正确的。IDS是一种奄奄一息的技术。在我们这些密切关注安全行业的人看来,这些趋势显而易见。环顾四周,云在吞噬一切,无论你喜不喜欢,NGFW是下一个牺牲品。

记住,死亡不是终点,而是新事物的开始。

  • 孩子到几岁能鉴定出袖珍人(袖珍镜面人怀孕)
  • 2024-11-25袖珍镜面人怀孕“你知道怀孕对你来说有多危险吗?你马上跟家里人去上海,必须打掉!”2012年,江苏启东市的一家妇产科医院里,一名大夫看着面前的女人,急得脸色都变了而坐在她对面的女人就是苏晓琳,一位袖珍“镜面人”,坐在。
  • 隆回望云山美景(视觉邵阳醉美望云山)
  • 2024-11-25视觉邵阳醉美望云山湖南日报·新湖南客户端5月29日讯(记者肖祖华通讯员杨贵新李勇军)望云山国有林场位于隆回县北部,属雪峰山脉的中山地貌,最高海拔1492米,最低海拔625米(图为望云山金钱松)望云山国有林场土壤肥沃,气。
  • 魔王亚德和谁在一起(重来吧魔王大人)
  • 2024-11-25重来吧魔王大人有这么一部七月动漫新番《重来吧,魔王大人》,特别搞笑,背景设定就像是《爆肝工程师的异世界狂想曲》和《overload》类似都是现实中的自己穿越到游戏中,自己变成所持有的游戏角色和爆肝工程师中的程序猿以。
  • 朋友圈背景图一个人挺好的(愿我们都被世界温柔以待)
  • 2024-11-25愿我们都被世界温柔以待#头条创作挑战赛#世界本不完美,相遇已属不易每一次相遇都值得感激,就算终有一散,也别辜负,好好相遇,好好告别人生总有缺憾,诺大的世界,道路漫长一切都是最好的安排,愿我们都被世界温柔以待1.要记住每一个。
  • 出发自驾318川藏线攻略(自驾318川藏线详细攻略)
  • 2024-11-25自驾318川藏线详细攻略进藏前准备身体准备:进藏区前睡眠和休息要充足,可提前适当服用红景天、肌酐等抗高反药品,凡有高血压、心脏病、脑溢血、冠心病以及患有呼吸道疾病尚未痊愈等病情或年龄在60岁以上者,为了您的身体健康均不宜进入。
  • 太原青龙古镇攻略(青龙古镇哪个更值得过年去)
  • 2024-11-25青龙古镇哪个更值得过年去太原历史文化深,不用多说,南北两个雷同的景区太原县城、青龙古镇,哪个更值得过年去游玩呢?先说青龙古镇,腿脚好的二十来分钟能走一圈,沿街商铺也没啥特色太原县城,新景区新气象,腿脚不好的坐观光车,二十来分。
  • 三日亲子游攻略(一场说走就走的亲子游)
  • 2024-11-25一场说走就走的亲子游#我要上头条##育儿#前天,我从超好吃的广州回来啦!好好休息了一天,今天立马来给点心们分享一些这几天的酸甜苦辣这次其实是受希沃邀请,特地去参观拜访,本来想一个人直接飞过去的,但是有一个小插曲,让我决定。
  • 石家庄冷门新楼盘(高新区精英中学旁某盘仅售12000元)
  • 2024-11-25高新区精英中学旁某盘仅售12000元据房天下数据中心统计,石家庄目前共有225个在售楼盘,包括149个住宅,11个别墅,49个写字楼,16个商铺项目区域分布:长安区共有41个楼盘在售仍居首位;鹿泉区次之,36个楼盘;业态分布:住宅在售项。
  • 贝利亚真的被捷德击败了吗(捷德都继承了贝利亚哪些能力)
  • 2024-11-25捷德都继承了贝利亚哪些能力随着圆谷对于奥特曼宇宙越来越快的发展,老一辈的奥特战士也是在陆续离开第一线,而取代他们的要么是来自其它星系的年轻奥特战士,要么就是光之国老一辈奥特曼的儿子,比如赛文的儿子,泰罗的儿子,还有贝利亚的儿子。