云防火墻進化論

云防火墻產(chǎn)品定位:多云場景環(huán)境下的SaaS化4層狀態(tài)防火墻,可統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務的訪問控制策略(南北向)和業(yè)務與業(yè)務之間的微隔離策略(東西向),支持全網(wǎng)流量可視和業(yè)務間訪問關(guān)系可視。使用場景:多云場景統(tǒng)一防火墻策略管控、CDN、等保安全域劃分。

0x00、產(chǎn)品需求

在安全運營數(shù)智化的今天,越來越多的新基建項目要求使用云原生的安全解決方案,同時,新基建有兩個發(fā)展方向,激進一些的解決方案是直接在公有云上構(gòu)建多云場景,完全使用云原生的解決方案;保守一些的解決方案通過x-stack專有云形式對用戶輸出。但是無論哪種解決方案,防火墻將幫助企業(yè)構(gòu)建云上網(wǎng)絡邊界安全防護能力的需求也依然沒有改變,只是形式發(fā)生了變化。

針對不同用戶的業(yè)務場景,對防火墻的需求也有所不同,針對大型的企業(yè)集團公司的使用場景、金融云場景以及公有云中小企業(yè)用戶,其業(yè)務安全訴求強度不盡相同。

 1、降低互聯(lián)網(wǎng)暴露、內(nèi)網(wǎng)非法下載、挖礦外聯(lián)等風險,我們需要非法外聯(lián)安全管控功能

 2、暴露在互聯(lián)網(wǎng)上的服務,有新增0day漏洞時候,需要虛擬補丁防護,做到業(yè)務0中斷。

 3、等保合規(guī)的業(yè)務需求,需要滿足安全區(qū)域邊界要求,以及日志保存180天的強監(jiān)管需求。

 4、當然在易用性方面也需要改變過濾規(guī)則的設置和配置十分復雜,配置困難的難題,通過機器學習等方法幫助用戶快速、準確的設置防火墻策略。

0x01、技術(shù)迭代

QQ截圖20200828092910.png

大致按照部署形式,技術(shù)變革里程碑給防火墻技術(shù)發(fā)展史做了一下分類:

一、在傳統(tǒng)防火墻階段,主要介紹一下安全組、傳統(tǒng)包過濾和狀態(tài)防火墻、以及Web防火墻的區(qū)別。

 1、傳統(tǒng)防火墻vs安全組

QQ截圖20200828092910.png

其實傳統(tǒng)的防火墻就是通過傳統(tǒng)路由表ACL過濾+TCP狀態(tài)監(jiān)控,可以處理IP地址、TCP欺騙等攻擊。設置阻斷策略。

安全組,是在虛擬網(wǎng)絡中,把這種傳統(tǒng)防火墻的能力做層分布式部署方式,通過控制節(jié)點和計算節(jié)點把不同的云主機實例劃分到一個安全組,實現(xiàn)安全域的管控。

當然為了提升效率會做DPDK改造。

 2、云防火墻vs Web應用防火墻

云防火墻產(chǎn)品定位:多云場景環(huán)境下的SaaS化4層狀態(tài)防火墻,可統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務的訪問控制策略(南北向)和業(yè)務與業(yè)務之間的微隔離策略(東西向),支持全網(wǎng)流量可視和業(yè)務間訪問關(guān)系可視。使用場景:多云場景統(tǒng)一防火墻策略管控、CDN、等保安全域劃分。

Web應用防火墻產(chǎn)品定位:客戶端到源站服務器南北向的流量,主要針對七層http協(xié)議。waf對APP或網(wǎng)頁的業(yè)務請求流量進行惡意特征識別和防護,保護業(yè)務安全和核心數(shù)據(jù)安全。使用場景:Web應用安全防護。

二、下一代防火墻階段,云原生vs UTM

QQ截圖20200828092910.png

傳統(tǒng)硬件防火墻,下一代防火墻里程碑進步主要要體現(xiàn)在可以對協(xié)議內(nèi)部的數(shù)據(jù)做深度包檢測(DPI),比如:能線速提取,數(shù)據(jù)包的內(nèi)容,URL,包含攜帶的文件,這樣就可以集成更強大的安全檢測能力,可以對接IDPS能力;威脅情報;URL過濾;防毒墻等。當然這是伴隨著NP架構(gòu)升級到x86硬件能力提升的結(jié)果。

在這個階段,云防火墻也得到不斷的進化,這部分突出的技術(shù)就是在云主機層面使用微隔離技術(shù)。也是得益于云計算技術(shù)在虛擬化層面的性能提升。

三、新基建防火墻發(fā)展階段

這個階段,主要是集成平臺側(cè)和租戶側(cè)的統(tǒng)一管理。當然在這部分我更看好云防火墻發(fā)展態(tài)勢,雖然傳統(tǒng)硬件防火墻也在不斷使用自己SDN技術(shù)做虛擬化防火墻,但是要說誰更懂網(wǎng)絡虛擬化,那當然是公有云了,絕對不是獨立的第三方安全廠商。所以云原生防火墻是最終一統(tǒng)形式。

當然,在此發(fā)展階段還需要向硬件部署的下一代防火墻學習,要完善自己的DPI功能

 1、實時發(fā)現(xiàn)新增對外服務暴露的端口,聯(lián)動掃描器,幫助用戶收斂25%+的網(wǎng)絡風險暴露面

 2、實時入侵防護,對內(nèi)部外聯(lián)IP與威脅情報聯(lián)動,一旦發(fā)現(xiàn)惡意連接挖礦地址、失陷主機,要及時告警和阻斷。

 3、與IPS聯(lián)動,及時發(fā)現(xiàn)CVE掃描,特別是0day攻擊,用戶自定義策略阻斷。

 4、訪問日志審計留存,安全合規(guī)要求。

0x02、展望

在安全運營大行其道的時代,云防火墻是你的剛性安全需求;在選型的階段,也建議多用云原生。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門

精選文章

熱點資訊