本文來自微信公眾號“安全牛”。
防火墻即服務(FWaaS)是一種多功能防火墻產品,并作為一項基于云的服務來提供。通過利用集中策略管理、多企業(yè)防火墻特性和流量隧道等技術,FWaaS將下一代防火墻(NGFW)的核心功能部分或全部轉移到云上,并且提供更簡單、更靈活的部署架構。
近年來,FWaaS已在政府、運營商、醫(yī)療、制造、能源與公用事業(yè)等眾多行業(yè)中廣泛應用。而隨著云計算應用的不斷發(fā)展,會有更多企業(yè)組織采用FWaaS來保護其云上的應用和數據。然而,FWaaS方案在給企業(yè)帶來便利的同時,也會面臨云上應用程序快速增長、公共云數據泄露激增以及防火墻協議不斷變化等因素的制約和影響。此外,在一些不發(fā)達地區(qū),不完善的IT基礎架構也會阻礙用戶獲得滿意的FWaaS服務。
FWaaS的應用價值
相比傳統(tǒng)的防火墻產品,FWaaS可以將防火墻保護功能添加到一個更廣泛的虛擬網絡空間,從而保護更多的組件和應用。在實際應用中,FWaaS的應用價值主要體現在以下方面:
1、更高性能的安全防護
FWaaS能夠與云系統(tǒng)和虛擬網絡無縫整合,能夠在保護業(yè)務和數據的同時,確保安全工作并未妨礙業(yè)務運營,這樣可以幫助企業(yè)更安全地發(fā)展和變革。這使組織能夠保持敏捷性,并為員工和客戶提供一流的數字化業(yè)務體驗和服務。
2、靈活地云擴展
隨著組織不斷發(fā)展,安全也需要跟上。FWaaS消除了企業(yè)數字化擴展過程中安全能力不足的擔憂,因為FWaaS的服務能力可以根據用戶需求輕松擴展。這種靈活性確保了強大的安全性,幫助企業(yè)專注于業(yè)務目標。
3、全面覆蓋和控制
在不同地方保持一致的安全是一項挑戰(zhàn)。FWaaS使組織能夠集中控制大型虛擬環(huán)境。無論運營范圍如何,貴組織都可以從一個地方管理和執(zhí)行安全策略。無論數據在哪里,這種全面覆蓋和控制能力,確保了企業(yè)獲得真正有效的安全措施。
4、支持現代網絡架構
FWaaS可以與現代網絡系統(tǒng)順利整合,支持最新的技術和協議,擴展了網絡安全的定義。企業(yè)業(yè)務無論是遷移到微服務還是探索邊緣計算,FWaaS都能靈活適應,確保適應未來的強大安全性。
5、簡化地網絡架構
FWaaS不需要在本地部署安全設備,能夠幫助企業(yè)簡化網絡架構和安全,消除了招致漏洞的混亂和迥異設置。這種簡單直觀的方法不僅增強了企業(yè)的安全性,還減輕了安全人員的管理負擔。
6、精簡策略執(zhí)行
FWaaS采用分布式網絡自動執(zhí)行策略,可以確保防護措施的一致性,在降低風險的同時,提高了敏捷性,還能夠更好地滿足合規(guī)要求。由于不需要本地安全解決方案,它還可以在組織內更廣泛地部署各種安全能力,比如入侵檢測、Web應用程序防火墻以及數據丟失防護。
7、提高網絡可見性
FWaaS通過更廣泛地了解流量模式、潛在威脅和異常情況來提高網絡可見性。更好的可見性意味著可以更快地檢測和響應可疑活動,從而潛在地防止小的安全事件演變成大的事件。
8、增強可靠性
FWaaS具有更高的洞察威脅和漏洞檢測的能力,因此可以幫助企業(yè)提升網絡運營的可靠性。這些主動地安全保護措施能夠降低網絡系統(tǒng)中斷的隱患。
CVSS的漏洞評價機制
雖然FWaaS具有以上諸多優(yōu)點,但是也同樣存在很多應用的限制和挑戰(zhàn)。企業(yè)在選型FWaaS方案時,要充分考慮自己的安全需求和現有基礎設施環(huán)境。企業(yè)在評估FWaaS優(yōu)點的同時,也要充分了解FWaaS應用中可能存在的挑戰(zhàn):
1、依賴互聯網連接
FWaaS高效工作嚴重依賴穩(wěn)定的互聯網連接。如果企業(yè)目前還存在互聯網連接中斷或被限速等情況時,FWaaS提供的網絡安全能力就會受到影響。
2、定制化能力不足
與傳統(tǒng)的本地防火墻不同,FWaaS在定制服務時會存在很多限制。如果組織有較多特定的安全要求時,就不太適合選用FWaaS,因為預定義的安全設置會與組織的需求不一致,這樣將影響到企業(yè)獲得期望的保護效果。
3、數據隱私問題
FWaaS使用第三方云服務器來傳輸網絡流量,這會引發(fā)部分企業(yè)對數據隱私和合規(guī)方面的擔憂。處理敏感數據的組織可能會因潛在的數據泄露和合規(guī)要求而猶豫不決。因為當數據在組織外部進行處理時,數據保護會變得更復雜,此時需要認真評估FWaaS提供商的數據處理實踐。
4、供應商的可靠性
FWaaS的應用效果很大程度上取決于所選供應商的服務能力和可靠性。停運時間、技術故障或突發(fā)性安全事件都可能危及企業(yè)網絡安全的穩(wěn)定性。審查FWaaS供應商的近期市場表現和安全措施對于減小這類風險至關重要。
5、初始服務配置較復雜
實施FWaaS方案通常會需要修改現有的網絡結構和配置。這個初始配置的過程可能很棘手,需要更改網絡路由并與當前安全措施整合,這種復雜性可能導致一段較長時間的服務中斷。
6、持續(xù)地成本
FWaaS消除了前期硬件設備的購買費用,但同時也帶來了基于訂閱的持續(xù)成本。隨著時間的積累,這些成本可能會超過傳統(tǒng)防火墻方面的投入。組織必須綜合考慮預算的科學性和回報率。
7、本地檢測能力不足
傳統(tǒng)防火墻能夠對本地網絡流量進行細致深入的檢測。然而,FWaaS是在云端執(zhí)行檢測,難以獲取全面的本地數據,因而難以深入了解本地網絡中的異常行為情況。這可能會影響對本地網絡中的威脅檢測,因而需要部署額外的安全措施進行補充。
8、與現有系統(tǒng)整合
將FWaaS與現有的網絡結構和工具整合可能會很復雜,因為要確保無縫兼容,不僅需要認真地規(guī)劃,還需要大量的定制化開發(fā)。而如果不能與現有系統(tǒng)有效整合,就可能導致服務中斷或者引發(fā)安全漏洞。組織在選型FWaaS方案時,必須評估整合的可行性,以確保順利過渡。