傳統(tǒng)的網(wǎng)絡防火墻正在消亡，或者已是奄奄一息。

行業(yè)專家認為，云計算、混合環(huán)境、移動訪問以及在線應用程序已經(jīng)使得網(wǎng)絡防火墻變得過時，數(shù)據(jù)中心運營商應該考慮用更具細粒度的安全技術來替代他們的防火墻。

在以往，應用程序和數(shù)據(jù)存儲在數(shù)據(jù)中心，并從那里傳遞給企業(yè)網(wǎng)絡上的員工。Skyport系統(tǒng)公司首席技術官Michael Beesley表示：“即使沒有在內(nèi)部部署的數(shù)據(jù)中心上運行，他們也會連接到網(wǎng)絡。”

如今，應用程序和數(shù)據(jù)可以在云端和混合環(huán)境中處理和存儲，也可以通過外部服務提供商通過網(wǎng)站交付。企業(yè)的員工和客戶通常通過網(wǎng)絡訪問他們，無論他們身在何處。

這意味著防火墻無法了解發(fā)生了什么事情，連接來自哪里或去哪里，而IP地址始終在變化，或被CloudFlare等內(nèi)容分發(fā)網(wǎng)絡所遮蔽。

Beesley說：“防火墻將變得越來越盲目。”

與此同時，以前分布在不同端口的流量現(xiàn)在都集中在80和443端口上。

Beesley說：“我認為現(xiàn)在已經(jīng)接近了一個臨界點，企業(yè)必須采取不同的方法來保護自己。根據(jù)數(shù)據(jù)顯示，在混合環(huán)境中，防火墻并沒有發(fā)揮作用，企業(yè)基礎設施需要發(fā)展到一個零信任的環(huán)境，而不是試圖從網(wǎng)絡的角度來保護它。

然后是加密問題。谷歌公司表示，其Chrome瀏覽器中79%的流量目前是加密的。

Kudelski Security公司研究部主管Ryan Spanier表示：“瀏覽器就是讓防火墻的東西消亡。因為企業(yè)的客戶需要在互聯(lián)網(wǎng)上的獲得服務，因此防火墻不會進行阻止。”

通過加密流量，所有防火墻都知道流量的來源和目的地，現(xiàn)在一切都在云端進行處理，即使這樣也不能說明問題。他說：“防火墻的空間已經(jīng)不多了。”

據(jù)網(wǎng)絡安全廠商Ixia公司最近發(fā)布的調(diào)查顯示，88%的受訪者表示，由于缺乏對公共云數(shù)據(jù)流量的可見性，他們遇到了與業(yè)務相關的問題。

最后是應用程序開發(fā)的轉(zhuǎn)型。企業(yè)已經(jīng)從在專用服務器上運行應用程序轉(zhuǎn)移到虛擬機或者轉(zhuǎn)移到容器，每次都大大增加了需要保護的端點數(shù)量，同時加快了新服務器啟動和關閉的速度。

這使得環(huán)境變得更復雜，傳統(tǒng)的防火墻很難跟上所有的變化。

位于加利福尼亞州圣何塞的應用安全商Aporeto公司的聯(lián)合創(chuàng)始人Amir Sharif表示：“防火墻正在消亡，它將很快就會死亡。

他說，現(xiàn)在無服務器的應用程序提供微服務也有這樣的趨勢，而且改變的步伐也要快上一個數(shù)量級。

他說：“我一直在計算可以允許和不允許的東西，而且成本非常高。那些流量在節(jié)點來來往往，防火墻無法跟上其變化速度。

Sharif說，他經(jīng)常聽到客戶說這是一個多大的問題。

他說：“我們公司的一位華爾街的客戶提到，每次推出應用程序時，他都必須更新至少14,000種不同的防火墻規(guī)則。”

為了保證安全，安全解決方案需要與應用程序緊密結(jié)合，并在部署容器或微服務時保證他們的安全。

另一個選擇是將白名單構(gòu)建到容器中，以便經(jīng)過允許的應用程序在那里運行，并且只能連接到允許連接的外部服務。

采用這種方法一個例子就是谷歌公司的Beyond Corp戰(zhàn)略。谷歌公司的信息安全總監(jiān)Heather Adkins在今年的RSA大會上做了一個介紹。報告主題是“谷歌如何在沒有防火墻的情況下保護企業(yè)的業(yè)務安全”。

盡管防火墻存在問題，企業(yè)不會很快放棄。

根據(jù)FireMon公司最近的一項調(diào)查，90%的受訪者表示，防火墻對安全性至關重要，甚至比以往任何時候都更加重要。

但FireMon公司的主管Josh Mayfield表示，防火墻的性質(zhì)將會改變。它將轉(zhuǎn)向一種更少采用嚴格規(guī)則和更多關于特定資產(chǎn)政策的方法。

他說：“當硬性的邊界消失時，企業(yè)必須依靠政策作為無形的邊界。未來的防火墻將會考慮資產(chǎn)，屬性，連接點等因此。”

他說，企業(yè)的安全策略將隨著資產(chǎn)和工作負載的變化而變化，這意味著企業(yè)將不再需要重寫防火墻規(guī)則。