一日復一日，不同規(guī)模的企業(yè)都面臨著網(wǎng)絡犯罪和惡意內(nèi)部人員的威脅。在2020年，Verizon報告全球有超過3,950件被確認的數(shù)據(jù)泄露事件，相比前一年幾乎翻倍。這些數(shù)據(jù)泄露影響了幾百萬人，造成企業(yè)大量的時間、金錢和資源損失，并且對企業(yè)發(fā)展都有深遠的影響。

[[422778]]

在今天快速變化的世界，CISO們需要一種能夠?qū)Τ掷m(xù)增長的動態(tài)負載與內(nèi)部流量進行防御的方式。傳統(tǒng)安全解決方案已經(jīng)不足以應對了。VMware Threat Analysis Unit新發(fā)布了一份威脅報告中，著重提到了一種新的方案，尤其針對邊界內(nèi)進行防御。在這份報告中，結論很明顯：即使部署了主要的邊界防御，惡意人員依然活躍在網(wǎng)絡中。

VMware的網(wǎng)絡安全產(chǎn)品市場高級主管DhruvJain指出了五個內(nèi)部數(shù)據(jù)中心的傳統(tǒng)防火墻缺陷。

缺陷一：邊界防火墻主要針對舊流量模式，而非新流量模式

大部分內(nèi)部防火墻是從企業(yè)的邊界防火墻精簡而來，用于確保南北流量安全。然而，在現(xiàn)代數(shù)據(jù)中心中，有大量的東西流量，意味著數(shù)據(jù)中心內(nèi)有很多平行移動的情況。隨著越來越多的一體化應用被部署或者重建到分布式應用中，如今東西向流量已經(jīng)遠超南北向流量。

太多組織犯了將自己傳統(tǒng)邊界防火墻改造后保護內(nèi)部網(wǎng)絡的錯誤。雖然這件事看上去很吸引人，但是用邊界防火墻監(jiān)測東西流量不僅昂貴，而且還在管控大量動態(tài)負載的強度和性能上十分低效。

缺陷二：邊界防火墻缺少延展性

用邊界防火墻監(jiān)測南北流量一般不會產(chǎn)生性能瓶頸，因為流量規(guī)模并沒有東西流量那么大。但是如果企業(yè)用邊界防火墻監(jiān)測所有(或者大部分)東西流量，成本和復雜性會幾何級增長到企業(yè)根本無法解決的地步。

缺陷三：發(fā)卡對頭發(fā)不錯，但是對數(shù)據(jù)中心流量可不好

如果邊界防火請被用于監(jiān)測東西流量，流量會被強制從一個中心化的設備進出，從而導致發(fā)卡流量模式的產(chǎn)生，會造成大量的網(wǎng)絡資源使用。除了會增加延遲，無論是從網(wǎng)絡設計還是從網(wǎng)絡運行層面來看，發(fā)卡內(nèi)部網(wǎng)絡流量還會增加網(wǎng)絡的復雜性。網(wǎng)絡在設計的時候必須考慮到會有額外的發(fā)卡流量穿過邊界防火墻。在運營層面，安全運營團隊必須貼合網(wǎng)絡設計，并且留意給防火墻額外流量時的限制。

缺陷四：邊界防火墻不提供清晰的可視化能力

監(jiān)測東西流量并貫徹顆粒度策略要求到負載等級的可視化能力。標準的邊界防火墻沒有對負載交互的高可視化能力，也沒有微隔離服務建造現(xiàn)代化的分布式應用。缺乏應用流的可視化能力會讓創(chuàng)建和執(zhí)行負載或者單獨流量等級的規(guī)則極度困難。

缺陷五：我有安全策略了，但應用在哪?

傳統(tǒng)的防火墻管理界面被設計于管理幾十個分離的防火墻，但并不是設計支持帶有自動化配置安全策略的負載靈活能力。因此，當邊界防火墻被用作內(nèi)部防火墻的時候，網(wǎng)絡和安全運營人員必須在一個新的工作負載創(chuàng)建的時候，手動建立新的安全策略;并且當一個負載被移除或者停用的時候，修改這些策略。

用零信任重新思考內(nèi)部數(shù)據(jù)中心安全

在這些缺陷的情況下，現(xiàn)在是時候重新思考內(nèi)部數(shù)據(jù)中心安全，并且開始應用零信任安全了。如果傳統(tǒng)的邊界防火墻不適合，或者無法有效地成為內(nèi)部防火墻，那哪種解決方案是最適合監(jiān)測東西流量?基于上述的缺陷，組織應該開始考量防火墻的支持以下能力：

• 分布式和顆粒度執(zhí)行安全策略。
• 可延展性以及吞吐量，在不影響性能的情況下處理大流量。
• 對網(wǎng)絡和服務器架構低影響。
• 應用內(nèi)可視化。
• 負載移動性與自動化策略管理。

一個邊界防火墻要滿足這些要求，無法避免地會有極高的成本和復雜性，還可能會發(fā)生大量的安全失效事件。但是，一個分布式的軟件定義方案是部署內(nèi)部防火墻監(jiān)測東西流量的最有效方式，一個正確的軟件定義內(nèi)部防火墻方案可以可延展地、低成本地、高效地保護成千上萬的工作負載，橫跨數(shù)千個應用;同時在數(shù)據(jù)中心啟用零信任模型，可以幫助企業(yè)更進一步實現(xiàn)整體的零信任安全框架。

點評

當外部的邊界逐漸模糊以后，威脅在內(nèi)部的橫向移動就更需要注意，以便能夠第一時間發(fā)現(xiàn)攻擊并將攻擊限制在有限范圍內(nèi)。因此，數(shù)據(jù)中心內(nèi)部的防護需要應對大量的東西向流量，在復雜的內(nèi)部環(huán)境中獲得可視化能力。這需要基于零信任構建網(wǎng)絡，并使用微隔離對網(wǎng)絡分區(qū)進行管理。