Don Meyer
思科安全產(chǎn)品營銷總監(jiān)
歡迎閱讀防火墻未來展望系列博文,本篇是第 1 部分。
過去二十年來,防火墻一直扮演著保障網(wǎng)絡(luò)連接安全性的重要角色。防火墻最初的設(shè)計主要圍繞著一個原則,那就是內(nèi)部流量和用戶是可信任的,而網(wǎng)絡(luò)外的流量與之相反。于是,人們通過部署防火墻在不同網(wǎng)絡(luò)之間搭建起信任邊界。這一網(wǎng)絡(luò)邊界搖身成為為企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)、用戶和設(shè)備提供防護的邏輯安全控制點。除此之外,所有網(wǎng)絡(luò)流量(無論是來自公司總部、數(shù)據(jù)中心還是遠程工作人員)都要經(jīng)過這個單一控制點,從而降低了信任邊界維護工作的難度,并有助于實施一致的控制措施。那時,一切都在掌控之中。
之后,數(shù)字技術(shù)開始迅猛發(fā)展
數(shù)字技術(shù)的發(fā)展,使我們的工作方式、數(shù)據(jù)使用方式、以及交流互動方式發(fā)生了極大的轉(zhuǎn)變。而“云”的出現(xiàn)則使局面變得更加復雜:我們的許多關(guān)鍵業(yè)務(wù)應(yīng)用程序開始從數(shù)據(jù)中心和本地網(wǎng)絡(luò)遷移到一些我們再也無法獨有或控制的地方。與此同時,企業(yè)的分支機構(gòu)也開始通過直連互聯(lián)網(wǎng)的方式來使用那些目前經(jīng)常被托管在數(shù)據(jù)中心之外的服務(wù)。此外,無論在辦公區(qū)域之內(nèi)還是之外,用戶們都能借助自己的個人設(shè)備,訪問越來越豐富的網(wǎng)絡(luò)資源。
隨著網(wǎng)絡(luò)互聯(lián)程度的日益提升,單一邊界或控制點的概念早已不復存在。針對“邊界溶解”和防火墻存在必要性這兩個問題,業(yè)內(nèi)人士也一直議論紛紛。而我的觀點很明確,那就是防火墻不僅比以往更加重要,而且現(xiàn)在,任何地方都需要部署防火墻,部署更多的防火墻 - 包括我們的本地網(wǎng)絡(luò)、分支機構(gòu)、網(wǎng)關(guān)、數(shù)據(jù)中心內(nèi)部、云端、終端、甚至深入到應(yīng)用程序工作負載的內(nèi)部。
由宏觀轉(zhuǎn)向微觀
現(xiàn)在,擺在我們面前的不再是一個單一的邊界,而是橫跨多個網(wǎng)絡(luò)、設(shè)備、用戶和數(shù)據(jù)的一系列“微觀邊界”。我們往往需要通過整合不同的終端技術(shù)來保障這些新興“邊界”的安全,而這需要大量的人工干預才能實現(xiàn)。再加上負責管理所有新增設(shè)備的專業(yè)人才嚴重短缺,所以我們面臨的挑戰(zhàn)更加嚴峻。因此,為了能夠維持策略的一致性和威脅洞察的統(tǒng)一性,企業(yè)紛紛開始實施一些迥然不同的安全解決方案。來看看這樣做的結(jié)果是什么。不僅網(wǎng)絡(luò)本身和網(wǎng)絡(luò)安全變得越來越復雜,因配置錯誤和不一致導致的數(shù)據(jù)泄露和破壞也時有發(fā)生。
盡管我們也在想方設(shè)法來緩解這個復雜的局面,但是惡意分子也在不斷通過更多威脅載體發(fā)動更頻繁、更復雜的威脅攻擊。根據(jù)《思科網(wǎng)絡(luò)安全報告-2019 年度威脅報告》(??點擊查看報告),惡意攻擊者正通過一系列日益復雜的方法來入侵我們的網(wǎng)絡(luò);而入侵成功率的不斷提高也充分表明了現(xiàn)有技術(shù)手段在現(xiàn)代威脅面前幾近徒勞。
我們面臨的現(xiàn)狀…
然而最令人苦惱的地方在于,我們原有的可見性和控制力蕩然無存。我們再也無法深入了解用戶和數(shù)據(jù)的去向以及業(yè)務(wù)所面臨的風險程度。難以及時判斷出誰在跟誰通信,難以及時發(fā)現(xiàn)我們是否已被入侵。除此之外,變革的節(jié)奏也隨著越來越多的企業(yè)紛紛踏上數(shù)字化轉(zhuǎn)型之路而不斷加快,反倒為意圖不軌的惡意攻擊者創(chuàng)造了絕佳的機會。而對負責網(wǎng)絡(luò)安全的人員來說,這無疑帶來了一個棘手的問題。要徹底解決這一問題,到底該從哪里入手?
是時候反思防火墻的意義
防火墻的重要性并沒有減弱,事實上,它比以往任何時候都更重要,但我們需要從不同的角度來考慮它。我們必須超越形式因素和物理或虛擬設(shè)備,將防火墻作為一種功能來使用,不管是數(shù)據(jù)中心、云端、還是分支機構(gòu),防火墻的任務(wù)都是按需下發(fā)通用策略,實現(xiàn)威脅可視,開展威脅分析,提供世界一流的安全控制措施 – 而這也是更快速、更準確地預防、檢測和阻止攻擊的關(guān)鍵要素。
一直以來,思科都在為實現(xiàn)這一愿景而努力,旨在為客戶搭建起適應(yīng)當下、面向未來的最強勁安全防御機制。請繼續(xù)關(guān)注“防火墻未來展望”系列博文,了解更多相關(guān)資訊。
即將發(fā)布:
防火墻未來展望,第 2 部分:勿讓復雜性毀掉您的安全
