每天,各种规模的企业都面临着网络犯罪和恶意内部人员的威胁。2020年,Verizon报告了全球超过3,950起已确认的数据泄露事件,几乎是前一年的两倍。这些数据泄露影响了数百万人,使企业损失了大量时间、金钱和资源,并对业务增长产生深远影响。在当今瞬息万变的世界中,CISO需要一种方法来抵御不断增加的动态负载和内部流量。传统的安全解决方案已不再足够。在VMware威胁分析部门发布的一份新威胁报告中,重点介绍了一种新的解决方案,特别是针对边界内的防御。在这份报告中,结论很明确:即使有主要的外围防御措施,恶意行为者仍然活跃在网络中。VMware网络安全产品营销高级总监DhruvJain指出了五个内部数据中心的传统防火墙的缺点。缺陷一:边界防火墙主要针对旧流量模式,而不是新流量模式。大多数内部防火墙由企业边界防火墙精简而成,以确保南北流量安全。然而,在现代数据中心中,存在大量的东西向流量,这意味着数据中心内部存在大量并行移动。随着越来越多的集成应用被部署或重构为分布式应用,现在东西向流量已经远远超过了南北向流量。太多的组织犯了改造其传统边界防火墙以保护内部网络的错误。虽然这看起来很诱人,但使用边界防火墙监控东西向流量不仅成本高昂,而且在管理大型动态负载的强度和性能方面效率也非常低。不足2:边界防火墙缺乏可扩展性。使用边界防火墙监控南北向流量一般不会造成性能瓶颈,因为流量规模没有东西向流量大。但如果企业使用边界防火墙来监控所有(或大部分)东西向流量,成本和复杂性将成倍增加,以至于企业根本无法解决。缺陷三:发卡对头发有利,对数据中心流量不利。如果用边界防火来监控东西向流量,流量会强制进出一个集中的设备,导致发卡流量模式的产生,会造成大量的网络资源占用。除了增加延迟,无论是从网络设计还是网络运营的角度,发卡行的内部网络流量也会增加网络的复杂度。在设计网络时,必须考虑到会有额外的发卡流量通过边界防火墙。在运营层面,安全运营团队必须遵循网络设计并注意向防火墙添加额外流量的限制。缺陷四:边界防火墙没有提供清晰的东西向流量监控可视化能力,并没有实现细化到负载级别可视化能力的细化策略要求。标准边界防火墙不具备负载交互的高可见性,也没有构建现代分布式应用程序的微隔离服务。缺乏对应用程序流的可见性会使基于负载或单个流量类别创建和执行规则变得极其困难。缺陷5:我有一个安全策略,但它应用在哪里?传统的防火墙管理界面旨在管理数十个独立的防火墙,但其设计无法通过自动配置安全策略来支持负载灵活性。因此,当边界防火墙用作内部防火墙时,网络和安全操作人员必须在创建新工作负载时手动建立新的安全策略;这些策略。重新考虑零信任的内部数据中心安全鉴于这些缺陷,现在是重新考虑内部数据中心安全并开始应用零信任安全的时候了。如果传统的边界防火墙不合适,或者不能有效地充当内部防火墙,那么哪种解决方案最适合监控东西向流量?基于上述缺点,组织应开始考虑支持以下功能的防火墙:分布式和粒度实施安全策略。可扩展性和吞吐量,在不影响性能的情况下处理大量流量。对网络和服务器基础设施影响小。应用内可视化。负载移动性和自动化策略管理。为满足这些要求,边界防火墙必然具有极高的成本和复杂性,并可能发生大量的安全故障事件。然而,分布式软件定义解决方案是部署内部防火墙以监控东西向流量的最有效方式。正确的软件定义的内部防火墙解决方案可以以可扩展、低成本和高效的方式保护数以万计的工作负载。跨越数千个应用程序;同时在数据中心启用零信任模型,可以帮助企业更进一步,实现整体的零信任安全架构。点评在外部边界逐渐模糊的情况下,更应该关注威胁在内部的横向移动,才能第一时间发现攻击,将攻击限制在有限的范围内。因此,数据中心的内部防护需要在复杂的内部环境中应对大量的东西向流量并获得可视化能力。这就需要构建基于零信任的网络,使用微隔离来管理网络分区。
