第一个商用防火墙DECSEAL于1992年发布。25年后,防火墙仍然是企业安全基础架构中的核心构建块。诚然,防火墙自诞生以来已经发展了很多,每个发展阶段都增加了更复杂的安全功能。我们从只需要用户编写出站策略的流量状态防火墙发展到支持更细粒度过滤和深度数据包检测的下一代防火墙(NGFW)。不仅可以识别网络协议和端口,还可以识别特定的应用程序流量。虚拟数据中心的采用导致了虚拟防火墙的发展,增加了更多需要管理的设备。然而,今天,随着向私有云和公共云的转移,有更多的安全控制可供选择:商业云防火墙、云提供商拥有的控制和基于主机的防火墙。转换问题今天的现实是企业环境通常是混合的:几代防火墙、技术和供应商。管理这样一个异构环境是一项挑战,因为每一代防火墙和每个供应商的产品都使用不同的语法和语义来创建安全策略。以同时使用传统防火墙和NGFW的企业网络为例。企业可能有一套适用于全公司的社交媒体网站屏蔽规则,但其营销部门需要访问Facebook。Facebook流量流经两种类型的防火墙—??—这意味着新的安全策略需要针对两种类型的防火墙。对于NGFW,添加这条新规则既直观又简单。可以在防火墙规则集中将Facebook设置为预定义的“允许”应用程序,同时阻止访问其他社交媒体网站和来自其他部门的访问请求。然而,传统的防火墙不理解“Facebook”这个词:它只理解Facebook使用的默认“源”、“目标”、“服务”和“操作”协议——http和https。因此,实际上修改NGFW和传统防火墙的安全策略涉及完全不同的过程和语言。配置设备的工程师不仅要清楚应用之间的映射关系(因为必须在NGFW中定义),还要熟悉它们各自的服务、协议和端口(因为它们必须在NGFW中定义)传统防火墙),以便规则和策略可以在双方使用。在每个环境中获得正确的设置。在编写这些策略或进行网络更改时,产品之间的任何错误或“错误翻译”都可能导致应用程序意外停机或引入安全漏洞——要么是因为重要流量被无意阻止,要么是其他流量被无意允许。一个典型的企业网络环境中有几十个甚至上百个防火墙,这种倍增无异于超级混乱的良方。云复杂化当这些过程扩展到云部署时,根据使用的云安全控制,IT团队可能会遇到额外的复杂化。云提供商可能为特定服务器提供多个安全组,而另一个提供商可能只允许一个安全组——但可能允许一个安全组与VLAN中的所有服务器相??关联。在高层次上,您可以为基本流量过滤指定一个最小公分母,但一旦您想开始做一些更复杂的事情——企业网络所需的细粒度过滤,一些供应商可能无法提供这些功能了。而且,每个提供商的语义模型都不同,你可以用他们的产品过滤什么,你的控制规则可以应用在哪里;它也不同于公司部署的内部防火墙。这种截然不同的语言意味着在异构网络环境中跨许多不同类型的防火墙部署安全策略是一件极其复杂的事情——这意味着即使是最简单的更改(例如为公司的某个部门启用Facebook)也极其复杂。或YouTube访问)都充满了风险。打破语言障碍那么,如何才能消除安全策略修改的风险,减少IT团队在多种防火墙语言之间切换的麻烦呢?无论是在本地还是在云端,各种安全控件使用不同的语法来构建自己的规则和策略和词汇表,有一种方法可以相互翻译。这使IT团队能够使安全资产理解其各自业务的语言。为了克服语言障碍并通过统一控制台和单一命令集有效地优化和管理安全性,您需要具有以下四个关键功能的自动化管理解决方案:1.可见性和可控性您需要能够虚拟化整个网络您的所有防火墙、网关和安全控制均来自单一管理平台。2.管理正常变更作为日常操作的一部分,您需要能够完全配置和管理这些安全产品。因此,您选择的解决方案必须能够转换所使用的各种安全控制的不同语法和逻辑,并且必须能够以一致的方式自动实施安全策略更改。该解决方案还应记录所有修改操作。3.管理上的重大变化网络架构的重大变化也对安全策略管理提出了更高的要求。当您将数据中心或应用程序迁移到云端,或者您的团队选择其他提供商时,您需要能够跨异构环境自动调整您的安全策略。4.证明合规性网络安全是您必须向审计和监管机构证明合规性的一个重要领域。自动跟踪所有流程和变更、主动评估风险并提供随时可用的审计报告的解决方案有助于提高审计准备情况并保持持续的合规状态。通用语言正确的解决方案集使企业能够确保其整个防火墙资产理解并响应通用的安全要求,无论这些防火墙部署在何处。安全策略也可以持续一致地应用,省去了耗时耗力且容易出错的人工流程,确保网络流量能够在企业内部网络与私有或公有云环境之间安全流动。毕竟,企业安全性和合规性是您在翻译中绝不能迷失的两件事。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
