产品需求在安全运营数字化、智能化的今天,越来越多的新型基础设施项目需要使用云原生安全解决方案。同时,新基建有两个发展方向。更激进的方案是直接在公有云上构建多云场景,完全使用云原生方案;保守的解决方案以x-stack私有云的形式输出给用户。但无论采用哪种方案,对防火墙帮助企业在云上构建网络边界安全防护能力的需求没有变,只是形式变了。根据不同用户的业务场景,对防火墙的要求也不同。对于大型企业集团公司、金融云场景、公有云中小企业用户的使用场景,其业务安全诉求的强弱程度不尽相同。为了降低外网曝光、内网非法下载、外链挖矿等风险,我们需要外链外链安全控制功能。当暴露在互联网上的业务出现新的0day漏洞时,需要虚拟补丁保护,实现业务零中断。保单合规业务需求需要满足安全区域边界要求和日志保存180天的强监管要求。当然,从易用性来说,还需要更改过滤规则的设置和配置,非常复杂,配置难度大。利用机器学习等方法帮助用户快速准确地设置防火墙策略。技术迭代按照部署形式和技术变革的里程碑大致分为:1、在传统防火墙阶段,主要介绍安全组、传统包过滤和状态防火墙、Web防火墙的区别。(1)传统防火墙vs安全组传统防火墙实际上是采用传统的路由表ACL过滤+TCP状态监控来应对IP地址、TCP欺骗等攻击。设置拦截策略。安全组是传统防火墙能力在虚拟网络中逐层分布式部署,通过控制节点和计算节点将不同的云主机实例划分为一个安全组,实现安全域管控。当然,为了提高效率,会做DPDK修改。(2)云防火墙vsWeb应用防火墙云防火墙产品定位:多云场景环境下基于SaaS的4层状态防火墙,可统一管理从互联网到服务(南北)和微观的访问控制策略-服务间隔离策略(东西向),支持全网流量可视化,服务间访问关系可视化。使用场景:多云场景统一防火墙策略管控、CDN等安全域划分。Web应用防火墙产品定位:客户端到源站的南北向流量,主要针对七层http协议。Waf识别和防护APP或网页业务请求流量的恶意特征,保护业务安全和核心数据安全。使用场景:Web应用安全防护。2、下一代防火墙阶段,云原生vsUTM传统硬件防火墙,下一代防火墙里程碑式的进步主要体现在能够对协议内部的数据进行深度包检测(DPI),比如as:能够线速提取,数据包的内容,URL包含携带的文件,这样可以集成更强大的安全检测能力,可以对接IDPS能力;威胁情报;网址过滤;杀毒墙等当然,这是NP架构升级到x86硬件能力的结果。这一阶段,云防火墙也在不断演进,这部分突出的技术是在云主机层面使用微隔离技术。它还受益于云计算技术在虚拟化层面的性能提升。3、新基建防火墙发展阶段这个阶段主要是整合平台端和租户端的统一管理。当然,这部分我更看好云防火墙的发展趋势。虽然传统的硬件防火墙也在使用自己的SDN技术作为虚拟防火墙,但是如果说网络虚拟化谁比较了解,那当然是公有云了,绝对不是独立第一。第三方安全供应商。所以云原生防火墙是最终的统一形态。当然,在这个发展阶段,还是需要向硬件部署的下一代防火墙学习。您需要改进您的DPI功能以实时发现新的外部服务暴露的端口,以及链接扫描器以帮助用户实时减少25%+的网络风险暴露。防护,将内外IP与威胁情报联动,一旦发现恶意连接挖矿地址或被入侵主机,必须及时报警并阻断。与IPS联动,及时发现CVE扫描,尤其是0day攻击,并通过自定义策略进行阻断。访问日志审计保留,安全合规要求。展望安全运营普及的时代,云防火墙是您的安全刚需;在选型阶段,也推荐使用云原生。
