軟件防火墻如何工作?軟件防火墻的類(lèi)型
      
                                    
                                
      
                                
      
                                    
      

      

      軟件防火墻是一種軟件形式的防火墻,而不是物理設(shè)備,可以部署在服務(wù)器或虛擬機(jī)上以保護(hù)云環(huán)境。*注意:術(shù)語(yǔ)“軟件防火墻”不應(yīng)與術(shù)語(yǔ)“防火墻軟件”混淆,后者描述運(yùn)行下一代防火墻 (NGFW) 的操作系統(tǒng)。
      

      軟件防火墻如何工作?軟件防火墻的類(lèi)型-南華中天
      

      軟件防火墻旨在保護(hù)難以或不可能部署物理防火墻的環(huán)境中的數(shù)據(jù)、工作負(fù)載和應(yīng)用程序,包括:
      

        

      • 軟件定義網(wǎng)絡(luò) (SDN)
        • 

      • 管理程序
        • 

      • 公共云環(huán)境
        • 

      • 虛擬化數(shù)據(jù)中心
        • 

      • 分支機(jī)構(gòu)
        • 

      • 容器環(huán)境
        • 

      • 混合和多云環(huán)境
        • 

      

      軟件防火墻如何工作
      

      軟件防火墻體現(xiàn)了與硬件防火墻(也稱(chēng)為下一代防火墻或 NGFW)相同的防火墻技術(shù)。軟件防火墻提供多種部署選項(xiàng),以滿(mǎn)足混合/多云環(huán)境和現(xiàn)代云應(yīng)用程序的需求。它們可以部署到任何虛擬化網(wǎng)絡(luò)或云環(huán)境中。
      

      

      

      

      

      軟件防火墻與硬件防火墻
      

      硬件和軟件防火墻之間最重要的區(qū)別是外形因素,但還有其他幾個(gè)值得注意的地方。軟件和硬件防火墻在網(wǎng)絡(luò)安全中都起著至關(guān)重要的作用。因此,軟件防火墻并不比硬件防火墻好,反之亦然。相反,每種都適用于不同的情況。
      

      

      

      

      

      


      
參數(shù)
軟件防火墻
硬件防火墻

      
      


      
外形尺寸


        

      • 軟件

          

        • 軟件防火墻安裝在服務(wù)器或虛擬機(jī)上
          • 

        • 在安全操作系統(tǒng)上運(yùn)行,通常在通用硬件上運(yùn)行,頂部有虛擬化層
          • 

        

        • 

      
      		


        

      • 物理的、單獨(dú)的設(shè)備

          

        • 安裝在網(wǎng)絡(luò)元素和連接的設(shè)備之間
          • 

        

        • 

      
      		

      

      
部署選項(xiàng)


        

        • 

      • 容器
        • 

      • 虛擬的
        • 

      
      		


        

      • 下一代防火墻
        • 

      
      		

      

      
復(fù)雜


        

      • 可以使用云自動(dòng)化工具快速輕松地部署
        • 

      • 可供非網(wǎng)絡(luò)安全專(zhuān)家使用
        • 

      
      		


        

      • 硬件防火墻需要有形的活動(dòng),例如通過(guò)命令行界面 (CLI) 重新布置電纜和設(shè)置配置參數(shù)
        • 

      • 安裝和管理需要熟練的人員
        • 

      
      		

      
      

      

      

      

      

      

      軟件防火墻的類(lèi)型
      

      軟件防火墻通常屬于以下三類(lèi)之一:
      

        

      • 虛擬防火墻
        • 

      • 容器防火墻
        • 

      • 托管服務(wù)防火墻
        • 

      

      每種類(lèi)型都針對(duì)不同的環(huán)境和目的提供特定的功能。但是,每個(gè)軟件防火墻都會(huì)監(jiān)視和保護(hù)東西向、傳入和傳出的網(wǎng)絡(luò)流量。軟件防火墻阻止可疑活動(dòng)并防止?jié)B漏。
      

      軟件防火墻如何工作?軟件防火墻的類(lèi)型-南華中天
      

      虛擬防火墻(也稱(chēng)為云防火墻或虛擬化 NGFW)
      

      虛擬防火墻保護(hù)一系列環(huán)境,包括:
      

        

      • 混合云
        • 

      • 個(gè)人私有云和公共云
        • 

      • 虛擬化分支機(jī)構(gòu)
        • 

      • 5G部署
        • 

      • 3 個(gè)虛擬防火墻用例
        • 

      

      虛擬防火墻可以檢查和控制公共云環(huán)境中的南北邊界流量,并在數(shù)據(jù)中心和分支機(jī)構(gòu)內(nèi)分割東西向流量。虛擬防火墻通過(guò)微分段提供高級(jí)威脅預(yù)防措施。
      

      在公共云中,虛擬防火墻為云服務(wù)提供商 (CSP) 提供的原生保護(hù)措施增加了保護(hù)。它們還保護(hù)與云應(yīng)用程序的關(guān)鍵網(wǎng)絡(luò)連接。在這些情況下,基于云的防火墻通常充當(dāng)來(lái)賓虛擬機(jī)。有些可以提供跨多個(gè) CSP 部署的可見(jiàn)性。
      

      高端虛擬防火墻可以提供以下好處:
      

        

      • 支持組織履行公共云用戶(hù)安全義務(wù)
        • 

      • 確保符合監(jiān)管標(biāo)準(zhǔn)
        • 

      • 增強(qiáng)每個(gè) CSP 獨(dú)有的內(nèi)置安全功能
        • 

      

      容器防火墻
      

      容器防火墻的行為類(lèi)似于虛擬防火墻,但專(zhuān)為 Kubernetes 環(huán)境構(gòu)建。容器防火墻通過(guò)將安全性深度集成到 Kubernetes 編排中,幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)保護(hù)開(kāi)發(fā)人員。這一點(diǎn)很重要,因?yàn)榍度朐?Kubernetes 環(huán)境中的容器工作負(fù)載可能難以使用傳統(tǒng)防火墻進(jìn)行保護(hù)。
      

      托管服務(wù)防火墻
      

      軟件防火墻也可作為托管服務(wù)提供,類(lèi)似于許多其他軟件即服務(wù) (SaaS) 產(chǎn)品。一些托管服務(wù)防火墻產(chǎn)品提供了一種靈活的方式來(lái)部署應(yīng)用程序級(jí)(第 7 層)安全性,而無(wú)需管理監(jiān)督。作為托管服務(wù),其中一些防火墻還可以快速擴(kuò)展和縮減。
      

      需要軟件防火墻的網(wǎng)絡(luò)安全挑戰(zhàn)
      

      在虛擬化、去中心化環(huán)境的世界中,出現(xiàn)了許多網(wǎng)絡(luò)安全挑戰(zhàn),這些挑戰(zhàn)無(wú)法通過(guò)應(yīng)用于傳統(tǒng)數(shù)據(jù)中心的解決方案來(lái)解決。
      

      消失的安全邊界
      

      將網(wǎng)絡(luò)內(nèi)部和外部分開(kāi)的傳統(tǒng)安全邊界的概念已經(jīng)受到挑戰(zhàn)一段時(shí)間了。隨著混合云/多云戰(zhàn)略的激增,當(dāng)今的現(xiàn)代架構(gòu)使得定義邊界變得更加困難。此外,大部分架構(gòu)由服務(wù)提供商運(yùn)行的云組成。這導(dǎo)致信息在網(wǎng)絡(luò)和互聯(lián)網(wǎng)上不斷移動(dòng)。
      

      日益危險(xiǎn)的威脅形勢(shì)
      

      40% 的企業(yè)已經(jīng)遭受過(guò)至少一次基于云的數(shù)據(jù)泄露,考慮到云時(shí)代的持續(xù)時(shí)間很短,這一比例非常可觀。這些成功攻擊的受害者不僅僅是云新手,還有在網(wǎng)絡(luò)安全方面擁有大量投資和專(zhuān)業(yè)知識(shí)的老牌企業(yè)。
      

      云和網(wǎng)絡(luò)團(tuán)隊(duì)之間相互矛盾的安全觀點(diǎn)
      

      從應(yīng)用程序開(kāi)發(fā)開(kāi)始,轉(zhuǎn)向云優(yōu)先戰(zhàn)略對(duì)安全性具有深遠(yuǎn)影響。安全性并不總是云開(kāi)發(fā)人員的首要考慮因素。他們的任務(wù)是盡快開(kāi)發(fā)和發(fā)布。事實(shí)上,14% 的云開(kāi)發(fā)人員表示應(yīng)用程序安全是重中之重,而三分之二的人通常會(huì)在他們的代碼中留下已知的漏洞和漏洞。此外,開(kāi)發(fā)團(tuán)隊(duì)通常會(huì)認(rèn)為云服務(wù)提供商提供的本機(jī)安全性“足夠好”。
      

      網(wǎng)絡(luò)安全通常出現(xiàn)在開(kāi)發(fā)生命周期的后期,限制了可用選項(xiàng)的范圍。此外,當(dāng)網(wǎng)絡(luò)安全團(tuán)隊(duì)推薦諸如 NGFW 之類(lèi)的安全解決方案時(shí),他們有責(zé)任證明他們的建議不會(huì)減慢業(yè)務(wù)速度或延遲實(shí)現(xiàn)價(jià)值的時(shí)間。
      

      云原生在混合/多云架構(gòu)中引入網(wǎng)絡(luò)安全問(wèn)題
      

      開(kāi)發(fā)方法的一個(gè)特別具有破壞性的變化是使用特定于供應(yīng)商的編排服務(wù),例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用這些工具,開(kāi)發(fā)人員只需上傳應(yīng)用程序代碼,編排服務(wù)就會(huì)自動(dòng)處理部署。雖然這種自動(dòng)化水平極大地簡(jiǎn)化了開(kāi)發(fā)人員的工作,但它也加劇了混合/多云架構(gòu)中的網(wǎng)絡(luò)安全問(wèn)題。
      

      更大的攻擊面
      

      數(shù)據(jù)中心正在演變?yōu)樗接性疲渲斜镜貞?yīng)用程序托管在虛擬機(jī)上,而不是直接托管在物理服務(wù)器上。其他應(yīng)用程序在虛擬化環(huán)境中的公共云上運(yùn)行,通常使用容器和 Kubernetes 編排。在此模型中,互連主導(dǎo)架構(gòu),使攻擊面更大且更難以定義。
      

      混合/多云環(huán)境往往會(huì)帶來(lái)合規(guī)性挑戰(zhàn)
      

      責(zé)任共擔(dān)模式
      

      責(zé)任共擔(dān)模型只是混合/多云架構(gòu)的一個(gè)方面,它可能難以實(shí)現(xiàn)合規(guī)性。
      

      服務(wù)提供商實(shí)施一些必要的控制,因此必須提供可以納入審計(jì)的證據(jù)。幸運(yùn)的是,客戶(hù)通常可以從 CSP“繼承”控制權(quán)。如果文檔到位,這會(huì)簡(jiǎn)化合規(guī)性。
      

      CSP 不監(jiān)督的項(xiàng)目,例如應(yīng)用程序,從審計(jì)的角度來(lái)看是用戶(hù)的責(zé)任。
      

      地理差異
      

      另一個(gè)合規(guī)性挑戰(zhàn)是混合/多云架構(gòu)通常跨越多個(gè)地區(qū)和司法管轄區(qū)的方式。這可能會(huì)引起諸如數(shù)據(jù)局部性和數(shù)據(jù)保護(hù)法規(guī)之類(lèi)的問(wèn)題。
      

      軟件防火墻的好處
      

      保護(hù)混合/多云架構(gòu)帶來(lái)了傳統(tǒng)安全解決方案無(wú)法克服的挑戰(zhàn)。物理防火墻是許多網(wǎng)絡(luò)應(yīng)用程序的關(guān)鍵安全工具。然而,當(dāng)涉及到現(xiàn)代混合/多云基礎(chǔ)設(shè)施和云原生開(kāi)發(fā)方法時(shí),它并不總是唯一的選擇。
      

      全面保護(hù)
      

      入境保護(hù)
      

      眾所周知,混合/多云環(huán)境的邊界沒(méi)有明確定義。軟件防火墻可以更輕松地定義邊界和所需的執(zhí)行點(diǎn)。
      

      例如:用戶(hù)可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行微分段并建立一個(gè)策略,只允許特定應(yīng)用程序的后端與其通信。這可以防止來(lái)自外部世界的入站威脅。旨在滲透應(yīng)用程序、竊取敏感數(shù)據(jù)或加密數(shù)據(jù)的威脅將被阻止。
      

      出境保護(hù)
      

      今天的現(xiàn)代應(yīng)用程序通常會(huì)訪問(wèn)第三方代碼或開(kāi)源代碼。這需要聯(lián)系 GitHub 等存儲(chǔ)庫(kù)以獲取第三方軟件更新。更新可能會(huì)被誤導(dǎo)到命令和控制服務(wù)器。
      

      軟件防火墻提供出站保護(hù)。這確保只訪問(wèn)必要的存儲(chǔ)庫(kù)。出站保護(hù)還確保只訪問(wèn)經(jīng)過(guò)批準(zhǔn)的 URL,防止未經(jīng)授權(quán)訪問(wèn)惡意或感染惡意軟件的 URL。
      

      側(cè)面保護(hù)
      

      在云中,應(yīng)用程序不會(huì)在孤島中運(yùn)行。相反,它們通過(guò) API 和網(wǎng)絡(luò)通信進(jìn)行通信。應(yīng)用程序還與云內(nèi)外的用戶(hù)對(duì)話(huà)。這通常是為了確保用戶(hù)可以訪問(wèn)和使用這些應(yīng)用程序。
      

      如果保護(hù)面被滲透,軟件防火墻會(huì)阻止云內(nèi)的橫向移動(dòng)。這包括云到云或 VCP。因此,威脅在云中移動(dòng)或追蹤其他資源的能力極其有限。
      

      相對(duì)容易設(shè)置和維護(hù)
      

      軟件防火墻不需要前往物理位置、重新布置電纜或與 CLI 交互。事實(shí)上,部署、擴(kuò)展和策略更改通常是自動(dòng)化的。員工無(wú)需花費(fèi)數(shù)小時(shí)進(jìn)行日常手動(dòng)操作。