一日復(fù)一日，不同規(guī)模的企業(yè)都面臨著網(wǎng)絡(luò)犯罪和惡意內(nèi)部人員的威脅。在2020年，Verizon報(bào)告全球有超過(guò)3,950件被確認(rèn)的數(shù)據(jù)泄露事件，相比前一年幾乎翻倍。這些數(shù)據(jù)泄露影響了幾百萬(wàn)人，造成企業(yè)大量的時(shí)間、金錢和資源損失，并且對(duì)企業(yè)發(fā)展都有深遠(yuǎn)的影響。

　　傳統(tǒng)防火墻用于數(shù)據(jù)中心內(nèi)部的五大缺陷

　　在今天快速變化的世界，CISO們需要一種能夠?qū)Τ掷m(xù)增長(zhǎng)的動(dòng)態(tài)負(fù)載與內(nèi)部流量進(jìn)行防御的方式。傳統(tǒng)安全解決方案已經(jīng)不足以應(yīng)對(duì)了。VMware Threat Analysis Unit新發(fā)布了一份威脅報(bào)告中，著重提到了一種新的方案，尤其針對(duì)邊界內(nèi)進(jìn)行防御。在這份報(bào)告中，結(jié)論很明顯：即使部署了主要的邊界防御，惡意人員依然活躍在網(wǎng)絡(luò)中。

　　VMware的網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)高級(jí)主管指出了五個(gè)內(nèi)部數(shù)據(jù)中心的傳統(tǒng)防火墻缺陷。

　　缺陷一：邊界防火墻主要針對(duì)舊流量模式，而非新流量模式

　　大部分內(nèi)部防火墻是從企業(yè)的邊界防火墻精簡(jiǎn)而來(lái)，用于確保南北流量安全。然而，在現(xiàn)代數(shù)據(jù)中心中，有大量的東西流量，意味著數(shù)據(jù)中心內(nèi)有很多平行移動(dòng)的情況。隨著越來(lái)越多的一體化應(yīng)用被部署或者重建到分布式應(yīng)用中，如今東西向流量已經(jīng)遠(yuǎn)超南北向流量。

　　太多組織犯了將自己傳統(tǒng)邊界防火墻改造后保護(hù)內(nèi)部網(wǎng)絡(luò)的錯(cuò)誤。雖然這件事看上去很吸引人，但是用邊界防火墻監(jiān)測(cè)東西流量不僅昂貴，而且還在管控大量動(dòng)態(tài)負(fù)載的強(qiáng)度和性能上十分低效。

　　缺陷二：邊界防火墻缺少延展性

　　用邊界防火墻監(jiān)測(cè)南北流量一般不會(huì)產(chǎn)生性能瓶頸，因?yàn)榱髁恳?guī)模并沒有東西流量那么大。但是如果企業(yè)用邊界防火墻監(jiān)測(cè)所有(或者大部分)東西流量，成本和復(fù)雜性會(huì)幾何級(jí)增長(zhǎng)到企業(yè)根本無(wú)法解決的地步。

　　缺陷三：發(fā)卡對(duì)頭發(fā)不錯(cuò)，但是對(duì)數(shù)據(jù)中心流量可不好

　　如果邊界防火請(qǐng)被用于監(jiān)測(cè)東西流量，流量會(huì)被強(qiáng)制從一個(gè)中心化的設(shè)備進(jìn)出，從而導(dǎo)致發(fā)卡流量模式的產(chǎn)生，會(huì)造成大量的網(wǎng)絡(luò)資源使用。除了會(huì)增加延遲，無(wú)論是從網(wǎng)絡(luò)設(shè)計(jì)還是從網(wǎng)絡(luò)運(yùn)行層面來(lái)看，發(fā)卡內(nèi)部網(wǎng)絡(luò)流量還會(huì)增加網(wǎng)絡(luò)的復(fù)雜性。網(wǎng)絡(luò)在設(shè)計(jì)的時(shí)候必須考慮到會(huì)有額外的發(fā)卡流量穿過(guò)邊界防火墻。在運(yùn)營(yíng)層面，安全運(yùn)營(yíng)團(tuán)隊(duì)必須貼合網(wǎng)絡(luò)設(shè)計(jì)，并且留意給防火墻額外流量時(shí)的限制。

　　缺陷四：邊界防火墻不提供清晰的可視化能力

　　監(jiān)測(cè)東西流量并貫徹顆粒度策略要求到負(fù)載等級(jí)的可視化能力。標(biāo)準(zhǔn)的邊界防火墻沒有對(duì)負(fù)載交互的高可視化能力，也沒有微隔離服務(wù)建造現(xiàn)代化的分布式應(yīng)用。缺乏應(yīng)用流的可視化能力會(huì)讓創(chuàng)建和執(zhí)行負(fù)載或者單獨(dú)流量等級(jí)的規(guī)則極度困難。

　　缺陷五：我有安全策略了，但應(yīng)用在哪?

　　傳統(tǒng)的防火墻管理界面被設(shè)計(jì)于管理幾十個(gè)分離的防火墻，但并不是設(shè)計(jì)支持帶有自動(dòng)化配置安全策略的負(fù)載靈活能力。因此，當(dāng)邊界防火墻被用作內(nèi)部防火墻的時(shí)候，網(wǎng)絡(luò)和安全運(yùn)營(yíng)人員必須在一個(gè)新的工作負(fù)載創(chuàng)建的時(shí)候，手動(dòng)建立新的安全策略;并且當(dāng)一個(gè)負(fù)載被移除或者停用的時(shí)候，修改這些策略。

　　用零信任重新思考內(nèi)部數(shù)據(jù)中心安全

　　在這些缺陷的情況下，現(xiàn)在是時(shí)候重新思考內(nèi)部數(shù)據(jù)中心安全，并且開始應(yīng)用零信任安全了。如果傳統(tǒng)的邊界防火墻不適合，或者無(wú)法有效地成為內(nèi)部防火墻，那哪種解決方案是最適合監(jiān)測(cè)東西流量?基于上述的缺陷，組織應(yīng)該開始考量防火墻的支持以下能力：

　　分布式和顆粒度執(zhí)行安全策略。

　　可延展性以及吞吐量，在不影響性能的情況下處理大流量。

　　對(duì)網(wǎng)絡(luò)和服務(wù)器架構(gòu)低影響。

　　應(yīng)用內(nèi)可視化。

　　負(fù)載移動(dòng)性與自動(dòng)化策略管理。

　　一個(gè)邊界防火墻要滿足這些要求，無(wú)法避免地會(huì)有極高的成本和復(fù)雜性，還可能會(huì)發(fā)生大量的安全失效事件。但是，一個(gè)分布式的軟件定義方案是部署內(nèi)部防火墻監(jiān)測(cè)東西流量的最有效方式，一個(gè)正確的軟件定義內(nèi)部防火墻方案可以可延展地、低成本地、高效地保護(hù)成千上萬(wàn)的工作負(fù)載，橫跨數(shù)千個(gè)應(yīng)用;同時(shí)在數(shù)據(jù)中心啟用零信任模型，可以幫助企業(yè)更進(jìn)一步實(shí)現(xiàn)整體的零信任安全框架。

　　點(diǎn)評(píng)

　　當(dāng)外部的邊界逐漸模糊以后，威脅在內(nèi)部的橫向移動(dòng)就更需要注意，以便能夠第一時(shí)間發(fā)現(xiàn)攻擊并將攻擊限制在有限范圍內(nèi)。因此，數(shù)據(jù)中心內(nèi)部的防護(hù)需要應(yīng)對(duì)大量的東西向流量，在復(fù)雜的內(nèi)部環(huán)境中獲得可視化能力。這需要基于零信任構(gòu)建網(wǎng)絡(luò)，并使用微隔離對(duì)網(wǎng)絡(luò)分區(qū)進(jìn)行管理。