一日復(fù)一日，不同規(guī)模的企業(yè)都面臨著網(wǎng)絡(luò)犯罪和惡意內(nèi)部人員的威脅。在2020年，Verizon報告全球有超過3,950件被確認(rèn)的數(shù)據(jù)泄露事件，相比前一年幾乎翻倍。這些數(shù)據(jù)泄露影響了幾百萬人，造成企業(yè)大量的時間、金錢和資源損失，并且對企業(yè)發(fā)展都有深遠(yuǎn)的影響。

　　在今天快速變化的世界，CISO們需要一種能夠?qū)Τ掷m(xù)增長的動態(tài)負(fù)載與內(nèi)部流量進(jìn)行防御的方式。傳統(tǒng)安全解決方案已經(jīng)不足以應(yīng)對了。VMwareThreatAnalysisUnit新發(fā)布了一份威脅報告中，著重提到了一種新的方案，尤其針對邊界內(nèi)進(jìn)行防御。在這份報告中，結(jié)論很明顯：即使部署了主要的邊界防御，惡意人員依然活躍在網(wǎng)絡(luò)中。

　　VMware的網(wǎng)絡(luò)安全產(chǎn)品市場高級主管DhruvJain指出了五個內(nèi)部數(shù)據(jù)中心的傳統(tǒng)防火墻缺陷。

　　缺陷一：邊界防火墻主要針對舊流量模式，而非新流量模式

　　大部分內(nèi)部防火墻是從企業(yè)的邊界防火墻精簡而來，用于確保南北流量安全。然而，在現(xiàn)代數(shù)據(jù)中心中，有大量的東西流量，意味著數(shù)據(jù)中心內(nèi)有很多平行移動的情況。隨著越來越多的一體化應(yīng)用被部署或者重建到分布式應(yīng)用中，如今東西向流量已經(jīng)遠(yuǎn)超南北向流量。

　　太多組織犯了將自己傳統(tǒng)邊界防火墻改造后保護(hù)內(nèi)部網(wǎng)絡(luò)的錯誤。雖然這件事看上去很吸引人，但是用邊界防火墻監(jiān)測東西流量不僅昂貴，而且還在管控大量動態(tài)負(fù)載的強(qiáng)度和性能上十分低效。

　　缺陷二：邊界防火墻缺少延展性

　　用邊界防火墻監(jiān)測南北流量一般不會產(chǎn)生性能瓶頸，因?yàn)榱髁恳?guī)模并沒有東西流量那么大。但是如果企業(yè)用邊界防火墻監(jiān)測所有(或者大部分)東西流量，成本和復(fù)雜性會幾何級增長到企業(yè)根本無法解決的地步。

　　缺陷三：發(fā)卡對頭發(fā)不錯，但是對數(shù)據(jù)中心流量可不好

　　如果邊界防火請被用于監(jiān)測東西流量，流量會被強(qiáng)制從一個中心化的設(shè)備進(jìn)出，從而導(dǎo)致發(fā)卡流量模式的產(chǎn)生，會造成大量的網(wǎng)絡(luò)資源使用。除了會增加延遲，無論是從網(wǎng)絡(luò)設(shè)計(jì)還是從網(wǎng)絡(luò)運(yùn)行層面來看，發(fā)卡內(nèi)部網(wǎng)絡(luò)流量還會增加網(wǎng)絡(luò)的復(fù)雜性。網(wǎng)絡(luò)在設(shè)計(jì)的時候必須考慮到會有額外的發(fā)卡流量穿過邊界防火墻。在運(yùn)營層面，安全運(yùn)營團(tuán)隊(duì)必須貼合網(wǎng)絡(luò)設(shè)計(jì)，并且留意給防火墻額外流量時的限制。

　　缺陷四：邊界防火墻不提供清晰的可視化能力

　　監(jiān)測東西流量并貫徹顆粒度策略要求到負(fù)載等級的可視化能力。標(biāo)準(zhǔn)的邊界防火墻沒有對負(fù)載交互的高可視化能力，也沒有微隔離服務(wù)建造現(xiàn)代化的分布式應(yīng)用。缺乏應(yīng)用流的可視化能力會讓創(chuàng)建和執(zhí)行負(fù)載或者單獨(dú)流量等級的規(guī)則極度困難。

　　缺陷五：我有安全策略了，但應(yīng)用在哪?

　　傳統(tǒng)的防火墻管理界面被設(shè)計(jì)于管理幾十個分離的防火墻，但并不是設(shè)計(jì)支持帶有自動化配置安全策略的負(fù)載靈活能力。因此，當(dāng)邊界防火墻被用作內(nèi)部防火墻的時候，網(wǎng)絡(luò)和安全運(yùn)營人員必須在一個新的工作負(fù)載創(chuàng)建的時候，手動建立新的安全策略;并且當(dāng)一個負(fù)載被移除或者停用的時候，修改這些策略。

　　用零信任重新思考內(nèi)部數(shù)據(jù)中心安全

　　在這些缺陷的情況下，現(xiàn)在是時候重新思考內(nèi)部數(shù)據(jù)中心安全，并且開始應(yīng)用零信任安全了。如果傳統(tǒng)的邊界防火墻不適合，或者無法有效地成為內(nèi)部防火墻，那哪種解決方案是最適合監(jiān)測東西流量?基于上述的缺陷，組織應(yīng)該開始考量防火墻的支持以下能力：

　　分布式和顆粒度執(zhí)行安全策略。

　　可延展性以及吞吐量，在不影響性能的情況下處理大流量。

　　對網(wǎng)絡(luò)和服務(wù)器架構(gòu)低影響。

　　應(yīng)用內(nèi)可視化。

　　負(fù)載移動性與自動化策略管理。

　　一個邊界防火墻要滿足這些要求，無法避免地會有極高的成本和復(fù)雜性，還可能會發(fā)生大量的安全失效事件。但是，一個分布式的軟件定義方案是部署內(nèi)部防火墻監(jiān)測東西流量的最有效方式，一個正確的軟件定義內(nèi)部防火墻方案可以可延展地、低成本地、高效地保護(hù)成千上萬的工作負(fù)載，橫跨數(shù)千個應(yīng)用;同時在數(shù)據(jù)中心啟用零信任模型，可以幫助企業(yè)更進(jìn)一步實(shí)現(xiàn)整體的零信任安全框架。

　　點(diǎn)評

　　當(dāng)外部的邊界逐漸模糊以后，威脅在內(nèi)部的橫向移動就更需要注意，以便能夠第一時間發(fā)現(xiàn)攻擊并將攻擊限制在有限范圍內(nèi)。因此，數(shù)據(jù)中心內(nèi)部的防護(hù)需要應(yīng)對大量的東西向流量，在復(fù)雜的內(nèi)部環(huán)境中獲得可視化能力。這需要基于零信任構(gòu)建網(wǎng)絡(luò)，并使用微隔離對網(wǎng)絡(luò)分區(qū)進(jìn)行管理。