基于云的防火墙有两种,虽然底层技术可能相同,但它们其实时两种类型的产品:一种用于保护企业的网络和用户,另一种保护云基础设施和服务器。让我们看看这两者的区别。
这两种防火墙我们分别称为Vanila和Strawberry(笔者仅使用这两个词语用于区分二者,便与讨论),这两种都是检查入站和出站数据包以阻止恶意流量的软件。但它们有很大的不同,我们可以将它们视为两个重要的网络安全工具:两者都旨在保护你、你的网络以及你的真实和虚拟资产。
让我们看看这两者的概述:
Vanilla防火墙通常是独立的产品或服务,旨在保护企业网络及其用户,这与内部部署防火墙设备类似,只不过它在云计算中。服务提供商将其称为软件即服务(SaaS)防火墙、安全即服务(SECaaS)或者甚至防火墙即服务(FaaS)。
相比之下,Strawberry防火墙是基于云的服务,它运行在虚拟数据中心中--使用平台即服务(PaaS)或基础设施即服务(IaaS)模型中的服务器。在这些情况下,防火墙应用运行在虚拟服务器,保护云端应用程序之间的流量。行业有时候称其为下一代防火墙,有时候是指在本地或在云中运行的高级防火墙系统。
那么,我们为什么需要这些新的防火墙?为什么不将1U防火墙设备加入到机架中,连接到路由器?理由很简单:因为网络边界的定义已经改变。防火墙以前就像是安全设施入口处的保安。只有授权人员可进入该设施,包裹在进入和离开建筑物时都会进行搜查。此外,你的用户在设施内工作,数据中心和服务器都在内部。因此,保护网络相对简单。里面的事物受到保护,外面不安全,唯一出入方式是通过防火墙。
而现在已经不是这样,授权用户可以再任何地方,用户也可从任何地方访问应用。这些应用可能位于内部数据中心、公共或私有IaaS/PaaS云内企业控制的服务器中,第三方SaaS应用也可能位于云中。只有相对较少的企业流量通过内部路由器,这也是为什么我们需要基于云的vanilla防火墙保护所有用户以及基于云的Strawberry防火墙扩展安全策略到IaaS/PaaS环境的原因。
防火墙即服务
云端vanilla防火墙就像是传统内部防火墙设备,只不过它们是互联网服务提供商或防火墙服务专有SaaS提供商提供(即FaaS提供商)的服务。你可能会为这一服务支付固定费用,或者你可能基于某些因素按月支付费用,例如总体带宽消耗以及可选服务(例如域过滤)。
配置FaaS非常简单。如果这是你的电信运营商提供的附加服务,你可能不需要更改设置或者做任何其他操作。系统管理员会得到仪表板或管理控制台来显示活动,可能让他们选择查看的内容。
如果FaaS是由第三方提供商提供,你可能需要更改路由器设置来连接到该提供商。在某种意义上,它将是你的互联网提供商。
FaaS的优势是你可扩展保护到远程员工或者正在旅行的员工。这些用户将通过安全通道连接到云防火墙提供商,可能是虚拟专用网络(VPN)。这样的话,他们可访问具有企业级防火墙保护的互联网,并可通过该防火墙访问基于云的服务,并连接回企业。总之,这可为远程及旅行的员工提供与内部员工相同的保护。
远程员工支持是FaaS的一个主要优势。另一个优势是,它可将成本从资本支出转移到运营支出,这对于很多企业来说都非常重要。
对于FaaS,你只需要支付你使用部分的费用,你不必购买超出需求的防火墙设备容量以便为最繁忙的时间段做准备。这样的话,你就有过多的内部防火墙容量,特别是当你已经开始迁移服务到云端时。通过关闭这些设备,你基本上将安全外围都外包到更有效的服务。
还有一个好处是,当出现新兴零日威胁或者补丁时,FaaS提供商可快速做出变更,你不需要下载和安装更新。当然,潜在缺点是你完全依靠FaaS提供商来做到这一点。然而,由于大多数服务提供商都有全职安全团队并订阅所有威胁情报服务,可全天候响应,笔者认为他们可比大部分中小企业甚至大型企业更好地保持防火墙更新以及配置正确。
另一个优势是抵御分布式拒绝服务(DDoS)攻击。“在过去,你可能会在互联网末端抵御DDoS,但现实是DDoS攻击可能会淹没你,无论你有多少带宽,”惠普企业数字解决方案和传输团队首席技术官Simon Leech称,“选择云端则不一样,因为云计算提供商有足够的带宽来击退千兆或者TB级的攻击。”
换句话说,任何攻击都将由带宽丰富的FaaS服务器定向和阻止,而不会影响到你自己的互联网连接。最终结果是:FaaS提供商应该可为你提供一个干净的互联网连接。
很多供应商都提供FaaS选项,例如AT&T公司的Managed Firewall Security以及Wedge Networks公司的Cloud Network Defense。笔者个人建议是:大部分中小企业会发现来自电信运营商或者ISP的FaaS产品更容易使用且经济实惠。这些服务提供商可能还与品牌防火墙提供商有合作协议。
针对IaaS/PaaS的防火墙
在云中的虚拟防火墙用于保护你的云基础设施和服务,而FaaS与之完全不同,FaaS旨在保护你的网络边界以及远程或履行最终用户。
在IaaS/PaaS世界,你从服务提供商租用基础设施,你可以在其上创建和管理自己的虚拟服务器。这些服务器可用于存储、托管现成或本地应用、两层或三层网络服务--这完全取决于你。在某些情况下,这些基于云的应用完全独立。在其他情况,它们可能会链接(通过VPN)到数据中心内其他服务器和应用。这里重要的是,这些虚拟服务器完全由你和你的团队管理,这可为你提供最大的灵活性,以及100%的责任。
在这种情况下,则必须使用虚拟防火墙。它们可保护你的云服务器免受来自外部的恶意流量或者攻击,它们还可保护你的云服务器免受其他受攻击服务器的影响,例如在内部攻击或者成功外部攻击的情况下。
而云防火墙是一个应用,你可从云主机或者你喜欢的防火墙供应商获取云防火墙。这些下一代防火墙或者虚拟防火墙以不同方式提供。你可能会看到它们是完全配置的虚拟机,让你可用于云基础设施的前端;或者,它们可能作为二进制文件提供,让你可安装和运行在现有虚拟机中,例如web服务器或者事务数据库服务器。
几乎每个知名防火墙提供商都提供IaaS/PaaS防火墙产品和许可证选项。例如:来自Palo Alto NetworksVM-Series虚拟化下一代防火墙和Zscaler的云计算防火墙。
对于虚拟防火墙,在定义如何配置以及它们所保护的内容方面,你几乎有着无限的选择。你可创建一个防火墙仅保护特定虚拟服务器组或者单台服务器。这里的术语时微分段。与物理数据中心内机架式防火墙设备不同,你可在几秒内改变防火墙配置,只需要点击鼠标或者运行脚本即可。而不需要移动电缆!该防火墙还可通过规则进行分段,基于特定应用或用户角色来保护,而不只是虚拟服务器。
微分段的优势是让你可将安全策略绑定到单个虚拟机。“在软件定义数据中心或者混合云中,每次我配置新的虚拟机时,我都希望虚拟机在配置时有安全策略,”HPE的Leech称,“这样的话,当该虚拟机在云计算网络移动和迁移时,安全策略将跟随它。此外,当虚拟机被卸载时,我希望该安全策略也消失。”
Vanilla还是Strawberry?
· 请记住,当你迁移服务器和应用到IaaS/PaaS的云端时,你并没有转移安全责任。当然,云服务提供商可能会承担部分责任,但他们并不会负责保护你的服务器免受这些虚拟服务器操作系统或应用中的恶意软件、攻击、数据渗出或未修补漏洞。这是你的工作,虽然这一挑战主要是保持软件更新,同样重要的是使用防火墙保护一切。
· 如果你使用内部部署防火墙保护网络,并且远程或旅行用户不受企业级防火墙保护,则可以考虑FaaS。
· 如果你的IaaS/PaaS虚拟服务器仅受云服务提供商的基本安全服务保护,你应该考虑安装和管理自己的虚拟防火墙来保护你的服务。这是你的工作和责任。
本文转自d1net(转载)