传统的网络防火墙正在消亡,或者已是奄奄一息。
行业专家认为,云计算、混合环境、移动访问以及在线应用程序已经使得网络防火墙变得过时,数据中心运营商应该考虑用更具细粒度的安全技术来替代他们的防火墙。
在以往,应用程序和数据存储在数据中心,并从那里传递给企业网络上的员工。Skyport系统公司首席技术官Michael Beesley表示:“即使没有在内部部署的数据中心上运行,他们也会连接到网络。”
如今,应用程序和数据可以在云端和混合环境中处理和存储,也可以通过外部服务提供商通过网站交付。企业的员工和客户通常通过网络访问他们,无论他们身在何处。
这意味着防火墙无法了解发生了什么事情,连接来自哪里或去哪里,而IP地址始终在变化,或被CloudFlare等内容分发网络所遮蔽。
Beesley说:“防火墙将变得越来越盲目。”
与此同时,以前分布在不同端口的流量现在都集中在80和443端口上。
Beesley说:“我认为现在已经接近了一个临界点,企业必须采取不同的方法来保护自己。根据数据显示,在混合环境中,防火墙并没有发挥作用,企业基础设施需要发展到一个零信任的环境,而不是试图从网络的角度来保护它。
然后是加密问题。谷歌公司表示,其Chrome浏览器中79%的流量目前是加密的。
Kudelski Security公司研究部主管Ryan Spanier表示:“浏览器就是让防火墙的东西消亡。因为企业的客户需要在互联网上的获得服务,因此防火墙不会进行阻止。”
通过加密流量,所有防火墙都知道流量的来源和目的地,现在一切都在云端进行处理,即使这样也不能说明问题。他说:“防火墙的空间已经不多了。”
据网络安全厂商Ixia公司最近发布的调查显示,88%的受访者表示,由于缺乏对公共云数据流量的可见性,他们遇到了与业务相关的问题。
最后是应用程序开发的转型。企业已经从在专用服务器上运行应用程序转移到虚拟机或者转移到容器,每次都大大增加了需要保护的端点数量,同时加快了新服务器启动和关闭的速度。
这使得环境变得更复杂,传统的防火墙很难跟上所有的变化。
位于加利福尼亚州圣何塞的应用安全商Aporeto公司的联合创始人Amir Sharif表示:“防火墙正在消亡,它将很快就会死亡。
他说,现在无服务器的应用程序提供微服务也有这样的趋势,而且改变的步伐也要快上一个数量级。
他说:“我一直在计算可以允许和不允许的东西,而且成本非常高。那些流量在节点来来往往,防火墙无法跟上其变化速度。
Sharif说,他经常听到客户说这是一个多大的问题。
他说:“我们公司的一位华尔街的客户提到,每次推出应用程序时,他都必须更新至少14,000种不同的防火墙规则。”
为了保证安全,安全解决方案需要与应用程序紧密结合,并在部署容器或微服务时保证他们的安全。
另一个选择是将白名单构建到容器中,以便经过允许的应用程序在那里运行,并且只能连接到允许连接的外部服务。
采用这种方法一个例子就是谷歌公司的Beyond Corp战略。谷歌公司的信息安全总监Heather Adkins在今年的RSA大会上做了一个介绍。报告主题是“谷歌如何在没有防火墙的情况下保护企业的业务安全”。
尽管防火墙存在问题,企业不会很快放弃。
根据FireMon公司最近的一项调查,90%的受访者表示,防火墙对安全性至关重要,甚至比以往任何时候都更加重要。
但FireMon公司的主管Josh Mayfield表示,防火墙的性质将会改变。它将转向一种更少采用严格规则和更多关于特定资产政策的方法。
他说:“当硬性的边界消失时,企业必须依靠政策作为无形的边界。未来的防火墙将会考虑资产,属性,连接点等因此。”
他说,企业的安全策略将随着资产和工作负载的变化而变化,这意味着企业将不再需要重写防火墙规则。