近年来,一些业界知名人士断言绝大部分的互联网架构将完全迁移到云端。当企业迁移到公有云时,他们只需要云安全防护即可;那么一旦如此,诸如防火墙之类的传统网络安全手段就会逐渐消亡。
不过,那一天似乎还远远没有到来。那么原因是什么呢?那又代表了如今的企业网络管理该如何做得更安全有效呢?
对消亡的不准确预期
我们可以先回想一下,之前为什么会认为以防火墙为代表的传统安全解决方案会逐渐在企业的安全架构中消失——答案是远程访问与移动设备的使用。
随着对数据和信息的远程接入逐渐落地,一些安全厂商开始推动一种新的理念——提前部署的防火墙将变得多余。在实现层面,防火墙在发生改进,逐渐契合VPN等远程接入技术。然而,几年过去了,如今防火墙依然是企业的标配,但VPN却没有——他们反而成为了防火墙的能力之一。
同样的事情也发生在IPS市场上。由于对流量进行进一步安全过滤的需求逐渐增多,IPS一度被认为将威胁到防火墙的地位——直到防火墙厂商开始将IPS功能内置在了防火墙中;类似的情况还有安全沙箱检测、高级恶意软件识别与防御等。这些功能最终都成为了防火墙的一部分,或者成为防火墙厂商提供的服务之一。
假死的边界
随着Web应用市场的扩展,用户可以通过直接访问网站或者使用邮箱系统接收邮件——包括那些有恶意内容。而Web应用和邮件系统突然就成了攻击的最常见途径。传统的安全技术并不能抵御这类威胁,因此又一批新的安全厂商诞生去解决这些新的挑战。这批厂商同样秉持着“放弃旧有策略”的思路,因为他们从一个新的市场角度着手去解决这些问题。
不过与此同时,防火墙厂商在内的传统安全厂商也不甘落后,继续改进并增加他们的安全能力。
由于攻击方式变得越来越复杂并极具创造性,企业意识到他们不能只靠单一的安全解决方案——他们需要多种不同的安全解决方案从多个角度去保护组织的关键数据和应用。薄弱的系统可以被多种攻击方式侵入,比如浏览器、钓鱼、恶意软件等等。对于攻击者而言,总能去发现一些能用来入侵企业网络的弱点。
但是,进化的不仅仅是攻击技术,安全人员的思路也在升级——他们已经普遍意识到,如果企业不做好准备,总会被攻击,这一思路的转变则把安全解决方案引领到了一些新的方向,如通过直接阻止一些常见威胁来减缓攻击者的效率,以及实时监测异常行为。在网络层面,组织开始采用微隔离技术,从而能将攻击限制在某一个区域中,并在那个区域里处理攻击事件。这样做可以避免攻击扩散,防止将整个组织陷于危险的境地。
复杂的问题
如今,企业网络架构的复杂度已经发展到了前人无法预测的程度;而同时,网络架构的发展速度也远远低于预期——大量的老旧技术并未被下线,其主要原因是由于企业并未放弃预部署的系统。
现在,云服务的出现威胁到了未来防火墙的发展。鉴于一旦所有的关键数据和应用都迁移到了公有云上——即所谓的边界之外,那么就需要新的安全形态去保障企业与他们数据的安全性。那么,看上去防火墙将再一次地面临消亡。
但是,企业依然会有实体的办公室、数据中西、工场、门店和其他实体资产——而这些实体资产会需要预部署的安全解决方案。同样,政府机构也不会允许关键信息和敏感信息在互联网上共享。另外,诸如医疗和金融行业,会有一些法规和标准要求他们在云端之外自己保存一些关键信息。有不少国家要求在他们本土运营的数据以及他们公民的数据保留在国家内部,并且不能被其他任何人接入。以上这些场景都标志着防火墙离消亡还很远。
物联网的落地和广泛应用把现代网络变得更加复杂。企业需要部署和支持更多物理层网络以应用物联网。这点同样意味着防火墙会始终是一个从巨大灾害中保护高层关键网络的重要途径。
实际上,新的技术并非像很多人之前预测的那样,从0开始重建;而是在原有技术上进一步升级。暂时来看,防火墙之类的安全解决方案并没有因为“云限定”的安全解决方案而被舍弃。相反,由于大量的现代网络混合了新老技术,使得网络环境极度复杂,以至于没有任何一个单独的技术或者安全人员可以对其进行管理。
路在何方?
在未来五年,本地部署的数据和云数据在大企业中很可能对半占比,而鉴于越发活跃的网络活动和隔离技术的应用,防火墙之类的传统安全工具使用率并不会下降。
企业今后将要面临的是一个更碎片化、混合化的网络。物联网和微隔离的涌现,加上关键应用上云的缓慢进程,会使得现实环境比一些技术专家理想中的“完美解决方案”要远远复杂得多。
当组织和机构构建他们未来的安全策略的时候,接受一点很关键:无论是新技术还是传统技术,都很可能在保护现代和未来的企业网络中有一席之地。安全人员必须将自动化和机器学习这些最新技术,和从新兴安全方式与传统安全方式获得的海量信息相结合,才能安全有效地管理这些复杂的网络
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
