Siddharth Deshpande,派拓网络亚太及日本地区首席技术官
在过去一年里,我和上百家大型企业就SASE进行了交流。我对云端交付的网络和安全服务如何深入改变企业很感兴趣,同时也深有体会。尽管如此,我依然坚信防火墙对于数字业务领域仍十分重要。分析师们也同意这一点:Gartner预测,到2026年,60%以上的企业将部署一种以上的防火墙,这将推动混合式网状防火墙(HMF)的应用。随着云计算在企业中日渐成为主流,防火墙变得比以往更加重要。关于防火墙在未来几年的重要战略意义,我在与首席信息安全官(CISO)和首席信息官(CIO)交流时谈到了以下几个重要方面:
防火墙已今非昔比
防火墙不但不会消亡,而且还会不断发展进化。多年来,领先的防火墙架构已从单纯的网络层检查发展到应用感知,从提供基本的安全功能发展到帮助检测和阻止零日攻击,从保护IT发展到保护OT/IoT等等。防火墙还是保障5G网络安全的关键部分,而且发展出了嵌入式代理功能,使用户不再需要管理多个不同的网络安全架构和部署。
如今,混合式网状防火墙(HMF)的概念正在兴起,其中的防火墙并不仅是硬件设备。客户希望能够自行选择防火墙功能的提供形式,比如硬件、软件、容器化、防火墙即服务等。所有这些形式都需要通过同一个管理控制台进行管理,才能使混合式网状防火墙战略生效。
别让防火墙成为摆设
防火墙的部署不应只是为了完成任务。只有当防火墙被用于防御具有躲避能力的攻击者并启用真正的零信任架构时,它才能发挥作用。如果企业的防火墙厂商未能将深度学习和机器学习模型应用于流量,那么防火墙就只是摆设。要想实时抵御攻击,防火墙不仅需要具备高级安全功能,还要在开启这些功能的同时保持出色的性能。这就需要仔细查看防火墙厂商的数据表并按照实际用例进行测试。在某些情况下,防火墙在打开关键的安全检查功能时,性能会下降近75%。以上都是在选择防火墙供应商时非常重要的评估标准。
防火墙在SASE架构中的作用
通用的网络安全架构非常罕见。当企业想使用“安全即服务”架构检查云中流量,而非回传到DC中的集中设备时,SASE/SSE能够发挥作用。这种方法在很多用例中都非常有效,比如分支机构流量、远程用户、云应用安全访问等。而当企业想要实现高带宽数据中心环境、关键基础设施保护、5G网络安全、东西向流量检测、云安全、物联网安全等专门用例时,防火墙和网络安全设备就会派上用场。关键在于网络安全架构中的 SASE 部分是否可以与防火墙和代理服务器使用相同的管理控制台进行管理,例如两个具有独立策略结构和管理控制台的不同技术堆栈会降低运行效率和安全性。建议企业选择在混合式网状防火墙(HMF)和SASE领域都具有领先优势的网络安全合作伙伴。
网络转型路径
防火墙作为企业安全战略的重要组成部分无法孤立存在。它需要接入安全堆栈的其他部分才能充分发挥潜力。我们观察到客户正在大规模转向XDR,将网络安全与端点和云安全相连接,从而统一对威胁的认知并加快检测和响应速度。因此,企业应向防火墙供应商了解的关键信息是:他们的XDR解决方案是什么?如何助力实现跨网络、终端和云的统一分析?
另一个需要考虑的重要方面是将云防火墙集成到更大的云安全平台(通常称为 CNAPP,即云原生应用保护平台)中。因此企业需要关心的另一个重点就是防火墙供应商的CNAPP战略,以及防火墙和企业整个云安全架构的结合点。
在云服务提供商(CSP)环境中部署防火墙
一个常见误区是Azure、AWS和GCP等公有云服务提供商(CSP)环境不需要防火墙,然而事实上情况恰恰相反。我们发现拥有严谨云战略的CISO都会在云端VPC中部署虚拟化(有时是容器化)版本的企业防火墙。不过值得注意的是,我们要关注的不仅是形式,还有深度安全检查和可管理性。在同头部CSP合作的过程中,采取极富策略性的方法十分重要——让防火墙技术作为CSP管理控制台中的本地服务提供。
总而言之,防火墙的生命力非常旺盛,且正向混合式网状防火墙(HMF)发展,这使得企业能够选择在哪里以及如何利用这项重要的网络安全功能。建议CIO、CISO和网络领导者根据企业支持数字业务需求的能力,谨慎选择防火墙架构和供应商。