在当今瞬息万变的世界里,CISO需要一种方法来保护日益增长的动态工作负荷,增加内部网络流量,防止网络攻击。传统的网络安全方法还不够。VMware威胁分析单位最近发布的威胁报告,强调需要采用新的方法,特别是在区域内。尽管部署了一批防御,但恶意行为者仍在网络上采取积极行动。
以下是对传统防火墙内部数据中心安全的五个缺点的总结。接下来深圳至卓科技网络工程服务商的小编带大家来详细了解一下。
缺点1:防火墙主要集中在旧的,而不是新的交通模式上。
内部防火墙多来自企业边缘防火墙,旨在保证有限数量的进出组织流量(南北流量)。然而,在现代数据中心,东西方的交通量较高,这意味着数据中心的横向移动。随着越来越多的单一应用程序被替换或重建到分布式应用程序中,东西方的流量远远超过了南北交通。 为了保护其内部网络,太多的组织错误地改造了传统的防火墙。虽然这可能很有吸引力,但使用周围的防火墙进行东西方交通监控不仅成本高,而且在保护大量动态工作负荷所需的控制和性能水平方面也非常无效。
缺点2:防火墙不缩放。
利用防火墙监测南北交通通常不会造成性能瓶颈,因为卷的大小不如东西方流量大。如果企业使用东西方流量的防火墙,并希望检查所有(或大多数)流量,成本和复杂性将呈指数级上升,因此组织根本无法解决这个问题。
缺点3:发夹适合头发,不适合数据中心交通。
若使用周边防火墙来监控东西方的流量,则将强制从集中设备进出流量。这将创建一种在过程中使用大量网络资源的发夹模式。无论是从网络设计还是从网络操作的角度来看,头发固定的内部网络流量都增加了复杂性。网络必须设计为考虑防火墙路由附加流量(固定头发)。在操作方面,安全操作团队必须坚持网络设计,并在检查向防火墙发送额外流量时注意限制。
缺点4:防火墙不能提供清晰的可见性。
要将可见性降低到工作负荷水平,监控东西方的流量,实施细粒度策略。标准防火墙对构成现代分布式应用的工作负荷与微服务的通信模式没有清晰的认识。由于应用程序流缺乏可见性,很难在工作负荷或单个流量级别创建(并强制)规则。
缺点5:有这个安全策略,但是应用程序呢?
传统的防火墙管理层设计用于处理几十个离散防火墙,但设计不支持工作负荷迁移,安全策略自动重新配置。因此,当防火墙用作内部防火墙时,网络安全操作员必须手动创建新的安全策略,并在工作负荷移动或退休时修改。
重新考虑内部数据中心的安全,采用零信任的方法。 鉴于这些缺点,是时候重新考虑内部数据中心的安全性,开始实现零信任安全了。如果传统的防火墙不适合或不有效地用作内部防火墙,那么,哪种解决方案最适合监控东西方流量?基于上述缺点,各组织应开始评估其防火墙方法,以支持:
①分布式和细粒度执行安全策略。
②可扩展性和吞吐量在不妨碍性能的情况下处理大量流量。
③对网络和服务器基础设施的影响较小。
④应用程序中的可见性。
⑤工作量流动和自动政策管理。
防火墙不能在不产生异常高成本和复杂性的同时,满足这些需求,同时需要太多的安全妥协。相反,分布式软件定义方法是监控东西方流量的最有效方法。正确的软件定义和内部防火墙方法提供了可扩展性、成本效益和效率,以确保数千个应用程序中成千上万的单独工作负荷,并帮助组织朝ZT点前进。最好在数据中心实现零信任模型。
以上内容来源于网络,由深圳至卓科技编辑,如有侵权,请联系删除,如需了解更多网络工程解决方案的,可在线客服或者来电咨询,深圳至卓科技为您提供一站式网络工程/安防监控/综合布线/弱电工程解决方案,期待您的咨询与合作!!
#
防火墙
#
传统防火墙
#
数据中心安全
#
防火墙系统方案