在當(dāng)今瞬息萬變的世界里��,CISO需要一種方法來保護(hù)日益增長(zhǎng)的動(dòng)態(tài)工作負(fù)荷��,增加內(nèi)部網(wǎng)絡(luò)流量��,防止網(wǎng)絡(luò)攻擊��。傳統(tǒng)的網(wǎng)絡(luò)安全方法還不夠��。VMware威脅分析單位最近發(fā)布的威脅報(bào)告��,強(qiáng)調(diào)需要采用新的方法��,特別是在區(qū)域內(nèi)��。盡管部署了一批防御,但惡意行為者仍在網(wǎng)絡(luò)上采取積極行動(dòng)��。
以下是對(duì)傳統(tǒng)防火墻內(nèi)部數(shù)據(jù)中心安全的五個(gè)缺點(diǎn)的總結(jié)��。接下來廣州軒轅宏邁網(wǎng)絡(luò)工程服務(wù)商的小編帶大家來詳細(xì)了解一下��。
缺點(diǎn)1:防火墻主要集中在舊的��,而不是新的交通模式上。
內(nèi)部防火墻多來自企業(yè)邊緣防火墻��,旨在保證有限數(shù)量的進(jìn)出組織流量(南北流量)��。然而��,在現(xiàn)代數(shù)據(jù)中心��,東西方的交通量較高��,這意味著數(shù)據(jù)中心的橫向移動(dòng)��。隨著越來越多的單一應(yīng)用程序被替換或重建到分布式應(yīng)用程序中��,東西方的流量遠(yuǎn)遠(yuǎn)超過了南北交通��。
為了保護(hù)其內(nèi)部網(wǎng)絡(luò)��,太多的組織錯(cuò)誤地改造了傳統(tǒng)的防火墻��。雖然這可能很有吸引力��,但使用周圍的防火墻進(jìn)行東西方交通監(jiān)控不僅成本高��,而且在保護(hù)大量動(dòng)態(tài)工作負(fù)荷所需的控制和性能水平方面也非常無效��。
缺點(diǎn)2:防火墻不縮放。
利用防火墻監(jiān)測(cè)南北交通通常不會(huì)造成性能瓶頸��,因?yàn)榫淼拇笮〔蝗鐤|西方流量大��。如果企業(yè)使用東西方流量的防火墻��,并希望檢查所有(或大多數(shù))流量��,成本和復(fù)雜性將呈指數(shù)級(jí)上升��,因此組織根本無法解決這個(gè)問題��。
缺點(diǎn)3:發(fā)夾適合頭發(fā)��,不適合數(shù)據(jù)中心交通��。
若使用周邊防火墻來監(jiān)控東西方的流量��,則將強(qiáng)制從集中設(shè)備進(jìn)出流量��。這將創(chuàng)建一種在過程中使用大量網(wǎng)絡(luò)資源的發(fā)夾模式��。無論是從網(wǎng)絡(luò)設(shè)計(jì)還是從網(wǎng)絡(luò)操作的角度來看��,頭發(fā)固定的內(nèi)部網(wǎng)絡(luò)流量都增加了復(fù)雜性��。網(wǎng)絡(luò)必須設(shè)計(jì)為考慮防火墻路由附加流量(固定頭發(fā))��。在操作方面��,安全操作團(tuán)隊(duì)必須堅(jiān)持網(wǎng)絡(luò)設(shè)計(jì)��,并在檢查向防火墻發(fā)送額外流量時(shí)注意限制��。
缺點(diǎn)4:防火墻不能提供清晰的可見性��。
要將可見性降低到工作負(fù)荷水平��,監(jiān)控東西方的流量��,實(shí)施細(xì)粒度策略��。標(biāo)準(zhǔn)防火墻對(duì)構(gòu)成現(xiàn)代分布式應(yīng)用的工作負(fù)荷與微服務(wù)的通信模式?jīng)]有清晰的認(rèn)識(shí)��。由于應(yīng)用程序流缺乏可見性��,很難在工作負(fù)荷或單個(gè)流量級(jí)別創(chuàng)建(并強(qiáng)制)規(guī)則��。
缺點(diǎn)5:有這個(gè)安全策略��,但是應(yīng)用程序呢?
傳統(tǒng)的防火墻管理層設(shè)計(jì)用于處理幾十個(gè)離散防火墻��,但設(shè)計(jì)不支持工作負(fù)荷遷移��,安全策略自動(dòng)重新配置��。因此��,當(dāng)防火墻用作內(nèi)部防火墻時(shí)��,網(wǎng)絡(luò)安全操作員必須手動(dòng)創(chuàng)建新的安全策略��,并在工作負(fù)荷移動(dòng)或退休時(shí)修改��。
重新考慮內(nèi)部數(shù)據(jù)中心的安全��,采用零信任的方法��。
鑒于這些缺點(diǎn)��,是時(shí)候重新考慮內(nèi)部數(shù)據(jù)中心的安全性��,開始實(shí)現(xiàn)零信任安全了��。如果傳統(tǒng)的防火墻不適合或不有效地用作內(nèi)部防火墻��,那么,哪種解決方案最適合監(jiān)控東西方流量��?基于上述缺點(diǎn)��,各組織應(yīng)開始評(píng)估其防火墻方法��,以支持:
①分布式和細(xì)粒度執(zhí)行安全策略��。
②可擴(kuò)展性和吞吐量在不妨礙性能的情況下處理大量流量��。
③對(duì)網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施的影響較小��。
④應(yīng)用程序中的可見性��。
⑤工作量流動(dòng)和自動(dòng)政策管理��。
防火墻不能在不產(chǎn)生異常高成本和復(fù)雜性的同時(shí)��,滿足這些需求��,同時(shí)需要太多的安全妥協(xié)��。相反��,分布式軟件定義方法是監(jiān)控東西方流量的最有效方法��。正確的軟件定義和內(nèi)部防火墻方法提供了可擴(kuò)展性��、成本效益和效率��,以確保數(shù)千個(gè)應(yīng)用程序中成千上萬的單獨(dú)工作負(fù)荷��,并幫助組織朝ZT點(diǎn)前進(jìn)��。最好在數(shù)據(jù)中心實(shí)現(xiàn)零信任模型��。
以上內(nèi)容來源于網(wǎng)絡(luò)��,由廣州軒轅宏邁編輯��,如有侵權(quán)��,請(qǐng)聯(lián)系刪除��,如需了解更多網(wǎng)絡(luò)工程解決方案的��,可在線客服或者來電咨詢��,廣州軒轅宏邁為您提供一站式網(wǎng)絡(luò)工程/安防監(jiān)控/綜合布線/弱電工程解決方案��,期待您的咨詢與合作?�。?/span>
手機(jī)端網(wǎng)站