基于云的防火墻有兩種，雖然底層技術(shù)可能相同，但它們其實(shí)時兩種類型的產(chǎn)品：一種用于保護(hù)企業(yè)的網(wǎng)絡(luò)和用戶，另一種保護(hù)云基礎(chǔ)設(shè)施和服務(wù)器。讓我們看看這兩者的區(qū)別。

這兩種防火墻我們分別稱為Vanila和Strawberry(筆者僅使用這兩個詞語用于區(qū)分二者，便與討論)，這兩種都是檢查入站和出站數(shù)據(jù)包以阻止惡意流量的軟件。但它們有很大的不同，我們可以將它們視為兩個重要的網(wǎng)絡(luò)安全工具：兩者都旨在保護(hù)你、你的網(wǎng)絡(luò)以及你的真實(shí)和虛擬資產(chǎn)。

讓我們看看這兩者的概述：

Vanilla防火墻通常是獨(dú)立的產(chǎn)品或服務(wù)，旨在保護(hù)企業(yè)網(wǎng)絡(luò)及其用戶，這與內(nèi)部部署防火墻設(shè)備類似，只不過它在云計(jì)算中。服務(wù)提供商將其稱為軟件即服務(wù)(SaaS)防火墻、安全即服務(wù)(SECaaS)或者甚至防火墻即服務(wù)(FaaS)。

相比之下，Strawberry防火墻是基于云的服務(wù)，它運(yùn)行在虛擬數(shù)據(jù)中心中--使用平臺即服務(wù)(PaaS)或基礎(chǔ)設(shè)施即服務(wù)(IaaS)模型中的服務(wù)器。在這些情況下，防火墻應(yīng)用運(yùn)行在虛擬服務(wù)器，保護(hù)云端應(yīng)用程序之間的流量。行業(yè)有時候稱其為下一代防火墻，有時候是指在本地或在云中運(yùn)行的高級防火墻系統(tǒng)。

那么，我們?yōu)槭裁葱枰�這些新的防火墻?為什么不將1U防火墻設(shè)備加入到機(jī)架中，連接到路由器?理由很簡單：因?yàn)榫W(wǎng)絡(luò)邊界的定義已經(jīng)改變。防火墻以前就像是安全設(shè)施入口處的保安。只有授權(quán)人員可進(jìn)入該設(shè)施，包裹在進(jìn)入和離開建筑物時都會進(jìn)行搜查。此外，你的用戶在設(shè)施內(nèi)工作，數(shù)據(jù)中心和服務(wù)器都在內(nèi)部。因此，保護(hù)網(wǎng)絡(luò)相對簡單。里面的事物受到保護(hù)，外面不安全，唯一出入方式是通過防火墻。

而現(xiàn)在已經(jīng)不是這樣，授權(quán)用戶可以再任何地方，用戶也可從任何地方訪問應(yīng)用。這些應(yīng)用可能位于內(nèi)部數(shù)據(jù)中心、公共或私有IaaS/PaaS云內(nèi)企業(yè)控制的服務(wù)器中，第三方SaaS應(yīng)用也可能位于云中。只有相對較少的企業(yè)流量通過內(nèi)部路由器，這也是為什么我們需要基于云的vanilla防火墻保護(hù)所有用戶以及基于云的Strawberry防火墻擴(kuò)展安全策略到IaaS/PaaS環(huán)境的原因。

防火墻即服務(wù)

云端vanilla防火墻就像是傳統(tǒng)內(nèi)部防火墻設(shè)備，只不過它們是互聯(lián)網(wǎng)服務(wù)提供商或防火墻服務(wù)專有SaaS提供商提供(即FaaS提供商)的服務(wù)。你可能會為這一服務(wù)支付固定費(fèi)用，或者你可能基于某些因素按月支付費(fèi)用，例如總體帶寬消耗以及可選服務(wù)(例如域過濾)。

配置FaaS非常簡單。如果這是你的電信運(yùn)營商提供的附加服務(wù)，你可能不需要更改設(shè)置或者做任何其他操作。系統(tǒng)管理員會得到儀表板或管理控制臺來顯示活動，可能讓他們選擇查看的內(nèi)容。

如果FaaS是由第三方提供商提供，你可能需要更改路由器設(shè)置來連接到該提供商。在某種意義上，它將是你的互聯(lián)網(wǎng)提供商。

FaaS的優(yōu)勢是你可擴(kuò)展保護(hù)到遠(yuǎn)程員工或者正在旅行的員工。這些用戶將通過安全通道連接到云防火墻提供商，可能是虛擬專用網(wǎng)絡(luò)(VPN)。這樣的話，他們可訪問具有企業(yè)級防火墻保護(hù)的互聯(lián)網(wǎng)，并可通過該防火墻訪問基于云的服務(wù)，并連接回企業(yè)�？傊�，這可為遠(yuǎn)程及旅行的員工提供與內(nèi)部員工相同的保護(hù)。

遠(yuǎn)程員工支持是FaaS的一個主要優(yōu)勢。另一個優(yōu)勢是，它可將成本從資本支出轉(zhuǎn)移到運(yùn)營支出，這對于很多企業(yè)來說都非常重要。

對于FaaS，你只需要支付你使用部分的費(fèi)用，你不必購買超出需求的防火墻設(shè)備容量以便為最繁忙的時間段做準(zhǔn)備。這樣的話，你就有過多的內(nèi)部防火墻容量，特別是當(dāng)你已經(jīng)開始遷移服務(wù)到云端時。通過關(guān)閉這些設(shè)備，你基本上將安全外圍都外包到更有效的服務(wù)。

還有一個好處是，當(dāng)出現(xiàn)新興零日威脅或者補(bǔ)丁時，F(xiàn)aaS提供商可快速做出變更，你不需要下載和安裝更新。當(dāng)然，潛在缺點(diǎn)是你完全依靠FaaS提供商來做到這一點(diǎn)。然而，由于大多數(shù)服務(wù)提供商都有全職安全團(tuán)隊(duì)并訂閱所有威脅情報服務(wù)，可全天候響應(yīng)，筆者認(rèn)為他們可比大部分中小企業(yè)甚至大型企業(yè)更好地保持防火墻更新以及配置正確。

另一個優(yōu)勢是抵御分布式拒絕服務(wù)(DDoS)攻擊。“在過去，你可能會在互聯(lián)網(wǎng)末端抵御DDoS，但現(xiàn)實(shí)是DDoS攻擊可能會淹沒你，無論你有多少帶寬，”惠普企業(yè)數(shù)字解決方案和傳輸團(tuán)隊(duì)首席技術(shù)官Simon Leech稱，“選擇云端則不一樣，因?yàn)樵朴?jì)算提供商有足夠的帶寬來擊退千兆或者TB級的攻擊�！�

換句話說，任何攻擊都將由帶寬豐富的FaaS服務(wù)器定向和阻止，而不會影響到你自己的互聯(lián)網(wǎng)連接。最終結(jié)果是：FaaS提供商應(yīng)該可為你提供一個干凈的互聯(lián)網(wǎng)連接。

很多供應(yīng)商都提供FaaS選項(xiàng)，例如AT&T公司的Managed Firewall Security以及Wedge Networks公司的Cloud Network Defense。筆者個人建議是：大部分中小企業(yè)會發(fā)現(xiàn)來自電信運(yùn)營商或者ISP的FaaS產(chǎn)品更容易使用且經(jīng)濟(jì)實(shí)惠。這些服務(wù)提供商可能還與品牌防火墻提供商有合作協(xié)議。

針對IaaS/PaaS的防火墻

在云中的虛擬防火墻用于保護(hù)你的云基礎(chǔ)設(shè)施和服務(wù)，而FaaS與之完全不同，F(xiàn)aaS旨在保護(hù)你的網(wǎng)絡(luò)邊界以及遠(yuǎn)程或履行最終用戶。

在IaaS/PaaS世界，你從服務(wù)提供商租用基礎(chǔ)設(shè)施，你可以在其上創(chuàng)建和管理自己的虛擬服務(wù)器。這些服務(wù)器可用于存儲、托管現(xiàn)成或本地應(yīng)用、兩層或三層網(wǎng)絡(luò)服務(wù)--這完全取決于你。在某些情況下，這些基于云的應(yīng)用完全獨(dú)立。在其他情況，它們可能會鏈接(通過VPN)到數(shù)據(jù)中心內(nèi)其他服務(wù)器和應(yīng)用。這里重要的是，這些虛擬服務(wù)器完全由你和你的團(tuán)隊(duì)管理，這可為你提供最大的靈活性，以及100%的責(zé)任。

在這種情況下，則必須使用虛擬防火墻。它們可保護(hù)你的云服務(wù)器免受來自外部的惡意流量或者攻擊，它們還可保護(hù)你的云服務(wù)器免受其他受攻擊服務(wù)器的影響，例如在內(nèi)部攻擊或者成功外部攻擊的情況下。

而云防火墻是一個應(yīng)用，你可從云主機(jī)或者你喜歡的防火墻供應(yīng)商獲取云防火墻。這些下一代防火墻或者虛擬防火墻以不同方式提供。你可能會看到它們是完全配置的虛擬機(jī)，讓你可用于云基礎(chǔ)設(shè)施的前端;或者，它們可能作為二進(jìn)制文件提供，讓你可安裝和運(yùn)行在現(xiàn)有虛擬機(jī)中，例如web服務(wù)器或者事務(wù)數(shù)據(jù)庫服務(wù)器。

幾乎每個知名防火墻提供商都提供IaaS/PaaS防火墻產(chǎn)品和許可證選項(xiàng)。例如：來自Palo Alto NetworksVM-Series虛擬化下一代防火墻和Zscaler的云計(jì)算防火墻。

對于虛擬防火墻，在定義如何配置以及它們所保護(hù)的內(nèi)容方面，你幾乎有著無限的選擇。你可創(chuàng)建一個防火墻僅保護(hù)特定虛擬服務(wù)器組或者單臺服務(wù)器。這里的術(shù)語時微分段。與物理數(shù)據(jù)中心內(nèi)機(jī)架式防火墻設(shè)備不同，你可在幾秒內(nèi)改變防火墻配置，只需要點(diǎn)擊鼠標(biāo)或者運(yùn)行腳本即可。而不需要移動電纜!該防火墻還可通過規(guī)則進(jìn)行分段，基于特定應(yīng)用或用戶角色來保護(hù)，而不只是虛擬服務(wù)器。

微分段的優(yōu)勢是讓你可將安全策略綁定到單個虛擬機(jī)。“在軟件定義數(shù)據(jù)中心或者混合云中，每次我配置新的虛擬機(jī)時，我都希望虛擬機(jī)在配置時有安全策略，”HPE的Leech稱，“這樣的話，當(dāng)該虛擬機(jī)在云計(jì)算網(wǎng)絡(luò)移動和遷移時，安全策略將跟隨它。此外，當(dāng)虛擬機(jī)被卸載時，我希望該安全策略也消失�！�

Vanilla還是Strawberry?

· 請記住，當(dāng)你遷移服務(wù)器和應(yīng)用到IaaS/PaaS的云端時，你并沒有轉(zhuǎn)移安全責(zé)任。當(dāng)然，云服務(wù)提供商可能會承擔(dān)部分責(zé)任，但他們并不會負(fù)責(zé)保護(hù)你的服務(wù)器免受這些虛擬服務(wù)器操作系統(tǒng)或應(yīng)用中的惡意軟件、攻擊、數(shù)據(jù)滲出或未修補(bǔ)漏洞。這是你的工作，雖然這一挑戰(zhàn)主要是保持軟件更新，同樣重要的是使用防火墻保護(hù)一切。

· 如果你使用內(nèi)部部署防火墻保護(hù)網(wǎng)絡(luò)，并且遠(yuǎn)程或旅行用戶不受企業(yè)級防火墻保護(hù)，則可以考慮FaaS。

· 如果你的IaaS/PaaS虛擬服務(wù)器僅受云服務(wù)提供商的基本安全服務(wù)保護(hù)，你應(yīng)該考慮安裝和管理自己的虛擬防火墻來保護(hù)你的服務(wù)。這是你的工作和責(zé)任。

標(biāo)簽： 基礎(chǔ)設(shè)施 網(wǎng)絡(luò)安全 云計(jì)算 服務(wù)提供商 應(yīng)用程序 數(shù)據(jù)中心 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。