云安全新选择:分布式云防火墙
关键要点
- 传统的最后一代防火墙(LGFW)无法满足云和多云环境的安全需求。
- 云的动态性和灵活性需要新的网络安全解决方案。
- 分布式云防火墙作为一种新型解决方案,可以有效应对现代云应用的安全挑战。
- 分布式云防火墙提供集中策略创建,支持多云环境中的弹性自动扩展和全面可见性。
随着云技术的迅猛发展,最后一代防火墙(LGFW)在其数据中心开发的架构下已经无法满足当前云和多云环境的安全需求。本文将探讨企业在使用LGFW架构时所面临的挑战,并强调新兴的替代方案。
云架构如何改变LGFW的游戏规则
这里有三个理由说明云架构如何影响LGFW的功能:
不断变化的边界 :传统的静态边界概念在云环境中已经不复存在。实际上,我认为云是无边界的。云网络是动态的、无限的,且不断演变,传统方法难以实施有效的防御。LGFW需要将流量重定向至集中检查和策略执行点,导致操作复杂性、瓶颈、延迟增加和高昂的数据处理成本。此外,管理大量动态的入站和出站点在云中变得不切实际。
动态的云应用 :云应用极具动态性,利用微服务架构和容器化,通常依赖直接的互联网连接和服务网格网络。这些应用要求具备弹性扩展,并依赖传统云平台服务和,这打破了LGFW及基于代理的安全模型。此外,从策略制定的角度来看,安全团队已无法根据IP地址来定义政策,因为这些IP地址在动态应用环境中不断变化。
基础设施的灵活性要求 :云基础设施团队需要跟上现代应用的灵活性要求,必须适应快速的发布周期、DevSecOps自动化,并利用CI/CD管道。然而,源于数据中心时代的LGFW集中设备操作模型无法满足云环境中软件定义的灵活性期望。将LGFW迁移到云中导致操作痛苦、工具泛滥和不可持续的成本增加。
企业现在需要专为云设计的云网络安全解决方案。分布式云防火墙作为一种新兴替代方案,可充分利用云的分布式特性。
分布式云防火墙的定义
分布式云防火墙采用安全专业人员熟悉的防火墙策略创建方法,但在架构上利用云的分布特点。这种方法并不是在每个地方分布防火墙,而是将检查和策略执行嵌入到云网络内部的自然应用通信路径中,同时保持集中策略创建。这让整个云网络像一个单一的、无限可扩展的防火墙。听起来更像云了吗?在探索分布式云防火墙解决方案时,安全专业人员应该关注以下五个特征:
特征 | 描述
—|—
原生云流量中分布式执行 | 产品应将检查和策略执行嵌入到云基础设施和自然应用通信路径中,消除流量重定向、负载均衡器和其他网络复杂性。
跨多云环境的集中策略创建 | 云感知的政策创建通过动态云原生应用 workload 身份(如标签和属性)抽象执行细节,而不是静态IP地址。
云操作模型 | 产品应提供全面的可视性和控制,支持弹性自动扩展,确保与应用需求对齐。
原生云网络与安全编排 | 产品应利用原生云API进行网络和安全编排,简化底层基础设施的复杂性。
先进安全服务整合 | 分布式云防火墙应提供超出基本防火墙功能的支持,例如微隔离、网络隔离、自动威胁检测与缓解等。
实施分布式云防火墙相比现有的LGFW实现能够为企业带来显著的商业价值。这些优势包括降低总体拥有成本、改善云基础设施的灵活性、更好的性能、更短的检测和解决时间、
