摘要
本白皮书通过回顾网络安全的发展历程,帮助您展望未来如何为组织的网络环境提供安全保护。
随着网络变得更加异构化,组织越来越 难以保证策略管理和实施的一致性,并获得全面的可视性。错综相连的网络往往会导致错误或配置问题,给不断演变的复杂威胁带来可乘之机。
组织如何才能重新获得对网络的控制并实现一致性?首先要转变观念,采用以防火墙为基础、以防火墙为中心的集成化安全方法。
防火墙仍然是组织网络安全策略的基石。但随着网络不断发展,防火墙也必须与时俱进。过去,防火墙是位于入口/出口 “边界” 的单个设备,充当策略驱动的控制点,用来允许或拒绝网络流量。为了在当今的全数字化业务领域取胜,组织需要超越单一防火墙思维,建立 “防火墙防护” 思维 – 这是一种策略驱动的方法,旨在从战略角度出发,在整个异构网络的逻辑控制点之间协调高级安全保护。
要更好地保证安全措施与不断变化的业务和网络需求保持一致,防火墙防护是关键。
借助防火墙防护,正在进行全数字化转型的组织不仅能把握当下,巩固安防壁垒,而且能着眼未来,保障业务安全。
第 1 部分:防火墙的历史
网络安全形势的发展
过去,防火墙作为网络边缘的网守,充当全面的控制点,在网络流量经过此边界时进行检测。防火墙位于网 络的入口点/出口点,负责验证通信:内部网络流量本质上被认为是可信的,而外部流量本质上被认为是不可信的。在此单个控制点创建并实施规则集和策略,以确保允许所需流量进出网络,并阻止不需要的流量。将网络边界比作城堡周围的护城河的话,防火墙就像一座吊桥,控制着进出堡垒的所有流量。
传统网络安全方法
云和应用日益成为主流
没过多久,这种通过单个控制点实施安全策略的做法就受到了挑战。首先,远程访问和企业移动技术开始兴 起。但是,云计算实现了真正的转型。当业务迁移到云时,设备和用户开始大规模迁移到受控内部网络之外, 使得单个控制点模式不再有力。很快就出现了多个边界,而且全都需要受到保护。此时还没有可以全方位保护网络安全的方法。
如今,分支机构位置、远程员工以及云服务使用量的不断增加促使更多数据远离传统 “边界”,完全绕过了传统的安全控制点。此外,许多企业都采用了自带设备 (BYOD) 模式,允许员工用自己的私人计算机或移动设备访问敏感的业务应用。事实上,有超过 67% 的员工在工作中使用自己的设备,且这一数字呈持续上升趋势。通过公开可接入 Wi-Fi 网络连接移动设备和笔记本电脑是一种普遍现象,甚至对日常业务运营至关重要。
此外,绝大多数企业位置和用户还需要直接访问互联网,而现在越来越多的基于云的关键应用和数据都驻留在互联网中。企业继续跨多个云服务、操作系统、硬件设备、数据库等部署工作负载。应用和数据变得更加分散,网络也随之变得更加多样化。
新形势
事实证明,这种一刀切的方法在当今形势下收效甚微。
更复杂的新形势
虽然这些创新可以创造更互联、更高效的工作环境,但它们实际上从本质上改变了我们的业务开展方式。在本 地进行应用控制和用户授权的时代已经演变为动态的多云生态系统,在整个企业范围内提供服务和应用。不仅 如此,我们还要管理业务关键型第三方关系。大规模扩张和外包为我们带来了规模经济和效率,但也并非没有弊端。网络架构的这种演变极大地增加了我们的受攻击面,并使保护企业网络、数据和用户的工作变得更加复杂。
利用单点产品进行反击
为了应对这些挑战,组织通常会尝试通过添加 “最佳” 单点安全解决方案来解决每个新出现的问题。但是这种方法导致大量设备 “无序蔓延”:平均每个企业使用多达 75 个安全工具。使用源自不同供应商的多个安全产品可能会给网络安全团队带来严重的管理问题。在大多数情况下,安全设备和功能的激增会导致攻击风险的增加。当被问及这一问题时,94% 的 IT 和信息安全专业人员担心网络复杂性的增加会使他们更容易受到攻击, 88% 的人则希望网络安全策略的更改能更加灵活。
2019 年 1 月至 7 月期间,共披露 3,800 起数据泄露事件,比 2018 年上半年激增 54%。这种急剧攀升证 明,恶意攻击者们正利用日趋先进的方法来入侵网络。另一方面,成功入侵率不断上升,更是证明传统的网络安全方法已经无法抵御新式威胁。
威胁增加,干扰和风险也与日俱增
从邮件到 BYOD 策略下未经审查的终端,再到 Web 门户和物联网设备,攻击者不断将魔掌伸向新媒介, 组织也被迫尝试其他方法来保护自己。
如上所述,引入单点产品的趋势并不能改善组织的总体安全状况。事实上恰好相反。此举给安全团队进行管理带来了更多的 “干扰”。虽然他们时刻警惕不可避免的新攻击和试图利用任何漏洞(无论是已知漏洞还是未知漏洞)的恶意软件,但复杂性的增加使得创建、管理和实施安全策略的工作变得更加困难。
为了做出应对,网络安全团队不断努力配置大量云资 源,这进一步增加了可能导致漏洞的安全配置错误的可能性。这主要是因为不采取安全控制措施或采取了有问题的安全控制措施导致的:64% 的组织表示,人为错误是导致错误配置的主要原因。无论这样的错误是会导致违反合规性、网络中断还是向攻击者敞开大门,都是您承担不起的风险。
是时候重新思考防火墙了
网络安全已成为一项艰巨任务。如今的人员无法再继 续尝试管理大量的单点安全解决方案、云资源和设 备。我们必须寻求不同以往的方法。我们需要将防火墙作为敏捷、集成网络安全平台的基础,从而为企业当前和未来的发展提供支持。
第 2 部分:从防火墙到防火墙防护
为什么选择防火墙防护?
网络不断发展以适应新的业务方式,网络安全也必须跟上。在当前的分布式 IT 资产环境中,防火墙仍然是强健安全态势的核心。
不过,对防火墙的要求已大大提高:需要保护各种网络基础设施、互联设备和操作系统免受高级威胁的攻击。
因此,我们通过混合使用物理和虚拟设备来增强 “传统” 防火墙设备,将一些设备嵌入到网络中,另一些则作为服务,以托管方式或包含在公共云环境中提供。有些设备甚至采用了新的外型,例如可根据大流量需求进行扩展的集群式设备、在个人设备上运行 的软件、SD-WAN 路由器以及安全的互联网网关。在这些不同的防火墙设备(无论其位于何处)之间共享威胁情报的活动对于实现统一的威胁可视性和强大 的安全态势至关重要。
为了实现全面转变,更好地保护当今的网络,企业必须摆脱传统的 “边界” 方法。取而代之的是,他们必须 在整个网络交换矩阵中建立策略实施点,进一步靠近 需要保护的信息或应用。具体而言,在物理和逻辑控制点创建微边界是形势所需。
我们不太需要把防火墙看作独立的物理网络设备,而应该更多地考虑防火墙防护的功能。
什么是防火墙防护?
毫无疑问,防火墙比以往任何时候都更重要。事实 上,要保护当今的网络安全,我们需要在所有位置 部署更多防火墙。不同之处在于,防火墙防护侧重于如何在所有位置建立基于策略的控制:
防火墙防护可以提供一种敏捷的集成方法,在您日趋复杂的异构网络中集中策略、高级安全功能和一 致的实施。它应该提供全面的保护、可视性、策略 协调以及更强大的用户和设备身份验证。防火墙防护还应利用在所有控制点之间共享威胁情报带来的优势,提供统一的威胁可视性和可控性,从而大幅减少威胁检测、调查和补救所需的时间和精力。
这样一来,防火墙防护便成为眼下保护复杂网络安全的关键策略。而且,它还能随着您企业的发展以及威胁形势的不断演变,为您搭建通向未来的桥梁。
什么是防火墙防护?
在当今的异构网络中,实施点无处不在。防火墙防护通过一致的策略和威胁可视性 提供一致的威胁防御功能,因此您可以随时随地更快、更准确地预防、检测和阻止攻击。
它是什么样的?
无论是保护云中、本地还是远程位置的资产和数据, 防火墙都需要以一致方式提供高级威胁保护、策略实施和共享威胁情报。挑战在于如何在部署和利用不同 设备的不同环境中实现这样的一致性。
安全漏洞可能源于任何可以访问互联网的设备,无论它位于公司总部、数据中心、远程站点、公共云还是员工开展远程工作的任何位置。正因为如此,现在比以往更加需要在更多逻辑位置部署一套严密的安全控制点,来减少暴露并降低风险。安全控制可根据需要应用于自有环境(物理或虚拟设备和网络设备,如路由器)以及非自有环境(安全即服务 [SECaaS])、 本地控制和工作负载。
图 3. 使用防火墙防护来解决现代网络安全挑战的核心租户
扩展安全控制
对于传统防火墙,由于所有内部流量和授权用户本质上都是可信的(外部流量是不可信的),因此对整个组织的保护是在网络边界完成的。此网络边界成为了保护整个组织的逻辑安全控制点。所有网络流量(无 论是来自总部、数据中心还是远程员工)都通过这一个控制点进行传送。
当然,这种模式在当今复杂的环境中已经不再有效, 因为组织的 IT 基础设施有各种各样的外型和交付模式,包括物理和虚拟设备、网络嵌入式路由器或交换机、作为服务交付、基于主机或包含在公共云中。
通过防火墙防护方法,组织可以部署一致的安全控制,以提供全面的可视性、统一的策略和全面的威胁可视性。这些安全控制可在日益异构的环境中实现 更强大的用户和设备身份验证。它们会收集、共享和响应有关用户、位置、设备等的情景,以确保设备满足定义的安全要求。通过在每个微边界使用一致的安全控制,安全团队可以开始自动执行任务(例如自动 隔离不合规的用户和设备,跨所有安全控制阻止可疑域,以及支持有效的微分段)。在防火墙防护过程中,全面的可视性可以提供所有安全警报和感染指标的整体视图,而共享威胁情报则可对任何互联设备进行最新的威胁检测。
基于云的管理
传统解决方案的症结不仅在于单点产品。网络边界和 云资源的激增也增加了暴露于漏洞的风险。在管理各种安全产品的同时,在复杂的云环境中保护企业最为 宝贵的资产绝非易事。安全团队需要即时可视性和简化的管理来帮助减少配置错误。
防火墙防护支持基于云的集中管理,帮助安全团队降低复杂性并使整个组织的策略保持一致,从而增强安全态势。通过使用模板,只需编写一次策略,即可将其实施扩展到整个网络中的数万个安全控制点,从而改善策略设计和一致性。使用标准策略模板快速部署新设备有助于减少配置错误。随着组织的发展,新的部署会自动继承最新策略。可扩展的策略管理系统可 将多个安全功能集成到单个访问策略中,并跨安全设备优化策略,以发现不一致并快速更正。
更重要的是,基于云的集中管理解决方案将团队的能力提升到了新的水平,可以确保他们在所有设备上快速发现风险,提高设备的一致性和安全性。借助单个管理控制台,可以在所有设备之间比较对象,发现不一致并优化当前安全状况。人员可以简化策略管理, 提高效率,并在降低复杂性的同时实现更一致的安 全性。
利用威胁情报进行反击
随着网络边界的扩大和直接连接到互联网的设备数量激增,我们的受攻击面也在扩大。涉及恶意软件、加密货币、网络钓鱼和僵尸网络活动的网络安全威胁在形式上不断升级,网络犯罪分子把目标转向机器学习和人工智能,以利用现有的软件漏洞并加速恶意攻 击。很少有组织拥有充分的资源来全面测试和评估是否所有软件供应商漏洞补丁都符合要求,大多数组织 都要艰难抵御新出现和不断演变的威胁。
防火墙防护还有一个引人注目的功能,在这方面可能有所帮助。它利用行业领先的威胁情报和最新的威胁研究(有些几乎是即时的),并可以访问保护更新,有助于缓解源源不断的威胁。威胁研究人员快速识别感染指 标,并快速确认和共享威胁。他们利用的是规模经济, 目标是在威胁发生之前保护组织免受这些威胁的影响。跨互联网络、终端、工作负载和云环境共享威胁情报有助于安全团队关联看似没有关联的事件、消除干扰并更 快地阻止威胁。
不使用防火墙防护有哪些风险?
随着网络技术不断发展,组织积极进行调整,部署各种单点产品来支持业务需求和运营。随着新的攻击媒介被 公之于众,组织又采取了和过去相同的做法,增加了 一款又一款产品来防御各种最新的威胁。而那些依赖传统防火墙跨多个边界保护每台互联设备的企业面临着将 其最宝贵的数据和资产暴露于安全漏洞的风险。根据 《2019 年网络安全年鉴》,到 2021 年,全球网络犯罪每年带来的损失将达到 6 万亿美元。
这些威胁可能会迅速渗透到网络中,并危及缺乏全面网络安全和终端可视性的企业的运营。
也就是说,无论组织的网络、云环境、设备和数据位于何处,保护它们都是安全团队的巨大负担。
传统防火墙提供的可视性有限;IT 人员需要通过共享威胁情报提高整个网络的可视性,以便更早、更快地检测和阻止威胁。防火墙防护则更进一步,基于统一 管理和全面的安全功能(如入侵防御、URL 过滤以及 利用自动化和机器学习高效防御高级恶意软件)打造全面的安全防护态势。
如果缺乏适当的防火墙防护策略,网络复杂性可能会导致错误配置,从而增加安全漏洞的风险。根据 Gartner 的报告,“到 2022 年,将有至少 95% 的云安全故障归因于客户失误。”通过采用跨多个控制点来协调安全策略的防火墙防护策略,组织可以改善总体安全状况。
第 3 部分:制定防火墙防护策略的四个步骤
第 1 步:借助现代化的下一代防火墙,为成功实施防火墙防护策略奠定基础。
第 2 步:选择防火墙之后,下一步是实现管理解决方案的标准化。在确定哪个解决方案适合您的组织时,请考虑以下因素:
• 确定首选管理位置(本地还是云)以及由哪个团队 (安全运营还是网络运营)负责管理安全。
• 最重要的是,确保管理解决方案与 IT 团队的当前和未来目标保持一致。如果您要将工作负载迁移到云,启动供应商门户,或者处理全数字化转型项目 或 SaaS 应用,您可能希望采用基于云的管理。如果您的组织依赖于单一的传统应用,那么本地应用可能比较适合您的需求。一般来说,传统应用需要进行一定程度的重构才能在云上正常运行。如果没有立即升级这些应用的计划,通常最好使用本地管理系统。
• 基于云的管理解决方案可帮助网络运营团队确保整个组织的策略一致性,降低复杂性,并从中央控制面板管理所有安全控制点。它可简化从一个位置一 致地协调和管理策略的过程,以防御最新威胁。借助基于云的集中式应用,您可以简化安全管理,使用模板更快地部署新设备,并跟踪整个环境中随时间发生的所有变化。
第 3 步:通过集成改善您的安全状态。您的防火墙防护策略应该全面覆盖所有微边界,并提供对所有互联设备和安全解决方案的保护和控制。在整个异构网络中跨云应用和服务、公司邮件以及所有互联终端集成安全性可以帮助您的企业抵御不断扩大的威胁形势。此步骤可让您的安全团队阻止更多威胁,更快地响应 高级威胁,并在整个网络、云应用和终端范围内实现自动化。
第 4 步:最后,要确保您的防火墙防护策略包含持续的高级威胁分析,以保护您的企业资产,并助您提前防范各种新型威胁。最简单的方法之一是选择一种能通过防火墙自动向您的网络提供最新威胁信息的解决方案。最新的情报和全面的可视性使安全团队能够了解最新的漏洞。而且,如果威胁侵入内部,您可以确定威胁是在哪里发生的,如何发生的。内置的下一代 IPS 功能可自动确定风险等级和影响标志,以确定优先 级,以便识别最关键的资产和信息并进行优先保护。安全团队可以立即采取纠正措施并对威胁进行补救, 将重点放在最关键的资产上,不会由于重重 “干扰” 不堪重负,从而使 SOC 运营更加安全。
首先以合适的防火墙为基础
当今的安全团队需要:获得更出色的安全保护。这需要以行业领先的威胁情报为后盾,保护您的复杂网络,更早地发现威胁并更快 地采取行动。
在整个网络中高效设置、扩展和协调安全策略的方法。
获得可视性并降低复杂性,通过统一管理和自动化,加快安全运营并改善运营体验。
实现网络和安全功能的融合,最大限度发挥您的现有投资的作用。合适的解决方案可以提供一系列深入的集 成功能,实现全面安全,从而随时随地保护所有内容。
本公众号各类文章仅供学习交流之用!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...