今天的大规模混合网络是新旧技术混合的结果。随着应用程序、工作负载以及用户向边界外移动,我们的IT环境的异质性和复杂性不断增加。这导致网络管理员和安全团队需要更广泛的工具、操作和知识。当前,市面上有几十种甚至上百种防火墙或类似防火墙的解决方案,组织需要在其异构基础设施中管理这些防火墙。随着保护组织关键数据和应用的多层方法不断增加,这种扩展将没有尽头。
一个典型的应用架构说明了网络和安全团队面对的网络复杂性。这个典型的应用很可能分布在几个云平台上,一些工作负载在公共云中运行,而其他的工作负载则在私有云中运行。一些元素可能在虚拟机上运行,而其他元素则在Kubernetes管理的环境中运行。其中许多(如果不是大多数)部分需要访问本地数据源。同时,使用外部服务进行身份验证。当然,用户也会通过互联网进行连接。有一点是肯定的:安全策略需要在整个环境中进行管理。这时,统一的网络策略管理的重要性就体现出来了。
一个典型的应用架构展示了超过5套安全策略,这些策略需要被管理,以便发挥作用。
今天的防火墙有许多不同的名字
根据广义的防火墙定义,任何设备或软件都可以强制执行“谁可以与谁通话”或者“什么可以与什么通话”的策略,大型组织今天用来管理各种类型的分段的防火墙包括:
- 外围防火墙或内部防火墙,包括新一代防火墙,提供与VPC或VNets之间的N-S连接
- 管理E-W访问的防火墙:如云中的安全组和Kubernetes中的网络策略
- 云中的防火墙即服务
- IAM和RBAC:本质上是身份防火墙,管理身份访问策略
- 认证服务 – 身份防火墙的一种形式,因为它们决定哪些用户可以访问应用程序的哪些方面
- 操作系统级防火墙 – 在应用程序和操作系统级别之间提供隔离
- 应用级防火墙 – 代理、负载均衡器和应用网关
- 网络应用防火墙 – WAF
防火墙的一般概念展示了所涉及的技术和策略范围。不仅防火墙的数量和类型在不断增加,而且随着越来越多的功能被整合到其中,管理需要更多的技能,更好的网络可见性,以及对应用程序的业务逻辑的深入了解。
自动化的好处
对所有这些策略的集中控制和可见性,再辅以自动化,是唯一可行的解决方案。这样的解决方案具有足够的可扩展性和安全性,可以处理日益复杂的情况。手动配置每一类防火墙耗时且低效,并且缺乏一致性,留下盲点,使安全受到威胁。由于配置防火墙策略需要多个团队合作,必然会发生错误配置。 如果有一个集中的安全策略控制台,提供这一系列防火墙策略的可见性,我们就可以在整个网络中执行统一的策略。
从实施中提取策略
除了多厂商控制和自动化之外,策略管理的未来还在于抽象化。就像面向对象的编程将数据和代码分离一样,将策略“代码”从基础架构中提取出来,将可以提高灵活性,实现更全面的管理。由于网络不是一成不变的,随着异构性的增加和实施的变更,管理员需要将策略从实现中提取出来。他们需要统一的、集中的管理来控制“谁能和谁对话”,“什么能和什么对话”,并且在底层IP、安全组或平台发生变化时保持其相关性。反过来,这将提供企业急需的灵活性和一致的策略管理及执行,使企业获得对整个网络的深入、统一的可见性。
可靠的策略、极高的安全性 – 防火墙需要配置,以始终遵守最小权限原则。
想了解更多信息吗?
请听Tufin首席技术官兼联合创始人Reuven Harrison详细介绍当今IT环境中安全策略的发展,以及对这些策略进行全面、一致的管理的技术。