零信任模型是一个神秘的概念,有时你认为已经了然于胸,但一段时间后又发现还有很多东西需要学习。同样,当我们谈论零信任时代防火墙的命运时,事实上我们对防火墙这个“古老”的安全技术的认知也未必能与时俱进。
在“无边界”的零信任时代,传统防火墙的原有功用已经失效。但是,防火墙技术也在持续发展和创新,提供更多特性和功能来应对当今的威胁。正如网络安全专家Ruvi Kitov所指出的那样,“防火墙无处可去”,他们只是发展并添加新功能来满足新需求。
NGFW依然很能打
NGFW(下一代防火墙)并非浪得虚名,将防火墙的防御能力推到了一个全新的高度。
NGFW通常具有实时预防系统,可防止网络攻击的“零号病人”造成多米诺骨牌效应,不仅能阻止恶意软件,还可以根据实时威胁情报和对系统正在处理的在线活动的分析来阻止异常流量。
NGFW还具有高级威胁识别和身份管理功能,可以有效区分合法用户、应用程序和设备与恶意或受感染的用户、应用程序和设备。这种强大的识别系统通常由共享威胁情报提供支持,即使在涉及分布式劳动力或多区域运营的高度复杂环境中,也能让组织拥有更广泛的安全可见性。
NGFW的另一个重要功能是能够检查SSL/TLS协议通信。正如今年早些时候业界报道的那样,网络安全专业人员观察到的恶意软件中,几乎有一半隐藏在TLS加密通信中。如果防火墙将TLS加密通信排除在审查之外,那么许多组织就会被各种恶意软件淹没。
此外,下一代防火墙不受基于签名的防御的限制。他们采用不同的技术来识别异常活动和软件。这些技术包括沙盒、通过内容解除和重建进行文件清理、人工智能和机器学习,以及全面的威胁情报。
此外,许多高级防火墙还具有统一的管理配置功能,以兼容大多数组织的通用安全编排,其主要特点是使用由不同供应商开发和维护的不同的安全解决方案。
最后,下一代防火墙在采用零信任方法设计时可提供最佳结果。最好的NGFW可根据具体情况阻止访问或授予权限,而不是过时的白名单。所有流量和活动都是独立评估的,不受基于某些标准或安全/有害来源清单的大规模行动的影响。
此外,权限的授予基于最小权限原则。这意味着以最低限度提供访问权限,这可确保不良行为者没有任何机会发现和利用系统中的漏洞。
“兼容”零信任
有些专家认为防火墙和零信任模型不太可能共存或相互兼容。例如,福布斯技术委员会成员Daniel Schiappa在曾表示认同用“没有企业防火墙,没有网络”的方法来构建零信任系统。“零信任可以让企业灵活地管理对其公司网络的访问,而无需通过防火墙或VPN连接,”Schiappa说道。
Data Center Knowledge在2017年发表的一篇文章中也对“云如何杀死防火墙”做出了类似的断言,声称运营商应该考虑用更精细的安全技术替换他们的防火墙。
尽管如此,还是有很多人认为NGFW和零信任模型实际上可以协同工作。不过需要改变防火墙的角色,企业可以把防火墙用作微分段的网关,而不是作为传统防火墙使用。
零信任的标志之一是能够将系统划分为不同的部分或流程,增加攻击难度并最大限度地减少了初始攻击的伤害。微分段的存在还使得在入侵恶化为更严重的问题之前更容易检测到入侵。
正如信息安全记者David Bisson所说,“分段网关也坚持着零信任模型的核心原则:微分段。”企业正是通过微分段制定安全策略,建立不依赖于IP地址而是基于执行某些任务所需的数据和应用程序的安全区域。
执行所有这些操作可以减少网络犯罪分子的攻击面,大大减少了网络攻击横向移动的可能性。然后,企业可以建立防火墙规则,根据用户需求和业务需求调节不同微分段之间的流量。
从边缘到中心
那么,如果说防火墙在零信任环境中的角色已经发生改变,那么不断堆积的防火墙的新功能意义何在?这就是零信任模型和防火墙演变的复杂性的美妙之处。作为分段网关的防火墙不必牺牲其新功能,因而在建设零信任环境中不会“大材小用”,甚至还可以成为核心组件。
正如美国国家科学技术研究院(NIST)关于开发改进关键基础设施网络安全框架的研究论文所指出的那样,集成分段网关可以作为网络的核心,因为它具有单个独立设备的所有特性和功能。这些安全产品包括防火墙、网络访问控制(NAC)、VPN和IPS。
作为分段网关运行的NGFW位于网络的中心,而不是位于周边。这种安排使防火墙更加专注于数据和流量访问监管,而不是仅仅作为访问监控组件从网络外部执行其工作。它可以产生更多有价值的数据见解,有助于更有效地处理新型威胁。
与此同时,零信任环境中的NGFW也不会丧失高级防火墙的其他优势,例如实时监控、增强的威胁识别和威胁身份管理、SSL/TLS检查、统一管理配置和非基于签名的保护。总之,防火墙技术发展得足够成熟,可以成为零信任网络防御的重要组成部分。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。