Firewall as a Service的定义
Gartner在2017年发布的“Hype Cycle for Threat-Facing Technologies”技术成熟度曲线中将Firewall as a service放在innovation trigger阶段,预计到2021年,FWaaS市场将从统一威胁管理UTM(SMB Firewall)市场抢占15%的份额。
那么什么是Firewall as a Service呢? Gartner定义是:防火墙即服务是一种基于云服务或混合型解决方案(云+on-premises本地设备)交付的多功能防火墙,主要应用在多租户环境中。通过利用集中式的策略管理,企业级防火墙功能以及流量隧道将安全检测部分或全部转移到云基础架构中,从而实现提供更简单更灵活的架构。
Hype Cycle for Threat-Facing Technologies, 2017
要点分析
FWaaS并不是直接取代企业级防火墙或统一威胁管理,如同其他的服务一样,在一些特定的案例或场景中,FWaaS可以作为一个更具吸引力的解决方案,而不是直接替换相对应的硬件设备。
FWaaS最适合于SMB用户,不适用于大型企业边界或数据中心的部署。所以SMB中小企业以及大型企业分支机构是FWaaS的目标市场。
软件定义的广域网(SD-WAN)为用户提供了更多的灵活性,降低了互联网服务成本。预计到2020年,SD-WAN的年增长率将达到57%,同时路由器支出将下降23.2%。对于向SD-WAN迁移的客户,使用FWaaS将大幅提升价值,而不考虑SD-WAN的用户将维持使用现有的路由器或UTM设备。
FWaaS能够在防火墙或UTM之上提供更多的安全能力,比起硬件设备具有更好的可扩展性。增加新的安全功能不再取决于硬件的瓶颈限制(比如从简单的AV检测转换为完整的文件沙箱),使得用户可以快速添加或减少安全功能,并提供更好的成本预测。
技术描述
FWaaS是一个在云端执行的防火墙运行平台,除此之外还需要防火墙的管理操作人员或使用MSSP,可以由FWaaS服务商提供或使用FWaaS平台的本地人员。
FWaaS提供商使用多种方法将流量引入到云端进行检测,比如将现有的UTM设备重新定位为转发设备,或移除现有的UTM用路由器来代替转发,还可以用自己的zero-touch转发设备。
Client-to-site VPN, 将VPN客户端移动到云架构上可以解决很多移动用户流量回转的相关问题,使用本地代理的用户可以连接到最近的存在点(POP),以用于他们的FWaaS VPN产品。除了提高用户的性能之外,这些服务通常可以确定哪些流量是指向数据中心的,哪些流量指向了互联网,实现灵活的安全策略配置,最终为用户提供最佳的用户体验,同时不会牺牲安全性,并大大简化VPN体系结构和管理。
FWaaS Architecture
总之,FWaaS是最适合于SMB中小企业或分布式站点使用,还可以吸引大型企业对client-to-site VPN服务的需求,以支持使用数据中心和云应用混合的移动用户。Gartner预计,用户的FWaaS支出将来自现有的UTM预算, 另外为了减少或MPLS支出,FWaaS的花费也可能来自WAN预算。FWaaS不能代替MSSP的托管防火墙服务。因为FWaaS是一个平台,这个平台需要像硬件的防火墙一样进行管理,所以FWaaS不会削弱MSSP的收入。
采用SD-WAN拓扑结构的客户需求是FWaaS市场的最大驱动力。SD-WAN在安全堆栈迁移到云是价值最大化,它可以提高边界的安全性,同时提供运营效益和可预测成本。当客户考虑转向SD-WAN时,基于硬件的竞争对手将难以达到同样的收益水平。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
