下代防火墻在云中的尷尬地位
責編:gltian |2019-04-04 14:07:29從防火墻到 “下代防火墻” 的變遷,標志著安全領域從專注IP地址的模式轉變到瞄準應用、用戶和內容的模式。這一重大轉變為我們所保護的東西提供了更多可見性與上下文。
但隨著向云端的遷移,“下代防火墻” 也不再是 “下代”,看起來更像是必將與恐龍同命運的 “爺爺輩” 了。下代防火墻用例中,應用可見性使深度包檢測成為可能,可以用來識別和檢查應用。而在云端,大部分流量都是加密的,意味著網絡沒辦法檢查流量。即使用什么神奇的手法得以執行 “中間人” 攻擊解密流量數據,云的規模和可擴展性也讓當前下代防火墻毫無用武之地。
下代防火墻追不上云的腳步
基礎設施即服務(IaaS)環境中的應用程序是定制的,沒有已知簽名可供識別應用。即便能夠識別應用程序,其安全配置也是各用例不同的。從通信模式看,兩個數據庫應用的安全配置和行為完全不同,但從啟動的角度看,這又是同一個應用程序。下代防火墻無法區分啟動和通信模式以理解應用行為或所需的策略。
容器、Kubernetes和和無服務器計算同樣讓下代防火墻完全抓瞎,因為下代防火墻就從未預想過要理解這些新一代的微服務。
IaaS實際上正演變為平臺即服務(PaaS),云端的任何應用都會用到來自云提供商的大量原生服務。對這些原生云服務的所有活躍訪問根本不會跨越網絡,所以下代防火墻對此毫無所覺。
云端用戶識別
由于不同環境中同個用戶對相同應用可能具備不同權限,下代防火墻還可能令云端用戶識別變得更加困難。換句話說,生產vs開發環境改變用戶互動方式。下代防火墻沒有關于部署模型的任何上下文——因為它們出現在持續集成/持續交付(CI/CD)概念之前。
云端絕大部分活動并非真是用戶所為,而是機器或應用程序承擔角色來執行的。但下代防火墻執行任務用的是不會在網絡流量中出現的API,所以它們完全看不到這些用戶。
在云端,用戶使用服務賬戶或SUDO工作,這意味著你無法僅憑檢查網絡流量或活動目錄(AD)就將行為歸結到正確的用戶身上,因為有效用戶未必是做了這些事的原始用戶。
在云端實施規則
規則實施功能是防火墻的主要功能,但在云端,服務提供商有自己的防火墻策略設置能力,比如AWS的安全組就能提供更多控制,且支持擴展與能提供更細粒度控制的標簽。下代防火墻在可擴展性上舉步維艱,而且不具備機器標簽環境。
下代防火墻采用靜態規則構建,這種東西即便在靜態環境下也無法維護。幾乎每個防火墻配置里都有至少10條規則是沒人能夠解釋清楚怎么來的,但沒有任何一個人敢動這些規則,因為他們不知道動了之后會毀掉什么。在云端這種彈性環境里,構建和維護規則就更不可能了。
云端需要新數據集
想識別云端應用和用戶,你需要網絡流量中不存在的新數據集。而且規則和簽名是無法使用的,因為你要用行為和上下文來做應用和用戶溯源。
下面列出云端的重要應用、用戶和行為,并附上 “下代防火墻” 和云原生解決方案的對比。
