一日复一日,不一样范围的公司都面对着网络诈骗和故意内部员工的危害。在2020年,Verizon汇报全世界有超出3,950件被确定的数据泄漏事情,对比前一年几乎翻番。这种数据泄漏危害了上百万人,导致公司很多的時间、钱财和資源损害,而且对公司发展都是有长远的危害。
在今天迅速改变的全球,CISO们必须一种可以对稳步增长的动态性负载与内部结构流量开展抵抗的方法。传统式安全性解决方法早已不能解决了。VMware Threat Analysis Unit新发表了一份危害汇报中,主要提及了一种新的计划方案,特别是在对于边界内开展防御力。在这个汇报中,结果很显著:即使布署了首要的边界防御力,故意工作人员仍然活跃性在互联网中。
VMware的网络安全产品销售市场高級负责人DhruvJain强调了五个内部结构大数据中心的传统式防火墙缺点。
缺陷一:边界防火墙关键对于旧流量方式,并非新流量方式
绝大多数内部结构防火墙是以公司的边界防火墙精减而成,用以保证东西南北流量安全性。殊不知,在当代大数据中心中,有大批量的东西流量,代表着大数据中心内有很多平行面挪动的状况。伴随着很多的一体化运用被布署或是复建到分布式应用中,现如今东西向流量早已远超南北流量。
过多机构犯了将自身传统式边界防火墙更新改造后维护内部结构互联网的不正确。尽管这件事情看起来很吸引人,可是用边界防火墙检测东西流量不但价格昂贵,并且仍在监管很多动态性负载的強度和功能上十分低效能。
缺点二:边界防火墙缺乏可塑性
用边界防火墙检测东西南北流量一般不易造成特性短板,由于流量经营规模并沒有东西流量那么大。可是要是公司用边界防火墙检测全部(或是绝大多数)东西流量,成本费和多元性会几何级提高到公司没办法处理的程度。
缺点三:开卡对秀发非常好,可是对大数据中心流量可不太好
假如边界防火安全请被用以检测东西流量,流量会被强制性从一个去中心化的机器设备出入,进而造成开卡流量方式的造成,会产生很多的互联网资源应用。除开会提升延迟时间,不论是从网络设计方案或是从互联网运作方面看来,开卡内部结构互联网流量还会继续提升互联网的多元性。互联网在制定的过程中一定要充分考虑会出现附加的开卡流量越过边界防火墙。在经营方面,安全性运营团队务必迎合网络设计方案,而且注意给防火墙附加流量时的限定。
缺点四:边界防火墙不给予清楚的数据可视化能力
检测东西流量并落实颗粒度对策规定到负载级别的数据可视化能力。规范的边界防火墙沒有对负载互动的高数据可视化能力,都没有微防护服务项目修建智能化的分布式应用。欠缺运用流的数据可视化能力会让建立和实行负载或是独立流量级别的标准极其艰难。
缺点五:我有安全设置了,但运用在哪儿?
传统式的防火墙管理方法页面被设计于管理方法几十个分离出来的防火墙,但并并不是设计方案适用含有自动化技术配备安全设置的负载灵便能力。因而,当边界防火墙被作为内部结构防火墙的情况下,互联网和安全运营工作人员务必在一个新的工作中负载建立的情况下,手动式创建新的安全设置;而且当一个负载被清除或是停止使用的情况下,改动这种对策。
用零信任再次思索内部结构大数据中心安全性
在这种缺点的情形下,如今是时候再次思索内部结构大数据中心安全性,而且逐渐运用零信任安全性了。假如传统式的边界防火墙不适宜,或是没法高效地变成内部结构防火墙,那哪一种解决方法是最合适检测东西流量?根据以上的缺点,机构应当逐渐考虑防火墙的适用下列能力:
- 分布式系统和颗粒度实行安全设置。
- 可可塑性及其货运量,在没有危害使用性能的情形下解决大流量。
- 对互联网和网站架构低危害。
- 运用内数据可视化。
- 负载移动化与自动化技术策略管理。
一个边界防火墙要达到那些规定,没法规避地会出现很高的成本费用和多元性,还有可能会产生很多的安全性无效事情。可是,一个分布式系统的软件定义计划方案是布署内部结构防火墙检测东西流量的最有效方法,一个准确的软件定义内部结构防火墙计划方案可以可延伸地、成本低地、高效率地维护不计其数的工作中负载,跨过数千个运用;与此同时在大数据中心开启零信任实体模型,可以协助公司更进一步完成总体的零信任安全性架构。
评价
当外界的边界慢慢模糊不清之后,危害在里面的横着运动就更要留意,便于可以第一时间发觉进攻并将攻击限定在比较有限区域内。因而,大数据中心内部结构的安全防护必须解决很多的东西向流量,在错综复杂的里面条件中得到数据可视化能力。这必须根据零信任搭建互联网,并应用微防护对互联网系统分区开展管理方法。