在當(dāng)今瞬息萬(wàn)變的世界里，CISO需要一種方法來(lái)保護(hù)日益增長(zhǎng)的動(dòng)態(tài)工作負(fù)荷，增加內(nèi)部網(wǎng)絡(luò)流量，防止網(wǎng)絡(luò)攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全方法還不夠。VMware威脅分析單位最近發(fā)布的威脅報(bào)告，強(qiáng)調(diào)需要采用新的方法，特別是在區(qū)域內(nèi)。盡管部署了一批防御，但惡意行為者仍在網(wǎng)絡(luò)上采取積極行動(dòng)。

以下是對(duì)傳統(tǒng)防火墻內(nèi)部數(shù)據(jù)中心安全的五個(gè)缺點(diǎn)的總結(jié)。接下來(lái)廣州軒轅宏邁網(wǎng)絡(luò)工程服務(wù)商的小編帶大家來(lái)詳細(xì)了解一下。

缺點(diǎn)1：防火墻主要集中在舊的，而不是新的交通模式上。

內(nèi)部防火墻多來(lái)自企業(yè)邊緣防火墻，旨在保證有限數(shù)量的進(jìn)出組織流量(南北流量)。然而，在現(xiàn)代數(shù)據(jù)中心，東西方的交通量較高，這意味著數(shù)據(jù)中心的橫向移動(dòng)。隨著越來(lái)越多的單一應(yīng)用程序被替換或重建到分布式應(yīng)用程序中，東西方的流量遠(yuǎn)遠(yuǎn)超過(guò)了南北交通。
為了保護(hù)其內(nèi)部網(wǎng)絡(luò)，太多的組織錯(cuò)誤地改造了傳統(tǒng)的防火墻。雖然這可能很有吸引力，但使用周?chē)姆阑饓M(jìn)行東西方交通監(jiān)控不僅成本高，而且在保護(hù)大量動(dòng)態(tài)工作負(fù)荷所需的控制和性能水平方面也非常無(wú)效。

缺點(diǎn)2：防火墻不縮放。

利用防火墻監(jiān)測(cè)南北交通通常不會(huì)造成性能瓶頸，因?yàn)榫淼拇笮〔蝗鐤|西方流量大。如果企業(yè)使用東西方流量的防火墻，并希望檢查所有（或大多數(shù)）流量，成本和復(fù)雜性將呈指數(shù)級(jí)上升，因此組織根本無(wú)法解決這個(gè)問(wèn)題。

缺點(diǎn)3：發(fā)夾適合頭發(fā)，不適合數(shù)據(jù)中心交通。

若使用周邊防火墻來(lái)監(jiān)控東西方的流量，則將強(qiáng)制從集中設(shè)備進(jìn)出流量。這將創(chuàng)建一種在過(guò)程中使用大量網(wǎng)絡(luò)資源的發(fā)夾模式。無(wú)論是從網(wǎng)絡(luò)設(shè)計(jì)還是從網(wǎng)絡(luò)操作的角度來(lái)看，頭發(fā)固定的內(nèi)部網(wǎng)絡(luò)流量都增加了復(fù)雜性。網(wǎng)絡(luò)必須設(shè)計(jì)為考慮防火墻路由附加流量(固定頭發(fā))。在操作方面，安全操作團(tuán)隊(duì)必須堅(jiān)持網(wǎng)絡(luò)設(shè)計(jì)，并在檢查向防火墻發(fā)送額外流量時(shí)注意限制。

缺點(diǎn)4：防火墻不能提供清晰的可見(jiàn)性。

要將可見(jiàn)性降低到工作負(fù)荷水平，監(jiān)控東西方的流量，實(shí)施細(xì)粒度策略。標(biāo)準(zhǔn)防火墻對(duì)構(gòu)成現(xiàn)代分布式應(yīng)用的工作負(fù)荷與微服務(wù)的通信模式?jīng)]有清晰的認(rèn)識(shí)。由于應(yīng)用程序流缺乏可見(jiàn)性，很難在工作負(fù)荷或單個(gè)流量級(jí)別創(chuàng)建(并強(qiáng)制)規(guī)則。

缺點(diǎn)5：有這個(gè)安全策略，但是應(yīng)用程序呢？

傳統(tǒng)的防火墻管理層設(shè)計(jì)用于處理幾十個(gè)離散防火墻，但設(shè)計(jì)不支持工作負(fù)荷遷移，安全策略自動(dòng)重新配置。因此，當(dāng)防火墻用作內(nèi)部防火墻時(shí)，網(wǎng)絡(luò)安全操作員必須手動(dòng)創(chuàng)建新的安全策略，并在工作負(fù)荷移動(dòng)或退休時(shí)修改。

重新考慮內(nèi)部數(shù)據(jù)中心的安全，采用零信任的方法。
鑒于這些缺點(diǎn)，是時(shí)候重新考慮內(nèi)部數(shù)據(jù)中心的安全性，開(kāi)始實(shí)現(xiàn)零信任安全了。如果傳統(tǒng)的防火墻不適合或不有效地用作內(nèi)部防火墻，那么，哪種解決方案最適合監(jiān)控東西方流量？基于上述缺點(diǎn)，各組織應(yīng)開(kāi)始評(píng)估其防火墻方法，以支持：

①分布式和細(xì)粒度執(zhí)行安全策略。

②可擴(kuò)展性和吞吐量在不妨礙性能的情況下處理大量流量。

③對(duì)網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施的影響較小。

④應(yīng)用程序中的可見(jiàn)性。

⑤工作量流動(dòng)和自動(dòng)政策管理。

防火墻不能在不產(chǎn)生異常高成本和復(fù)雜性的同時(shí)，滿足這些需求，同時(shí)需要太多的安全妥協(xié)。相反，分布式軟件定義方法是監(jiān)控東西方流量的最有效方法。正確的軟件定義和內(nèi)部防火墻方法提供了可擴(kuò)展性、成本效益和效率，以確保數(shù)千個(gè)應(yīng)用程序中成千上萬(wàn)的單獨(dú)工作負(fù)荷，并幫助組織朝ZT點(diǎn)前進(jìn)。最好在數(shù)據(jù)中心實(shí)現(xiàn)零信任模型。

以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，由廣州軒轅宏邁編輯，如有侵權(quán)，請(qǐng)聯(lián)系刪除，如需了解更多網(wǎng)絡(luò)工程解決方案的，可在線客服或者來(lái)電咨詢，廣州軒轅宏邁為您提供一站式網(wǎng)絡(luò)工程/安防監(jiān)控/綜合布線/弱電工程解決方案，期待您的咨詢與合作！！