|
网络防火墙的末日真的来了吗?云计算和分布式数据可以放在多个地点和多种设备上的性质让我们意识到在可预见的未来,安全的“成功道路”很可能不是基于防火墙的策略。 此外,对数据安全采取的基于网络的防火墙方法忽略了一个关键事实:大多数重大的安全泄漏事故都是由于内部人员共计。最近的维基百科安全灾难就是因为内部人员共计,并且研究表明,很多最重大和损失最打的网络破坏事件都是因为内部人员攻击。 RSA在2009年的报告表示,内部人员是比攻击者更大的威胁。 并且2010年Verizon数据泄漏报告显示,内部人员泄漏事故正在上升。 在网络边缘的DMZ和网络防火墙在阻止这些让企业处于最大危险之中的高威胁的攻击方面毫无作为。 出站访问控制 出站访问控制如何呢?网络防火墙是否有所作为?出站访问控制方面,网络防火墙主要有以下表现: 它们可以防止接近零日攻击 它们可以通过执行URL过滤和网络反恶意软件检测来减少互联网的“攻击面” 它们可以进行出站SSL检查所以恶意软件无法隐藏在SSL通道来向互联网的控制器发送企业信息 但是,在出站访问控制方面,防火墙面临的挑战就是并不是所有访问企业数据的设备都符合企业网络访问政策。当然,当员工的笔记本在内网中,一切都很好,并且他们的互联网访问被锁定,很安全。但是,如果员工出差了,笔记本连接到企业网络访问控制不能控制的网络呢?然后该员工又回到内网,又将他在外部网络的东西分享到内网。在这种情况下(这对于大多数公司都很常见),企业出站访问控制防火墙无法控制这种问题。 解决方案是什么? 因为云计算的出现,越来越多的设备开始可以访问数据,数据可以放置的地点也越来越多,企业应该将重点放在保护数据本身而不是网络防火墙上。同时,企业需要部署更先进的方法来进行访问控制以及数据访问报告。另外,需要将保护文件本身作为机制部署,那样只有授权人员才可以访问数据,无论文件保存在哪里。 ACL需要变得更加灵活和更加全面,比起我们现在使用的基于用户/组的方法。你需要以一种更加现实的方式来评估用户,包括以下标准: 用户是员工还是承包商? 如果是员工,是专职还是兼职? 用户是特定项目组成员吗? 用户是否被分配到某个安全分类? 用户是否暂停或者离开? 这些标准和其他用户特征比用户属于哪个“组群”更有价值,并且你应该能够设置访问政策以满足实际需要。 上面所述是良好的开始,但是初步评估和授权只是刚开始。当数据从原地址转移出去后,必须对其进行安全保护,不管数据被转移到哪里。这也是为什么权限管理服务(RMS)重要的原因,事实上,如果权限管理被应用到维基百科稳当,很有可能就不会发生那样的灾难。 防火墙是否会退出历史舞台? 在这一点上,你一定会觉得奇怪:防火墙会怎么发展?我们是否应该摒弃防火墙?是不是浪费了花费在学习防火墙上的时间呢?事实上,防火墙并不会退出历史稳态,但是像其他引领你成功的安全方法一样,防火墙安全技术需要更加贴近信息保存的地点。现代计算机处理器的力量有能力在每个客户端系统装上复杂的防火墙,事实上,这正是Windows 7和Windows Server 2008及以上版本的系统中具有高级安全性能的Windows防火墙的概念。利用windows过滤平台(WFP),这些基于主机的防火墙能够执行高级防火墙只能,并且能够在客户端和主机间进行端到端加密。事实上,在消除对网络防火墙的要求方面,在所有内网启用Ipsec有很长的路要走。并且随着Ipv6开始逐渐扩大范围,相信我们将看到对网络防火墙投资的回升。 你觉得呢?这是否是网络防火墙的末日?防火墙管理员是否应该重新装点他们的简历或者重新学习更重要的技术,例如身份和房屋控制管理?或者网络防火墙将永远存在? 责编:刘书畅 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|