软件防火墙是一种软件形式的防火墙,而不是物理设备,可以部署在服务器或虚拟机上以保护云环境。*注意:术语“软件防火墙”不应与术语“防火墙软件”混淆,后者描述运行下一代防火墙 (NGFW) 的操作系统。
软件防火墙旨在保护难以或不可能部署物理防火墙的环境中的数据、工作负载和应用程序,包括:
- 软件定义网络 (SDN)
- 管理程序
- 公共云环境
- 虚拟化数据中心
- 分支机构
- 容器环境
- 混合和多云环境
软件防火墙如何工作
软件防火墙体现了与硬件防火墙(也称为下一代防火墙或 NGFW)相同的防火墙技术。软件防火墙提供多种部署选项,以满足混合/多云环境和现代云应用程序的需求。它们可以部署到任何虚拟化网络或云环境中。
软件防火墙与硬件防火墙
硬件和软件防火墙之间最重要的区别是外形因素,但还有其他几个值得注意的地方。软件和硬件防火墙在网络安全中都起着至关重要的作用。因此,软件防火墙并不比硬件防火墙好,反之亦然。相反,每种都适用于不同的情况。
| 参数 | 软件防火墙 | 硬件防火墙 |
|---|---|---|
| 外形尺寸 |
|
|
| 部署选项 |
|
|
| 复杂 |
|
|
软件防火墙的类型
软件防火墙通常属于以下三类之一:
- 虚拟防火墙
- 容器防火墙
- 托管服务防火墙
每种类型都针对不同的环境和目的提供特定的功能。但是,每个软件防火墙都会监视和保护东西向、传入和传出的网络流量。软件防火墙阻止可疑活动并防止渗漏。
虚拟防火墙(也称为云防火墙或虚拟化 NGFW)
虚拟防火墙保护一系列环境,包括:
- 混合云
- 个人私有云和公共云
- 虚拟化分支机构
- 5G部署
- 3 个虚拟防火墙用例
虚拟防火墙可以检查和控制公共云环境中的南北边界流量,并在数据中心和分支机构内分割东西向流量。虚拟防火墙通过微分段提供高级威胁预防措施。
在公共云中,虚拟防火墙为云服务提供商 (CSP) 提供的原生保护措施增加了保护。它们还保护与云应用程序的关键网络连接。在这些情况下,基于云的防火墙通常充当来宾虚拟机。有些可以提供跨多个 CSP 部署的可见性。
高端虚拟防火墙可以提供以下好处:
- 支持组织履行公共云用户安全义务
- 确保符合监管标准
- 增强每个 CSP 独有的内置安全功能
容器防火墙
容器防火墙的行为类似于虚拟防火墙,但专为 Kubernetes 环境构建。容器防火墙通过将安全性深度集成到 Kubernetes 编排中,帮助网络安全团队保护开发人员。这一点很重要,因为嵌入在 Kubernetes 环境中的容器工作负载可能难以使用传统防火墙进行保护。
托管服务防火墙
软件防火墙也可作为托管服务提供,类似于许多其他软件即服务 (SaaS) 产品。一些托管服务防火墙产品提供了一种灵活的方式来部署应用程序级(第 7 层)安全性,而无需管理监督。作为托管服务,其中一些防火墙还可以快速扩展和缩减。
需要软件防火墙的网络安全挑战
在虚拟化、去中心化环境的世界中,出现了许多网络安全挑战,这些挑战无法通过应用于传统数据中心的解决方案来解决。
消失的安全边界
将网络内部和外部分开的传统安全边界的概念已经受到挑战一段时间了。随着混合云/多云战略的激增,当今的现代架构使得定义边界变得更加困难。此外,大部分架构由服务提供商运行的云组成。这导致信息在网络和互联网上不断移动。
日益危险的威胁形势
40% 的企业已经遭受过至少一次基于云的数据泄露,考虑到云时代的持续时间很短,这一比例非常可观。这些成功攻击的受害者不仅仅是云新手,还有在网络安全方面拥有大量投资和专业知识的老牌企业。
云和网络团队之间相互矛盾的安全观点
从应用程序开发开始,转向云优先战略对安全性具有深远影响。安全性并不总是云开发人员的首要考虑因素。他们的任务是尽快开发和发布。事实上,14% 的云开发人员表示应用程序安全是重中之重,而三分之二的人通常会在他们的代码中留下已知的漏洞和漏洞。此外,开发团队通常会认为云服务提供商提供的本机安全性“足够好”。
网络安全通常出现在开发生命周期的后期,限制了可用选项的范围。此外,当网络安全团队推荐诸如 NGFW 之类的安全解决方案时,他们有责任证明他们的建议不会减慢业务速度或延迟实现价值的时间。
云原生在混合/多云架构中引入网络安全问题
开发方法的一个特别具有破坏性的变化是使用特定于供应商的编排服务,例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用这些工具,开发人员只需上传应用程序代码,编排服务就会自动处理部署。虽然这种自动化水平极大地简化了开发人员的工作,但它也加剧了混合/多云架构中的网络安全问题。
更大的攻击面
数据中心正在演变为私有云,其中本地应用程序托管在虚拟机上,而不是直接托管在物理服务器上。其他应用程序在虚拟化环境中的公共云上运行,通常使用容器和 Kubernetes 编排。在此模型中,互连主导架构,使攻击面更大且更难以定义。
混合/多云环境往往会带来合规性挑战
责任共担模式
责任共担模型只是混合/多云架构的一个方面,它可能难以实现合规性。
服务提供商实施一些必要的控制,因此必须提供可以纳入审计的证据。幸运的是,客户通常可以从 CSP“继承”控制权。如果文档到位,这会简化合规性。
CSP 不监督的项目,例如应用程序,从审计的角度来看是用户的责任。
地理差异
另一个合规性挑战是混合/多云架构通常跨越多个地区和司法管辖区的方式。这可能会引起诸如数据局部性和数据保护法规之类的问题。
软件防火墙的好处
保护混合/多云架构带来了传统安全解决方案无法克服的挑战。物理防火墙是许多网络应用程序的关键安全工具。然而,当涉及到现代混合/多云基础设施和云原生开发方法时,它并不总是唯一的选择。
全面保护
入境保护
众所周知,混合/多云环境的边界没有明确定义。软件防火墙可以更轻松地定义边界和所需的执行点。
例如:用户可以对数据库进行微分段并建立一个策略,只允许特定应用程序的后端与其通信。这可以防止来自外部世界的入站威胁。旨在渗透应用程序、窃取敏感数据或加密数据的威胁将被阻止。
出境保护
今天的现代应用程序通常会访问第三方代码或开源代码。这需要联系 GitHub 等存储库以获取第三方软件更新。更新可能会被误导到命令和控制服务器。
软件防火墙提供出站保护。这确保只访问必要的存储库。出站保护还确保只访问经过批准的 URL,防止未经授权访问恶意或感染恶意软件的 URL。
侧面保护
在云中,应用程序不会在孤岛中运行。相反,它们通过 API 和网络通信进行通信。应用程序还与云内外的用户对话。这通常是为了确保用户可以访问和使用这些应用程序。
如果保护面被渗透,软件防火墙会阻止云内的横向移动。这包括云到云或 VCP。因此,威胁在云中移动或追踪其他资源的能力极其有限。
相对容易设置和维护
软件防火墙不需要前往物理位置、重新布置电缆或与 CLI 交互。事实上,部署、扩展和策略更改通常是自动化的。员工无需花费数小时进行日常手动操作。
