2013年12月,業(yè)界頂尖咨詢(xún)機構Forrester發(fā)布報告,提出”零信任網(wǎng)絡(luò )”的概念,并定義了新的安全產(chǎn)品類(lèi)別“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”。Forrester羅列了21項標準來(lái)定義“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”,并對業(yè)界15家主流廠(chǎng)商的產(chǎn)品進(jìn)行了評估。其中,華為作為唯一被提到的中國廠(chǎng)商,憑借USG6000下一代防火墻產(chǎn)品,滿(mǎn)足20項標準定義,功能覆蓋度排名TOP3。
時(shí)代在變化,安全需要演進(jìn)
自2000年以來(lái),企業(yè)的ICT環(huán)境發(fā)生了巨大的變化,在BYOD、社交網(wǎng)絡(luò )、云計算等新技術(shù)讓企業(yè)業(yè)務(wù)更自由、更高效,更便捷的同時(shí),也帶來(lái)了邊界愈發(fā)模糊、身份魚(yú)龍混雜、數據泄露等新的安全挑戰。這對對安全設備的防護能力提出了更高的要求。
傳統的安全架構通常是零散的、亡羊補牢式的,在防護效果、可管理性和降低TCO等各方面都無(wú)法滿(mǎn)足當前的安全需要。2013年12月,業(yè)界頂尖的咨詢(xún)機構Forrester Research發(fā)布了《Security Network Segmentation Gateways Q4, 2013》安全報告,針對傳統網(wǎng)絡(luò )安全架構的不足,提出了“零信任網(wǎng)絡(luò )”的概念。在報告中,Forrester定義了一個(gè)新的安全產(chǎn)品類(lèi)別--“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”(Network Segmentation Gateways),作為零信任網(wǎng)絡(luò )的安全核心,并羅列了21項標準,對15個(gè)業(yè)界主流廠(chǎng)家的產(chǎn)品進(jìn)行評估。
Forrester的“零信任網(wǎng)絡(luò )”和“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”
Forrester認為,當前以數據為中心的世界,威脅不僅僅來(lái)自于外部,需要采用 “零信任”模型構建安全的網(wǎng)絡(luò )。在“零信任”網(wǎng)絡(luò )中,不再有可信的設備、接口和用戶(hù),所有的流量都是不可信任的。現實(shí)中也確實(shí)如此,技術(shù)高超的APT攻擊者總有辦法進(jìn)入企業(yè)網(wǎng)絡(luò ),企業(yè)的內部員工有意、無(wú)意地也會(huì )對信息安全造成損害。來(lái)自任何區域、設備和員工的訪(fǎng)問(wèn)都可能造成安全危害。因此“零信任”是當前網(wǎng)絡(luò )對安全的最新要求,必須進(jìn)行嚴格的訪(fǎng)問(wèn)控制和安全檢測。通過(guò)“零信任”網(wǎng)絡(luò ),網(wǎng)絡(luò )和安全專(zhuān)家可以用多個(gè)并行的交換核心構建網(wǎng)絡(luò ),安全地實(shí)現網(wǎng)絡(luò )分段,實(shí)現安全防護,達到合規標準,并能集中地管理網(wǎng)絡(luò )。
在“零信任網(wǎng)絡(luò )”中,“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”位于網(wǎng)絡(luò )的中心。這種新的安全設備類(lèi)型,集成了當前絕大部分獨立安全設備的能力,包括防火墻、IPS、內容過(guò)濾、反病毒、Web安全和VPN等。現階段,NGFW暫時(shí)扮演了“網(wǎng)絡(luò )隔離網(wǎng)關(guān)’的角色,但兩者并不相同。
圖1 網(wǎng)絡(luò )隔離網(wǎng)關(guān)
Forrester認為,“網(wǎng)絡(luò )隔離網(wǎng)關(guān)比NGFW需要的更多”。這不僅僅在于它需要比NGFW集成更多的功能,還在于“零信任”模型中,網(wǎng)絡(luò )隔離網(wǎng)關(guān)位于網(wǎng)絡(luò )的中心,更靠近數據的位置。需要處理所有的網(wǎng)絡(luò )流量,因此需要更強的性能和更多的萬(wàn)兆接口。部署“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”的根本目的,是根據數據的類(lèi)型和敏感性來(lái)隔離網(wǎng)絡(luò )。使用“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”結合“零信任”模型,能構造更可靠的網(wǎng)絡(luò ),保護關(guān)鍵數據并抵御現代威脅。使用“零信任”模型,“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”可以被看作是SDN(Software-Defined Networking,軟件定義網(wǎng)絡(luò ))安全的核心,因此它必須支持SDN,并能夠被統一管理。
“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”解讀
Forrester從21項標準,來(lái)評估產(chǎn)品是否滿(mǎn)足“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”的要求。這些標準大致分為三個(gè)方面:
v安全能力:防火墻特性、IPS特性、應用感知、Active Directory集成、用戶(hù)感知、內容過(guò)濾、行為監控、遵從性報表、VPN 網(wǎng)關(guān)能力、DLP(數據防泄漏)、加密流量檢測、第三方測試、Anti-DDoS能力、高級的惡意軟件檢測;
v管理能力:集中管理、基于Web的管理、自動(dòng)簽名升級、軟件虛擬機防火墻;
v性能和接口:10G能力和接口、多接口、專(zhuān)有硬件。
安全能力多達14項。可見(jiàn),全面完備的安全能力是“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”的基礎。其中,對DLP(數據防泄漏)和內容過(guò)濾的要求是NGFW定義中沒(méi)有的,足見(jiàn)“網(wǎng)絡(luò )隔離網(wǎng)關(guān)”對數據保護的重視。有4項標準是對可管理性的要求,如集中管理、虛擬化,這是為了適配未來(lái)SDN網(wǎng)絡(luò )的要求。剩余的3項標準用來(lái)衡量性能和接口豐富度,評價(jià)產(chǎn)品是否適合部署在網(wǎng)絡(luò )核心位置。
