Don Meyer

　　思科安全產品營銷總監(jiān)

　　歡迎閱讀防火墻未來展望系列博文，本篇是第 1 部分。

　　過去二十年來，防火墻一直扮演著保障網絡連接安全性的重要角色。防火墻最初的設計主要圍繞著一個原則，那就是內部流量和用戶是可信任的，而網絡外的流量與之相反。于是，人們通過部署防火墻在不同網絡之間搭建起信任邊界。這一網絡邊界搖身成為為企業(yè)網絡、數(shù)據(jù)、用戶和設備提供防護的邏輯安全控制點。除此之外，所有網絡流量（無論是來自公司總部、數(shù)據(jù)中心還是遠程工作人員）都要經過這個單一控制點，從而降低了信任邊界維護工作的難度，并有助于實施一致的控制措施。那時，一切都在掌控之中。

　　數(shù)字技術的發(fā)展，使我們的工作方式、數(shù)據(jù)使用方式、以及交流互動方式發(fā)生了極大的轉變。而“云”的出現(xiàn)則使局面變得更加復雜：我們的許多關鍵業(yè)務應用程序開始從數(shù)據(jù)中心和本地網絡遷移到一些我們再也無法獨有或控制的地方。與此同時，企業(yè)的分支機構也開始通過直連互聯(lián)網的方式來使用那些目前經常被托管在數(shù)據(jù)中心之外的服務。此外，無論在辦公區(qū)域之內還是之外，用戶們都能借助自己的個人設備，訪問越來越豐富的網絡資源。

　　隨著網絡互聯(lián)程度的日益提升，單一邊界或控制點的概念早已不復存在。針對“邊界溶解”和防火墻存在必要性這兩個問題，業(yè)內人士也一直議論紛紛。而我的觀點很明確，那就是防火墻不僅比以往更加重要，而且現(xiàn)在，任何地方都需要部署防火墻，部署更多的防火墻 - 包括我們的本地網絡、分支機構、網關、數(shù)據(jù)中心內部、云端、終端、甚至深入到應用程序工作負載的內部。

　　現(xiàn)在，擺在我們面前的不再是一個單一的邊界，而是橫跨多個網絡、設備、用戶和數(shù)據(jù)的一系列“微觀邊界”。我們往往需要通過整合不同的終端技術來保障這些新興“邊界”的安全，而這需要大量的人工干預才能實現(xiàn)。再加上負責管理所有新增設備的專業(yè)人才嚴重短缺，所以我們面臨的挑戰(zhàn)更加嚴峻。因此，為了能夠維持策略的一致性和威脅洞察的統(tǒng)一性，企業(yè)紛紛開始實施一些迥然不同的安全解決方案。來看看這樣做的結果是什么。不僅網絡本身和網絡安全變得越來越復雜，因配置錯誤和不一致導致的數(shù)據(jù)泄露和破壞也時有發(fā)生。

　　盡管我們也在想方設法來緩解這個復雜的局面，但是惡意分子也在不斷通過更多威脅載體發(fā)動更頻繁、更復雜的威脅攻擊。根據(jù)《思科網絡安全報告-2019 年度威脅報告》（？？點擊查看報告），惡意攻擊者正通過一系列日益復雜的方法來入侵我們的網絡；而入侵成功率的不斷提高也充分表明了現(xiàn)有技術手段在現(xiàn)代威脅面前幾近徒勞。

　　然而最令人苦惱的地方在于，我們原有的可見性和控制力蕩然無存。我們再也無法深入了解用戶和數(shù)據(jù)的去向以及業(yè)務所面臨的風險程度。難以及時判斷出誰在跟誰通信，難以及時發(fā)現(xiàn)我們是否已被入侵。除此之外，變革的節(jié)奏也隨著越來越多的企業(yè)紛紛踏上數(shù)字化轉型之路而不斷加快，反倒為意圖不軌的惡意攻擊者創(chuàng)造了絕佳的機會。而對負責網絡安全的人員來說，這無疑帶來了一個棘手的問題。要徹底解決這一問題，到底該從哪里入手？

　　防火墻的重要性并沒有減弱，事實上，它比以往任何時候都更重要，但我們需要從不同的角度來考慮它。我們必須超越形式因素和物理或虛擬設備，將防火墻作為一種功能來使用，不管是數(shù)據(jù)中心、云端、還是分支機構，防火墻的任務都是按需下發(fā)通用策略，實現(xiàn)威脅可視，開展威脅分析，提供世界一流的安全控制措施 – 而這也是更快速、更準確地預防、檢測和阻止攻擊的關鍵要素。

　　一直以來，思科都在為實現(xiàn)這一愿景而努力，旨在為客戶搭建起適應當下、面向未來的最強勁安全防御機制。請繼續(xù)關注“防火墻未來展望”系列博文，了解更多相關資訊。

　　防火墻未來展望，第 2 部分：勿讓復雜性毀掉您的安全