Don Meyer

　　思科安全產(chǎn)品營(yíng)銷(xiāo)總監

　　歡迎閱讀防火墻未來(lái)展望系列博文，本篇是第 1 部分。

　　過(guò)去二十年來(lái)，防火墻一直扮演著(zhù)保障網(wǎng)絡(luò )連接安全性的重要角色。防火墻最初的設計主要圍繞著(zhù)一個(gè)原則，那就是內部流量和用戶(hù)是可信任的，而網(wǎng)絡(luò )外的流量與之相反。于是，人們通過(guò)部署防火墻在不同網(wǎng)絡(luò )之間搭建起信任邊界。這一網(wǎng)絡(luò )邊界搖身成為為企業(yè)網(wǎng)絡(luò )、數據、用戶(hù)和設備提供防護的邏輯安全控制點(diǎn)。除此之外，所有網(wǎng)絡(luò )流量（無(wú)論是來(lái)自公司總部、數據中心還是遠程工作人員）都要經(jīng)過(guò)這個(gè)單一控制點(diǎn)，從而降低了信任邊界維護工作的難度，并有助于實(shí)施一致的控制措施。那時(shí)，一切都在掌控之中。

　　數字技術(shù)的發(fā)展，使我們的工作方式、數據使用方式、以及交流互動(dòng)方式發(fā)生了極大的轉變。而“云”的出現則使局面變得更加復雜：我們的許多關(guān)鍵業(yè)務(wù)應用程序開(kāi)始從數據中心和本地網(wǎng)絡(luò )遷移到一些我們再也無(wú)法獨有或控制的地方。與此同時(shí)，企業(yè)的分支機構也開(kāi)始通過(guò)直連互聯(lián)網(wǎng)的方式來(lái)使用那些目前經(jīng)常被托管在數據中心之外的服務(wù)。此外，無(wú)論在辦公區域之內還是之外，用戶(hù)們都能借助自己的個(gè)人設備，訪(fǎng)問(wèn)越來(lái)越豐富的網(wǎng)絡(luò )資源。

　　隨著(zhù)網(wǎng)絡(luò )互聯(lián)程度的日益提升，單一邊界或控制點(diǎn)的概念早已不復存在。針對“邊界溶解”和防火墻存在必要性這兩個(gè)問(wèn)題，業(yè)內人士也一直議論紛紛。而我的觀(guān)點(diǎn)很明確，那就是防火墻不僅比以往更加重要，而且現在，任何地方都需要部署防火墻，部署更多的防火墻 - 包括我們的本地網(wǎng)絡(luò )、分支機構、網(wǎng)關(guān)、數據中心內部、云端、終端、甚至深入到應用程序工作負載的內部。

　　現在，擺在我們面前的不再是一個(gè)單一的邊界，而是橫跨多個(gè)網(wǎng)絡(luò )、設備、用戶(hù)和數據的一系列“微觀(guān)邊界”。我們往往需要通過(guò)整合不同的終端技術(shù)來(lái)保障這些新興“邊界”的安全，而這需要大量的人工干預才能實(shí)現。再加上負責管理所有新增設備的專(zhuān)業(yè)人才嚴重短缺，所以我們面臨的挑戰更加嚴峻。因此，為了能夠維持策略的一致性和威脅洞察的統一性，企業(yè)紛紛開(kāi)始實(shí)施一些迥然不同的安全解決方案。來(lái)看看這樣做的結果是什么。不僅網(wǎng)絡(luò )本身和網(wǎng)絡(luò )安全變得越來(lái)越復雜，因配置錯誤和不一致導致的數據泄露和破壞也時(shí)有發(fā)生。

　　盡管我們也在想方設法來(lái)緩解這個(gè)復雜的局面，但是惡意分子也在不斷通過(guò)更多威脅載體發(fā)動(dòng)更頻繁、更復雜的威脅攻擊。根據《思科網(wǎng)絡(luò )安全報告-2019 年度威脅報告》（？？點(diǎn)擊查看報告），惡意攻擊者正通過(guò)一系列日益復雜的方法來(lái)入侵我們的網(wǎng)絡(luò )；而入侵成功率的不斷提高也充分表明了現有技術(shù)手段在現代威脅面前幾近徒勞。

　　然而最令人苦惱的地方在于，我們原有的可見(jiàn)性和控制力蕩然無(wú)存。我們再也無(wú)法深入了解用戶(hù)和數據的去向以及業(yè)務(wù)所面臨的風(fēng)險程度。難以及時(shí)判斷出誰(shuí)在跟誰(shuí)通信，難以及時(shí)發(fā)現我們是否已被入侵。除此之外，變革的節奏也隨著(zhù)越來(lái)越多的企業(yè)紛紛踏上數字化轉型之路而不斷加快，反倒為意圖不軌的惡意攻擊者創(chuàng )造了絕佳的機會(huì )。而對負責網(wǎng)絡(luò )安全的人員來(lái)說(shuō)，這無(wú)疑帶來(lái)了一個(gè)棘手的問(wèn)題。要徹底解決這一問(wèn)題，到底該從哪里入手？

　　防火墻的重要性并沒(méi)有減弱，事實(shí)上，它比以往任何時(shí)候都更重要，但我們需要從不同的角度來(lái)考慮它。我們必須超越形式因素和物理或虛擬設備，將防火墻作為一種功能來(lái)使用，不管是數據中心、云端、還是分支機構，防火墻的任務(wù)都是按需下發(fā)通用策略，實(shí)現威脅可視，開(kāi)展威脅分析，提供世界一流的安全控制措施 – 而這也是更快速、更準確地預防、檢測和阻止攻擊的關(guān)鍵要素。

　　一直以來(lái)，思科都在為實(shí)現這一愿景而努力，旨在為客戶(hù)搭建起適應當下、面向未來(lái)的最強勁安全防御機制。請繼續關(guān)注“防火墻未來(lái)展望”系列博文，了解更多相關(guān)資訊。

　　防火墻未來(lái)展望，第 2 部分：勿讓復雜性毀掉您的安全