探索 | 零信任時代，防火墻何去何從？

零信任模型是一個神秘的概念，有時你認為已經了然于胸，但一段時間后又發現還有很多東西需要學習。同樣，當我們談論零信任時代防火墻的命運時，事實上我們對防火墻這個“古老”的安全技術的認知也未必能與時俱進。

在“無邊界”的零信任時代，傳統防火墻的原有功用已經失效。但是，防火墻技術也在持續發展和創新，提供更多特性和功能來應對當今的威脅。正如網絡安全專家Ruvi Kitov所指出的那樣，“防火墻無處可去”，他們只是發展并添加新功能來滿足新需求。

NGFW依然很能打

NGFW（下一代防火墻）并非浪得虛名，將防火墻的防御能力推到了一個全新的高度。

NGFW通常具有實時預防系統，可防止網絡攻擊的“零號病人”造成多米諾骨牌效應，不僅能阻止惡意軟件，還可以根據實時威脅情報和對系統正在處理的在線活動的分析來阻止異常流量。

NGFW還具有高級威脅識別和身份管理功能，可以有效區分合法用戶、應用程序和設備與惡意或受感染的用戶、應用程序和設備。這種強大的識別系統通常由共享威脅情報提供支持，即使在涉及分布式勞動力或多區域運營的高度復雜環境中，也能讓組織擁有更廣泛的安全可見性。

NGFW的另一個重要功能是能夠檢查SSL/TLS協議通信。正如今年早些時候業界報道的那樣，網絡安全專業人員觀察到的惡意軟件中，幾乎有一半隱藏在TLS加密通信中。如果防火墻將TLS加密通信排除在審查之外，那么許多組織就會被各種惡意軟件淹沒。

此外，下一代防火墻不受基于簽名的防御的限制。他們采用不同的技術來識別異常活動和軟件。這些技術包括沙盒、通過內容解除和重建進行文件清理、人工智能和機器學習，以及全面的威脅情報。

此外，許多高級防火墻還具有統一的管理配置功能，以兼容大多數組織的通用安全編排，其主要特點是使用由不同供應商開發和維護的不同的安全解決方案。

最后，下一代防火墻在采用零信任方法設計時可提供最佳結果。最好的NGFW可根據具體情況阻止訪問或授予權限，而不是過時的白名單。所有流量和活動都是獨立評估的，不受基于某些標準或安全/有害來源清單的大規模行動的影響。

此外，權限的授予基于最小權限原則。這意味著以最低限度提供訪問權限，這可確保不良行為者沒有任何機會發現和利用系統中的漏洞。

“兼容”零信任

有些專家認為防火墻和零信任模型不太可能共存或相互兼容。例如，福布斯技術委員會成員Daniel Schiappa在曾表示認同用“沒有企業防火墻，沒有網絡”的方法來構建零信任系統。“零信任可以讓企業靈活地管理對其公司網絡的訪問，而無需通過防火墻或VPN連接，”Schiappa說道。

Data Center Knowledge在2017年發表的一篇文章中也對“云如何殺死防火墻”做出了類似的斷言，聲稱運營商應該考慮用更精細的安全技術替換他們的防火墻。

盡管如此，還是有很多人認為NGFW和零信任模型實際上可以協同工作。不過需要改變防火墻的角色，企業可以把防火墻用作微分段的網關，而不是作為傳統防火墻使用。

零信任的標志之一是能夠將系統劃分為不同的部分或流程，增加攻擊難度并最大限度地減少了初始攻擊的傷害。微分段的存在還使得在入侵惡化為更嚴重的問題之前更容易檢測到入侵。

正如信息安全記者David Bisson所說，“分段網關也堅持著零信任模型的核心原則：微分段。”企業正是通過微分段制定安全策略，建立不依賴于IP地址而是基于執行某些任務所需的數據和應用程序的安全區域。

執行所有這些操作可以減少網絡犯罪分子的攻擊面，大大減少了網絡攻擊橫向移動的可能性。然后，企業可以建立防火墻規則，根據用戶需求和業務需求調節不同微分段之間的流量。

從邊緣到中心

那么，如果說防火墻在零信任環境中的角色已經發生改變，那么不斷堆積的防火墻的新功能意義何在？這就是零信任模型和防火墻演變的復雜性的美妙之處。作為分段網關的防火墻不必犧牲其新功能，因而在建設零信任環境中不會“大材小用”，甚至還可以成為核心組件。

正如美國國家科學技術研究院(NIST)關于開發改進關鍵基礎設施網絡安全框架的研究論文所指出的那樣，集成分段網關可以作為網絡的核心，因為它具有單個獨立設備的所有特性和功能。這些安全產品包括防火墻、網絡訪問控制(NAC)、VPN和IPS。

作為分段網關運行的NGFW位于網絡的中心，而不是位于周邊。這種安排使防火墻更加專注于數據和流量訪問監管，而不是僅僅作為訪問監控組件從網絡外部執行其工作。它可以產生更多有價值的數據見解，有助于更有效地處理新型威脅。

與此同時，零信任環境中的NGFW也不會喪失高級防火墻的其他優勢，例如實時監控、增強的威脅識別和威脅身份管理、SSL/TLS檢查、統一管理配置和非基于簽名的保護。總之，防火墻技術發展得足夠成熟，可以成為零信任網絡防御的重要組成部分。