軟件防火墻與硬件防火墻

硬件和軟件防火墻之間最重要的區(qū)別是外形因素，但還有其他幾個值得注意的地方。軟件和硬件防火墻在網(wǎng)絡安全中都起著至關重要的作用。因此，軟件防火墻并不比硬件防火墻好，反之亦然。相反，每種都適用于不同的情況。

軟件防火墻的類型

軟件防火墻通常屬于以下三類之一：

• 虛擬防火墻
• 容器防火墻
• 托管服務防火墻

每種類型都針對不同的環(huán)境和目的提供特定的功能。但是，每個軟件防火墻都會監(jiān)視和保護東西向、傳入和傳出的網(wǎng)絡流量。軟件防火墻阻止可疑活動并防止?jié)B漏。

虛擬防火墻（也稱為云防火墻或虛擬化 NGFW）

虛擬防火墻保護一系列環(huán)境，包括：

• 混合云
• 個人私有云和公共云
• 虛擬化分支機構
• 5G部署
• 3 個虛擬防火墻用例

虛擬防火墻可以檢查和控制公共云環(huán)境中的南北邊界流量，并在數(shù)據(jù)中心和分支機構內分割東西向流量。虛擬防火墻通過微分段提供高級威脅預防措施。

在公共云中，虛擬防火墻為云服務提供商 (CSP) 提供的原生保護措施增加了保護。它們還保護與云應用程序的關鍵網(wǎng)絡連接。在這些情況下，基于云的防火墻通常充當來賓虛擬機。有些可以提供跨多個 CSP 部署的可見性。

高端虛擬防火墻可以提供以下好處：

• 支持組織履行公共云用戶安全義務
• 確保符合監(jiān)管標準
• 增強每個 CSP 獨有的內置安全功能

容器防火墻

容器防火墻的行為類似于虛擬防火墻，但專為 Kubernetes 環(huán)境構建。容器防火墻通過將安全性深度集成到 Kubernetes 編排中，幫助網(wǎng)絡安全團隊保護開發(fā)人員。這一點很重要，因為嵌入在 Kubernetes 環(huán)境中的容器工作負載可能難以使用傳統(tǒng)防火墻進行保護。

托管服務防火墻

軟件防火墻也可作為托管服務提供，類似于許多其他軟件即服務 (SaaS) 產(chǎn)品。一些托管服務防火墻產(chǎn)品提供了一種靈活的方式來部署應用程序級（第 7 層）安全性，而無需管理監(jiān)督。作為托管服務，其中一些防火墻還可以快速擴展和縮減。

需要軟件防火墻的網(wǎng)絡安全挑戰(zhàn)

在虛擬化、去中心化環(huán)境的世界中，出現(xiàn)了許多網(wǎng)絡安全挑戰(zhàn)，這些挑戰(zhàn)無法通過應用于傳統(tǒng)數(shù)據(jù)中心的解決方案來解決。

消失的安全邊界

將網(wǎng)絡內部和外部分開的傳統(tǒng)安全邊界的概念已經(jīng)受到挑戰(zhàn)一段時間了。隨著混合云/多云戰(zhàn)略的激增，當今的現(xiàn)代架構使得定義邊界變得更加困難。此外，大部分架構由服務提供商運行的云組成。這導致信息在網(wǎng)絡和互聯(lián)網(wǎng)上不斷移動。

日益危險的威脅形勢

40% 的企業(yè)已經(jīng)遭受過至少一次基于云的數(shù)據(jù)泄露，考慮到云時代的持續(xù)時間很短，這一比例非常可觀。這些成功攻擊的受害者不僅僅是云新手，還有在網(wǎng)絡安全方面擁有大量投資和專業(yè)知識的老牌企業(yè)。

云和網(wǎng)絡團隊之間相互矛盾的安全觀點

從應用程序開發(fā)開始，轉向云優(yōu)先戰(zhàn)略對安全性具有深遠影響。安全性并不總是云開發(fā)人員的首要考慮因素。他們的任務是盡快開發(fā)和發(fā)布。事實上，14% 的云開發(fā)人員表示應用程序安全是重中之重，而三分之二的人通常會在他們的代碼中留下已知的漏洞和漏洞。此外，開發(fā)團隊通常會認為云服務提供商提供的本機安全性“足夠好”。

網(wǎng)絡安全通常出現(xiàn)在開發(fā)生命周期的后期，限制了可用選項的范圍。此外，當網(wǎng)絡安全團隊推薦諸如 NGFW 之類的安全解決方案時，他們有責任證明他們的建議不會減慢業(yè)務速度或延遲實現(xiàn)價值的時間。

云原生在混合/多云架構中引入網(wǎng)絡安全問題

開發(fā)方法的一個特別具有破壞性的變化是使用特定于供應商的編排服務，例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用這些工具，開發(fā)人員只需上傳應用程序代碼，編排服務就會自動處理部署。雖然這種自動化水平極大地簡化了開發(fā)人員的工作，但它也加劇了混合/多云架構中的網(wǎng)絡安全問題。

更大的攻擊面

數(shù)據(jù)中心正在演變?yōu)樗接性疲渲斜镜貞贸绦蛲泄茉谔摂M機上，而不是直接托管在物理服務器上。其他應用程序在虛擬化環(huán)境中的公共云上運行，通常使用容器和 Kubernetes 編排。在此模型中，互連主導架構，使攻擊面更大且更難以定義。

混合/多云環(huán)境往往會帶來合規(guī)性挑戰(zhàn)

責任共擔模式

責任共擔模型只是混合/多云架構的一個方面，它可能難以實現(xiàn)合規(guī)性。

服務提供商實施一些必要的控制，因此必須提供可以納入審計的證據(jù)。幸運的是，客戶通常可以從 CSP“繼承”控制權。如果文檔到位，這會簡化合規(guī)性。

CSP 不監(jiān)督的項目，例如應用程序，從審計的角度來看是用戶的責任。

地理差異

另一個合規(guī)性挑戰(zhàn)是混合/多云架構通常跨越多個地區(qū)和司法管轄區(qū)的方式。這可能會引起諸如數(shù)據(jù)局部性和數(shù)據(jù)保護法規(guī)之類的問題。

軟件防火墻的好處

保護混合/多云架構帶來了傳統(tǒng)安全解決方案無法克服的挑戰(zhàn)。物理防火墻是許多網(wǎng)絡應用程序的關鍵安全工具。然而，當涉及到現(xiàn)代混合/多云基礎設施和云原生開發(fā)方法時，它并不總是唯一的選擇。

全面保護

入境保護

眾所周知，混合/多云環(huán)境的邊界沒有明確定義。軟件防火墻可以更輕松地定義邊界和所需的執(zhí)行點。

例如：用戶可以對數(shù)據(jù)庫進行微分段并建立一個策略，只允許特定應用程序的后端與其通信。這可以防止來自外部世界的入站威脅。旨在滲透應用程序、竊取敏感數(shù)據(jù)或加密數(shù)據(jù)的威脅將被阻止。

出境保護

今天的現(xiàn)代應用程序通常會訪問第三方代碼或開源代碼。這需要聯(lián)系 GitHub 等存儲庫以獲取第三方軟件更新。更新可能會被誤導到命令和控制服務器。

軟件防火墻提供出站保護。這確保只訪問必要的存儲庫。出站保護還確保只訪問經(jīng)過批準的 URL，防止未經(jīng)授權訪問惡意或感染惡意軟件的 URL。

側面保護

在云中，應用程序不會在孤島中運行。相反，它們通過 API 和網(wǎng)絡通信進行通信。應用程序還與云內外的用戶對話。這通常是為了確保用戶可以訪問和使用這些應用程序。

如果保護面被滲透，軟件防火墻會阻止云內的橫向移動。這包括云到云或 VCP。因此，威脅在云中移動或追蹤其他資源的能力極其有限。

相對容易設置和維護

軟件防火墻不需要前往物理位置、重新布置電纜或與 CLI 交互。事實上，部署、擴展和策略更改通常是自動化的。員工無需花費數(shù)小時進行日常手動操作。