作者:Andrew Plato是安全情报公司Anitian的CEO兼创始人。
将NGFW放在云托管的系统和原生服务之间很笨拙,在一些情况下甚至是不可能的。虽然所有NGFW制造商都提供云版本的产品,但大多数情况下与VPN连接器无异。它们提供的任何安全功能很容易被其他功能取代。
因此,正由于云端没有NGFW,基于主机的安全解决方案随之大行其道。趋势科技等公司多年前就明白了这点,开始发布云版本的产品,基于主机的平台上的这些产品提供所有NGFW功能。此外,当你自动部署和配置这些端点时,可以为环境中的每个主机统一执行安全机制。
谈谈Guard Duty
AWS和Azure等云平台提供(或即将提供)NGFW功能。无需大型设备(或虚拟映像)。
AWS发布Guard Duty后,AWS的发展方向显而易见。AWS不仅想掌控你的计算工作负载,还想掌控所有基础架构。
Guard Duty是一个原生AWS应用程序,提供入侵检测监控功能,而传统的入侵检测/预防系统(IDS/IPS)几乎不可能将这种功能部署到云网络中,因为你看不到完整的网络数据包。网络抽象也意味着你无法嗅探流量。
在今后几年,AWS和Azure会以某种方式将NGFW的所有功能作为原生产品来提供。对于任何IaaS提供商来说这是合理的举措。另外,随着原生NGFW功能得到日益广泛的采用,成本会急剧下降。这将进一步侵蚀传统NGFW的价值。
现在你可能因认同我对NGFW的看法而颇为沮丧,或者怒气冲冲,弄清楚我存在哪些人格缺陷,以便好攻击我。
我先自爆家丑:我易怒、很胖,经常咒骂。我还把过多的钱砸在汽车上,时常说些冒犯他人的话。
我确信你可以凭上面任何一条或全部而鄙视我。
不过在你将Fortinet标识从FortiBolts撕掉之前,先冷静一下。NGFW没有很快死亡。你在那家Palo Alto增值经销商(VAR)上花的所有钱不会立即浪费掉。这种死亡是慢慢的。NGFW不会完全死亡,它会改变。
五到十年后,NGFW将更像是一种云连接设备。你已经在Fortinet和Palo Alto(刚收购了Evident.IO)那里看到了这方面的早期苗头。它会继续控制访问。但你会更像管理SaaS订阅服务那样管理它。此外,与AWS、Azure和Salesforce等云服务安全受控制地连接的功能也将直接集成到平台中。
此外,AWS和Azure将拥有各自类似NGFW的服务,这意味着你可以完全抛弃本地NGFW,使用廉价的路由器。这使得Zscaler之类的服务比庞大硬件设备更为明智。
这里出现的一个更大动向是,本地系统变得越来越无关紧要。NGFW实际上是这个更大趋势的一部分。随着公司将越来越多的工作负载转移到云端,所有那些硬件设备都变得越来越无足轻重。
2012年,人们竭力将Exchange服务留在本地。8年后,拥有本地Exchange服务器这个想法很可笑。6到10年后,拥有一个价值10万美元的核心NGFW这个想法似乎同样很可笑。此外,你的VAR奄奄一息,不过那是另一个话题了。
为末路做准备
如果你想为NGFW的消亡做准备,答案完全在于你的Azure或AWS控制台。虽然下面不是你可以做准备的完整清单,但有助于迈出第一步。
- 重新关注端点安全,尤其是在端点处提供NGFW功能的解决方案。
- 如果你的员工队伍很分散,那么应关注Zscaler之类的公司。
- 将那些工作负载转移到云端,越早越好。
- 云安全与本地安全不是一回事。这个话题不在本文的讨论范围之内,不过就一句话,你根本无法将你的所有本地设备直接搬到云端、期望它们都能正常运行。
- 安全计划的核心应该是风险管理和个人发展,而不是技术。
- SIEM技术在云端更重要。你需要数据来制定决策。这也是另一个话题。
如你所见,一旦你打开了通向后NGFW世界的大门,事情会发生重大变化。你的团队越关注云,就会越适应这种变化。
结束语
2003年Richard Stiennon宣布IDS死亡时,他被困扰了多年。人们以轻蔑、愤怒和幼稚的骚扰对待新想法,这样的反应很正常。当然,Stiennon是正确的。IDS是一种奄奄一息的技术。在我们这些密切关注安全行业的人看来,这些趋势显而易见。环顾四周,云在吞噬一切,无论你喜不喜欢,NGFW是下一个牺牲品。
记住,死亡不是终点,而是新事物的开始。