從防火墻到 “下代防火墻” 的變遷，標(biāo)志著安全領(lǐng)域從專注IP地址的模式轉(zhuǎn)變到瞄準(zhǔn)應(yīng)用、用戶和內(nèi)容的模式。這一重大轉(zhuǎn)變?yōu)槲覀兯Ｗo(hù)的東西提供了更多可見性與上下文。

但隨著向云端的遷移，“下代防火墻” 也不再是 “下代”，看起來更像是必將與恐龍同命運(yùn)的 “爺爺輩” 了。下代防火墻用例中，應(yīng)用可見性使深度包檢測成為可能，可以用來識別和檢查應(yīng)用。而在云端，大部分流量都是加密的，意味著網(wǎng)絡(luò)沒辦法檢查流量。即使用什么神奇的手法得以執(zhí)行 “中間人” 攻擊解密流量數(shù)據(jù)，云的規(guī)模和可擴(kuò)展性也讓當(dāng)前下代防火墻毫無用武之地。

下代防火墻追不上云的腳步

基礎(chǔ)設(shè)施即服務(wù)(IaaS)環(huán)境中的應(yīng)用程序是定制的，沒有已知簽名可供識別應(yīng)用。即便能夠識別應(yīng)用程序，其安全配置也是各用例不同的。從通信模式看，兩個數(shù)據(jù)庫應(yīng)用的安全配置和行為完全不同，但從啟動的角度看，這又是同一個應(yīng)用程序。下代防火墻無法區(qū)分啟動和通信模式以理解應(yīng)用行為或所需的策略。

容器、Kubernetes和和無服務(wù)器計算同樣讓下代防火墻完全抓瞎，因為下代防火墻就從未預(yù)想過要理解這些新一代的微服務(wù)。

IaaS實(shí)際上正演變?yōu)槠脚_即服務(wù)(PaaS)，云端的任何應(yīng)用都會用到來自云提供商的大量原生服務(wù)。對這些原生云服務(wù)的所有活躍訪問根本不會跨越網(wǎng)絡(luò)，所以下代防火墻對此毫無所覺。

云端用戶識別

由于不同環(huán)境中同個用戶對相同應(yīng)用可能具備不同權(quán)限，下代防火墻還可能令云端用戶識別變得更加困難。換句話說，生產(chǎn)vs開發(fā)環(huán)境改變用戶互動方式。下代防火墻沒有關(guān)于部署模型的任何上下文——因為它們出現(xiàn)在持續(xù)集成/持續(xù)交付（CI/CD）概念之前。

云端絕大部分活動并非真是用戶所為，而是機(jī)器或應(yīng)用程序承擔(dān)角色來執(zhí)行的。但下代防火墻執(zhí)行任務(wù)用的是不會在網(wǎng)絡(luò)流量中出現(xiàn)的API，所以它們完全看不到這些用戶。

在云端，用戶使用服務(wù)賬戶或SUDO工作，這意味著你無法僅憑檢查網(wǎng)絡(luò)流量或活動目錄(AD)就將行為歸結(jié)到正確的用戶身上，因為有效用戶未必是做了這些事的原始用戶。

在云端實(shí)施規(guī)則

規(guī)則實(shí)施功能是防火墻的主要功能，但在云端，服務(wù)提供商有自己的防火墻策略設(shè)置能力，比如AWS的安全組就能提供更多控制，且支持?jǐn)U展與能提供更細(xì)粒度控制的標(biāo)簽。下代防火墻在可擴(kuò)展性上舉步維艱，而且不具備機(jī)器標(biāo)簽環(huán)境。

下代防火墻采用靜態(tài)規(guī)則構(gòu)建，這種東西即便在靜態(tài)環(huán)境下也無法維護(hù)。幾乎每個防火墻配置里都有至少10條規(guī)則是沒人能夠解釋清楚怎么來的，但沒有任何一個人敢動這些規(guī)則，因為他們不知道動了之后會毀掉什么。在云端這種彈性環(huán)境里，構(gòu)建和維護(hù)規(guī)則就更不可能了。

云端需要新數(shù)據(jù)集

想識別云端應(yīng)用和用戶，你需要網(wǎng)絡(luò)流量中不存在的新數(shù)據(jù)集。而且規(guī)則和簽名是無法使用的，因為你要用行為和上下文來做應(yīng)用和用戶溯源。

下面列出云端的重要應(yīng)用、用戶和行為，并附上 “下代防火墻” 和云原生解決方案的對比。

用戶需改變往云端部署基礎(chǔ)設(shè)施的方式，需找到用云來守護(hù)云的安全解決方案。下代防火墻的理念需改個名字，從 “下代” 改成 “爺爺輩”，這樣才能更好地適應(yīng)新云技術(shù)。