2013年12月,业界顶尖咨询机构Forrester发布报告,提出”零信任网络”的概念,并定义了新的安全产品类别“网络隔离网关”。Forrester罗列了21项标准来定义“网络隔离网关”,并对业界15家主流厂商的产品进行了评估。其中,华为作为唯一被提到的中国厂商,凭借USG6000下一代防火墙产品,满足20项标准定义,功能覆盖度排名TOP3。
时代在变化,安全需要演进
自2000年以来,企业的ICT环境发生了巨大的变化,在BYOD、社交网络、云计算等新技术让企业业务更自由、更高效,更便捷的同时,也带来了边界愈发模糊、身份鱼龙混杂、数据泄露等新的安全挑战。这对对安全设备的防护能力提出了更高的要求。
传统的安全架构通常是零散的、亡羊补牢式的,在防护效果、可管理性和降低TCO等各方面都无法满足当前的安全需要。2013年12月,业界顶尖的咨询机构Forrester Research发布了《Security Network Segmentation Gateways Q4, 2013》安全报告,针对传统网络安全架构的不足,提出了“零信任网络”的概念。在报告中,Forrester定义了一个新的安全产品类别--“网络隔离网关”(Network Segmentation Gateways),作为零信任网络的安全核心,并罗列了21项标准,对15个业界主流厂家的产品进行评估。
Forrester的“零信任网络”和“网络隔离网关”
Forrester认为,当前以数据为中心的世界,威胁不仅仅来自于外部,需要采用 “零信任”模型构建安全的网络。在“零信任”网络中,不再有可信的设备、接口和用户,所有的流量都是不可信任的。现实中也确实如此,技术高超的APT攻击者总有办法进入企业网络,企业的内部员工有意、无意地也会对信息安全造成损害。来自任何区域、设备和员工的访问都可能造成安全危害。因此“零信任”是当前网络对安全的最新要求,必须进行严格的访问控制和安全检测。通过“零信任”网络,网络和安全专家可以用多个并行的交换核心构建网络,安全地实现网络分段,实现安全防护,达到合规标准,并能集中地管理网络。
在“零信任网络”中,“网络隔离网关”位于网络的中心。这种新的安全设备类型,集成了当前绝大部分独立安全设备的能力,包括防火墙、IPS、内容过滤、反病毒、Web安全和VPN等。现阶段,NGFW暂时扮演了“网络隔离网关’的角色,但两者并不相同。
图1 网络隔离网关
Forrester认为,“网络隔离网关比NGFW需要的更多”。这不仅仅在于它需要比NGFW集成更多的功能,还在于“零信任”模型中,网络隔离网关位于网络的中心,更靠近数据的位置。需要处理所有的网络流量,因此需要更强的性能和更多的万兆接口。部署“网络隔离网关”的根本目的,是根据数据的类型和敏感性来隔离网络。使用“网络隔离网关”结合“零信任”模型,能构造更可靠的网络,保护关键数据并抵御现代威胁。使用“零信任”模型,“网络隔离网关”可以被看作是SDN(Software-Defined Networking,软件定义网络)安全的核心,因此它必须支持SDN,并能够被统一管理。
“网络隔离网关”解读
Forrester从21项标准,来评估产品是否满足“网络隔离网关”的要求。这些标准大致分为三个方面:
v安全能力:防火墙特性、IPS特性、应用感知、Active Directory集成、用户感知、内容过滤、行为监控、遵从性报表、VPN 网关能力、DLP(数据防泄漏)、加密流量检测、第三方测试、Anti-DDoS能力、高级的恶意软件检测;
v管理能力:集中管理、基于Web的管理、自动签名升级、软件虚拟机防火墙;
v性能和接口:10G能力和接口、多接口、专有硬件。
安全能力多达14项。可见,全面完备的安全能力是“网络隔离网关”的基础。其中,对DLP(数据防泄漏)和内容过滤的要求是NGFW定义中没有的,足见“网络隔离网关”对数据保护的重视。有4项标准是对可管理性的要求,如集中管理、虚拟化,这是为了适配未来SDN网络的要求。剩余的3项标准用来衡量性能和接口丰富度,评价产品是否适合部署在网络核心位置。
