如何保障云網(wǎng)絡(luò)安全

責(zé)任編輯:sjia

2012-08-02 17:17:11

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

防火墻是網(wǎng)絡(luò)安全的核心部分且日趨復(fù)雜,始終與企業(yè)面臨的不斷變化的威脅抗?fàn)帯?/p>

防火墻是網(wǎng)絡(luò)安全的核心部分且日趨復(fù)雜,始終與企業(yè)面臨的不斷變化的威脅抗?fàn)帯8碌姆阑饓δ軌蚍治鼍W(wǎng)絡(luò)流量行為、協(xié)議以及應(yīng)用層數(shù)據(jù)。然而,當(dāng)將資源轉(zhuǎn)移到亞馬遜云上時(shí),企業(yè)可能會(huì)發(fā)現(xiàn)沒有相同數(shù)量和類型的的防火墻可供選擇。在這篇技巧中,我們將會(huì)針對(duì)云網(wǎng)絡(luò)安全,調(diào)查AWS內(nèi)置的防火墻、第三方的防火墻以及開源防火墻。

AWS防火墻

內(nèi)置的AWS防火墻對(duì)于信息安全專家來說還有許多待改進(jìn)之處。為了在EC2內(nèi)創(chuàng)建防火墻規(guī)則,企業(yè)可以創(chuàng)建“安全群組。”這些群組描繪了應(yīng)用于EC2的防火墻規(guī)則集,每一個(gè)群組僅允許企業(yè)配置入站規(guī)則。對(duì)于使用亞馬遜虛擬私有云(VPC)服務(wù)的用戶來說,可以創(chuàng)建入站和出站規(guī)則,但是有云VPC服務(wù)高昂的成本,會(huì)導(dǎo)致這項(xiàng)實(shí)施花費(fèi)更多。

至于檢查能力,AWS防火墻過濾器和IP選項(xiàng)集捆在一起,操縱基本的分組分段(但是允許攻擊者通常阻礙入侵檢測(cè)系統(tǒng)所創(chuàng)建的異常片段),且執(zhí)行簡(jiǎn)單的狀態(tài)過濾器。然而,在AWS防火墻內(nèi),對(duì)于任何規(guī)則允許未登錄,這是個(gè)非常明顯的短處。大多數(shù)網(wǎng)絡(luò)和安全團(tuán)隊(duì)都希望對(duì)這些登錄進(jìn)行入侵檢測(cè)和分析,使用單機(jī)或者安全事件管理工具。盡管亞馬遜防火墻可能在一些場(chǎng)景中足夠充分,但是安全專業(yè)人士更喜歡選擇的AWS網(wǎng)絡(luò)安全選擇。

針對(duì)AWS的第三方防火墻

幾乎沒有第三方的防火墻選項(xiàng)能夠和AWS整合。Check Point已經(jīng)將Check Point Security Gateway R75整合到AWS市場(chǎng)中。這意味著尋求安裝VPC環(huán)境的企業(yè)可以創(chuàng)建新的虛擬Check Point防火墻,并將其整合到企業(yè)的私有云中。

Check Point防火墻表現(xiàn)的更像是傳統(tǒng)的Check Point設(shè)備,提供了狀態(tài)流量檢測(cè)和控制功能、應(yīng)用和協(xié)議分析規(guī)則以及VPN連接。Check Point的虛擬設(shè)備能夠同各種亞馬遜實(shí)例類型整合,也支持Check Point“軟件刀鋒”功能,這個(gè)功能為安全性能集提供了模塊化的方法。Check Point是目前唯一在防火墻領(lǐng)域成熟的廠商產(chǎn)品,能夠完全整合到亞馬遜的市場(chǎng)之中。思科和Juniper在AWS市場(chǎng)上還沒有任何產(chǎn)品,盡管他們都提供虛擬防火墻平臺(tái)(分別為ASA 1000v和vGW產(chǎn)品)。

除了Check Point選項(xiàng)意外,企業(yè)在亞馬遜EC2中安裝防火墻要取決于他們自己所使用的開源軟件解決方案。Smoothwall有開源和商業(yè)產(chǎn)品,在單一包中提供了包過濾、Web過濾和電子郵件保護(hù)。該公司提供的基于軟件的商業(yè)選項(xiàng)可以直接安裝到亞馬遜圖像中,或者作為VMware圖像直接導(dǎo)入到EC2中。其他的開源選項(xiàng)有Openwall,提供了防火墻功能以及其他的安全選項(xiàng),可以當(dāng)做虛擬機(jī)安裝,然后導(dǎo)入到亞馬遜中。

主機(jī)型防火墻

很多企業(yè)正在轉(zhuǎn)向主機(jī)型防火墻選項(xiàng),從而增大亞馬遜EC2中基于網(wǎng)絡(luò)的安全。除了針對(duì) Linux和Windows虛擬機(jī)的自帶操作系統(tǒng)防火墻之外,企業(yè)可以考慮通過安全即服務(wù)提供商管理防火墻控制。像CloudPassage就是這樣的廠商,免費(fèi)提供了限制使用的Halo防火墻代理和管理平臺(tái),提供了附加的計(jì)劃以及功能,包括配置監(jiān)控、漏洞評(píng)估和賬戶管理。該廠商的防火墻代理同Linux 和Windows上現(xiàn)有的防火墻連接,但是提供了簡(jiǎn)單的中心管理和控制,以及登錄和過濾工具。

未來,很可能會(huì)有更多的商業(yè)防火墻提供商會(huì)將其產(chǎn)品適用亞馬遜以及其他的云,但是企業(yè)至少現(xiàn)在還有一些防火墻選項(xiàng)。

對(duì)于試圖在云環(huán)境中開發(fā)健全的“深度防御”的信息安全專家來說,這很重要,隨著公有基礎(chǔ)架構(gòu)即服務(wù)(IaaS)云資產(chǎn)在互聯(lián)網(wǎng)或者內(nèi)網(wǎng)暴露就需要保護(hù)。很多企業(yè)可能沒有意識(shí)到自有AWS防火墻功能有限,遠(yuǎn)不及等價(jià)的現(xiàn)代企業(yè)世界中的防火墻平臺(tái)。增加更多的功能防火墻實(shí)例,以及主機(jī)型過濾器和檢測(cè),提供更大范圍的覆蓋。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)