클라우드 컴퓨팅, 가상화, 및 SDN 증가 방화벽 보안 복잡성

지난 몇 십년 동안 방화벽 포트 기반 인터넷 보호자 되었습니다. 이제 공급 업체는 이러한 "응용 프로그램 인식" 방화벽을 모니터링할 수 있습니다 및 액세스 제어 응용 프로그램 사용에 기반 하기 때문에 소위 "차세대 방화벽" 밖으로 롤 애쓰고 있습니다.

또한, 많은 방화벽 침입 방지 시스템 (IPS), 웹 필터링, VPN, 데이터 손실 보호, 맬웨어, 필터링 및 심지어 위협 탐지 샌드 박스를 포함 하 여 0 공격을 발견 하려고 더 많은 기능을 추가 했습니다. 별도 Ip에 대 한 응용 프로그램 컨트롤 때문에 그것 수 있습니다 라고도 "차세대 Ip", IBM 네트워크 보안 보호 XGS 5000 (네트워크 보호 XGS 5000) 또는 McAfee NS 시리즈 등.

방화벽/ips 공급 업체는 매우 치열 하 게 경쟁 하 고 그들은 또한 "가상화" 데이터 센터 방화벽에서 더 높은 대역폭을 제공 하기 때문에 더 높은 처리량 속도의 요구 사항에 맞게 제공.

공급 업체는 열망 영향력 있는 가트너, 같은 회사에 의해 존경 하거나 NSS 실험실 또는 Neohapsis 연구소 등 기술 평가 테스트에서 경쟁사를 이길 하려고 합니다. 하지만 사실, 성공 또는 실패의 열쇠는 녹슨 Agee 등 구매자의 호의 승리, 녹슨 Agee는 미국 노스 캐롤라이나 주 샬 롯 정보 보안 엔지니어, 그는 다양 한 방화벽 제품을 사용.

"방화벽 대폭 향상 되었습니다," Agee는 말한다, "그것에 올 때 기능과 방화벽 및 IPs의 속도," 나는 항상 더 원한다. "

데이터 센터 가상화, 모바일 디바이스의 확산과 도시의 "직장 (BYOD)에 그것의 자신의 장비를 가지고" 배포 계획 정책 왜 Agee 정부 기관에서 데이터를 보호 하는 데 사용할 수 있는 다양 한 방법에 열려 유지 하는 이유는. 그는 시의 소방 서와 경찰 부서 태블릿과 스마트폰을 사용 하기 시작 했습니다, 그래서 그는 이제는 BYOD 마이그레이션 정책을 고려할 필요가 밖으로 지적 했다.

모바일 장치를 사용 하 여 시의 직원이 사용 하는 Cisco의 AnyConnect 클라이언트 VPN 유형 연결을 설정 하 고 다시 시의 시스 코 ASA 방화벽에 연결. 시스 코 방화벽 및 별도 시스 코 IPs, 도시 체크 포인트 방화벽을 사용 하 여 및 중요 한 서버, 데이터 센터, 인터넷 접속 및 도시 무선 네트워크 트래픽을 차단에 IPs를 별도.

더하여, 도시는 팔로 알토 네트워크 다음-세대 방화벽 모니터 및 컨트롤 직원 응용 프로그램 사용을 사용합니다. 더하여, 도시를 웹 서버에 대 한 공격 트래픽을 찾아 F5 네트워크 응용 프로그램 방화벽을 사용 합니다. Agee 샬 롯 LogRhythm 보안 정보를 통해 이러한 보안 장치의 중앙 집중식된 로그 관리 및 이벤트 관리 말한다.

"우리의 방화벽 로그 LogRhythm에 수천의 수백 생성," Agee는 말한다, 그리고 시 정부는 때때로 연방 보안 경고에서 피드를 받습니다. 서버 로그 뿐만 아니라 방화벽 및 IPs 로그 피드 중앙 공격에 연루 될 수 있습니다 네트워크 보안 문제 뿐만 아니라 직원 웹 사용 문제 관리 또는 인적 자원에 의해 잘 처리할 수 있는 단일 지점에서 결정 시의 보안 요원을 도울 수 있다.

한 기업에서 방화벽 조합의 혼합 같은 데는 특별 한 경우, 드문 일이 아니 될 수 있습니다. 가트너 애 널 리스트 그렉 영 가트너 발견 대부분의 회사 하나의 공급 업체의 제품을 사용 하는 6 월 가트너 보안 및 위험 관리 정상 회담에서 말했다. 가트너는 되었습니다 강력 하 게 옹호 하 고 차세대 방화벽, 그리고 회사의 8% 미만 지금 차세대 방화벽 (NGFW), NGFW를 사용 하는 가트너 견적을 사용 하 여 비록 그 그림 5 년 동안에서 30% 이상 올라갈 것으로 예상 된다.

영도 SSL VPN 방화벽을 완전히 전송 했다 독립형 SSL VPN 제품 이상 했다 분명 했다 밖으로 지적 했다.

사실, 방화벽 및 IPs는 어디에 나 있을 것. 한 가지 예는 포 티 넷 보안 무선 LAN, 기본적으로 무선 액세스 포인트는 고를 지 원하는 방화벽 및 IPS 기능 스위치는 통합된 위협 관리 장치에 통합. 포 티 넷 마케팅 부사장 존 Maddison에 따르면 제품 소매 업체 무선 범위 및 보안 비용 효율적인 방법으로 얻을 수 있는 소매 체인에서 대중적 이다.

체인 레스토랑 잭 최근 무선 액세스 및 방화벽/ips를 결합 하는 체인점의 그것의 수백에서 650 FORTIWIFI 60CS 장치 배포. 짐 Antoshak, 회사의 IT 이사, 잭-에서--상자의 오래 된 무선 관광 명소 수 있습니다 이제 "은퇴"과 이러한 포 티 넷 장치 소형 무선 및 보안의 조합이 될 것입니다 말합니다.

인수?

산업 논쟁 두 가지 질문으로 돌아가지: 다목적 방화벽/ips 독립 실행형 장치로 효과적 수? 스위치 또는 라우터 보안 모듈은 어떨까요?

시스 코와 주 니 퍼 네트워크, 같은 HP 방화벽 및 침입 방지 공급 업체의 스위치 및 라우터에서 사용 될 수 있는 보안 모듈을 제공 합니다. 하지만 그것에 올 때 침입 방지, 휴렛 팩커드 티핑 포인트, 부사장 겸 제너럴 매니저, 기업 보안 제품의 HP의 주요 배포 전용된 독립 실행형 장치 아직도 이었다. 성능 및 세분화 된 제어, 그 노트,이 종종 간주 됩니다 HP의 차세대 응용 프로그램 Ip를 인식 하는 가장 좋은 방법은.

마이크 닐슨, 시스 코의 네트워크 보안 및 제품 마케팅의 고위 간부 말한다 대부분의 방화벽 및 IPs 제품을 판매 하는 시스 코는 "전용된 보안 장치". ASA 5585-x 시리즈 시리즈 40Gbps가지고 있다 자사의 적응형 보안 기기에 방화벽 처리량, 그리고 닐슨이 80gbps에 향상 시킬 수 있는 IPs에 ips는 또한 응용 프로그램 제어 기능을 포함 한다 가트너에 따르면이 무엇 이라고 다음-세대 방화벽의 가장 중요 한 요소입니다.

제이슨 Brvenik, Sourcefire 회사의 기술 연구 그룹에서 보안 전략의 부사장 말했다는 "특별 한 장치 줄 수 더 많은 자유 기업 변화는 최신 위협에 응답." "

체크 포인트 제품 마케팅 디렉터 프레드 코스트는 높은 처리량과 낮은 대기 시간 자주 선택할 특수 기능을 필요로 하는 고객을 말합니다. 하지만 그는 중소 기업 고객 자주 찾을 다목적 방화벽 게이트웨이와 통합된 위협 관리 장치는 충분 한 메모. 체크 포인트는 또한 "다음 세대", 최근 방화벽 모듈 "위협 에뮬레이션 블레이드" 추가의 제목에 대 한 다투는 있습니다. 위협 시뮬레이션 블레이드 수 안전 하 게 "폭파" 0 공격을 발견 하려고 하는 샌드 박스에서 파일. 그것은 팔로 알토 산 불 위협 탐지의 다음-세대 방화벽에 동일한 접근 방식을 사용합니다.

지금, 샌드 박스 아이디어 잡으십시오. 예를 들어 McAfee는 방화벽/vpn/ips 공급 업체 Stonesoft와 Validedge의 샌드 박스 기술을 강화 하기 위해 최근 인수.

NSS 실험실 분석 Iben 로드 리 게 스 라고 그 방화벽에서 여러 보안 서비스를 실행 하는 것을 보여주는 방화벽 및 IPs의 테스트 성능 및 효율성에 대 한 본질적으로 나쁘다. 문제에 대 한 일반적인 접근을 표현 하는 스콧 Behrens, Neohapsis 실험실 연구의 머리: "만약 내가 내가, 구매자 '이 번들 내 비즈니스 요구를 충족? '"

유타 국가의 웨버 카운티 정부, 매트 Mortensen 정보 보안 담당관 오 그 덴, 로컬 방화벽/ips 처리량 10Gbps 이상의 될 필요가입니다. 다기능 Dell SonicWALL 네트워크 보안 기기 E8500 모델 ips, URL 필터링 및 바이러스 백신 소프트웨어는 카운티에서 1200 직원의 네트워크를 지원 할 수 있다 그리고 최근에 그들은 더 강력한 sonixwall 9400으로 업그레이드 계획 이다. 카운티는 또한 법 집행 관련 작업, 통신 도청 데이터 등 전문 Cisco ASA 5505 방화벽을 포함 하 여 여러 Cisco ASA를 배포 했다.

SonicWALL 방화벽의 가장 중요 한 용도 중 일부는 보안상의 이유로 차단 Skype 또는 심지어 자바, mortensen SonicWALL를 사용 하 여 대역폭을 제한 하는 응용 프로그램 제어의 사용.

"나는 또한 IP 필터링 동부 유럽, 남미, 중국, 등 특정 장소를 방문 하는 사용자를 허용 하지 않는 수행" Mortensen 지적는 유타 주는 사업 거래 이러한 장소, 그래서 우리는 보안상의 이유로 그들을 차단. 카운티는 또한 인바운드 지리적 IP 필터링을 수행합니다. Mortensen는 또한 수출 좀비 활동의 흔적을 보고 필터링에 대 한 방화벽을 설정 합니다.

인터넷의 세계는 지금 매우 위험 하 고, 그리고 많은 대학 안전 조치를 취할 시작 하는. 지난 4 월, MIT 가짜 폭탄 위협 받은 후 보안 전략을 배포 하기로 결정 했습니다.

"지금, MIT 네트워크에 시스템 받는 세계 각국에서 무단된 연결의 수천 매일을 매일 10 도난된 계정을 추가 하는 MIT," Mit MIT MIT 네트워크 방화벽 인프라를 기반으로 외부에서 트래픽을 차단 하기 시작할 것 이라고 설명 하는 학술 위원회를 말했다.

방화벽 및 IPs를 충족 하지 않습니다 미래에 수요?

방화벽 및 IPs 라고 할 수 있다 "로 다재 다능 한," 뿐만 아니라 하드웨어 장치를 수 있지만 소프트웨어, 또한 때로는 설계 환경-주로 가상 데스크톱 및 서버에 보안 드라이브에 따라 vm 웨어, 마이크로소프트 하이퍼-V, 레드햇 커널 가상 머신 (KVM) 또는 오픈 소스 젠 관리 프로그램 (최근 Citrix에 기부 했습니다 리눅스 재단). 일부 방화벽 소프트웨어를 실망 만드는 지난 몇 년 동안 vm 웨어 자체 소프트웨어 기반 가상 방화벽 제어를 통해 캠프 합류 했다 이다.

체크 포인트 61000과 21000 나타내는 체크 포인트 vm 웨어 기반 네트워크에 대 한 지원을 운전은 지적 "가상화는 새로운 도전을 가져오고 그들은 더 많은 방화벽을 필요는 우리가 지금 무엇을 보고," 체크 포인트의 코스트가 말했다. 또한, vm 웨어 자체는 "Vcloud 네트워크 및 보안" VM 기반으로 방화벽을 구축.

제이슨 Brvenik, Sourcefire 회사의 기술 연구 그룹에서 보안 전략의 부사장 말합니다이 모든 방화벽 및 IPs 분야의 컨트롤에 누구가의 문제를 일으킨다.

가상 컴퓨터 기반 방화벽에 접근 하 고 IPs는 증가 하 고 있다

지난 달, WatchGuard 단지 그것의 XTMV 통합된 위협 관리 플랫폼에 하이퍼-V 지원 추가. 카림 Toubba, 주 니 퍼 네트워크 제품 및 전략, 부사장 주장 하는 "방화벽 가상 수, 그것은 더 이상 전에 그것이 있는 방식 으로" 주 니 퍼 네트워크의 접근 KVM 및 VMware 지원 밖으로 지적 했다. "경계는 매우 탄력 되고있다 고 우리 방화벽 수 사설 클라우드 환경에 탄력을." "

닐슨 시스 코 ASA 1000 v 클라우드 방화벽 말한다. Sourcefire 시작의 첫 번째 차세대 방화벽 화력이이 봄, 그리고 회사 젠, KPM, 그리고 vm 웨어 작업 환경에서 관리 프로그램의 흐름을 필터링 하는 방법을 개발 했습니다. 하지만 그는 더 전통적인 IPs에 비해 몇 가지 성능 문제가 있을 수 있습니다 인정.

팔로 알토 네트워크 회사 크리스 킹 말한다 더 많은 그리고 더 많은 고객은 그들의 물리적 및 가상화 된 차세대 방화벽 모두를 사용 하기 시작.

그러나, NSS 랩 애 널 리스트 존 Pirc 하이퍼바이저 기반 방화벽 및 IPs 방화벽/ips 업체 항상 여러 가상화 플랫폼 지원 하지 않는 문제와 새로운, 아직도 있다 경으십시오. NSS Labs 수 있습니다이 올해 그들의 실험실에서 가상 컴퓨터의 안전을 테스트 합니다.

그러나, 가트너에 따르면 가상화 된 방화벽만 고려 전체 방화벽의 5% 미만. 가상화 된 방화벽 수 있습니다 특정 상황에 있는 것 들을 복잡 하 게 영, 네트워크 작업 그룹 또는 서버 작업 그룹에서 관리 해야 여부에 대 한 질문으로 말한다. "이 가상 버전에서는 복잡 한 누가, 무엇을 관리의" 고 말했다. "

클라우드 컴퓨팅, 기업 지속적으로 데이터 전송 및 클라우드 서비스 제공 업체-의 네트워크에 처리의 가능성 플랫폼-서비스, 인프라, 서비스, 또는 소프트웨어-방화벽 및 IPs의 미래의 반영 이다. 이제, 클라우드 (아마존, 예를 들면)에서 작업 거의 내부 작업, 연관 되며 방화벽 및 IPs는 지금 주로 기업 내에서.

동시에 보안 업계는 소프트웨어 정의 네트워크의 출현 그리고 Cloudstack 및 OpenStack 사용 대처도 해야 한다.

"이것은 파괴 변화," Toubba, 주 니 퍼 네트워크 소프트웨어 기반 방화벽 등의 다른 보안 서비스를 믿고 지적 누가 SDN에 배포할 수 있습니다 하 고 클라우드 컴퓨팅 기술.

설립자 이자 최고 기술 책임자 사이먼 크로스 비 시동 Bromium의 누가 설립자 및 XenSource 회사의 최고 기술 책임자 XenSource Ctrix 전에, 믿지 않았다 그 전통적인 방화벽 및 IPs (또는 "차세대") 대답 했다. 그는 있다 공용 클라우드 기술과 OpenStack 통해 일을 추진 하는 주요 세력.

보안 업계 "파산" 되었습니다 하 고 그 공급 업체는 "거짓말", 그 "어떤 주장 감지할 수 있습니다 공격자의 기술 문제 이다." 경고 크로스 비 지적 "그는 CPU 보호 및 하드웨어 격리를 통해 가상 컴퓨터 보안을 구현 하는 더 나은 방법입니다 믿고 있다," 하드웨어 분리 내장 인텔 팔을 활용 하 여 새로운 방법으로 칩 보안 기능입니다. Bromium의 vsentry 가상화는 가상 컴퓨터 가상 컴퓨터 내에서 Windows 용 코드를 공격, 격리 하 고 다음 "삭제"를 운영 하 게 안전 합니다.

새로운 아이디어 작동 여부입니다 아직 볼 수 있습니다.

가트너의 영이 미 성숙한 형태의 네트워킹 응용 프로그램을 조정 하 고 컨트롤러를 통해 서비스 체인을 자동화 하는 새로운 방법을 나타납니다 지적 곧 SDN 기술을 의미 하지는 않습니다 물리적 스위치 역사적인 경기장 종료 됩니다 말합니다. 그러나 문제,,는 기술은 방화벽 지금, 작동 하는 방법에 영향을 미칠 SDN에 대 한 더 단단한 보안 모델, 영 말한다: "현재 SDN 보안 메커니즘은 거의 존재 하지 않는."