什麼是雲端防火牆?| 防火牆即服務

儘管沒有明確定義的網路邊界,雲端防火牆仍可保護雲端基礎結構。了解它們的工作方式以及與 NGFW 的區別。

Share facebook icon linkedin icon twitter icon email icon

雲端防火牆?

學習目標

閱讀本文後,您將能夠:

  • 了解什麼是雲端防火牆
  • 探索雲端運算如何改變網路邊界
  • 了解雲端防火牆和傳統防火牆之間的差異
  • 將下一代防火牆與雲端防火牆區分開來
  • 了解「防火牆即服務」的含義

什麼是雲端防火牆?

銀行有很多物理安全性措施。大多數實體銀行都會提供安全性功能,例如監視器和防彈玻璃。保全人員和銀行員工也會幫助阻止疑似的小偷,現金則存放在高度安全的保險箱中。

但是,試想一下,如果每個銀行分支機構的現金都存放在全國各地由專門從事安全維護業務的公司營運的保險箱中,而不是存放在一個地方。倘若在分散的保險箱周圍沒有額外部署其他安全性資源,銀行如何才能確保其資金安全?這就是雲端防火牆的工作。

雲端防火牆?

雲端就像一個擁有分散資源的銀行,但雲端不是用來存放金錢,而是用來儲存資料和運算能力。授權使用者幾乎可以在任何位置、透過任何網路連接到雲端。在雲端中執行的應用程式可以在任何位置執行,也適用於雲端平台和基礎結構。

雲端防火牆可以封鎖針對這些雲端資產的網路攻擊。顧名思義,雲端防火牆是託管在雲端中的防火牆。就像傳統防火牆會形成圍繞企業內部網路的屏障一樣,雲端式防火牆將形成圍繞雲端平台、基礎結構和應用程式的虛擬屏障。部署雲端防火牆就像將銀行的局部監視器和實際的保全人員替換為全球全天候安全中心一樣,該中心擁有一個集中管理的員工,收集來自銀行資產所有存放位置的監視器資訊。

什麼是防火牆?

防火牆是一種可過濾掉惡意流量的安全性產品。從傳統上來講,防火牆在受信任的內部網路和不受信任的網路之間執行,例如,在私人網路和網際網路之間。早期的防火牆是連接到企業內部部署基礎結構的物理設備。防火牆根據一組內部規則封鎖和允許網路流量。某些防火牆允許管理員自訂這些規則。

傳統防火牆

然而,隨著雲端運算的日益普及,可信任的網路與大型互聯網之間的劃分已經不復存在。因此,需要在可信任的雲端資產和不可信任的網際網路流量之間形成虛擬屏障的雲端防火牆。

防火牆即服務 (FWaaS) 是什麼意思?

防火牆即服務,或簡稱 FWaaS,是有關雲端防火牆的另一個術語。就像軟體即服務或平台即服務之類的其他「即服務」類別的產品一樣,FWaaS 在雲端中執行並可以透過網際網路進行存取,第三方供應商將其作為服務提供,並負責相關的更新和維護事項。

雲端防火牆和下一代防火牆 (NGFW) 之間有哪些差異?

下一代防火牆 (NGFW) 包含了早期防火牆產品不具備的技術,例如:

  • 入侵預防系統 (IPS):入侵預防系統偵測並封鎖網路攻擊。
  • 深度封包偵測 (DPI):NGFW 偵測資料封包標頭和有效負載,而不是僅僅偵測標頭。這有助於偵測惡意軟體和其他類型的惡意資料。
  • 應用程式控制:NGFW 可以控制單個應用程式的存取權限或完全封鎖所有應用程式。

NGFW 還具有其他高階功能。

“下一代防火牆”是一個廣泛應用的術語,但是 NGFW 不一定在雲端執行。雲端式防火牆可能具有 NGFW 功能,而內部部署防火牆也可能是 NGFW。

什麼是網路週邊?雲端運算如何影響網路週邊?

網路週邊是指企業管理的內部網路與外部供應商 (通常是網際網路服務提供者 (ISP)) 提供的網路存取之間的界限。換句話說,網路週邊是指企業控制範圍的邊緣。網路也可以透過實體方式鎖定: 公司的員工可能必須在辦公室裡,並使用由公司管理的設備連接到公司網路。防火牆最初旨在控制這種類型的網路週邊,並且阻止任何惡意軟體侵入。

在雲端運算中,網路週邊基本上消失了。使用者可以透過不受控制的網際網路存取服務。使用者的實際位置,有時候甚至是他們使用的設備,都不再重要。由於幾乎不可能確定安全性保護層應設在哪裡,因此很難在公司資源周圍設置一個安全性保護層。一些公司採用的方法是將多種不同的安全性產品組合起來,包括傳統的防火牆、VPN、存取控制和 IPS 產品,但這給 IT 部門增加了很多複雜性,且難以管理。

雲端防火牆如何因應 SASE 框架?

安全存取服務邊緣 (SASE) 是基於雲端的網路體系結構,將網路功能 (如軟體定義的 WAN) 與一組安全性服務 (包括 FWaaS) 結合在一起。SASE 與傳統的網路模型不同,在傳統的網路模型中,必須使用內部部署防火牆來保護內部部署資料中心的邊界,而 SASE 在網路邊緣提供全面的安全性和存取控制。

在 SASE 網路模型中,雲端防火牆與其他安全性產品協同工作,以保護網路邊界免受攻擊、資料外洩和其他網路威脅。公司可以聘用使用 SD-WAN 功能將 FWaaS、雲端存取安全性代理 (CASB)安全 Web 閘道 (SWG)零信任網路存取 (ZTNA) 捆綁在一起的單個供應商,而不是使用多個第三方供應商來部署和維護每個服務。

Cloudflare Web Application Firewall 能做些什麼?

Cloudflare Web Application Firewall (WAF,Cloudflare Web 應用程式防火牆) 保護雲端資產免遭漏洞攻擊,幫助阻止 DDoS 攻擊,並允許 IT 管理員編寫自己的自訂防火牆規則。公司可以在任何類型的雲端部署前部署 Cloudflare WAF - 混合式雲端多雲端、公共雲端等。