什麼是雲端防火牆? 什麼是防火牆即服務 (FWaaS)?
雲端防火牆保護雲端基礎結構免受攻擊,就像傳統防火牆保護內部部署網路一樣。
學習目標
閱讀本文後,您將能夠:
- 了解什麼是雲端防火牆
- 了解「防火牆即服務」的含義
- 探索雲端運算如何改變網路邊界
複製文章連結
什麼是雲端防火牆?
就像傳統防火牆會形成圍繞企業內部網路的屏障一樣,雲端式防火牆將形成圍繞雲端平台、基礎結構和應用程式的虛擬屏障。雲端防火牆也可以保護內部部署基礎結構。
防火牆的定義
防火牆是一種可過濾掉惡意流量的安全性產品。從傳統上來講,防火牆在受信任的內部網路和不受信任的網路之間執行,例如,在私人網路和網際網路之間。早期的防火牆是連接到企業內部部署基礎結構的物理設備。防火牆根據一組內部規則封鎖和允許網路流量。大部分防火牆允許管理員自訂這些規則。
受信任網路和網際網路之間的邊界稱為「網路周邊」。然而,隨著雲端運算的日益普及,網路周邊基本上已經消失了。因此,在受信任的雲端資產和不受信任的網際網路流量之間形成虛擬屏障的雲端防火牆變得越來越重要。
防火牆即服務 (FWaaS) 與雲端防火牆是否不同?
防火牆即服務,或簡稱 FWaaS,是用於雲端防火牆的另一個詞彙。與軟體即服務 (SaaS) 或基礎結構即服務 (IaaS) 等其他「即服務」類別一樣,FWaaS 在雲端執行並透過網際網路存取,由第三方廠商負責更新和維護它。
為什麼使用 FWaaS?
銀行有很多物理安全性措施。大多數實體銀行都會提供安全性功能,例如監視器和防彈玻璃。保全人員和銀行員工也會幫助阻止疑似的小偷,現金則存放在高度安全的保險箱中。
但是,試想一下,如果每個銀行分支機構的現金都存放在全國各地由專門從事安全維護業務的公司營運的保險箱中,而不是存放在一個地方。倘若在分散的保險箱周圍沒有額外部署其他安全性資源,銀行如何才能確保其資金安全?這就類似於雲端防火牆的工作。
雲端就像一個擁有分散資源的銀行,但雲端不是用來存放金錢,而是用來儲存資料和運算能力。授權使用者幾乎可以在任何位置、透過任何網路連接到雲端。在雲端中執行的應用程式可以在任何位置執行,也適用於雲端平台和基礎結構。
雲端防火牆可以封鎖針對這些雲端資產的網路攻擊。部署雲端防火牆就像將銀行的局部監視器和實際的保全人員替換為全球全天候安全中心一樣,該中心擁有一個集中管理的員工,收集來自銀行資產所有存放位置的監視器資訊。
使用雲端防火牆/FWaaS 有哪些主要好處?
- 封鎖惡意 Web 流量,包括惡意軟體和惡意機器人活動。一些 FWaaS 產品還可以阻止敏感資料外流。
- 流量不必透過硬體設備傳輸,因此不會產生網路阻塞點。
- 雲端防火牆可輕鬆與雲端基礎結構整合。
- 可以一次保護多個雲端部署(只要雲端防火牆廠商支援每個雲端)。
- 雲端防火牆可快速擴展以處理更多流量。
- 組織不需要自己維護雲端防火牆,廠商會處理所有更新。
雲端防火牆和下一代防火牆 (NGFW) 之間有哪些差異?
下一代防火牆 (NGFW) 包含了早期防火牆產品不具備的技術,例如:
- 入侵預防系統 (IPS):入侵預防系統偵測並封鎖網路攻擊。
- 深度封包偵測 (DPI):NGFW 偵測資料封包標頭和有效負載,而不是僅僅偵測標頭。這有助於偵測惡意軟體和其他類型的惡意資料。
- 應用程式控制:NGFW 可以控制單個應用程式的存取權限或完全封鎖所有應用程式。
NGFW 可以在雲端執行,也可以作為內部部署硬體執行。基於雲端的防火牆可能具有 NGFW 功能,而內部部署防火牆也可能是 NGFW。深入瞭解 NGFW 與 FWaaS 的對比。
FWaaS 如何融入 SASE 框架?
安全存取服務邊緣 (SASE) 是基於雲端的網路體系結構,將網路功能(如軟體定義的 WAN)與一組安全性服務(包括 FWaaS)結合在一起。SASE 與傳統的網路模型不同,在傳統的網路模型中,必須使用內部部署防火牆來保護內部部署資料中心的邊界,而 SASE 在網路邊緣提供全面的安全性和存取控制。
在 SASE 網路模型中,雲端防火牆與其他安全性產品協同工作,以保護網路邊界免受攻擊、資料外洩和其他網路威脅。公司可以與利用 SD-WAN 功能將 FWaaS、雲端存取安全性代理 (CASB) 服務、安全 Web 閘道 (SWG) 和 Zero Trust 網路存取 (ZTNA) 捆綁在一起的單一廠商合作,而不是使用多個第三方廠商來部署和維護每個服務。
Cloudflare Magic Firewall 旨在透過 Cloudflare 全球網路保護內部部署和雲端基礎結構。Magic Firewall 包含在 Cloudflare One SASE 平台中。
希望保護Web應用程式的企業也可以使用Cloudflare WAF進一步了解Cloudflare的Web應用程式防火牆。