最好用的防火牆軟件推薦：下一代防火牆排名品牌

作者：Andrew Plato是安全情報公司Anitian的CEO兼創始人。

不妨把醜話說在前頭：下一代防火牆（NGFW）已死，而死因是雲。

然而，這不是立即處死，而是面對一個更敏捷的競爭對手，慢慢變得無關緊要。如今NGFW產品瀰漫著死亡和腐爛的氣息。它們臃腫不堪、售價不菲且效果很差。它們被一貫過分強調其重要性的用戶狂熱地頂禮膜拜。十年後，NGFW將淪為美其名曰的路由器。

但是，不必驚慌。你仍有時間為NGFW之後的生活安排打點。

你用不着與NGFW同生共死

NGFW（或一些人喜歡所稱的UTM）稱霸安全界已有近10年。NGFW由防火牆、入侵預防系統和Web代理合併而來，成為了安全界的瑞士軍刀。每個人都有NGFW，當然你購買的NGFW是最好的。

NGFW不僅是許多安全計劃的核心技術，對於一些人來說，NGFW本身還是安全計劃。首席信息安全官（CISO）被問及其安全計劃時一開始常常這麼回答「嗯，我們在邊界處有Palo Alto的NGFW……」，這並不罕見。這不是安全計劃！這種過於強調NGFW的現狀意味着，對於整個職業生涯立足於這項技術的那些人來說，這種死亡不會輕易到來。

然而正如Tyler所說，你用不着與NGFW同生共死。現在是與時俱進了。

大限之日

在你十分激動之前，不妨探討一下NGFW奄奄一息的四個原因：

1、網絡邊界消失了。

2、NGFW不是為雲架構設計的

3、雲提供商以極少的成本提供同樣的功能，現在和將來都如此。

4、NGFW沒什麼效果。

以上這些是觀察趨勢、尤其是涉及雲的趨勢後得出的結論。

消失的邊界

現代企業組織充其量是脆弱的網絡邊界。隨着公司將更多的數據和工作負載轉移到雲和SaaS提供商，「邊界」因此擴展到那些提供商。加上日益壯大的遠程辦公者群體，以前存在的任何軟邊界都變得完全很短暫，稍縱即逝。沒有清晰的邊界，每一台筆記本電腦、電話和物聯網設備都是邊界。出於所有同樣的原因，傳統的核心數據中心也在消失。

這正是推動Zscaler等雲端點公司發展的因素。幾年前的RSA展會上，Zscaler所設的攤位很有意思，你可以拿一把大鎚砸Palo Altos和CheckPoints之類的NGFW硬件。我得承認，我砸過好幾台思科ASA。

當時，我認為這只是營銷噱頭而已。然而Zscaler隨後迎來了Howard Beale時刻：當你的員工、數據和系統分佈在雲端、家裡和咖啡店時，硬件已毫無意義。

Zscaler代表由塊頭龐大的網絡設備向雲提供商轉變，雲提供商在雲端聚集了連接和數據，並提供了你所需要的所有安全掃描、過濾和保護。你在雲端或SaaS提供商處有關鍵的業務系統時，購買的那隻龐大Palo Alto或Checkpoint設備對雲端或SaaS提供商的安全而言毫無意義。本地NGFW淪為了辦公室中一個基本的連接設備。

雲原生

你將數據和工作負載移到雲端後，網絡的整個概念隨之發生變化。AWS和Azure之類的雲提供商提供的是軟件定義網絡。所有流量和連接進行了虛擬化和抽象化處理，與實際的電線和路由器分離開來。這在根本就沒有網絡的SaaS提供商當中體現得尤為明顯。

此外，基於軟件的網絡沒有傳統網絡的限制。傳統的「三層」網絡聚集並集中了訪問，因為這種結構很高效，但它有個缺點：所有流量必須返回中央路由和NGFW進行訪問。

在雲端，這毫無必要。流量直接通到它要去的地方。比如說，如果你有應用服務器和數據庫服務器，無需通過路由器來連接它們，而是可以讓它們對等互聯（peering）。由於你不控制底層物理連接，因此沒有理由返回中心點。

對等互聯提供了極其精細而動態的訪問控制。你不僅可以控制網絡、應用程序和用戶層訪問，還可以基於特定條件或觸發器，自動授予和吊銷該訪問權。使用雲管理解決方案，你可以不斷審核那些控制機制，倘若任何訪問違反公司政策，即可吊銷。傳統的硬件網絡幾乎不可能有這種級別的控制。

此外，如果使用原生雲服務——比如AWS的身份和訪問管理（IAM）或Azure的託管Active Directory，沒有實際的服務器要連接。相反，你可以將VPC或主機與服務本身實行對等互聯。

對等互聯簡化了網絡，又沒有減少任何訪問控制。從某種意義上說，你根本不需要聯網。

將NGFW放在雲託管的系統和原生服務之間很笨拙，在一些情況下甚至是不可能的。雖然所有NGFW製造商都提供雲版本的產品，但大多數情況下與VPN連接器無異。它們提供的任何安全功能很容易被其他功能取代。

因此，正由於雲端沒有NGFW，基於主機的安全解決方案隨之大行其道。趨勢科技等公司多年前就明白了這點，開始發佈雲版本的產品，基於主機的平台上的這些產品提供所有NGFW功能。此外，當你自動部署和配置這些端點時，可以為環境中的每個主機統一執行安全機制。

談談Guard Duty

AWS和Azure等雲平台提供（或即將提供）NGFW功能。無需大型設備（或虛擬映像）。

AWS發佈Guard Duty後，AWS的發展方向顯而易見。AWS不僅想掌控你的計算工作負載，還想掌控所有基礎架構。

Guard Duty是一個原生AWS應用程序，提供入侵檢測監控功能，而傳統的入侵檢測/預防系統（IDS/IPS）幾乎不可能將這種功能部署到雲網絡中，因為你看不到完整的網絡數據包。網絡抽象也意味着你無法嗅探流量。

在今後幾年，AWS和Azure會以某種方式將NGFW的所有功能作為原生產品來提供。對於任何IaaS提供商來說這是合理的舉措。另外，隨着原生NGFW功能得到日益廣泛的採用，成本會急劇下降。這將進一步侵蝕傳統NGFW的價值。

重大失敗

NGFW奄奄一息的最後一個原因也許是最明顯的：NGFW沒什麼效果。每家聲稱遭遇重大泄密事件的企業組織都有NGFW，而這些NGFW對於阻止泄密基本上起不到什麼作用。

公平地說，泄密的根源並不是NGFW技術，而是一系列日積月累的架構和組織問題共同進一步削弱了NGFW的價值。

這些問題包括：

1、有很多方法可以使用移動網絡或物理設備繞過NGFW。

2、要求訪問不受限制的可信賴第三方常常繞過所有NGFW安全機制。

3、管理NGFW的人員無權執行規則，生怕「阻止合法流量」。

4、監視和響應NGFW警報的做法無效，因為：

• 警報管理工具（比如SIEM）管理起來複雜又費時；
• 缺少有才幹的安全員工；
• 數量過多的警報；
• 消極抵抗、避免衝突的企業文化阻止報告泄密事件，因為這會引起審查。

最後一點可能最具破壞性和普遍性。許多大型企業組織打造的文化不能容忍正常的人為錯誤。這對於信息安全而言尤其具有破壞性。能力差的領導人對信息安全從業人員提出了完全不切實際的期望和約束。要求他們知道一切，沒有遺漏任何環節，如果發生不好的情況，就要受到嚴懲。在過去這十年，幾乎每一次泄密事件都揭示了這種文化的弊端。

這造成了一種有害的文化：安全人員被賦予重大的責任，卻毫無實際行使這一責任的權力。這也是為什麼許多人堅決不放手NGFW。操控大型NGFW是他們唯一擁有的權力。

然而，公司不鼓勵他們報告任何攻擊事件，因為糟糕的領導人（出於可笑的期望）會怪罪他們發出警報。這是許多NGFW供應商助長的一條強大的負反饋迴路，因為它使那些沒用的安全人員可以購買尺寸更大、功能更強大的設備。

這就是為什麼我們需要NGFW死亡。死亡才會帶來變化。

你可以從冰冷、死氣沉沉的機架撬走我的NGFW

現在你可能因認同我對NGFW的看法而頗為沮喪，或者怒氣沖沖，弄清楚我存在哪些人格缺陷，以便好攻擊我。

我先自爆家醜：我易怒、很胖，經常咒罵。我還把過多的錢砸在汽車上，時常說些冒犯他人的話。

我確信你可以憑上面任何一條或全部而鄙視我。

不過在你將Fortinet標識從FortiBolts撕掉之前，先冷靜一下。NGFW沒有很快死亡。你在那家Palo Alto增值經銷商（VAR）上花的所有錢不會立即浪費掉。這種死亡是慢慢的。NGFW不會完全死亡，它會改變。

五到十年後，NGFW將更像是一種雲連接設備。你已經在Fortinet和Palo Alto（剛收購了Evident.IO）那裡看到了這方面的早期苗頭。它會繼續控制訪問。但你會更像管理SaaS訂閱服務那樣管理它。此外，與AWS、Azure和Salesforce等雲服務安全受控制地連接的功能也將直接集成到平台中。

此外，AWS和Azure將擁有各自類似NGFW的服務，這意味着你可以完全拋棄本地NGFW，使用廉價的路由器。這使得Zscaler之類的服務比龐大硬件設備更為明智。

這裡出現的一個更大動向是，本地系統變得越來越無關緊要。NGFW實際上是這個更大趨勢的一部分。隨着公司將越來越多的工作負載轉移到雲端，所有那些硬件設備都變得越來越無足輕重。

2012年，人們竭力將Exchange服務留在本地。8年後，擁有本地Exchange服務器這個想法很可笑。6到10年後，擁有一個價值10萬美元的核心NGFW這個想法似乎同樣很可笑。此外，你的VAR奄奄一息，不過那是另一個話題了。

為末路做準備

如果你想為NGFW的消亡做準備，答案完全在於你的Azure或AWS控制台。雖然下面不是你可以做準備的完整清單，但有助於邁出第一步。

• 重新關注端點安全，尤其是在端點處提供NGFW功能的解決方案。
• 如果你的員工隊伍很分散，那麼應關注Zscaler之類的公司。
• 將那些工作負載轉移到雲端，越早越好。
• 雲安全與本地安全不是一回事。這個話題不在本文的討論範圍之內，不過就一句話，你根本無法將你的所有本地設備直接搬到雲端、期望它們都能正常運行。
• 安全計劃的核心應該是風險管理和個人發展，而不是技術。
• SIEM技術在雲端更重要。你需要數據來制定決策。這也是另一個話題。

如你所見，一旦你打開了通向後NGFW世界的大門，事情會發生重大變化。你的團隊越關注云，就會越適應這種變化。

結束語

2003年Richard Stiennon宣布IDS死亡時，他被困擾了多年。人們以輕蔑、憤怒和幼稚的騷擾對待新想法，這樣的反應很正常。當然，Stiennon是正確的。IDS是一種奄奄一息的技術。在我們這些密切關注安全行業的人看來，這些趨勢顯而易見。環顧四周，雲在吞噬一切，無論你喜不喜歡，NGFW是下一個犧牲品。

記住，死亡不是終點，而是新事物的開始。