在當今瞬息萬變的世界里，CISO需要一種方法來保護日益增長的動態工作負荷，增加內部網絡流量，防止網絡攻擊。傳統的網絡安全方法還不夠。VMware威脅分析單位最近發布的威脅報告，強調需要采用新的方法，特別是在區域內。盡管部署了一批防御，但惡意行為者仍在網絡上采取積極行動。

以下是對傳統防火墻內部數據中心安全的五個缺點的總結。接下來廣州軒轅宏邁網絡工程服務商的小編帶大家來詳細了解一下。

缺點1：防火墻主要集中在舊的，而不是新的交通模式上。

內部防火墻多來自企業邊緣防火墻，旨在保證有限數量的進出組織流量(南北流量)。然而，在現代數據中心，東西方的交通量較高，這意味著數據中心的橫向移動。隨著越來越多的單一應用程序被替換或重建到分布式應用程序中，東西方的流量遠遠超過了南北交通。
為了保護其內部網絡，太多的組織錯誤地改造了傳統的防火墻。雖然這可能很有吸引力，但使用周圍的防火墻進行東西方交通監控不僅成本高，而且在保護大量動態工作負荷所需的控制和性能水平方面也非常無效。

缺點2：防火墻不縮放。

利用防火墻監測南北交通通常不會造成性能瓶頸，因為卷的大小不如東西方流量大。如果企業使用東西方流量的防火墻，并希望檢查所有（或大多數）流量，成本和復雜性將呈指數級上升，因此組織根本無法解決這個問題。

缺點3：發夾適合頭發，不適合數據中心交通。

若使用周邊防火墻來監控東西方的流量，則將強制從集中設備進出流量。這將創建一種在過程中使用大量網絡資源的發夾模式。無論是從網絡設計還是從網絡操作的角度來看，頭發固定的內部網絡流量都增加了復雜性。網絡必須設計為考慮防火墻路由附加流量(固定頭發)。在操作方面，安全操作團隊必須堅持網絡設計，并在檢查向防火墻發送額外流量時注意限制。

缺點4：防火墻不能提供清晰的可見性。

要將可見性降低到工作負荷水平，監控東西方的流量，實施細粒度策略。標準防火墻對構成現代分布式應用的工作負荷與微服務的通信模式沒有清晰的認識。由于應用程序流缺乏可見性，很難在工作負荷或單個流量級別創建(并強制)規則。

缺點5：有這個安全策略，但是應用程序呢？

傳統的防火墻管理層設計用于處理幾十個離散防火墻，但設計不支持工作負荷遷移，安全策略自動重新配置。因此，當防火墻用作內部防火墻時，網絡安全操作員必須手動創建新的安全策略，并在工作負荷移動或退休時修改。

重新考慮內部數據中心的安全，采用零信任的方法。
鑒于這些缺點，是時候重新考慮內部數據中心的安全性，開始實現零信任安全了。如果傳統的防火墻不適合或不有效地用作內部防火墻，那么，哪種解決方案最適合監控東西方流量？基于上述缺點，各組織應開始評估其防火墻方法，以支持：

①分布式和細粒度執行安全策略。

②可擴展性和吞吐量在不妨礙性能的情況下處理大量流量。

③對網絡和服務器基礎設施的影響較小。

④應用程序中的可見性。

⑤工作量流動和自動政策管理。

防火墻不能在不產生異常高成本和復雜性的同時，滿足這些需求，同時需要太多的安全妥協。相反，分布式軟件定義方法是監控東西方流量的最有效方法。正確的軟件定義和內部防火墻方法提供了可擴展性、成本效益和效率，以確保數千個應用程序中成千上萬的單獨工作負荷，并幫助組織朝ZT點前進。最好在數據中心實現零信任模型。

以上內容來源于網絡，由廣州軒轅宏邁編輯，如有侵權，請聯系刪除，如需了解更多網絡工程解決方案的，可在線客服或者來電咨詢，廣州軒轅宏邁為您提供一站式網絡工程/安防監控/綜合布線/弱電工程解決方案，期待您的咨詢與合作！！