摘要:2013年12月,业界顶尖咨询机构Forrester发布报告,提出”零信任网络”的概念,并定义了新的安全产品类别“网络隔离网关”。Forrester罗列了21项标准来定义“网络隔离网关”,并对业界15家主流厂商的产品进行了评估。其中,华为作为唯一被提到的中国厂商,凭借USG6000下一代防火墙产品,满足20项标准定义,功能覆盖度排名TOP3。 |
时代在变化,安全需要演进
自2000年以来,企业的ICT环境发生了巨大的变化,在BYOD、社交网络、云计算等新技术让企业业务更自由、更高效,更便捷的同时,也带来了边界愈发模糊、身份鱼龙混杂、数据泄露等新的安全挑战。这对对安全设备的防护能力提出了更高的要求。
传统的安全架构通常是零散的、亡羊补牢式的,在防护效果、可管理性和降低TCO等各方面都无法满足当前的安全需要。2013年12月,业界顶尖的咨询机构Forrester Research发布了《Security Network Segmentation Gateways Q4, 2013》安全报告,针对传统网络安全架构的不足,提出了“零信任网络”的概念。在报告中,Forrester定义了一个新的安全产品类别——“网络隔离网关”(Network Segmentation Gateways),作为零信任网络的安全核心,并罗列了21项标准,对15个业界主流厂家的产品进行评估。
Forrester的“零信任网络”和“网络隔离网关”
Forrester认为,当前以数据为中心的世界,威胁不仅仅来自于外部,需要采用 “零信任”模型构建安全的网络。在“零信任”网络中,不再有可信的设备、接口和用户,所有的流量都是不可信任的。现实中也确实如此,技术高超的APT攻击者总有办法进入企业网络,企业的内部员工有意、无意地也会对信息安全造成损害。来自任何区域、设备和员工的访问都可能造成安全危害。因此“零信任”是当前网络对安全的最新要求,必须进行严格的访问控制和安全检测。通过“零信任”网络,网络和安全专家可以用多个并行的交换核心构建网络,安全地实现网络分段,实现安全防护,达到合规标准,并能集中地管理网络。
在“零信任网络”中,“网络隔离网关”位于网络的中心。这种新的安全设备类型,集成了当前绝大部分独立安全设备的能力,包括防火墙、IPS、内容过滤、反病毒、Web安全和VPN等。现阶段,NGFW暂时扮演了“网络隔离网关’的角色,但两者并不相同。
图1 网络隔离网关