摘要：不妨把丑話說在前頭下一代防火墻已死，而死因是云。由防火墻入侵預防系統和代理合并而來，成為了安全界的瑞士軍刀。這將進一步侵蝕傳統的價值。這造成了一種有害的文化安全人員被賦予重大的責任，卻毫無實際行使這一責任的權力。死亡才會帶來變化。

不妨把丑話說在前頭：下一代防火墻（NGFW）已死，而死因是云。

　　然而，這不是立即處死，而是面對一個更敏捷的競爭對手，慢慢變得無關緊要。如今NGFW產品彌漫著死亡和腐爛的氣息。它們臃腫不堪、售價不菲且效果很差。它們被一貫過分強調其重要性的用戶狂熱地頂禮膜拜。十年后，NGFW將淪為美其名曰的路由器。

　　但是，不必驚慌。你仍有時間為NGFW之后的生活安排打點。

　　你用不著與NGFW同生共死

　　NGFW（或一些人喜歡所稱的UTM）稱霸安全界已有近10年。NGFW由防火墻、入侵預防系統和Web代理合并而來，成為了安全界的瑞士軍刀。每個人都有NGFW，當然你購買的NGFW是最好的。

　　NGFW不僅是許多安全計劃的核心技術，對于一些人來說，NGFW本身還是安全計劃。首席信息安全官（CISO）被問及其安全計劃時一開始常常這么回答“嗯，我們在邊界處有Palo Alto的NGFW……”，這并不罕見。這不是安全計劃！這種過于強調NGFW的現狀意味著，對于整個職業生涯立足于這項技術的那些人來說，這種死亡不會輕易到來。

　　然而正如Tyler所說，你用不著與NGFW同生共死。現在是與時俱進了。

　　大限之日

　　在你十分激動之前，不妨探討一下NGFW奄奄一息的四個原因：

　　1、網絡邊界消失了。

　　2、NGFW不是為云架構設計的

　　3、云提供商以極少的成本提供同樣的功能，現在和將來都如此。

　　4、NGFW沒什么效果。

　　以上這些是觀察趨勢、尤其是涉及云的趨勢后得出的結論。

　　消失的邊界

　　現代企業組織充其量是脆弱的網絡邊界。隨著公司將更多的數據和工作負載轉移到云和SaaS提供商，“邊界”因此擴展到那些提供商。加上日益壯大的遠程辦公者群體，以前存在的任何軟邊界都變得完全很短暫，稍縱即逝。沒有清晰的邊界，每一臺筆記本電腦、電話和物聯網設備都是邊界。出于所有同樣的原因，傳統的核心數據中心也在消失。

　　這正是推動Zscaler等云端點公司發展的因素。幾年前的RSA展會上，Zscaler所設的攤位很有意思，你可以拿一把大錘砸Palo Altos和CheckPoints之類的NGFW硬件。我得承認，我砸過好幾臺思科ASA。

　　當時，我認為這只是營銷噱頭而已。然而Zscaler隨后迎來了Howard Beale時刻：當你的員工、數據和系統分布在云端、家里和咖啡店時，硬件已毫無意義。

　　Zscaler代表由塊頭龐大的網絡設備向云提供商轉變，云提供商在云端聚集了連接和數據，并提供了你所需要的所有安全掃描、過濾和保護。你在云端或SaaS提供商處有關鍵的業務系統時，購買的那只龐大Palo Alto或Checkpoint設備對云端或SaaS提供商的安全而言毫無意義。本地NGFW淪為了辦公室中一個基本的連接設備。

　　云原生

　　你將數據和工作負載移到云端后，網絡的整個概念隨之發生變化。AWS和Azure之類的云提供商提供的是軟件定義網絡。所有流量和連接進行了虛擬化和抽象化處理，與實際的電線和路由器分離開來。這在根本就沒有網絡的SaaS提供商當中體現得尤為明顯。

　　此外，基于軟件的網絡沒有傳統網絡的限制。傳統的“三層”網絡聚集并集中了訪問，因為這種結構很高效，但它有個缺點：所有流量必須返回中央路由和NGFW進行訪問。

　　在云端，這毫無必要。流量直接通到它要去的地方。比如說，如果你有應用服務器和數據庫服務器，無需通過路由器來連接它們，而是可以讓它們對等互聯（peering）。由于你不控制底層物理連接，因此沒有理由返回中心點。

　　對等互聯提供了極其精細而動態的訪問控制。你不僅可以控制網絡、應用程序和用戶層訪問，還可以基于特定條件或觸發器，自動授予和吊銷該訪問權。使用云管理解決方案，你可以不斷審核那些控制機制，倘若任何訪問違反公司政策，即可吊銷。傳統的硬件網絡幾乎不可能有這種級別的控制。

　　此外，如果使用原生云服務——比如AWS的身份和訪問管理（IAM）或Azure的托管Active Directory，沒有實際的服務器要連接。相反，你可以將VPC或主機與服務本身實行對等互聯。

　　對等互聯簡化了網絡，又沒有減少任何訪問控制。從某種意義上說，你根本不需要聯網。

雙擊查看原圖
　　將NGFW放在云托管的系統和原生服務之間很笨拙，在一些情況下甚至是不可能的。雖然所有NGFW制造商都提供云版本的產品，但大多數情況下與VPN連接器無異。它們提供的任何安全功能很容易被其他功能取代。

　　因此，正由于云端沒有NGFW，基于主機的安全解決方案隨之大行其道。趨勢科技等公司多年前就明白了這點，開始發布云版本的產品，基于主機的平臺上的這些產品提供所有NGFW功能。此外，當你自動部署和配置這些端點時，可以為環境中的每個主機統一執行安全機制。

　　談談Guard Duty AWS和Azure等云平臺提供（或即將提供）NGFW功能。無需大型設備（或虛擬映像）。

　　AWS發布Guard Duty后，AWS的發展方向顯而易見。AWS不僅想掌控你的計算工作負載，還想掌控所有基礎架構。

　　Guard Duty是一個原生AWS應用程序，提供入侵檢測監控功能，而傳統的入侵檢測/預防系統（IDS/IPS）幾乎不可能將這種功能部署到云網絡中，因為你看不到完整的網絡數據包。網絡抽象也意味著你無法嗅探流量。

　　在今后幾年，AWS和Azure會以某種方式將NGFW的所有功能作為原生產品來提供。對于任何IaaS提供商來說這是合理的舉措。另外，隨著原生NGFW功能得到日益廣泛的采用，成本會急劇下降。這將進一步侵蝕傳統NGFW的價值。

　　重大失敗

　　NGFW奄奄一息的最后一個原因也許是最明顯的：NGFW沒什么效果。每家聲稱遭遇重大泄密事件的企業組織都有NGFW，而這些NGFW對于阻止泄密基本上起不到什么作用。

　　公平地說，泄密的根源并不是NGFW技術，而是一系列日積月累的架構和組織問題共同進一步削弱了NGFW的價值。

　　這些問題包括：

　　1、有很多方法可以使用移動網絡或物理設備繞過NGFW。

　　2、要求訪問不受限制的可信賴第三方常常繞過所有NGFW安全機制。

　　3、管理NGFW的人員無權執行規則，生怕“阻止合法流量”。

　　4、監視和響應NGFW警報的做法無效，因為：

　　警報管理工具（比如SIEM）管理起來復雜又費時；

　　缺少有才干的安全員工；

　　數量過多的警報；

　　消極抵抗、避免沖突的企業文化阻止報告泄密事件，因為這會引起審查。

　　最后一點可能最具破壞性和普遍性。許多大型企業組織打造的文化不能容忍正常的人為錯誤。這對于信息安全而言尤其具有破壞性。能力差的領導人對信息安全從業人員提出了完全不切實際的期望和約束。要求他們知道一切，沒有遺漏任何環節，如果發生不好的情況，就要受到嚴懲。在過去這十年，幾乎每一次泄密事件都揭示了這種文化的弊端。

　　這造成了一種有害的文化：安全人員被賦予重大的責任，卻毫無實際行使這一責任的權力。這也是為什么許多人堅決不放手NGFW。操控大型NGFW是他們唯一擁有的權力。

　　然而，公司不鼓勵他們報告任何攻擊事件，因為糟糕的領導人（出于可笑的期望）會怪罪他們發出警報。這是許多NGFW供應商助長的一條強大的負反饋回路，因為它使那些沒用的安全人員可以購買尺寸更大、功能更強大的設備。

　　這就是為什么我們需要NGFW死亡。死亡才會帶來變化。

　　你可以從冰冷、死氣沉沉的機架撬走我的NGFW

雙擊查看原圖
　　現在你可能因認同我對NGFW的看法而頗為沮喪，或者怒氣沖沖，弄清楚我存在哪些人格缺陷，以便好攻擊我。

　　我先自爆家丑：我易怒、很胖，經常咒罵。我還把過多的錢砸在汽車上，時常說些冒犯他人的話。

　　我確信你可以憑上面任何一條或全部而鄙視我。

　　不過在你將Fortinet標識從FortiBolts撕掉之前，先冷靜一下。NGFW沒有很快死亡。你在那家Palo Alto增值經銷商（VAR）上花的所有錢不會立即浪費掉。這種死亡是慢慢的。NGFW不會完全死亡，它會改變。

　　五到十年后，NGFW將更像是一種云連接設備。你已經在Fortinet和Palo Alto（剛收購了Evident.IO）那里看到了這方面的早期苗頭。它會繼續控制訪問。但你會更像管理SaaS訂閱服務那樣管理它。此外，與AWS、Azure和Salesforce等云服務安全受控制地連接的功能也將直接集成到平臺中。

　　此外，AWS和Azure將擁有各自類似NGFW的服務，這意味著你可以完全拋棄本地NGFW，使用廉價的路由器。這使得Zscaler之類的服務比龐大硬件設備更為明智。

　　這里出現的一個更大動向是，本地系統變得越來越無關緊要。NGFW實際上是這個更大趨勢的一部分。隨著公司將越來越多的工作負載轉移到云端，所有那些硬件設備都變得越來越無足輕重。

　　2012年，人們竭力將Exchange服務留在本地。8年后，擁有本地Exchange服務器這個想法很可笑。6到10年后，擁有一個價值10萬美元的核心NGFW這個想法似乎同樣很可笑。此外，你的VAR奄奄一息，不過那是另一個話題了。

　　為末路做準備

　　如果你想為NGFW的消亡做準備，答案完全在于你的Azure或AWS控制臺。雖然下面不是你可以做準備的完整清單，但有助于邁出第一步。

　　重新關注端點安全，尤其是在端點處提供NGFW功能的解決方案。

　　如果你的員工隊伍很分散，那么應關注Zscaler之類的公司。

　　將那些工作負載轉移到云端，越早越好。

　　云安全與本地安全不是一回事。這個話題不在本文的討論范圍之內，不過就一句話，你根本無法將你的所有本地設備直接搬到云端、期望它們都能正常運行。

　　安全計劃的核心應該是風險管理和個人發展，而不是技術。

　　SIEM技術在云端更重要。你需要數據來制定決策。這也是另一個話題。

　　如你所見，一旦你打開了通向后NGFW世界的大門，事情會發生重大變化。你的團隊越關注云，就會越適應這種變化。