随着网络攻击技术日益先进、手段日趋复杂,下一代防火墙引入 SASE、零信任 和云 WAF 等技术,有效满足用户日常安全需求。
SASE(Secure Access Service Edge,安全访问服务边缘)是一个集合概念。其关 键组件包括软件定义广域网(Software Defined Wide Area Network,SD-WAN)、 防火墙即服务(FireWall as a Service,FWaaS)、零信任网络访问(Zero Trust Network Access,ZTNA)、云访问安全代理(Cloud Access Security Broker,CASB)和安 全 Web 网关(Secure Web Gateway,SWG)等。综合来看,SASE 是基于实体身 份、实时上下文、企业安全合规策略以及在整个会话中持续评估风险信任的服务。 与传统的 WAN 不同,SASE 取消了将分支机构连接到中心机构的概念,转变为将 设备连接到基于云的集中式服务模型,可以更好地支持企业上云安全。
SASE 具有广阔成长空间。根据 Gartner 预测,全球 2024 年 SASE 总收入将会达 到 110 亿美元,未来至少 40%企业将有明确的策略采用 SASE,市场空间广阔、 具有较高的潜在增长空间。在 SASE 中引入 FWaaS,企业组织可以在云端聚合来 自所有访问源的流量,为所有位置所有用户实施全局一致的安全策略。根据 Research And Markets 数据,FWaaS 市场在 2021 至 2026 年复合增速为 22%。随 着云网络上流量指数级增长,越来越多的组织将采用防火墙和端点安全解决方案 来保护其云网络数据。
零信任是超越传统基于网络边界防护的安全方法,遵循最小特权访问原则。零信 任的核心思想是默认不应该信任网络内部和外部的任何人、设备、系统,遵循关 键零信任原则,即对最小特权访问的每一步都需要策略检查。随着网络边界变得 日益模糊,传统的基于边界防护的网络安全策略不再适用,业界因此提出了零信 任架构(ZTA)。零信任网络架构(ZTNA)也被称为软件定义边界(SDP),其围 绕一个或一组应用程序创建基于身份和上下文的逻辑访问边界,每个终端在连接 服务器前必须进行验证,确保每台设备都被允许接入,以此保护网络资产和设施 免受外来安全威胁。
零信任网络架构是未来主流趋势。零信任两大核心逻辑组件是策略决策点和策略 执行点。策略决策点又被分为策略引擎和策略管理员。这些组件可以通过本地服 务或远程服务的方式来操作,组件之间通过一个单独控制平台进行通信,而应用 程序数据则在一个数据平面上进行通信。随着应用程序不断变化,或需要粒度更 强或限制性更强的策略,防火墙访问策略可能需要持续更新。根据 Gartner 预测数 据,到 2023 年,有 60%企业将淘汰大部分 VPN,转而使用 ZTNA。
云 WAF 是基于云端的 Web 应用防火墙。通过执行一系列针对 HTTP/HTTPS 的安 全策略,云 WAF 能有效防止各种网络攻击,防止信息从浏览器到达服务器后的 被非法窃取和非法篡改。作为 Web 应用防火墙的云模式,用户不需要在自己的网 络中部署软硬件,就可以对网站提供全方位安全措施。当云 WAF 接收到外部请 求时,通过加密通道将 HTTP 请求移交到云端进行检测,基于零信云 SSL 技术确 认其合法性后再转发到真实服务器,如果检测异常,则直接驳回访问。总体来看, 云 WAF 部署简单,维护成本低,能实现对云应用的有效保护。
云 WAF需求持续提升。WAF市场增长助力云 WAF规模放量,Forrester数据显示, WAF 是目前应用最广泛的安全工具,77%安全决策者已采用 WAF。根据 Allied Market Research 预测数据,2030 年全球 WAF 市场规模将达到 256 亿美元,同时亚太地区将成为预测期内 WAF 市场增长最快区域。根据 Gartner 数据显示,到 2024 年,70%用户会选择云 WAF 服务,长期来看云 WAF 市场发展前景广阔。
综合来看,未来防火墙将更加多态化、智能化、可持续运营化和云网融合化。在 多态化层面,未来防火墙除了传统企业内网,也会随着物理边界的变化,出现在 云端、物联网等,甚至随着泛在网络的发展部署在所有应用环境中;在智能化层 面,防火墙对内起到审计和管理的作用,对外通过智能规则以及云端智能加持来 防护外来攻击,做到智能运营;在可持续运营化层面,防火墙能够自动洞悉资产、 用户和风险,并结合云端能力综合研判出安全态势,持续提升用户网络边界安全; 在云网融合化层面,随着未来大部分企业的业务部署在云端,防火墙的功能将和 云网基础设施深度融合,形成 “云原生”、“网原生”等防火墙新形式。
