对于企业网络安全问题,单一产品已经不能满足需要。对于更多的要求,我们需要将网络安全软件以及设备进行融合。迫于数据中心管理费用和能耗缩减的压力,企业开始打算融合网络安全基础设施来渡过难关。供应商们也正在根据这种情况进行产品调整,其范围囊括了从开放式机架上的多厂商软件,到将安全性融合到网络基础设备组件上。
Cisco公司的防火墙服务模块(FWSM),就是可加载在Catalyst 6500机架交换机中的刀片,这样企业就可以直接在核心网络中部署安全设备。Enterasys网络已把这些安全技术直接写进了整个的交换机文件中。
“这是防火墙服务模块的优势,” Santa Clara大学通讯与安全部门的网络管理员Todd Schmitzer说。“无论如何,机架是必须存在的,而这个防火墙服务模块就像插在机架中的刀片。”
网络安全硬件和软件供应商也将许多网络安全技术——包括防火墙,入侵检测以及VPN技术——融合到了一个设备中。Juniper是通过其ISG集成安全网关和SRX系列服务网关来实现的。而Cisco则是研发出了自适应安全设备5500系列。其他供应商,如Check Point、Fortinet以及SonicWall则在几年前就开始致力于防火墙、IDS/IPS、反病毒程序、反垃圾邮件、内容过滤以及其他用于 统一威胁管理 (UTM)设备中的技术。所有这些措施都可以通过减少企业在数据中心内部署的物理安全设备数量,来有效缩减IT管理费用和能源消耗。
把网络安全软件融合到一个大型机架中
Fiserv Inc.,一家资产达41亿美元的金融服务科技公司,为数千家金融公司处理在线银行交易服务,在防火墙技术升级后,对其重要的网络安全基础设施做部分合并,Fiserv信息安全总监Rich Isenberg说。
七年前,因Fiserv公司快速的网络扩张,使得遗留的Check Point防火墙成为了其发展的瓶颈。
“当时,我们正处于高峰期,” Isenberg说。“我们公司的防火墙设施成为了网络中的一个关键节点。我们使用了Nokia设备来运行Check Point防火墙,但无法满足我们的流量需求,我们不得不增加设备来保证系统性能。”
Isenberg当时的想法是宁愿让更多的Check Point 防火墙加载在更多的Nokia IP设备上,Isenberg还租了一个独立的实验室,用于比较从各种网络安全硬件与软件供应商那里购买的产品。实验结果是,在Crossbeam的网络安全机架硬件上运行Check Point的防火墙软件,是最能满足Fiserv公司IT环境需求的。Crossbeam制造的一系列吞吐量为5到40Gbps的4-, 7- 以及 14-刀片模块机架,则用于运行多种第三方网络安全产品。
“最初我们只把Crossbeam当做加固防火墙硬件的一种方法,” Isenberg说。“最终,我们融合了数据中心中核心平台上的防火墙和入侵检测设备。我们把数据中心中的物理防火墙和入侵检测设备的数量从23台减少到了7台。在随后的几年,我们还在Crossbeam硬件中增加了数据库防火墙和 web应用防火墙”。
Isenberg表示,在这四年中,融合网络安全设施管理费用的缩减,对收回在Crossbeam机架上的投资是有一定帮助的。
“这使得我们能够以较低的毛利率获得较高的系统可用性和稳定性,”他说。“自从我们削减了实际使用的设备数量(网络安全硬件和软件设备),我们所需要的操作人员数量也随之减少了。不用再为这50多个硬件做50多次的设备升级了,现在我们只需要做七到八次就可以了。在相同水平内,我们不需要扩大规模就可以让业务实现不断增长。同时还降低了许可数量和维护费用。”
安全基础设施融合:趋于多供应商模式
由于大多数网络安全设施供应商以封闭式平台硬件设备的方式供应其产品,多厂商方式就变的非常棘手。尽管如此,还是有办法将来自各厂商的多种网络安全软件产品融合至一个单一硬件上的,比如Crossbeam机架或是IBM、HP、Dell 或 HP的多用途刀片服务器机架。
“Crossbeam允许我们选择最佳的安全产品,并运行在相同的设备中。如果我们需要入侵防御刀片,我们可以载入一个IBM的安全网络IPS。我们可以在下一个刀片上载入Sourcefire。在另外的刀片上载入来自Imperva的web应用防火墙,数据库防火墙。”
这种机架部署方式同样可以支持Fiserv按其需求增加其网络安全设施的性能。
“如果机柜中没有多余的位置,而你又想增加系统性能,你可以将Check Point防火墙部署在一个刀片上。”他说。“只需要在机架中再放一个刀片,网络无需大的改变就可以扩展到所需的性能,不需要重新布线、不需要添加额外硬件。而且所有这些都在同一个背板上,所以你无需顾虑tap端口和span端口,不需要考虑把这些流量路由到其他位置。”
当企业要把网络安全软件产品融合到其他第三方硬件上时,他们需要确保这些软件和硬件供应商彼此能够较好地合作,或者网络安全设施管理人员能够处理复杂的问题。例如,Crossbeam已经与Check Point、 McAfee确定了市场合作伙伴关系。而在标准服务器中部署Check Point防火墙就是另外一回事了。
“你可以在销售服务器及安装软件的地方,买到这些产品” Santa Clara大学Schmitzer说。“虽然我不反对这么做,但部分决策都要考虑系统复杂性。部署时的复杂性是什么,是否包括各种产品间的兼容性?你是否真的愿意在一个关于安全的解决方案中涉及到两个不同的供应商?一旦出了问题,到底谁该负责?所以说,相比两个供应商来说,我们更赞成只选择一个供应商做全部的事。”
虽然现在Schmitzer的防火墙基础设施里,包括了Catalyst 6500核心网络中的Cisco FWSM,以及边界网络中的Palo Alto网络防火墙,但其十多年前部署的遗留防火墙却带来了如何同时管理网络安全硬件和软件供应商的问题。当时他为Nokia IP设备购买了Check Point防火墙,由于这两家厂商存在着合作伙伴关系,所以有些效果。
【编辑推荐】
