云网络安全:AWS防火墙选择

防火墙是网络安全的核心部分且日趋复杂,始终与企业面临的不断变化的威胁抗争。更新的防火墙能够分析网络流量行为、协议以及应用层数据。然而,当将资源转移到亚马逊云上时,企业可能会发现没有相同数量和类型的的防火墙可供选择。在这篇技巧中,我们将会针对云网络安全,调查AWS内置的防火墙、第三方的防火墙以及开源防火墙。

AWS防火墙

内置的AWS防火墙对于信息安全专家来说还有许多待改进之处。为了在EC2内创建防火墙规则,企业可以创建“安全群组。”这些群组描绘了应用于 EC2的防火墙规则集,每一个群组仅允许企业配置入站规则。对于使用亚马逊虚拟私有云(VPC)服务的用户来说,可以创建入站和出站规则,但是有云VPC 服务高昂的成本,会导致这项实施花费更多。

至于检查能力,AWS防火墙过滤器和IP选项集捆在一起,操纵基本的分组分段(但是允许攻击者通常阻碍入侵检测系统所创建的异常片段),且执行简单的状态过滤器。然而,在AWS防火墙内,对于任何规则允许未登录,这是个非常明显的短处。大多数网络和安全团队都希望对这些登录进行入侵检测和分析,使用单机或者安全事件管理工具。尽管亚马逊防火墙可能在一些场景中足够充分,但是安全专业人士更喜欢选择的AWS网络安全选择。

针对AWS的第三方防火墙

几乎没有第三方的防火墙选项能够和AWS整合。Check Point已经将Check Point Security Gateway R75整合到AWS市场中。这意味着寻求安装VPC环境的企业可以创建新的虚拟Check Point防火墙,并将其整合到企业的私有云中。

Check Point防火墙表现的更像是传统的Check Point设备,提供了状态流量检测和控制功能、应用和协议分析规则以及VPN连接。Check Point的虚拟设备能够同各种亚马逊实例类型整合,也支持Check Point“软件刀锋”功能,这个功能为安全性能集提供了模块化的方法。Check Point是目前唯一在防火墙领域成熟的厂商产品,能够完全整合到亚马逊的市场之中。思科和Juniper在AWS市场上还没有任何产品,尽管他们都提供虚拟防火墙平台(分别为ASA 1000v和vGW产品)。

除了Check Point选项意外,企业在亚马逊EC2中安装防火墙要取决于他们自己所使用的开源软件解决方案。Smoothwall有开源和商业产品,在单一包中提供了包过滤、Web过滤和电子邮件保护。该公司提供的基于软件的商业选项可以直接安装到亚马逊图像中,或者作为VMware图像直接导入到EC2中。其他的开源选项有Openwall,提供了防火墙功能以及其他的安全选项,可以当做虚拟机安装,然后导入到亚马逊中。

主机型防火墙

很多企业正在转向主机型防火墙选项,从而增大亚马逊EC2中基于网络的安全。除了针对 Linux和Windows虚拟机的自带操作系统防火墙之外,企业可以考虑通过安全即服务提供商管理防火墙控制。像CloudPassage就是这样的厂商,免费提供了限制使用的Halo防火墙代理和管理平台,提供了附加的计划以及功能,包括配置监控、漏洞评估和账户管理。该厂商的防火墙代理同Linux 和Windows上现有的防火墙连接,但是提供了简单的中心管理和控制,以及登录和过滤工具。

未来,很可能会有更多的商业防火墙提供商会将其产品适用亚马逊以及其他的云,但是企业至少现在还有一些防火墙选项。

对于试图在云环境中开发健全的“深度防御”的信息安全专家来说,这很重要,随着公有基础架构即服务(IaaS)云资产在互联网或者内网暴露就需要保护。很多企业可能没有意识到自有AWS防火墙功能有限,远不及等价的现代企业世界中的防火墙平台。增加更多的功能防火墙实例,以及主机型过滤器和检测,提供更大范围的覆盖。