斯坦福德Gartner公司研究副總裁Greg Young說(shuō):“防火墻規(guī)則總是到處泛濫,但是入侵防御和應(yīng)用控制使問(wèn)題更加復(fù)雜。現(xiàn)在正是使用下一代防火墻降低復(fù)雜性的時(shí)機(jī),但是如果實(shí)施不當(dāng),則可能會(huì)適得其反。”
最近,Osterman Research代表安全與風(fēng)險(xiǎn)管理公司Skybox Security對(duì)209家企業(yè)進(jìn)行了一次關(guān)于下一代防火墻管理的調(diào)查。在調(diào)查中,他們邀請(qǐng)網(wǎng)絡(luò)安全人員列舉下一代防火墻管理的三大挑戰(zhàn),其中包括:確認(rèn)訪問(wèn)策略與網(wǎng)絡(luò)分片策略是否正確實(shí)施(39%);維護(hù)入侵防御系統(tǒng)(IPS)簽名(37%);以及優(yōu)化防火墻規(guī)則集(36%)。
在有狀態(tài)防火墻中,規(guī)則與策略的復(fù)雜性迫使網(wǎng)絡(luò)安全管理員在防火墻管理方法中整合更多的業(yè)務(wù)邏輯。Skybox的CEO及創(chuàng)始人Gidi Cohen說(shuō):“下一代防火墻規(guī)則將控制哪些用戶群組在哪個(gè)時(shí)間段可以訪問(wèn)Web應(yīng)用或社交網(wǎng)絡(luò)。不僅規(guī)則變得更加復(fù)雜,而且組織的安全策略邏輯也變得更加復(fù)雜。這是一個(gè)計(jì)劃挑戰(zhàn)、協(xié)調(diào)挑戰(zhàn),也是一個(gè)技術(shù)挑戰(zhàn)。”
Young指出,網(wǎng)絡(luò)安全人員需要拋棄“老派的”防火墻管理方法,轉(zhuǎn)而采用下一代產(chǎn)品。例如,他說(shuō),改變對(duì)應(yīng)用控制規(guī)則和策略的控制不可能像基于端口的傳統(tǒng)規(guī)則一樣。
在傳統(tǒng)防火墻上,任何變更都需要發(fā)起一個(gè)變更請(qǐng)求。如果開(kāi)發(fā)團(tuán)隊(duì)希望啟動(dòng)一個(gè)新應(yīng)用程序,那么它會(huì)發(fā)送一個(gè)變更請(qǐng)求到防火墻上要求打開(kāi)端口。這種細(xì)致方法不適用于下一代防火墻的應(yīng)用監(jiān)控。Young說(shuō):“要采用不同的方法。您可以批準(zhǔn)特定類型的應(yīng)用程序。您可以說(shuō):‘除了特定的情況,我們不允許使用任何點(diǎn)對(duì)點(diǎn)應(yīng)用程序。’所以如果發(fā)現(xiàn)一個(gè)點(diǎn)對(duì)點(diǎn)應(yīng)用程序,而防火墻管理員又希望批準(zhǔn)這條規(guī)則,那么它應(yīng)該以預(yù)先批準(zhǔn)的方式進(jìn)行處理。”
Young指出,網(wǎng)絡(luò)安全人員需要拋棄“老派的”防火墻管理方法,轉(zhuǎn)而采用下一代產(chǎn)品。例如,他說(shuō),改變對(duì)應(yīng)用控制規(guī)則和策略的控制不可能像基于端口的傳統(tǒng)規(guī)則一樣。
在傳統(tǒng)防火墻上,任何變更都需要發(fā)起一個(gè)變更請(qǐng)求。如果開(kāi)發(fā)團(tuán)隊(duì)希望啟動(dòng)一個(gè)新應(yīng)用程序,那么它會(huì)發(fā)送一個(gè)變更請(qǐng)求到防火墻上要求打開(kāi)端口。這種細(xì)致方法不適用于下一代防火墻的應(yīng)用監(jiān)控。Young說(shuō):“要采用不同的方法。您可以批準(zhǔn)特定類型的應(yīng)用程序。您可以說(shuō):‘除了特定的情況,我們不允許使用任何點(diǎn)對(duì)點(diǎn)應(yīng)用程序。’所以如果發(fā)現(xiàn)一個(gè)點(diǎn)對(duì)點(diǎn)應(yīng)用程序,而防火墻管理員又希望批準(zhǔn)這條規(guī)則,那么它應(yīng)該以預(yù)先批準(zhǔn)的方式進(jìn)行處理。”
下一代防火墻管理是一種成熟且協(xié)調(diào)的方法
企業(yè)管理聯(lián)盟研究主管Scott Crawford指出,在廣義上,防火墻管理就是變更控制。擁有成熟防火墻變更管理方法的企業(yè)更能避免安全漏洞和性能破壞問(wèn)題。在下一代防火墻中,隨著防火墻環(huán)境變得越來(lái)越復(fù)雜,自動(dòng)化也變得越來(lái)越重要。Skybox的調(diào)查發(fā)現(xiàn),有58%的企業(yè)在他們的下一代防火墻上部署了100條以上的規(guī)則,而有35%的公司每個(gè)月執(zhí)行100次以上變更。
Crawford說(shuō),在這些復(fù)雜環(huán)境中,用戶必須利用自動(dòng)化方法,因?yàn)樗麄兺ǔ_^(guò)于復(fù)雜,而無(wú)法通過(guò)手工流程進(jìn)行可靠管理。在部署之前,一定要在您的建模范圍內(nèi)驗(yàn)證您規(guī)劃的所有變更,然后跟蹤這些變更,保證它們按預(yù)期方式部署。此外,您需要設(shè)定一個(gè)回滾變更的流程,這樣才不會(huì)產(chǎn)生其他問(wèn)題。
Skybox、Tufin Technologies、AlgoSec和Athena Security等供應(yīng)商在專門研究這些問(wèn)題。他們提供了防火墻變更控制產(chǎn)品,其中大多數(shù)都可以對(duì)這些變更影響網(wǎng)絡(luò)的方式進(jìn)行建模。此外,這些供應(yīng)商正在將他們的產(chǎn)品更新到下一代防火墻管理技術(shù)。
如果一個(gè)IT組織的下一代防火墻管理團(tuán)隊(duì)與網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)屬于獨(dú)立實(shí)體,那么網(wǎng)絡(luò)安全團(tuán)隊(duì)還應(yīng)該保證要這兩個(gè)團(tuán)隊(duì)協(xié)調(diào)一致。Crawford說(shuō):“即使在下一代防火墻出現(xiàn)之前,我們也發(fā)現(xiàn)一些組織遇到一些預(yù)料到的性能水平和可用性中斷的問(wèn)題,因?yàn)榘踩呗栽诓恢罆?huì)產(chǎn)生什么影響的情況下就應(yīng)用了。”
“當(dāng)您增加了感知應(yīng)用的防火墻,這個(gè)挑戰(zhàn)越來(lái)越大。即使在分布式網(wǎng)絡(luò)的客戶端,如果您部署WAN優(yōu)化設(shè)備,那么您會(huì)希望將它是專門為應(yīng)用程序的設(shè)備。您需要在網(wǎng)絡(luò)性能、可用性與安全性需求之間做出協(xié)調(diào),以避免出現(xiàn)沖突和增加暴露風(fēng)險(xiǎn)。”
另一個(gè)問(wèn)題:防火墻的入侵防御
Skybox的調(diào)查證明,許多企業(yè)在管理下一代防火墻上的入侵防御簽名時(shí)舉步維艱。有86%的公司計(jì)劃在他們的防火墻上使用IPS模塊;他們中有65%處于在線防御模式。管理這些模塊的IPS簽名并不容易。只有54%的公司由供應(yīng)商自動(dòng)更新。三分之二的公司正嘗試手動(dòng)管理這些簽名。
Gartner的Young說(shuō):“默認(rèn)簽名集只是一個(gè)入口。接著是優(yōu)先值。例如,如果您沒(méi)有Oracle數(shù)據(jù)庫(kù),則不要啟用Oracle簽名。相反,如果您有大量的Oracle流量,則確實(shí)需要進(jìn)行優(yōu)化和調(diào)優(yōu)這些Oracle簽名。”
根據(jù)Skybox全球銷售副總裁Michelle Johnson Cobb的觀點(diǎn),有一些企業(yè)希望了解這些簽名如何有效地阻擋威脅。她說(shuō):“他們是否真的阻擋住了原本我想要阻擋的威脅?有一些方法可以檢驗(yàn)它是否真的有用。”
如果用戶實(shí)施了大量潛在威脅的默認(rèn)簽名,那么它將會(huì)減慢流量傳輸速度。Cobb說(shuō):“所以,如果您的目標(biāo)之一是保證最高性能,同時(shí)有效阻擋威脅,那么這里需要一種平衡。此外,事情總會(huì)發(fā)生變化。在網(wǎng)絡(luò)中,每天都會(huì)出現(xiàn)新的漏洞或威脅。您可能要確定是否需要激活新的簽名。”
SkyBox剛剛增加了對(duì)Palo Alto Networks的IPS功能支持,它可以分析簽名,然后將它們映射到漏洞上。“您可以在一個(gè)控制面板顯示哪些簽名已激活,哪些漏洞被阻擋住,以及您可以打開(kāi)哪些控制,從而得到更多的保護(hù)。”
