下一代防火墻將通過集成入侵防御和應用與用戶監控功能來提升網絡安全性,但是它們也會帶來新的管理挑戰。由于傳統防火墻充斥了大量廢棄的規則,所以防火墻管理總是一個有挑戰的工作。但是,在使用下一代防火墻管理技術之后,網絡安全專業人員將需要維護更多的規則和策略。
斯坦福德Gartner公司研究副總裁Greg Young說:“防火墻規則總是到處泛濫,但是入侵防御和應用控制使問題更加復雜。現在正是使用下一代防火墻降低復雜性的時機,但是如果實施不當,則可能會適得其反。”
最近,Osterman Research代表安全與風險管理公司Skybox Security對209家企業進行了一次關于下一代防火墻管理的調查。在調查中,他們邀請網絡安全人員列舉下一代防火墻管理的三大挑戰,其中包括:確認訪問策略與網絡分片策略是否正確實施(39%);維護入侵防御系統(IPS)簽名(37%);以及優化防火墻規則集(36%)。
在有狀態防火墻中,規則與策略的復雜性迫使網絡安全管理員在防火墻管理方法中整合更多的業務邏輯。Skybox的CEO及創始人Gidi Cohen說:“下一代防火墻規則將控制哪些用戶群組在哪個時間段可以訪問Web應用或社交網絡。不僅規則變得更加復雜,而且組織的安全策略邏輯也變得更加復雜。這是一個計劃挑戰、協調挑戰,也是一個技術挑戰。”
Young指出,網絡安全人員需要拋棄“老派的”防火墻管理方法,轉而采用下一代產品。例如,他說,改變對應用控制規則和策略的控制不可能像基于端口的傳統規則一樣。
在傳統防火墻上,任何變更都需要發起一個變更請求。如果開發團隊希望啟動一個新應用程序,那么它會發送一個變更請求到防火墻上要求打開端口。這種細致方法不適用于下一代防火墻的應用監控。Young說:“要采用不同的方法。您可以批準特定類型的應用程序。您可以說:‘除了特定的情況,我們不允許使用任何點對點應用程序。’所以如果發現一個點對點應用程序,而防火墻管理員又希望批準這條規則,那么它應該以預先批準的方式進行處理。”
Young指出,網絡安全人員需要拋棄“老派的”防火墻管理方法,轉而采用下一代產品。例如,他說,改變對應用控制規則和策略的控制不可能像基于端口的傳統規則一樣。
在傳統防火墻上,任何變更都需要發起一個變更請求。如果開發團隊希望啟動一個新應用程序,那么它會發送一個變更請求到防火墻上要求打開端口。這種細致方法不適用于下一代防火墻的應用監控。Young說:“要采用不同的方法。您可以批準特定類型的應用程序。您可以說:‘除了特定的情況,我們不允許使用任何點對點應用程序。’所以如果發現一個點對點應用程序,而防火墻管理員又希望批準這條規則,那么它應該以預先批準的方式進行處理。”
下一代防火墻管理是一種成熟且協調的方法
企業管理聯盟研究主管Scott Crawford指出,在廣義上,防火墻管理就是變更控制。擁有成熟防火墻變更管理方法的企業更能避免安全漏洞和性能破壞問題。在下一代防火墻中,隨著防火墻環境變得越來越復雜,自動化也變得越來越重要。Skybox的調查發現,有58%的企業在他們的下一代防火墻上部署了100條以上的規則,而有35%的公司每個月執行100次以上變更。
Crawford說,在這些復雜環境中,用戶必須利用自動化方法,因為他們通常過于復雜,而無法通過手工流程進行可靠管理。在部署之前,一定要在您的建模范圍內驗證您規劃的所有變更,然后跟蹤這些變更,保證它們按預期方式部署。此外,您需要設定一個回滾變更的流程,這樣才不會產生其他問題。
Skybox、Tufin Technologies、AlgoSec和Athena Security等供應商在專門研究這些問題。他們提供了防火墻變更控制產品,其中大多數都可以對這些變更影響網絡的方式進行建模。此外,這些供應商正在將他們的產品更新到下一代防火墻管理技術。
如果一個IT組織的下一代防火墻管理團隊與網絡運營團隊屬于獨立實體,那么網絡安全團隊還應該保證要這兩個團隊協調一致。Crawford說:“即使在下一代防火墻出現之前,我們也發現一些組織遇到一些預料到的性能水平和可用性中斷的問題,因為安全策略在不知道會產生什么影響的情況下就應用了。”
“當您增加了感知應用的防火墻,這個挑戰越來越大。即使在分布式網絡的客戶端,如果您部署WAN優化設備,那么您會希望將它是專門為應用程序的設備。您需要在網絡性能、可用性與安全性需求之間做出協調,以避免出現沖突和增加暴露風險。”
另一個問題:防火墻的入侵防御
Skybox的調查證明,許多企業在管理下一代防火墻上的入侵防御簽名時舉步維艱。有86%的公司計劃在他們的防火墻上使用IPS模塊;他們中有65%處于在線防御模式。管理這些模塊的IPS簽名并不容易。只有54%的公司由供應商自動更新。三分之二的公司正嘗試手動管理這些簽名。
Gartner的Young說:“默認簽名集只是一個入口。接著是優先值。例如,如果您沒有Oracle數據庫,則不要啟用Oracle簽名。相反,如果您有大量的Oracle流量,則確實需要進行優化和調優這些Oracle簽名。”
根據Skybox全球銷售副總裁Michelle Johnson Cobb的觀點,有一些企業希望了解這些簽名如何有效地阻擋威脅。她說:“他們是否真的阻擋住了原本我想要阻擋的威脅?有一些方法可以檢驗它是否真的有用。”
如果用戶實施了大量潛在威脅的默認簽名,那么它將會減慢流量傳輸速度。Cobb說:“所以,如果您的目標之一是保證最高性能,同時有效阻擋威脅,那么這里需要一種平衡。此外,事情總會發生變化。在網絡中,每天都會出現新的漏洞或威脅。您可能要確定是否需要激活新的簽名。”
SkyBox剛剛增加了對Palo Alto Networks的IPS功能支持,它可以分析簽名,然后將它們映射到漏洞上。“您可以在一個控制面板顯示哪些簽名已激活,哪些漏洞被阻擋住,以及您可以打開哪些控制,從而得到更多的保護。”
京公網安備 11010502049343號