Nová generace. Přesněji ochrana nové generace. Jako kouzelné slovo se tento výraz v posledních letech stále častěji používá v odborných článcích, na konferencích, v produktových listech i dalších zdrojích informací z oblasti ICT bezpečnosti.
Spojení bývá bohužel často užívané vysloveně účelově a pouze pro zvýšení atraktivity také produktů a služeb, které žádné pokročilé funkcionality či moderní způsob ochrany nenabízejí. Čestnou výjimku představují řešení Next Generation Firewall (NGFW), jež skutečně představují významný krok kupředu v zajištění síťové bezpečnosti.
Oproti tradičním firewallům, které pro definování pravidel a filtrování provozu používají pouze IP adresu a čísla síťových portů bez ohledu na skutečně přenášený obsah a aplikaci, poskytují NGFW mnoho dalších funkcí, jež výrazně zvyšují bezpečnost. Co by měl všechno umět, ukazuje přiložený box.
Jak vybírat NGFW
Koupě NGFW zahrnuje zpravidla výraznou investici a s ohledem na tento fakt by se mělo přistupovat k jeho výběru. V praxi často dochází k nákupům NGFW před koncem roku, tak aby se stihl vyčerpat rozpočet.
V mnoha případech je pak kupující rozčarován skutečností, že nové zařízení nesplňuje vše, co by od něj požadoval, má nižší propustnost, než je třeba, ovládání není uživatelsky přívětivé, není jednoduché dohledat konkrétní data pro forenzní analýzu, uživatelská podpora reaguje se značným zpožděním apod.
Nejdůležitější rada tak zní – vyhraďte si na výběr svého nového NGFW dostatek času. Nejde o spotřební zboží, ale o investici na několik dalších let.
Plánování
Ještě než se začnete věnovat výběru potenciálních výrobců, buďte si jistí minimálně v následujících bodech. Důkladnou přípravou si ušetříte nejen spoustu času v budoucnu, ale i peněz, jelikož bude možné NGFW nasadit do produkce bez zbytečného prodlení, během kterého by se již čerpaly servisní podpora a předplatné pokročilých bezpečnostních funkcionalit.
Ubezpečte se, že chcete a zároveň máte dostatečnou podporu ze strany společnosti k nasazení NGFW v plnohodnotném režimu, ne pouze jako náhradu existujícího FW bez zásadních změn.
Mezi dva zásadní požadavky patří využití filtrace provozu na aplikační úrovni v režimu pozitivního modelu a nasazení dekrypce (dešifrování) jak pro příchozí, tak pro odchozí provoz. Zejména dekrypce je v mnoha společnostech citlivé téma, které musí být právně ošetřeno.
Vzhledem k tomu, že podle odhadů dosáhne v roce 2018 objem šifrovaného provozu 80–90 %, pak v případě, že by byl postoj vedení společnosti k dekrypci odmítavý a není reálná šance jej pádnými argumenty změnit, investice do NGFW pozbývá smyslu.
Rozhodněte také o umístění NGFW – nasadí se na perimetru jako vstupní bod do firemní sítě, nebo uvnitř pro segmentaci síťového provozu? Rozhodnutí je zásadní pro správný výběr licencí vzhledem k tomu, že například pro interní provoz zpravidla nepotřebujete licence pro URL filtering či VPN.
Koupí se NGFW jen na jediné místo, nebo se bude infrastruktura rozrůstat, a bude tak zapotřebí centrální management? Jaký je reálný požadavek na propustnost s ohledem na existující provoz i na budoucí rozvoj?
Nesmírně důležité je rovněž zajistit si dostatek času na testování, nákup i samotné nasazení nového zařízení.
Sestavte si seznam požadavků na funkcionalitu NGFW, na které se budete výrobce dotazovat ještě před započetím testování. Některé záležitosti mohou být tak zásadní, že jejich nesplnění daného výrobce okamžitě diskvalifikuje. Částečně lze vycházet ze seznamu, který uvádí samostatný box.
Výběr výrobce
Následným krokem je zúžení výběru potenciálních výrobců pro testování konkrétních produktů. Výrobců NGFW je celá řada a jejich řešení se radikálně liší, ať již výkonností, pokročilostí ochrany, tak i cenou.
První pohledy zpravidla vedou směrem k magickému kvadrantu společnosti Gartner. Je třeba brát v úvahu fakt, že tento report vychází ze zprostředkovaných informací a není vždy zcela aktuální. Poskytne však dobrý přehled o tom, jak si který výrobce stojí a na jaké výrobce byste se měli při svém dalším pátrání zaměřit.
Zapomeňte na fámy, které říkají, že určití výrobci jsou výrazně dražší než jiní. V rámci výběrového řízení se k sobě téměř vždy úzce přiblíží.
Nenechte se ani zviklat konkurenčním bojem, kdy se výrobci snaží vzájemně veřejně pošpinit, udělejte si vlastní názor. Srovnejte si funkce daného výrobce s hlavními požadavky na NGFW. Pokud některá z funkcí není splněná, zjistěte proč, a zamyslete se, jestli by takový výrobce měl postoupit do užšího výběru.
Stanovte si ostatní prvky bezpečnostního portfolia výrobce a jejich provázanost s NGFW. V dnešní době je téměř nemožné zajistit ochranu manuálně, a ne všechna nákaza se do sítě dostává přes perimetr chráněný NGFW.
Velkou výhodou může být jednotná bezpečnostní platforma propojující ochranu vnitřní sítě a perimetru, s ochranou koncových bodů proti malwaru či ochranou cloudových služeb, SaaS aplikací apod.
Výběr modelu
Po výběru výrobců dochází k volbě modelu. To může být náročnější, než se na první pohled zdá. Poměrně jasné je, že je třeba vybrat zařízení s požadovanými typy rozhraní, redundantními zdroji a podobně.
Záludná část přichází ve chvíli určení propustnosti. Prakticky všichni výrobci své FW hrdě označují jako NGFW, ale když dojde na propustnosti, největší čísla na prvních místech produktových listů jsou zpravidla hodnotami při filtraci na úrovni tradičních FW (L3/L4), bez zapnuté aplikační detekce, antiviru, URL filteringu apod.
Až v poznámce jsou často menším písmem uvedené reálnější hodnoty se zapnutými pokročilými funkcemi, které jsou přesto měřeny za ideálních podmínek. Prakticky žádný z výrobců navíc neuvádí hodnotu se zapnutou SSL dekrypcí, jež propustnost zásadně degraduje.
Produktové listy tedy používejte pouze pro hrubou orientaci. Nenechte se ovlivnit výrobcem, který bude tvrdit, že ne na všechen provoz budete potřebovat NG funkcionalitu – kupujte NGFW, nikoliv klasický FW s několika doplňkovými funkcemi.
Požadujte od výrobce i interní testovací dokumenty se zapnutými všemi funkcemi včetně SSL dekrypce, i přes tože budou tvrdit, že jde o neveřejné materiály.
Testování PoC (Proof of Concept)
V tuto chvíli přichází nejdůležitější fáze výběru, která se však bohužel z časových důvodů často zanedbává. V rámci testovací fáze je důležité řídit se následujícími radami.
Neprovádějte PoC sami. Nechte si vyškoleným specialistou zařízení nasadit a předvést. Na jakoukoliv nejasnost se ptejte. Až následně testujte sami. Předejdete tak situaci, kdy při prvním neúspěchu zavrhnete výrobce, který by jinak prošel do užšího výběru. Zároveň si tímto postupem ověříte schopnosti potenciálního dodavatele.
Dále si připravte testovací scénáře obsahující specifické situace a zapojení ze svého prostředí, jež konzistentně otestujete na všech výrobcích.
Tyto scénáře by neměly obsahovat pouze základní zapojení do sítě, ale také ukázky ochrany před známými i neznámými útoky, způsobu správy NGFW v kritických situacích a forenzní analýzy v případě výskytu bezpečnostní události. Zejména reportovací a analytické funkce jsou v PoC často podceňovány.
Model testovaného zařízení vybírejte tak, abyste byli schopni v testovacím prostředí dosáhnout jeho limitů, a ověřili si tak pravost údajů v produktových listech. Zařízení testujte se zapnutou kompletní ochranou včetně SSL dekrypce.
Všechny funkce, které jsou pro vás zajímavé, otestujte, a pokud je nejste schopni vyzkoušet, nechte si je předvést v demoprostředí. V mnoha případech je funkce zajímavá, ale její využití v praxi je komplikované, někdy až na hranici použitelnosti.
Výběr dodavatele
Samotný výběr dodavatele je téměř stejně důležitý jako výběr správného výrobce a modelu. Dodavatel by neměl vystupovat pouze jako prodejce hardwaru, ale měl by zároveň přinášet přidanou hodnotu v průběhu životního cyklu dodávaného produktu jako konzultant a podpora v případě mimořádných situací.
Spolehněte se na doporučení výrobce, ať již osobní, nebo zprostředkované ve formě dosažení určité úrovně partnerství. Zjistěte si také počet certifikovaných specialistů dodavatele – nejdůvěryhodnější informace totiž pocházejí v tomto případě právě od výrobce.
Navíc velká korporace nabízející produkty desítek výrobců nemusí nutně znamenat kvalitnější službu. Zaměřte se i na menší, úzce specializované dodavatele, kteří jsou často flexibilnější a kvalifikovanější.
Co by měly firewally nové generace nabízet
- Musí zajistit vhled do provozu a identifikovat aplikace nezávisle na použitém protokolu a portu včetně šifrovaného odchozího i příchozího provozu. Bez toho, aby NGFW do provozu bezezbytku viděl, nad ním nebude schopný realizovat jakékoliv pokročilé bezpečnostní kontroly.
- Musí identifikovat vazbu IP adresy a uživatelského jména a poskytnout možnost vytvořit pravidla na základě uživatelské identity. Tuto vazbu by mělo být možné získat ze všech zdrojů, které se v síti mohou vyskytnout. Vzhledem k tomu, že dnes každý uživatel vlastní množství zařízení, jež bývají v rámci sítě mobilní, může být velmi obtížné definovat pravidla tradičním způsobem, na úrovni zdrojových IP adres.
- Musejí chránit před známými i neznámými hrozbami ve všech aplikacích na všech portech. Každá aplikace, která je schopna přenášet soubor, může přenášet i škodlivý kód. Není tedy dostatečné zajistit ochranu e-mailových protokolů a HTTP, když může nakažený soubor přijít do interní sítě například prostřednictvím BitTorentu nebo jiných nepodporovaných protokolů.
- Musí umožnit vynucení tzv. positive security modelu – povolit pouze žádoucí provoz a zakázat vše ostatní. S tímto bodem úzce souvisí způsob zacházení s provozem, který NGFW není schopen identifikovat. Takovým neznámým provozem totiž může být, a často také bývá, komunikace škodlivého softwaru do řídíicího centra.
Seznam vybraných požadavků na NGFW při výběru dodavatele
- V čem se daný výrobce zásadně liší od konkurence – ať již jedinečnými funkcemi, způsobem správy, podporou, vazbou na další produkty apod.
- Je dostupná pouze HW appliance, nebo je možné nasazení i ve virtualizovaném prostředí? Pokud ano, jaké platformy jsou k dispozici pro privátní (VMware ESXi, MS Hyper-V…), nebo veřejné poskytovatele (AWS, MS Azure, Google Cloud…)?
- Jak se NGFW spravuje? Lokálně, nebo centrálně? Jak je řešitelný problém, když NGFW ztratí konektivitu s centrálním managementem a je potřeba jej spravovat v nouzové situaci?
Jde o správu přes webové rozhraní, nebo je nutné použít tlustého klienta? Je CLI plnohodnotné? Existuje otevřené API pro automatizaci? Umožňuje NGFW integraci s SDN? Je management prostředí v čase konzistentní, nebo se s verzemi výrazně mění, a je tak nutné se práci s ním přeučovat?
- Jak je vyřešená uživatelská podpora a jaké je její hodnocení?
Autor pracuje jako Security Architect ve společnosti H-Square ICT Solutions.
Tento příspěvek vyšel v Securityworldu 1/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.