Nástroje pro zhodnocení funkcionality firemních firewallů (1)

13. 8. 2011

Sdílet

Nástroje pro audit firewallu dokáží zautomatizovat všechny možné úlohy analýzy složitých a přebujelých sad pravidel, aby došlo k ověření a demonstrování podnikového řešení pro řízení přístupu či ke konfiguraci procesů správy změn.

I když byl trh poháněn snahou o shodu se směrnicemi -- byl to hlavně standard PCI DSS (Payment Card Industry Data Security Standard) --, mohou tyto nástroje organizacím také umožnit zlepšit výkon sítě, zkrátit čas odstávek, zlepšit zabezpečení a změnit činnost personálu z režimu odstraňování problémů s firewallem či analyzování konfigurací směrem k úkolům souvisejícím s růstem firmy.

Tyto problémy jsou známy podnikům všech velikostí -- od takových, které mají jen jeden nebo dva přetížené a neefektivní firewally, až po velké distribuované podniky se stovkami firewallů spravovaných mnoha obchodními jednotkami, často podle různých zásad, které mohly být vytvořeny ještě dříve, než firma danou obchodní jednotku získala v rámci akvizice.

Před nedávnem bylo 200 až 300 pravidel považováno za nadměrné. Nyní není u firewallů výjimkou, když mají stovky či dokonce tisíce zásad a mnoho z nich již zastaralo poté, co byla při provozu IT přidána nová splňující přepracované firemní požadavky, ale bylo zanedbáno odebrání souvisejících starých pravidel. Analýza konfigurací několika firewallů, natož stovek, přerostla kapacitu zpracovatelnou samotným člověkem.

Nástroje pro audit firewallů

Efektivita a zabezpečení firmy mohou být cíle, ale přístup k financím z rozpočtu často zajistí až požadavky směrnic. Trh auditu firewallů, jenž podle agentury Forrester Research vloni činil 30 milionů dolarů, je poháněn požadavky standardu PCI DSS kontrolovat konfigurace firewallu a směrovačů každých šest měsíců. Tyto kontroly jsou obvykle také provedeny během podrobných interních, partnerských či jiných regulačních auditů.

Podniky jsou vyčerpávány bezpočtem hodin, které tráví personál analýzou konfigurací firewallů a směrovačů za účelem vytvořit příslušné reporty, a to jen kvůli tomu, aby zjistily, že nemají pevně v rukou řízení přístupu k síti a související procesy řízení změn.

„Jak chcete demonstrovat, že je sada 2 tisíc pravidel robustní a bezpečná?“ upozorňuje ředitel zabezpečení telekomunikační společnosti, která využívá řešení SkyBox Assure od firmy SkyBox Security. „Manuálně je to zcela nemožné.“

Tyto automatizační nástroje používají komplexní algoritmy, které vyhodnotí skutečná pravidla vůči podnikovým zásadám a aplikovaným nejlepším postupům, aby identifikovaly případné mezery, vyhodnotily změny a vytvořily reporty auditu. Umožňují organizacím ověřit a zdokumentovat celý životní cyklus správy konfigurací a demonstrovat auditorům, že praxe odpovídá zásadám, dále že změny byly provedeny jako autorizované a že poskytují opravdu zamýšlený přístup.

„Pro organizaci není nic horšího či více devastujícího než auditorovi sdělit informace o zamýšleném  stavu a postupech, které on sám ale při kontrole nezjistí ani náznakem,“ prohlašuje Jeff Sherwood, hlavní bezpečnostní stratég společnosti H&R Block, která je zákazníkem firmy Secure Passage. „Nyní můžete svá tvrzení o provozované praxi prokázat předložením důkazů formou odpovídajících reportů.“

I když může být automatizace dodržování směrnic dostatečným odůvodněním pro implementaci, nabízejí nástroje pro audit firewallů také zřejmé výhody, které významem přesahují pracnost zvládnutí a přetrpění auditu.

  • Výkon a optimalizace: Jedná se o nejdůležitější funkci všech těchto nástrojů. Výkon firewallu klesá z důvodu přebytečných pravidel, která konzumují cykly procesoru, a kritické zásady pro řešení přístupu jsou umístěna příliš dole v hierarchii, protože byl během přidávání kladen důraz na rychlost implementace namísto optimalizované konfigurace.

Nástroje pro audit firewallu vyčistí redundantní pravidla a požadavky služeb, které již byly povoleny, a označí pravidla, která se týkají již nepoužívaných nebo dokonce neexistujících objektů.

Optimalizace firewallů a síťových zařízení může zmenšit problémy s výkonem, které by jinak mohly donutit firmy změnit použitý hardware. Výhody budou ještě viditelnější při zvýšení objemu přenosů.

  • Nepřetržitost provozu: Problémy s výkonem a optimalizací dokáží vážně zpomalit nebo dokonce zastavit důležité firemní procesy. To společnostem může způsobit nejen finanční ztráty v oblasti tržeb, ale vyžaduje to také řadu člověkohodin strávených při odstraňování problémů.

„Předtím byl náš tým velmi vytížen -- až 30 procent času -- hašením požárů v oblasti analýzy chyb a jejich oprav,“ uvádí Colin Miles, korporátní správce sítě společnosti Virgin Media z Velké Británie, která využívá produkt firmy Tufin Technologies v síťové infrastruktuře obsahující více než 200 firewallů. „Od implementace produktu Tufin se to změnilo na proaktivní kapacitu, efektivitu založenou na pravidlech a optimalizaci sítě, což vedlo k úsporám v oblasti lidských zdrojů.“

  • Zabezpečení: Komplexní konfigurace velmi ztěžují analýzu zabezpečení. Zastaralá nebo špatně nastavená pravidla mohou být zneužita útočníky pro přístup k citlivým datům.

Správci firewallů, kteří jsou pod tlakem splnit požadavky firmy, dělají spíše chyby v oblasti poskytnutí příliš velkorysého přístupu než by zadali pravidla pro příliš malý. Nástroje pro audit firwallů zlepšují zabezpečení určením optimálních zásad a zjištěním nepoužívaných a špatně nakonfigurovaných pravidel.

  • Upgrade a migrace firewallu: Upgrade firewallů a konsolidace na méně platforem vytváří pro firmy skvělé příležitosti k použití auditovacího nástroje. Je to dobrý okamžik k ospravedlnění vyčištění konfigurace a k optimalizaci firewallu -- spíše než překonávání problémů staré infrastruktury.

Protože tyto produkty podporují více platforem firewallů, jsou dobře vybaveny pro konsolidaci, zeštíhlení konfigurace každého z nich a k jejich převodu na novou platformu. Například společnost Virgin Media konsolidovala mnoho starých platforem a přenesla je na korporátní nakoupené firewally od společnosti Check Point pro dynamická prostředí a na firewally firmy Cisco pro méně se měnící podmínky.

  • Řízení změn: Zásady a procesy řízení změn nemusí vyhovět, pokud jsou požadavky provedeny v režimu out-of-band. To se stává, když někdo buďto nedodrží postup, nebo vznikne-li urgentní potřeba povolit či obnovit službu pro důležité firemní procesy. Někteří dodavatelé mají doplňkové produkty pro pracovní postupy, které automaticky dokumentují všechny změny konfigurace a začlení je pomocí tzv. ticketových systémů.

 

Příště se podíváme, co odborníci doporučují provádět a čemu se naopak vyhnout při auditu podnikových firewallů.

bitcoin školení listopad 24

 

Tento článek vyšel v tištěném Security Worldu 4/2010