235
下一代防火牆管理設備:更智能也更複雜!
下一代防火牆將通過集成入侵防禦和應用與用戶監控功能來提升網絡安全性,但是它們也會帶來新的管理挑戰。由於傳統防火牆充斥了大量廢棄的規則,所以防火牆管理總是一個有挑戰的工作。但是,在使用下一代防火牆管理技術之後,網絡安全專業人員將需要維護更多的規則和策略。
斯坦福德Gartner公司研究副總裁Greg Young說:“防火牆規則總是到處泛濫,但是入侵防禦和應用控製使問題更加複雜。現在正是使用下一代防火牆降低複雜性的時機,但是如果實施不當,則可能會適得其反。”
最近,Osterman Research代表安全與風險管理公司Skybox Security對209家企業進行了一次關於下一代防火牆管理的調查。在調查中,他們邀請網絡安全人員列舉下一代防火牆管理的三大挑戰,其中包括:確認訪問策略與網絡分片策略是否正確實施(39%);維護入侵防禦係統(IPS)簽名(37%);以及優化防火牆規則集(36%)。
在有狀態防火牆中,規則與策略的複雜性迫使網絡安全管理員在防火牆管理方法中整合更多的業務邏輯。Skybox的CEO及創始人Gidi Cohen說:“下一代防火牆規則將控製哪些用戶群組在哪個時間段可以訪問Web應用或社交網絡。不僅規則變得更加複雜,而且組織的安全策略邏輯也變得更加複雜。這是一個計劃挑戰、協調挑戰,也是一個技術挑戰。”
Young指出,網絡安全人員需要拋棄“老派的”防火牆管理方法,轉而采用下一代產品。例如,他說,改變對應用控製規則和策略的控製不可能像基於端口的傳統規則一樣。
在傳統防火牆上,任何變更都需要發起一個變更請求。如果開發團隊希望啟動一個新應用程序,那麼它會發送一個變更請求到防火牆上要求打開端口。這種細致方法不適用於下一代防火牆的應用監控。Young說:“要采用不同的方法。您可以批準特定類型的應用程序。您可以說:‘除了特定的情況,我們不允許使用任何點對點應用程序。’所以如果發現一個點對點應用程序,而防火牆管理員又希望批準這條規則,那麼它應該以預先批準的方式進行處理。”
Young指出,網絡安全人員需要拋棄“老派的”防火牆管理方法,轉而采用下一代產品。例如,他說,改變對應用控製規則和策略的控製不可能像基於端口的傳統規則一樣。
在傳統防火牆上,任何變更都需要發起一個變更請求。如果開發團隊希望啟動一個新應用程序,那麼它會發送一個變更請求到防火牆上要求打開端口。這種細致方法不適用於下一代防火牆的應用監控。Young說:“要采用不同的方法。您可以批準特定類型的應用程序。您可以說:‘除了特定的情況,我們不允許使用任何點對點應用程序。’所以如果發現一個點對點應用程序,而防火牆管理員又希望批準這條規則,那麼它應該以預先批準的方式進行處理。”
下一代防火牆管理是一種成熟且協調的方法
企業管理聯盟研究主管Scott Crawford指出,在廣義上,防火牆管理就是變更控製。擁有成熟防火牆變更管理方法的企業更能避免安全漏洞和性能破壞問題。在下一代防火牆中,隨著防火牆環境變得越來越複雜,自動化也變得越來越重要。Skybox的調查發現,有58%的企業在他們的下一代防火牆上部署了100條以上的規則,而有35%的公司每個月執行100次以上變更。
Crawford說,在這些複雜環境中,用戶必須利用自動化方法,因為他們通常過於複雜,而無法通過手工流程進行可靠管理。在部署之前,一定要在您的建模範圍內驗證您規劃的所有變更,然後跟蹤這些變更,保證它們按預期方式部署。此外,您需要設定一個回滾變更的流程,這樣才不會產生其他問題。
Skybox、Tufin Technologies、AlgoSec和Athena Security等供應商在專門研究這些問題。他們提供了防火牆變更控製產品,其中大多數都可以對這些變更影響網絡的方式進行建模。此外,這些供應商正在將他們的產品更新到下一代防火牆管理技術。
如果一個IT組織的下一代防火牆管理團隊與網絡運營團隊屬於獨立實體,那麼網絡安全團隊還應該保證要這兩個團隊協調一致。Crawford說:“即使在下一代防火牆出現之前,我們也發現一些組織遇到一些預料到的性能水平和可用性中斷的問題,因為安全策略在不知道會產生什麼影響的情況下就應用了。”
“當您增加了感知應用的防火牆,這個挑戰越來越大。即使在分布式網絡的客戶端,如果您部署WAN優化設備,那麼您會希望將它是專門為應用程序的設備。您需要在網絡性能、可用性與安全性需求之間做出協調,以避免出現衝突和增加暴露風險。”
另一個問題:防火牆的入侵防禦
Skybox的調查證明,許多企業在管理下一代防火牆上的入侵防禦簽名時舉步維艱。有86%的公司計劃在他們的防火牆上使用IPS模塊;他們中有65%處於在線防禦模式。管理這些模塊的IPS簽名並不容易。隻有54%的公司由供應商自動更新。三分之二的公司正嚐試手動管理這些簽名。
Gartner的Young說:“默認簽名集隻是一個入口。接著是優先值。例如,如果您沒有Oracle數據庫,則不要啟用Oracle簽名。相反,如果您有大量的Oracle流量,則確實需要進行優化和調優這些Oracle簽名。”
根據Skybox全球銷售副總裁Michelle Johnson Cobb的觀點,有一些企業希望了解這些簽名如何有效地阻擋威脅。她說:“他們是否真的阻擋住了原本我想要阻擋的威脅?有一些方法可以檢驗它是否真的有用。”
如果用戶實施了大量潛在威脅的默認簽名,那麼它將會減慢流量傳輸速度。Cobb說:“所以,如果您的目標之一是保證最高性能,同時有效阻擋威脅,那麼這裏需要一種平衡。此外,事情總會發生變化。在網絡中,每天都會出現新的漏洞或威脅。您可能要確定是否需要激活新的簽名。”
SkyBox剛剛增加了對Palo Alto Networks的IPS功能支持,它可以分析簽名,然後將它們映射到漏洞上。“您可以在一個控製麵板顯示哪些簽名已激活,哪些漏洞被阻擋住,以及您可以打開哪些控製,從而得到更多的保護。”
最後更新:2017-04-02 00:06:57