防火墻策略管理有必要么?( |
發(fā)布時(shí)間: 2012/8/2 18:12:31 |
在PCI Data安全標(biāo)準(zhǔn)審計(jì)和HTTP應(yīng)用程序普及的時(shí)代,基于電子表格的防火墻策略管理似乎早就已經(jīng)過(guò)時(shí)。但是,許多公司仍然使用15年前就在使用的電子表格保存成千上萬(wàn)的防火墻規(guī)則。 網(wǎng)絡(luò)和安全管理員會(huì)經(jīng)常有這樣的疑問(wèn):“誰(shuí)寫了這條規(guī)則,為什么要寫這條規(guī)則?”答案通常是:“前任CEO Larry需要通過(guò)NetZero撥號(hào)上網(wǎng)訪問(wèn)財(cái)務(wù)數(shù)據(jù)。”然后就是隨之而來(lái)的問(wèn)題:“你認(rèn)為我們可以刪掉它嗎?”但是,答案通常是不確定的。 防火墻策略管理在許多IT部門中都非;靵y。根據(jù)防火墻管理軟件供應(yīng)商Athena Security最新的一項(xiàng)調(diào)查顯示,95%的工程師都會(huì)遇到防火墻審計(jì)問(wèn)題,因?yàn)檫@需要的手工過(guò)程非常耗時(shí)。此外,審計(jì)通常是一個(gè)快照,在另一位管理員使用工程師的密碼添加一條新規(guī)則之后,就會(huì)馬上失效。 在Athena調(diào)查的841名工程師中,有90%表示他們的防火墻會(huì)由于一些不必要的、冗余防火墻規(guī)則而未能達(dá)到最優(yōu)狀態(tài)。他們希望拋棄這些規(guī)則,但是他們應(yīng)該從何處入手? Jeff Kramer是一家全球消費(fèi)產(chǎn)品制造端的風(fēng)險(xiǎn)管理專家,他說(shuō):“我半夜都會(huì)擔(dān)心我們的防火墻是否出現(xiàn)了一些不應(yīng)該出現(xiàn)的規(guī)則,或者有人在未授權(quán)的情況下添加了規(guī)則。是否有人進(jìn)入了我的防火墻,然后添加了一條違反規(guī)范性或安全規(guī)定的規(guī)則?或者,是否有人公然添加一條規(guī)則,盜取公司的信息?老實(shí)說(shuō),我現(xiàn)在還不確定是否會(huì)出現(xiàn)這些問(wèn)題。” Kramer正在安裝Athena的FirePAC,用于改進(jìn)他15,000人規(guī)模公司的防火墻規(guī)則管理。這個(gè)軟件將監(jiān)控大約50臺(tái)思科和Check Point防火墻。購(gòu)買FirePAC的原因,很大程度上是為了改進(jìn)公司對(duì)PCI的審計(jì)。 他說(shuō):“我們檢查了一些PCI審計(jì)過(guò)程,發(fā)現(xiàn)防火墻規(guī)則集檢查過(guò)程中存在一些問(wèn)題。而且,最后一個(gè)審計(jì)過(guò)程確實(shí)存在重大問(wèn)題,它明顯制造了一些合規(guī)性問(wèn)題。我們?cè)O(shè)法通過(guò)審計(jì)糾正我們的方法,但是進(jìn)行防火墻規(guī)則檢查所需要的人力顯然是不可接受的。” 防火墻策略管理:新出現(xiàn)的第三方軟件 Gartner公司研究副總裁Greg Young指出,防火墻策略管理供應(yīng)商(如Athena、Tufin Technologies和Algosec)為這個(gè)目前雖小但在不停增長(zhǎng)的市場(chǎng)提供服務(wù),他們需要獲得防火墻規(guī)則管理服務(wù)。當(dāng)然,并非每一個(gè)公司都需要這種第三方軟件。這些公司通常都是在發(fā)生災(zāi)難之后才認(rèn)識(shí)到需要這些軟件。 Young說(shuō):“事情就像是:只有遇到問(wèn)題—— 規(guī)則庫(kù)過(guò)大或者審計(jì)出現(xiàn)大問(wèn)題或者人手不足,這才會(huì)讓他們想起使用這些工具。”根據(jù)Young的介紹,有四種情況會(huì)促使企業(yè)購(gòu)買防火墻策略管理軟件: ◆復(fù)雜的環(huán)境:擁有大量防火墻的公司通常很難理解所有設(shè)備的作用,或者由于數(shù)量過(guò)大而無(wú)法有效管理。 ◆高度動(dòng)態(tài)的防火墻環(huán)境:Young說(shuō):“即使數(shù)量不多,由于環(huán)境不斷發(fā)生變化,也可能產(chǎn)生錯(cuò)誤配置或者出現(xiàn)漏洞。” ◆ 多供應(yīng)商防火墻環(huán)境:防火墻供應(yīng)商本身提供了一些管理軟件,但是這種軟件不兼容其他供應(yīng)商的產(chǎn)品。許多大型企業(yè)都部署了多個(gè)供應(yīng)商的防火墻產(chǎn)品。例如,Kramer的公司在邊緣網(wǎng)絡(luò)使用Check Point,同時(shí)使用思科設(shè)備分割內(nèi)部網(wǎng)絡(luò)。 ◆嚴(yán)格的審計(jì)要求:如果公司提升了審計(jì)的嚴(yán)格性,特別是像PCI或HIPAA審計(jì),那么幫助審計(jì)人員記錄防火墻規(guī)則的人力可能非常大,并且可能會(huì)放大前面提到的其他三個(gè)因素。 如果防火墻數(shù)量極少,都是靜態(tài)的或都來(lái)自同一家供應(yīng)商,那么這些工具可能用處不大。Young說(shuō):“除非這些防火墻加載了某個(gè)具有大量規(guī)則的奇怪策略。” 雖然現(xiàn)在規(guī)模較小,但是確實(shí)需要防火墻策略管理工具的公司數(shù)量在不斷增長(zhǎng)。Young說(shuō):“由于我們的應(yīng)用程序在創(chuàng)建時(shí)涉及的方面越來(lái)越多,因此配置能夠處理這些應(yīng)用程序的防火墻也越來(lái)越困難,F(xiàn)在已經(jīng)不是用一個(gè)端口處理一個(gè)連接的問(wèn)題了。當(dāng)部署到云環(huán)境時(shí),防火墻所監(jiān)控的連接狀態(tài)是Web,它非常復(fù)雜,所以規(guī)則庫(kù)會(huì)越來(lái)越大和越來(lái)越復(fù)雜。隨著更多的業(yè)務(wù)和應(yīng)用程序上線,這些工具的應(yīng)用也會(huì)慢慢增加。” 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |