5 лучших практик брандмауэра, которые должен внедрить каждый бизнес

Брандмауэры могут обеспечить немедленную защиту прямо из коробки. Тем не менее, это не означает, что он обеспечит достаточную защиту для вашего бизнеса, а это означает, что вы хотите правильно настроить его. Ваш брандмауэр также должен быть связан с планом аудита безопасности. Кроме того, вы хотите установить планы управления изменениями и внедрить меры безопасности для повышения безопасности вашего брандмауэра. Я расскажу обо всем этом, когда буду обсуждать лучшее практики брандмауэра в этой статье.

Прежде чем мы углубимся в каждую из 5 лучших практик брандмауэра, описанных ниже, давайте рассмотрим, почему вам вообще нужен брандмауэр. Это поможет вам оценить важность этих лучших практик.

Почему вашему бизнесу нужен брандмауэр

Брандмауэры фильтруют нежелательный трафик. Брандмауэры предотвращают проникновение внешних угроз в вашу сеть, а также предотвращают проникновение внутренних угроз. связаться их сервер управления и контроля (C2). C2 — это сервер, с которым взаимодействует некоторое вредоносное ПО после того, как оно было успешно распаковано или установлено на хосте-жертве.

Некоторые брандмауэры имеют спам-фильтры для блокировки спама. Они также могут иметь веб-фильтры, которые не позволяют пользователям посещать вредоносные сайты. Некоторые современные брандмауэры даже имеют функции предотвращения потери данных (DLP). Эти функции обнаруживают конфиденциальные данные и предотвращают их утечку из вашей компании.

Используя возможности брандмауэра, вы можете повысить уровень безопасности. Вы также предотвратите заражение вредоносным ПО, попытки взлома, утечку данных и (в некоторых случаях) даже DDoS-атаки.

Законы и правила о конфиденциальности/защите данных также настаивают на использовании брандмауэра, прямо или косвенно. Некоторые примеры включают Стандарт безопасности данных индустрии платежных карт (PCI DSS) и Закон о переносимости и подотчетности медицинского страхования (HIPAA). Таким образом, вы можете увеличить свои шансы на соблюдение этих нормативных требований, если у вас есть брандмауэр.

Теперь я расскажу, почему недостаточно использовать готовый брандмауэр. Ознакомьтесь со следующим разделом, чтобы узнать, почему необходимо использовать лучшие методы брандмауэра.

Рекомендации по использованию брандмауэра повышают эффективность вашего брандмауэра

Как бизнес-лидер, вы хотели бы выполнять такие задачи, как развертывание, настройка брандмауэра и т. д. При этом вы также хотите реализовать эти задачи наиболее эффективным, действенным и безопасным способом. Здесь пригодятся лучшие практики. После того, как вы примете лучшие методы брандмауэра, вы сможете добиться наилучших результатов.

Например, когда вы начинаете настраивать брандмауэр, вы хотите применить соответствующие политики для вашей компании. Да, брандмауэр, вероятно, будет иметь настройки по умолчанию. Однако у каждой фирмы будут разные приложения, сетевые сервисы, склонность к риску, варианты использования и т. д. Соединения, которые блокирует ваша компания, может разрешить другая компания. Таким образом, вы должны настроить конфигурации в соответствии с вашими конкретными потребностями.

Передовой опыт также гарантирует, что вы получите хорошую отдачу от своих инвестиций. Некоторые брандмауэры могут стоить 1000 или более 100 000 долларов. Обидно тратить огромную сумму на брандмауэр и при этом пропускать множество угроз. Когда вы применяете обоснованные методы работы с брандмауэром, вы можете максимально повысить эффективность своего брандмауэра и, в свою очередь, оправдать затраты.

Теперь давайте перейдем к 5 лучшим практикам брандмауэра, которые вы можете использовать.

5 лучших практик брандмауэра для тонкой настройки брандмауэра

Факторы, влияющие на ваш брандмауэр, включают развертывание в наиболее стратегическом месте и правильную настройку. Давайте проверим это и рассмотрим некоторые другие лучшие практики.

1. Разработайте план развертывания брандмауэра

После того, как вы приобрели брандмауэр, следующим шагом не будет его немедленное развертывание. Это может привести к перебоям в обслуживании, неоптимальной безопасности и/или ненужным затратам. Успешное и эффективное развертывание брандмауэра начинается с хорошо продуманного плана. Ваш план будет охватить процессы установки системы брандмауэра и поэтапного ввода ее в эксплуатацию.

Как упоминалось ранее, план развертывания брандмауэра поможет вам избежать сбоев во время развертывания, обеспечить оптимальную безопасность и сократить расходы. Позвольте мне подробнее остановиться на этом.

Обычно вы развертываете брандмауэры в потоке (т. е. на пути сетевого трафика). Таким образом, вы можете обнаружить, что он мешает подключениям и вызывает сбои в обслуживании при развертывании. В этом случае вы хотите сформулировать план действий, чтобы свести к минимуму риск простоя. Например, вы можете выполнить предварительное тестирование, запланировать развертывание в нерабочее время и иметь под рукой план отката.

Тем не менее, у вас также есть различные типы брандмауэров. Они различаются по возможностям и стоимости, поэтому целесообразно соответствующим образом использовать их сильные стороны. Возможно, вы захотите назначить высокопроизводительные шлюзы уровня приложений для защиты наиболее важных хостов, приложений и данных. Однако для некритических ресурсов можно использовать недорогие пакетные фильтры. В противном случае вам пришлось бы платить ненужные расходы за использование расширенного брандмауэра для некритических ресурсов.

Советы профессионалов

Подумайте об использовании нескольких брандмауэров и их стратегическом развертывании для создания зон брандмауэра. Например, у вас могут быть внешние, внутренние зоны и DMZ. К ним относятся общедоступные, расположенные в локальной сети и находящиеся в демилитаризованной зоне хосты. Определите, какие хосты/устройства должны принадлежать каждой зоне, и разделите их с помощью брандмауэра.

Добавьте WiFi или гостевую зону. Это помогает разместить посетителей (например, членов семьи сотрудников, третьих лиц, клиентов и т. д.), которым может потребоваться доступ в Интернет, находясь на месте. Убедитесь, что эта зона логически или физически отделена от других зон.

Не предоставляйте внутренние службы удаленным пользователям, если только они не используют VPN, управляемую компанией. По мере распространения удаленной и гибридной работы вы не можете избежать ситуаций, когда удаленным пользователям требуется доступ к внутренним хостам. Если вам нужно обеспечить входящий доступ к этим хостам, используйте VPN. В этом случае ваш брандмауэр должен легко поддерживать VPN.

После того, как вы развернули брандмауэр(ы), следующим шагом будет их настройка. Давайте поговорим об этой части сейчас.

2. Внедрите правильную конфигурацию брандмауэра

Брандмауэры не обеспечат вам необходимой защиты, если вы не настроите их должным образом. Неправильная конфигурация может, например, не блокировать неиспользуемые или неофициальные службы. В свою очередь, злоумышленники прячутся вокруг, чтобы использовать эти сбои. Вот почему лучшие практики брандмауэра всегда включают принцип наименьших привилегий. Этот принцип означает ограничение доступа к сети для пользователей или приложений, которым необходим доступ для выполнения своих обязанностей.

Один из способов применить этот принцип — запретить весь трафик по умолчанию. Затем вы разрешите только необходимые подключения.

Допустим, у вас есть многопротокольный сервер передачи файлов за вашим брандмауэром. Тем не менее, из соображений безопасности единственными протоколами, которые вы хотите разрешить, являются SFTP и FTPS. В этом случае вы можете запретить весь трафик и разрешить прохождение только SFTP и FTPS.

Подобные рекомендации по настройке брандмауэра могут значительно повысить безопасность вашей сети.

Профессиональный совет

Включите как можно больше подробностей при указании правил брандмауэра. Например, укажите IP-адреса назначения или источника или номера портов, когда это применимо. Продолжая наш пример с SFTP и FTPS, недостаточно разрешить SFTP и FTPS. Вам также необходимо указать IP-адреса ваших серверов SFTP и FTPS. Чтобы сделать еще один шаг, вы можете определить номера портов, по умолчанию 22 для SFTP и 21 для FTPS.

После настройки брандмауэра необходимо убедиться, что вы применяете эти настройки, а не оставляете их на бумаге в документе политики безопасности. Проводите периодические аудиты безопасности брандмауэра для обеспечения реализации. Я обсужу это дальше.

3. Проводите периодические проверки безопасности брандмауэра

У компаний есть веские причины регулярно проводить аудит соответствия. Например, компании обычно проводят аудит PCI DSS один раз в год. Это потому, что, вообще говоря, соответствие имеет значение только в определенный момент времени. У вас нет гарантии, что устройство , например брандмауэр, всегда будет соответствовать требованиям.

Некоторые факторы, влияющие на соблюдение требований, включают действия сотрудников. Насколько вам известно, администраторы могут настраивать правила брандмауэра для конкретных приложений. Они могут даже временно отключить правило «Запретить все», чтобы протестировать новое приложение, а затем забыть включить его снова. Эти упущения могут подвергнуть вашу сеть риску и привести к нарушениям нормативных требований. Однако вы можете выявить и устранить эти проблемы, если будете проводить регулярные проверки брандмауэра.

Аудит брандмауэра обычно включает в себя следующее:

• Сбор соответствующей информации, такой как предыдущие аудиторские отчеты, политики брандмауэра/сетевой безопасности, сетевые схемы, законные приложения в вашей сети и т. д.
• Проверка политик контроля доступа брандмауэра и обеспечение их соблюдения сотрудниками. Обратите внимание, что это относится к брандмауэру, а не к сетевому доступу. Только авторизованные администраторы должны иметь такой доступ.
• Проверка плана управления изменениями брандмауэра и обеспечение того, чтобы сотрудники следовали этому плану.
• Проверка процесса мониторинга брандмауэра. Недостаточно развернуть брандмауэр. В идеале кто-то должен следить за журналами брандмауэра, чтобы увидеть, не требуют ли внимания какие-либо проблемы (например, потенциальные угрозы или ошибочные правила).
• Просмотр правил брандмауэра и списков контроля доступа. Убедитесь, что они по-прежнему подходят для текущей настройки сети.

Профессиональный совет

Отправьте журналы брандмауэра в систему управления информацией и событиями безопасности (SIEM), если она у вас есть, для возможных расследований или отчетов после инцидентов.

Аудиты также могут гарантировать , что приобретенные или недавно перенесенные брандмауэры соответствуют вашим политикам брандмауэра. Когда вы соедините свой Передовые методы настройки брандмауэра с регулярными проверками безопасности брандмауэра, вы всегда сможете обеспечить соответствие требованиям и безопасность.

Ранее я кратко упомянул план управления изменениями брандмауэра. Вот что это такое и зачем это нужно.

4. Создайте план управления изменениями брандмауэра

Изменения, влияющие на вашу ИТ-инфраструктуру, происходят каждый день. Вы можете установить новые приложения, развернуть дополнительное сетевое оборудование, расширить свою пользовательскую базу, внедрить нетрадиционные методы работы и т. д. По мере того, как все это происходит, поверхность атаки вашей ИТ-инфраструктуры также будет развиваться.

Конечно, вы можете заставить свой брандмауэр развиваться вместе с ним. Однако внесение изменений в брандмауэр — это не то, к чему стоит относиться легкомысленно. Простая ошибка может отключить некоторые службы и нарушить важные бизнес-процессы. Точно так же вы также можете открыть порты для внешнего доступа и поставить под угрозу их безопасность.

Прежде чем применять изменения к брандмауэру, вам необходимо составить план управления изменениями. В плане должны быть указаны изменения, которые вы намереваетесь осуществить, и то, чего вы надеетесь достичь. Более того, план управления изменениями должен включать ожидаемые риски, а также меры по снижению этих рисков.

Этот план поможет вам свести к минимуму любые неблагоприятные последствия для вашего бизнеса при внесении изменений в брандмауэр.

Профессиональный совет

Запишите все соответствующие детали при выполнении вашего плана. Укажите, кто внедрил изменение, что они изменили, и почему и когда это изменилось. Это гарантирует, что у вас будет четкий контрольный журнал, который вы сможете просмотреть, если что-то пойдет не так.

Теперь, когда вы повысили производительность своего брандмауэра, последний лучший способ — защитить его.

5. Защитите свой брандмауэр

Ваш брандмауэр играет решающую роль в безопасности вашей сети, выступая в качестве вашей первой линии защиты. Если он скомпрометирован, например, нарушены правила брандмауэра, угрозы могут проходить беспрепятственно. Что еще хуже, когда вы совершенно не знаете о несанкционированных изменениях. Ваше ложное чувство безопасности позволит тому, кто вмешался в него, провести длительную атаку внутри вашей сети.

Вы можете принять меры для защиты брандмауэра и сохранения его целостности. Вот некоторые рекомендации по усилению защиты брандмауэра, которые вы можете применить:

• Держите программное обеспечение/прошивку брандмауэра обновленным. Это гарантирует, что никто не сможет воспользоваться всеми уязвимостями вашего брандмауэра.
• Замените заводской пароль по умолчанию. Используйте сложный пароль, состоящий из буквенно-цифровых, небуквенно-цифровых, прописных и строчных символов.
• Применяйте принцип наименьших привилегий для доступа к брандмауэру. Только авторизованные администраторы должны иметь возможность входить в систему и вносить изменения в ваш брандмауэр.
• Избегайте небезопасных протоколов, таких как HTTP, Telnet, TFTP и SNMP, поскольку в них отсутствует шифрование. Если кто-то перехватит трафик, не составит большого труда получить конфиденциальную информацию (например, имена пользователей и пароли).

Профессиональный совет

Если возможно, используйте мониторинг в режиме реального времени, чтобы предупредить вас о любых изменениях, внесенных в ваш брандмауэр.

Это ни в коем случае не исчерпывающий список рекомендаций по усилению защиты брандмауэра. Однако, если вы будете строго следовать этим советам, вы сможете значительно снизить риск взлома вашего брандмауэра.

Несмотря на то, что ваш брандмауэр является устройством безопасности, вам также необходимо защитить его.

Заключительные слова

Плохо настроенный брандмауэр может быть хуже, чем отсутствие брандмауэра, так как плохо установленный брандмауэр даст вам ложное чувство безопасности. То же самое верно и для брандмауэров без надлежащего планирования развертывания или рутинных проверок. Однако многие предприятия склонны к этим ошибкам, что приводит к слабой сетевой безопасности и неудачным инвестициям.

В этом посте я обсудил 5 лучших практик брандмауэра для развертывания, настройки, аудита, применения изменений и безопасности брандмауэра. Это может помочь вам избежать распространенных ошибок брандмауэра, повысить уровень безопасности и максимизировать рентабельность инвестиций в брандмауэр.

Я надеюсь, что полученная вами информация поможет вам предпринять шаги по улучшению способов развертывания, управления и обслуживания брандмауэра. Дополнительную информацию о DDoS-атаках, многопротокольных серверах передачи файлов и многом другом см. в разделах «Часто задаваемые вопросы» и «Ресурсы».

Часто задаваемые вопросы

Что такое DDoS-атака?

Распределенный отказ в обслуживании или DDoS-атака — это сетевая атака, предназначенная для перегрузки вычислительных ресурсов цели. Эти атаки могут замедлить работу вашей сети и помешать законным пользователям подключаться к вашим службам. Некоторые продвинутые брандмауэры уже имеют встроенную защиту от DDoS-атак. Это предотвратит проникновение DDoS-атаки в вашу сеть.

Что такое сервер C2?

C2 или C&C означает управление и контроль. Серверы C2 — это серверы, с которыми взаимодействует вредоносное ПО для отправки удаленных данных или получения команд. Правильно настроенный брандмауэр успешно заблокирует попытку вредоносного ПО связаться с его C2-сервером. По сути, вредоносная программа не сможет выполнить следующий этап своей атаки, например, эксфильтровать украденные данные или запросить дополнительные команды.

Что такое многопротокольный сервер передачи файлов?

Многопротокольный сервер передачи файлов поддерживает несколько протоколов передачи файлов, таких как FTPS, SFTP, HTTP, HTTPS, FTP, AS2, OFTP и другие. В большинстве случаев вы не будете использовать все протоколы, поддерживаемые сервером. Вы хотите отключить неиспользуемые протоколы и заблокировать их в брандмауэре. Правило «запретить все» должно позаботиться об этом. Таким образом, вы не позволите злоумышленникам использовать эти протоколы для проникновения в вашу сеть.

Что такое ФПС?

Безопасный протокол передачи файлов или FTPS — это безопасная версия протокола FTP. Он шифрует данные во время передачи, а также обеспечивает аутентификацию. Именно по этим причинам многие компании предпочитают использовать его для автоматизированного обмена файлами B2B. Если ваша фирма использует FTPS, вы должны разрешить его в своем брандмауэре. Тем не менее, применяйте лучшие практики брандмауэра, относящиеся к FTPS, когда вы определяете его IP-адрес и порт.

Что такое SFTP?

Протокол передачи файлов SSH, также известный как протокол безопасной передачи файлов или SFTP, — это протокол, обеспечивающий аутентификацию и возможности шифрования. Таким образом, он также часто используется в автоматизированном обмене файлами B2B. Проверьте, использует ли ваша организация SFTP. Если это так, вы должны разрешить это в своем брандмауэре.