Брандмауэры: какая у вас стратегия: один или несколько поставщиков?
Брандмауэры являются ключевой частью стратегии глубокоэшелонированной защиты, используемой для защиты сети организации. Сетевые вторжения происходят все чаще как из внутренних, так и из внешних источников, поэтому защита вашего бизнеса от этих вторжений является обязательной. Брандмауэр работает, проверяя входящие IP-пакеты и блокируя любые, которые, по его мнению, могут быть навязчивыми в своих намерениях. Брандмауэры бывают разных типов и конфигураций от разных поставщиков, и в большинстве корпоративных сетей их несколько развернуто в разных точках сети.
Распространенная стратегия, которую рекомендуют многие ИТ-специалисты, заключается в том, что вы должны установить брандмауэр одной марки на границе вашего бизнеса, а другую марку — во внутреннем центре обработки данных. Но это мышление старой школы, как подробно объясняет в этой статье мой коллега Эндрю Перчалук. Эндрю, старший системный администратор Университета Манитобы в Виннипеге, Канада, делится с нами некоторыми мыслями и советами, основанными на его собственном опыте управления средами Active Directory. Эндрю — муж, отец и любитель собак, который работает в индустрии информационных технологий почти 20 лет и любит делиться своим опытом с другими профессионалами в области ИТ. Для получения дополнительной информации об Эндрю см. его профиль LinkedIn. Вы также можете следить за ним в Twitter. Давайте теперь послушаем, что Эндрю может сказать по теме развенчания этого распространенного подхода к реализации сетевых брандмауэров.
Инфраструктура межсетевых экранов: один или несколько поставщиков?
Cisco определяет традиционный брандмауэр как устройство сетевой безопасности, которое отслеживает входящий и исходящий сетевой трафик и решает, разрешать или блокировать определенный трафик на основе определенного набора правил безопасности. На современном предприятии все чаще используются брандмауэры следующего поколения (NGFW), которые представляют собой брандмауэры с глубокой проверкой пакетов, выходящие за рамки традиционной проверки и блокировки портов/протоколов. Они добавляют проверку на уровне приложений, предотвращение вторжений и привносят интеллектуальную информацию из-за пределов брандмауэра, например, возможность использовать Active Directory или Exchange в качестве источников, чтобы помочь сопоставить сеансы брандмауэра с пользователями и рабочими столами в режиме реального времени. Существует также тенденция к программно-определяемым и растянутым центрам обработки данных, что частично означает внедрение виртуальных устройств или программных брандмауэров в различных местах.
Большинству средних и крупных предприятий приходится управлять несколькими брандмауэрами, потому что вам нужно защитить свой периметр, свой центр обработки данных, а теперь даже свои облачные системы. Из-за этой проблемы и более широкого внедрения NGFW теперь еще важнее рассмотреть вопрос: «Должны ли мы использовать одного поставщика для всех брандмауэров или нескольких поставщиков?» На протяжении многих лет я снова и снова слышал комментарий некоторых ИТ-специалистов в разговорах о том, что «вам нужно иметь два разных бренда брандмауэров, один бренд на границе и один бренд в центре обработки данных». На рисунке ниже показана традиционная модель межсетевого экрана с двумя поставщиками:
В этой статье позвольте мне объяснить, почему в большинстве случаев такой тип мышления неверен и может фактически увеличить риск утечки данных!
Как происходит утечка данных?
Подавляющее большинство нарушений брандмауэра происходит не из-за уязвимости в коде или скрытой уязвимости в брандмауэре. Они возникают из-за неправильной настройки брандмауэра — по некоторым статистическим данным, более 95 процентов нарушений происходят из-за этого. Например, согласно индексу уровня уязвимости, каждую минуту теряется или крадет более 3000 записей данных, или 4,4 миллиона в день, и что 96% взломанных данных не зашифрованы. Возможно, никогда не удастся предотвратить 100 процентов нарушений, но можно ограничить количество неверных конфигураций, которые делаются за счет упрощения наших сред.
Контракты, поддержка и администрирование
Есть много вещей, которые отнимают время у сетевых администраторов и их менеджеров:
- Продление контрактов на программное или аппаратное обеспечение с поставщиком.
- Приобретение дополнительного оборудования для расширения возможностей существующих брандмауэров.
- Обращение к поставщику за поддержкой по поводу проблемы с сетью или за информацией об известных уязвимостях.
- Просмотр журналов брандмауэра или анализ входящих угроз.
- Надлежащее тестирование перед внесением каких-либо изменений.
- Подготовка и обновление программного и микропрограммного обеспечения брандмауэров.
Наличие нескольких поставщиков брандмауэров означает, что вам придется выполнять эти и другие шаги несколько раз, что увеличивает затраты времени и снижает производительность!
это не фильмы
Реальность такова, что на стороне хакера нет ничего, кроме времени. Несмотря на все изображения, брандмауэры — это не просто стена или блокада, которую «плохие парни» должны преодолеть, чтобы продвинуться вперед. Для них нет секундомера или ограничения по времени. На самом деле они проникают внутрь, находя путь, который еще не заблокирован. Большинство компаний не узнают о том, что их взломали, в течение нескольких недель или месяцев. Как только хакеры преодолеют брандмауэр, они могут не торопиться и выполнить обнаружение. Поэтому, если вы неправильно настроили свои брандмауэры и оставили такое отверстие, не имеет значения, есть ли у вас брандмауэры нескольких поставщиков. После того, как хакер прошел через один из них, у него есть много времени, чтобы пройти через следующий. Так что, само собой разумеется, если у вас есть брандмауэры двух или трех поставщиков, все с разными методами настройки правил и обновления прошивки, вероятность возникновения ошибки, которая может оставить одно из этих отверстий, выше, чем если бы у вас был только один.
Планируйте работу с одним поставщиком
Для брандмауэров использование решения одного поставщика, подобного показанному на следующей диаграмме (пример гибридного облачного центра обработки данных, изображающего модель брандмауэра только от одного поставщика), означает следующее:
- Меньшая административная сложность.
- Централизованное управление, т.е. одно место для внесения изменений и мониторинга.
- Все журналы и данные об угрозах имеют одинаковый формат.
- Более низкие требования к обучению.
- Более низкие затраты и большие скидки при использовании одного бренда брандмауэра.
- Простота масштабирования в будущем.
Не усложняй задачу
Сетевое администрирование уже достаточно сложное дело, и с учетом того, что многие компании переходят на гибридные облака и программно-определяемые центры обработки данных, оно будет только усложняться. Если в вашей среде есть несколько поставщиков брандмауэров, вы только увеличиваете эту сложность, и вероятность неправильной конфигурации, ведущей к взлому, намного выше. Один бренд брандмауэра не означает, что вам придется поддерживать только одного поставщика для всего остального, но, по крайней мере, когда дело доходит до управления брандмауэром, ваша жизнь упростится. Вместо того, чтобы иметь дело с брандмауэром другого бренда в вашей среде, теперь вы можете сэкономить деньги и время и внедрить другие продукты для сети или безопасности для защиты вашего бизнеса, такие как брандмауэры веб-приложений и брокеры безопасности доступа к облаку.
Если в настоящее время в вашей среде используется несколько брандмауэров, возможно, сейчас самое подходящее время, чтобы приступить к разработке плана консолидации. Проведите некоторое исследование, например, когда ваши контракты на поддержку заканчиваются для каждого из них. Рассмотрите варианты замены, такие как стоимость, функциональность и централизованное управление. И приступайте к консолидации!
FreeRange Stock