День смерти ДМЗ наконец настал?

Опубликовано: 8 Апреля, 2023


Введение


Я помню, как несколько лет назад был в TechEd и слушал Стива Райли (который в то время работал в Microsoft) о «смерти демилитаризованной зоны». Его доклады о «смерти демилитаризованной зоны» всегда привлекали большое внимание, они всегда вызывали много споров и заставляли аудиторию говорить о том, нужен ли еще брандмауэр. За это время было много возражений, и у оппонентов было много веских аргументов в пользу того, почему вам на самом деле нужно несколько брандмауэров в вашей организации. Идея тогда заключалась в том, что самый действенный и действенный способ контролировать доступ к информации, хранящейся в вашей сети, — это установить несколько «шишек» на проводе между этой информацией и людьми, которые хотели получить к ней доступ.


Это было где-то в 2004 году. С тех пор мир сильно изменился, и мир технологий меняется быстрее остальных. В те дни споры были не только о том, сколько брандмауэров и DMZ вам нужно, но и о том, какие типы брандмауэров вы должны использовать. Следует ли использовать высокопроизводительные брандмауэры только для проверки пакетов с отслеживанием состояния? Вам нужна проверка прикладного уровня? Была ли цель контролировать как входящий, так и исходящий доступ? Требовались ли регистрация и отчетность на сетевом уровне? У какого поставщика был самый безопасный брандмауэр? Должны ли вы использовать одного и того же поставщика для всех ваших брандмауэров или вы должны распространять любовь вокруг?


Облако меняет все


Сейчас на дворе 2011 год, и эти дискуссии уступают место тому, что тогда едва ли можно было представить: соображениям безопасности в облаке. Многие в отрасли предсказывали, что 2011 год станет годом облака. Поскольку фирмы перемещают все больше информации и многие из своих приложений в облако, уровень безопасности, предлагаемый поставщиком облачных услуг, становится актуальной темой. Компании хотят получить ответы на множество вопросов, прежде чем доверить свои данные кому-то за пределами корпоративных стен:



  • Где хранятся данные?
  • Он зашифрован на диске?
  • Какова природа сохраняемости данных?
  • Какие элементы управления доступом размещены на данных?
  • Какие тесты безопасности проводятся для облачных приложений?
  • Как часто обновляются облачные приложения?
  • Какие методы судебной экспертизы используются и существует ли надежный план реагирования на инциденты?

Трудно найти ответы на эти вопросы почти у всех облачных провайдеров. Microsoft, Amazon, Google и IBM не совсем прозрачны в отношении деталей мер облачной безопасности. И в этом есть смысл — чем меньше плохие парни могут узнать об их стратегиях безопасности, тем труднее им будет проникнуть в эти средства контроля. Однако, если покопаться, можно найти некоторую информацию об их мерах безопасности. И когда вы это делаете, вы замечаете интересный факт в обсуждениях облачной безопасности: отсутствие вопросов относительно того, какие брандмауэры используются и используются ли брандмауэры вообще в облачных центрах обработки данных.


Вы не можете не задаться вопросом, почему это так, после более чем десятилетия горячих дискуссий о брандмауэрах и многочисленных критических ролях, которые брандмауэры играют в сетях. Может быть, это потому, что с появлением философии «отовсюду доступ», когда организации хотят предоставить сотрудникам доступ к нужным им данным с любого устройства и из любого места в любое время, специалисты по ИТ-безопасности осознали, что их брандмауэры на самом деле делают очень многое. мало, за исключением уменьшения общего объема трафика в интрасети за счет предотвращения попадания авторизованного трафика в Интернет.


Облако и природа распределенных данных, которые могут быть расположены в нескольких местах и на различных устройствах, ясно дают понять, что «путь к успеху» в области безопасности в обозримом будущем, вероятно, не будет основываться на стратегии, основанной на брандмауэре. Высокомобильный характер данных во втором десятилетии 20-го века означает, что подход к защите данных, основанный на межсетевых экранах, является проигрышным предложением. Данные должны быть защищены там, где они расположены.


Действительно ли DMZ приносят пользу?


Когда вы думаете о том, как DMZ развернуты в большинстве сред, вы должны признать, что они лишь усложняют инфраструктуру сетевой безопасности и позволяют администраторам брандмауэра сохранять свою работу. DMZ используются для отделения устройств, подключенных к Интернету, от корпоративной интрасети, исходя из предположения, что эта методология дает какое-то преимущество в плане безопасности. Проблема в том, что внешний брандмауэр разрешает доступ к якобы «незащищенным» службам, а внутренний брандмауэр пропускает тот же трафик во внутреннюю сеть. Каково фактическое преимущество безопасности, обеспечиваемое конфигурацией? Вы можете утверждать, что «мусорный трафик» разгружается с устройства, подключенного к Интернету, но действительно ли эти брандмауэры «защищают» что-либо? Печальный вывод заключается в том, что в большинстве случаев это не так, и все, что делает инфраструктура брандмауэра, — это усложняет общее управление сетевой безопасностью и увеличивает общую стоимость ведения бизнеса.


Кроме того, подход сетевого брандмауэра к безопасности данных игнорирует ключевой факт: большинство серьезных нарушений безопасности происходят из-за внутренних атак. Недавний сбой в системе безопасности Wikileaks произошел из-за инсайдерской атаки, и исследования показали, что многие из наиболее значительных и дорогостоящих компрометаций сети произошли из-за инсайдерских атак. Вы можете прочитать о десятке самых популярных взломов, совершенных печально известными инсайдерами, здесь


В 2009 году RSA сообщило, что инсайдеры представляют большую угрозу, чем хакеры.


А отчет Verizon об утечке данных за 2010 год показал, что инсайдерские нарушения растут.


DMZ и сетевой брандмауэр на границе сети никак не предотвращают эти мощные атаки, подвергающие компании наибольшему риску.


Внешняя граница


Как насчет контроля исходящего доступа? Есть ли там место сетевым брандмауэрам? Контроль исходящего доступа — это область, в которой сетевые брандмауэры могут иметь значение следующими способами:



  • Они могут предотвратить атаки нулевого дня
  • Они могут уменьшить «поверхность злоумышленника» в Интернете, выполняя фильтрацию URL-адресов и веб-проверку на наличие вредоносных программ.
  • Они могут выполнять проверку исходящего SSL, чтобы вредоносное ПО не могло спрятаться в туннелях SSL для отправки корпоративной информации на контроллер в Интернете.

Но опять же, проблема для брандмауэров, когда речь идет об управлении исходящим доступом, заключается в том, что не все устройства, имеющие доступ к корпоративным данным, всегда подпадают под действие корпоративной политики доступа к сети. Конечно, когда ноутбуки сотрудников подключены к интранету, все в порядке, и их доступ в Интернет заблокирован и защищен. Но что происходит, когда сотрудник отправляется в поездку со своим ноутбуком и подключается к сетям, где корпоративный контроль доступа к сети больше не применяется? Затем сотрудник возвращается в интранет и делится всеми эксплойтами, собранными его ноутбуком при доступе к Интернету в то время, когда сотрудник был вне сети. В этом сценарии (который является нормой для большинства компаний) корпоративный брандмауэр контроля исходящего доступа лишь отсрочил неизбежное.


Какое решение?


Из-за облака, увеличения числа устройств, которые могут получить доступ к данным, и увеличения числа местоположений, где эти данные могут быть расположены, требуется новый акцент от сетевых брандмауэров к защите самих данных. Также требуются более сложные подходы к спискам управления доступом и авторизации, а также к отчетности о доступе к данным. Кроме того, необходимо внедрить механизмы, которые защищают сами файлы, чтобы только авторизованные лица могли получить к ним доступ, независимо от местоположения файла.


ACL должны быть более гибкими и всеобъемлющими, чем используемые сегодня методы на основе пользователей/групп. Вам нужен способ оценить пользователя в более реалистичном контексте, который включает такие критерии, как:



  • Является ли пользователь сотрудником или подрядчиком?
  • Если сотрудник, то является ли пользователь сотрудником, работающим неполный или полный рабочий день?
  • Является ли пользователь членом определенной проектной группы?
  • Присвоен ли пользователю определенный класс безопасности?
  • Пользователь отстранен или находится в отпуске?

Эти и другие характеристики пользователя гораздо более ценны, чем то, к какой «группе» принадлежит этот пользователь, и вы должны иметь возможность устанавливать политики доступа на их более реальных характеристиках.


Все вышеперечисленное — хороший первый шаг, но первоначальный доступ и авторизация — это только начало. После того, как данные удалены из исходного репозитория, за ними должна следить система безопасности, независимо от того, куда они направляются. Именно здесь становятся важными службы управления правами (RMS). На самом деле, если бы управление правами применялось к документам Wikileaks, то, скорее всего, неразберихи никогда бы не произошло.


Будут ли брандмауэры исчезать?


В этот момент вы, должно быть, задаетесь вопросом: а как насчет брандмауэров? Должны ли мы просто выбросить их в окно? Все то время, которое вы потратили на обучение работе с TMG или другим брандмауэром, потрачено впустую? Что ж, брандмауэры никуда не денутся, но, как и другие методы обеспечения безопасности, которые принесут вам успех, безопасность необходимо переместить ближе к тому месту, где находится информация. Мощность современных компьютерных процессоров теперь позволяет установить сложный брандмауэр на каждую клиентскую систему. Фактически это то, что делает брандмауэр Windows в режиме повышенной безопасности на каждом компьютере с Windows 7 и Windows Server 2008 и выше. Используя платформу фильтрации Windows (WFP), эти брандмауэры на основе хоста могут выполнять расширенные функции брандмауэра и обеспечивать сквозное шифрование между клиентом и хостом. На самом деле, включение IPsec во всей вашей интрасети имеет большое значение для устранения требований к сетевым брандмауэрам. И по мере того, как IPv6 начинает появляться на горизонте, можно с уверенностью сказать, что мы увидим все более уменьшающуюся отдачу от инвестиций в сетевые брандмауэры.


Что вы думаете? Это конец сетевого брандмауэра? Должны ли администраторы брандмауэра начать полировать свои резюме и заняться переподготовкой по более важным технологиям, таким как управление идентификацией и контролем доступа? Или сетевой брандмауэр останется навсегда, как артефакт прошлого, и будет помещен в сеть как историческое похмелье, мало чем отличающееся от протоколов на основе RPC, с которыми мы продолжаем иметь дело сегодня?


Отправьте мне сообщение по адресу [email protected], и я опубликую лучшие ответы в блоге. Спасибо! -Деб.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023