在PCI Data安全标准审计和HTTP应用程序普及的时代,基于电子表格的防火墙策略管理似乎早就已经过时。但是,许多公司仍然使用15年前就在使用的电子表格保存成千上万的防火墙规则。
网络和安全管理员会经常有这样的疑问:“谁写了这条规则,为什么要写这条规则?”答案通常是:“前任CEO Larry需要通过NetZero拨号上网访问财务数据。”然后就是随之而来的问题:“你认为我们可以删掉它吗?”但是,答案通常是不确定的。
防火墙策略管理在许多IT部门中都非常混乱。根据防火墙管理软件供应商Athena Security最新的一项调查显示,95%的工程师都会遇到防火墙审计问题,因为这需要的手工过程非常耗时。此外,审计通常是一个快照,在另一位管理员使用工程师的密码添加一条新规则之后,就会马上失效。
在Athena调查的841名工程师中,有90%表示他们的防火墙会由于一些不必要的、冗余防火墙规则而未能达到最优状态。他们希望抛弃这些规则,但是他们应该从何处入手?
Jeff Kramer是一家全球消费产品制造端的风险管理专家,他说:“我半夜都会担心我们的防火墙是否出现了一些不应该出现的规则,或者有人在未授权的情况下添加了规则。是否有人进入了我的防火墙,然后添加了一条违反规范性或安全规定的规则?或者,是否有人公然添加一条规则,盗取公司的信息?老实说,我现在还不确定是否会出现这些问题。”
Kramer正在安装Athena的FirePAC,用于改进他15,000人规模公司的防火墙规则管理。这个软件将监控大约50台思科和Check Point防火墙。购买FirePAC的原因,很大程度上是为了改进公司对PCI的审计。
他说:“我们检查了一些PCI审计过程,发现防火墙规则集检查过程中存在一些问题。而且,最后一个审计过程确实存在重大问题,它明显制造了一些合规性问题。我们设法通过审计纠正我们的方法,但是进行防火墙规则检查所需要的人力显然是不可接受的。”
防火墙策略管理:新出现的第三方软件
Gartner公司研究副总裁Greg Young指出,防火墙策略管理供应商(如Athena、Tufin Technologies和Algosec)为这个目前虽小但在不停增长的市场提供服务,他们需要获得防火墙规则管理服务。当然,并非每一个公司都需要这种第三方软件。这些公司通常都是在发生灾难之后才认识到需要这些软件。
Young说:“事情就像是:只有遇到问题—— 规则库过大或者审计出现大问题或者人手不足,这才会让他们想起使用这些工具。”根据Young的介绍,有四种情况会促使企业购买防火墙策略管理软件:
◆复杂的环境:拥有大量防火墙的公司通常很难理解所有设备的作用,或者由于数量过大而无法有效管理。
◆高度动态的防火墙环境:Young说:“即使数量不多,由于环境不断发生变化,也可能产生错误配置或者出现漏洞。”
◆ 多供应商防火墙环境:防火墙供应商本身提供了一些管理软件,但是这种软件不兼容其他供应商的产品。许多大型企业都部署了多个供应商的防火墙产品。例如,Kramer的公司在边缘网络使用Check Point,同时使用思科设备分割内部网络。
◆严格的审计要求:如果公司提升了审计的严格性,特别是像PCI或HIPAA审计,那么帮助审计人员记录防火墙规则的人力可能非常大,并且可能会放大前面提到的其他三个因素。
如果防火墙数量极少,都是静态的或都来自同一家供应商,那么这些工具可能用处不大。Young说:“除非这些防火墙加载了某个具有大量规则的奇怪策略。”
虽然现在规模较小,但是确实需要防火墙策略管理工具的公司数量在不断增长。Young说:“由于我们的应用程序在创建时涉及的方面越来越多,因此配置能够处理这些应用程序的防火墙也越来越困难。现在已经不是用一个端口处理一个连接的问题了。当部署到云环境时,防火墙所监控的连接状态是Web,它非常复杂,所以规则库会越来越大和越来越复杂。随着更多的业务和应用程序上线,这些工具的应用也会慢慢增加。”
应用防火墙策略管理工具:不能一蹴而就
防火墙策略管理软件建立了一个工作流和一个自动化配置管理系统,它能够将防火墙策略映射到防火墙规则上,这要求工程师调整规则变化,维护所有配置的即时记录。这种即时记录很适合向审计人员交付合规性验证。
这些工具还能够演示防火墙规则如何影响网络安全。它们可以确定一些不可靠的规则,同时也能够确定一些需要删除的冗余或过时规则。
Kramer正在他的公司中实现FirePAC,但是却又不得不暂停项目,因为他需要全力投入到一个新的PCI审计周期。他说:“由于我们的一些防火墙非常庞大,因此需要一定的时间才能完成消化和清理。这是大型企业业务扩大造成的直接后果。”在建立和运行FirePAC之后,Kramer希望公司的安全工程师跟进这些产品,从而使防火墙规则的整体管理能够得到改进。
他说:“我是审计人员,并且是从中受益最大的人之一。安全工程师还没有完全到位。在中层管理人员调配各小组协同工作的能力方面,我们公司还存在一些组织问题。所以,执行路由器和防火墙日常安全和配置的人员与直接负责整个公司安全架构的风险管理人员是完全分离的。”
Kramer只需要监控安全工程师的防火墙操作。“但是,我相信,当我们做好部署并且人员到位时,人们将开始更多地购买这个工具。”
转载链接:http://netsecurity.51cto.com/art/201207/347764_1.htm