相关文章

调查:防火墙策略管理有必要么?(一)

在PCI Data安全标准审计和HTTP应用程序普及的时代,基于电子表格的防火墙策略管理似乎早就已经过时。但是,许多公司仍然使用15年前就在使用的电子表格保存成千上万的防火墙规则。

  网络和安全管理员会经常有这样的疑问:“谁写了这条规则,为什么要写这条规则?”答案通常是:“前任CEO Larry需要通过NetZero拨号上网访问财务数据。”然后就是随之而来的问题:“你认为我们可以删掉它吗?”但是,答案通常是不确定的。

  防火墙策略管理在许多IT部门中都非常混乱。根据防火墙管理软件供应商Athena Security最新的一项调查显示,95%的工程师都会遇到防火墙审计问题,因为这需要的手工过程非常耗时。此外,审计通常是一个快照,在另一位管理员使用工程师的密码添加一条新规则之后,就会马上失效。

  在Athena调查的841名工程师中,有90%表示他们的防火墙会由于一些不必要的、冗余防火墙规则而未能达到最优状态。他们希望抛弃这些规则,但是他们应该从何处入手?

  Jeff Kramer是一家全球消费产品制造端的风险管理专家,他说:“我半夜都会担心我们的防火墙是否出现了一些不应该出现的规则,或者有人在未授权的情况下添加了规则。是否有人进入了我的防火墙,然后添加了一条违反规范性或安全规定的规则?或者,是否有人公然添加一条规则,盗取公司的信息?老实说,我现在还不确定是否会出现这些问题。”

  Kramer正在安装Athena的FirePAC,用于改进他15,000人规模公司的防火墙规则管理。这个软件将监控大约50台思科和Check Point防火墙。购买FirePAC的原因,很大程度上是为了改进公司对PCI的审计。

  他说:“我们检查了一些PCI审计过程,发现防火墙规则集检查过程中存在一些问题。而且,最后一个审计过程确实存在重大问题,它明显制造了一些合规性问题。我们设法通过审计纠正我们的方法,但是进行防火墙规则检查所需要的人力显然是不可接受的。”

  :新出现的第三方软件

  Gartner公司研究副总裁Greg Young指出,防火墙策略管理供应商(如Athena、Tufin Technologies和Algosec)为这个目前虽小但在不停增长的市场提供服务,他们需要获得防火墙规则管理服务。当然,并非每一个公司都需要这种第三方软件。这些公司通常都是在发生灾难之后才认识到需要这些软件。

  Young说:“事情就像是:只有遇到问题—— 规则库过大或者审计出现大问题或者人手不足,这才会让他们想起使用这些工具。”根据Young的介绍,有四种情况会促使企业购买防火墙策略管理软件:

  • 复杂的环境:拥有大量防火墙的公司通常很难理解所有设备的作用,或者由于数量过大而无法有效管理。  • 高度动态的防火墙环境:Young说:“即使数量不多,由于环境不断发生变化,也可能产生错误配置或者出现漏洞。”  • 多供应商防火墙环境:防火墙供应商本身提供了一些管理软件,但是这种软件不兼容其他供应商的产品。许多大型企业都部署了多个供应商的防火墙产品。例如,Kramer的公司在边缘网络使用Check Point,同时使用思科设备分割内部网络。  • 严格的审计要求:如果公司提升了审计的严格性,特别是像PCI或HIPAA审计,那么帮助审计人员记录防火墙规则的人力可能非常大,并且可能会放大前面提到的其他三个因素。