防火墙很难管理。由于对应用程序流量缺乏理解或试图跟上业务的速度,通常情况下规则缺乏粒度。防火墙的政策中添加了越来越多的规则,甚至到了成为“瑞士奶酪”的地步。不要放弃希望,因为有一些方法和工具可以帮助您控制防火墙策略。
防火墙只是实现组织的安全策略。如果没有强大的策略来定义允许或拒绝的流量类型,那么实现防火墙是毫无意义的。好的防火墙设计策略指定用于实现允许应用程序运行所需的最低权限的规则。在设计此策略时,必须考虑到防火墙和应用程序的功能和弱点。防火墙策略通常基于以下两种策略之一。它们要么允许任何服务,除非它被明确拒绝;要么拒绝所有服务,除非明确允许。后者是首选的行业最佳实践故障安全立场。然而,在安全评估期间,我们仍然发现防火墙策略的第一条规则是“允许ip任何任何”。
您希望使用提供最大安全性的策略配置有状态防火墙。这意味着在连接方向、源和目的IP地址以及应用程序端口号方面配置具有极端粒度的规则。这通常很困难,因为这些信息有时没有提供给安全管理员以进入防火墙策略。应用程序所有者可能不知道其应用程序的IP地址和端口号的完整列表,以及物理/虚拟服务器之间的数据流。因此,不需要向防火墙管理员提供详细信息来促进这种细粒度防火墙策略
这是一个常见的问题,即防火墙规则添加,但这些规则没有退役。防火墙政策有点像“罗奇汽车旅馆”;规则签到,但不签到。随着时间的推移,防火墙政策会继续增长,直到它们变得过大而无法有效管理为止。如果您没有记录为什么要添加防火墙规则,如果您的组织有经验人员的更替,那么您的组织中就没有人能够解释防火墙政策中的内容。
我们发现许多组织没有关于安全团队如何操作的文档化的政策和程序。防火墙策略管理的大部分程序是安全团队之间的部落知识。这种模糊的政策可能会随着时间的推移而改变,并受制于每个人对口头规则的解释。个体的行为可能取决于他们是如何被训练的。随着时间的推移,所使用的程序可能会发生变化和扭曲,从而导致安全团队不能始终如一地或按预期运行。
有些组织有更改防火墙的一般流程。该过程由公司内部需要修改防火墙的人开始,并在服务票据中创建一个条目。有时,票据上会附加一个表单,描述防火墙规则/对象请求/更改。如果有许多规则更改请求,请求有时可以包含附加的文档。否则,简单的请求请求src/dest/端口和src/dest IP地址被允许通过防火墙。如果这个策略没有被记录下来,那么组织应该定义这个过程,并寻找可以改进这个过程的方法。
对许多防火墙做出更改的组织的防火墙策略标准的另一个重要组成部分是常见对象和规则创建的概念。在创建或修改防火墙策略的每个人都应该遵循一个用于对象/规则命名/编号的常用方法。如果每个安全工程师有自己的命名约定和他们喜欢创建政策的方式,那么很容易预测可能出现的问题。当人们通常遵守命名和评论规则时,就会发生对组织的好处。无论如何,您的组织需要记录这些策略,并且所有群体都会遵守命名约定。
当由于业务的速度,公司中的人员正在驱动防火墙策略请求,并且必须立即进行更改时,问题就会出现。另一个类似的问题是当请求中列出了大量的TCP/UDP端口或大量的源/目的IP地址时。如果安全团队询问这些粗糙的防火墙策略请求,并停止对请求者进行防火墙策略粒度方面的教育,那么他们可以帮助请求者争取更安全的策略更改。安全工程团队应该能够推进策略粒度,以帮助确保整个公司的安全性。当被请求的防火墙更改“太松”时,安全工程师应该能够拒绝请求。还应该有一些政策,允许安全工程师捍卫他们拒绝不合理“请求”的决定。
当他们推回过允许的防火墙政策添加时,IT领导者应该支持安全工程师。毕竟,安全工程师只是试图帮助组织更安全。如果不支持安全工程师并且经常被推翻,那么安全工程师将停止尝试使系统更安全。如果这些良好的安全从业者没有获得管理支持,那么他们将停止推回并接受“原样”的防火墙更改请求。然后,文化将允许过度允许的防火墙规则,并且安全性会受到损害。在某些时候,它需要很多努力,并纠正已经进入防火墙配置的许多过度允许的策略。
关于编写这个防火墙配置策略的一个建议是,它可以描述一个“策略范围”的概念。这一观点认为,对请求保持谨慎或乐观的决定与请求给业务带来的风险有关。为了使防火墙规则/对象添加策略有效,必须解决粒度一致性的问题。例如,如果一个连接从一个完全不可信的网络到一个非常可信的网络,那么对象将需要很好地定义,规则应该只允许特定主机之间的特定TCP/UDP端口号。如果连接是从一个受信任的管理系统到另一个管理系统,那么策略可以更小粒度,以使管理更容易。防火墙策略应该记录网络环境中的这些不同区域,并举例说明哪些是好的防火墙规则,哪些是坏的规则。一旦记录了防火墙管理策略,防火墙策略粒度将得到改进,规则更改可以加速,并且在发出请求的不同组和进行防火墙策略更改的安全工程师之间的配置将保持一致。
最终,防火墙策略变得如此混乱,以至于组织最终开始努力清理过于宽松的旧规则和对象。组织需要一种方法来清理那些应该被删除的旧规则。实现这一点的一种方法是查看规则的命中次数,如果规则在一周内没有命中,就禁用它。如果在接下来的一个星期里没有人抱怨,那么就删除规则和物品。可以为例外创建自动过期规则,然后等待一周并删除规则。要对所有已就位的防火墙执行完整的策略审查可能需要非常多的时间。这种方法的一个问题是,一些防火墙日志没有回溯到足够远的位置,以确定规则是否有任何命中。规则清理需要大量的时间,并且通常会“在时间允许的情况下”执行。因为安全工程团队通常没有时间这样做,所以这项工作永远不会执行。因为很难删除防火墙上的任何规则,所以工程师放弃了这个任务,这个重要的任务也没有执行。
在极端情况下,当防火墙真的变成了“瑞士奶酪”时,一个极端的选择就是改变政策。组织可能认为防火墙本质上已经降级为“允许所有人”政策,因为该政策中的所有规则都在今天。然后,组织可以开始为那些必须保护的东西在策略中进一步添加拒绝规则。可以在阻断关键设备连接的策略中增加规则,以防止任何人与这些设备通信。因此,一个快速部署的短期方法是在策略中添加一些规则,以拒绝对不应该通信的资源的特定访问。然而,如果添加了许多这样的阻塞规则,那么未来真正负责规则清理的安全工程师将会感到困惑。
有些组织可能会查看自动化工具,以帮助他们维护他们的ACL和防火墙策略。今天市场上有许多防火墙运营和管理产品。这些产品可以帮助审核并验证当前的规则库,并提供有关改进的建议,或将它们与最佳实践或合规指南进行比较。这些工具可以为防火墙进行修订控制,更改控制和更改管理功能。这些工具可以帮助您重新订购规则库中的条目,提高规则的粒度,并找到未使用,矛盾或重叠的规则。某些工具甚至可以通过策略执行“如果”方案和模型防火墙行为或跟踪数据包。某些工具还绑定到故障票证系统,其他SIM / SIEM产品,漏洞扫描工具,通知和警报方法
一年前,罗伯·史密瑟斯写了一篇文章极端的防火墙改造“他涵盖了五个防火墙管理工具。自那篇文章似乎是似乎,防火墙管理市场已被许多公司填充,这些公司提供了帮助您获得防火墙政策的控制。一年前,Neil Roiter还写了一篇标题的文章“防火墙审核该做什么和不该做什么这为如何选择防火墙审计产品提供了一些很好的建议。
以下是我所清楚的防火墙操作和管理产品列表。请告诉我是否有其他人知道并推荐。
Skybox安全 - 防火墙保证,网络保证,风险控制Tufin - Securetrack和SecureChange工作流程AlgoSec防火墙分析仪(AFA),萤火NetCitadel -防火墙建设者4红色印章系统-网络顾问和漏洞顾问安全段落 - 灭火器雅典娜安全- FirePAC,防火墙分级,防火墙浏览器思科安全管理器(CSM) v4.1Juniper -网络和安全管理器(NSM)ManageEngine - Fwanalyzer.网络作战-网络ACL
如果您的组织没有防火墙管理产品的预算,那么您可以通过纪律和过程解决这些相同的问题。您的防火墙管理员应具有推送不合理的添加规则请求。如果请求新防火墙规则的组无法粒度记录其应用程序的工作原理,那么不应将规则添加到防火墙中,直到已知更多细节。防火墙管理员可以使用其他方法将其更改记录到策略的更改,使用简单的文档实践或团队Wiki页面。故障票务系统或工作流自动化工具可用于记录谁请求防火墙策略更改和请求背后的技术背景。为防火墙规则创建审计跟踪不必花费很多或花费很多时间。
防火墙与任何其他IT项目一样,都需要人员、流程和技术的合理组合。组织经常过分强调技术,而忘记了使用受过高训练和训练有素的人员来支持技术,这些人员要遵循普遍接受的和遵循的程序。许多组织部署了防火墙,并认为它们是安全的,无需进行任何维护。然而,为了有效地保护网络环境,你必须采取一种有系统的方法来主动管理防火墙,这样它就不会变成瑞士奶酪。
斯科特