每周通讯即IT最佳做法提供该栏目点击这里订阅
防火墙保护企业网络在前沿防线上发挥着关键作用管理防火墙的人有很多责任 唯有合适的交通路由 时它应该通通 和所有坏东西阻塞风险高 差错空间小年复一年 Verizon数据偏差调查报告显示设备误配置是漏洞的主要来源,打开数据破解之门
牢记这一点,我和Reuven Harrison谈了谈,CTO防火墙管理公司Tufin解决部分最常见的防火墙挑战 导致错误配置 或其他问题 导致防火墙失效他提出以下建议:
保持企业安全策略管理者或守法管理者回路防火墙修改清除未使用规则消除冲突规则坚持工作流请求和实施防火墙修改获取程序开发者或dev操作团队与防火墙管理员同页
let's检查每一项推荐
保持企业安全策略管理者或守法管理者循环防火墙修改
多数中型或大型企业都设有安全主管人、风险主管人或守法主管人角色这个人通常不是实战操作员他或她负责制定组织总体政策,并或多或少负责确保这些政策在整个组织得到遵循安全主管常不深入防火墙管理员实战部署规则-规则可能与公司政策冲突
防火墙管理员可开口防火墙允许各种流量输入网络这可能是冒险行为 并可能与组织总体安全政策相冲突安全管理员需要收到防火墙策略修改通知和由谁修改通知,以便审查通知和通知,确保通知与策略一致可以通过电子邮件报警或访问控制台查看防火墙配置的修改和谁修改安全管理员和防火墙管理员可以讨论改变的商业目的
清理未使用规则
防火墙常有数以百计甚至千计规则,其中许多规则过时,不再服务于商业需求未用规则有时隐藏恶意攻击的可能假设端口开放允许HTTP或甚至HTTPS流出企业和云应用企业单元使用云应用放弃它,但没有通知防火墙管理员关闭端口恶意攻击者会发现开机用它传输数据出组织
防火墙管理工具可方便地持续监控网络流量并判定是否有开放连接,这些连接在规定时间里没有使用过防火墙管理员可被提醒这些显然未使用连接研究目的并关闭那些不再服务于商业目的的连接
图芬的Harrison引用一家能源公司最近经历规则清理并发现该公司50%以上防火墙规则不再服务于商业需求消除那些未使用规则不仅提高组织安全姿态,而且提高防火墙性能
消除冲突规则
多防火墙已经拥有如此复杂规则库 常时管理员不知道 他或她是否执行新规则 与现有规则冲突这种状况可能导致新规则完全失灵,因为设备-按优先匹配原则-执行它遇到的符合交通标准的第一个规则清理冲突规则并非人工解决之事,
持续工作流请求并实施防火墙修改
防火墙规则往往没有适当记录没有好文档,很难判断谁请求规则或谁从商业角度拥有规则这使得更难遵守PCIDSS等规则,因为更难证明规则需要万一连接有交通问题,知道谁拥有它以及目的何在可能是一个挑战
修复需要多于简单工具要求企业定义业务流程,即每次需要防火墙规则时都需遵循工作流程工作流包括企业主提交访问请求,某人审核并批准请求,最终防火墙管理员实际推出修改-所有-而底层系统记录修改并关联业务需求未来清理优化时有商业环境,防火墙管理员知道打给谁看数年前请求是否今天仍需要
获取程序开发者或dev操作团队与防火墙管理员同页
常由开发新应用或提供新服务者请求修改现有防火墙象技术角色一样,这些人讲自己的技术词典,防火墙管理员不完全理解,反之亦然。换句话说,可能需要几度迭代才能正确制定防火墙新规则,因为双方都不精准理解对方
市场工具可以方便通信-技术翻译程序开发者可指定业务规则使用更高层次和更多抽象语言应用,系统可使用各种分析基础整合法将之转换成技术实施细节,这些细节或可由防火墙管理员人工实施或甚至由系统自动实施技术翻译器可帮助消除或减少误配置并节省时间启动运行
琳达穆沙基础解决方案公司首席分析师基本解决方案为计算机行业和企业客户提供咨询服务帮助定义并实现IT潜力
