為此,防火墻管理公司Tufin的首席技術(shù)官魯文·哈里森講解了一些導(dǎo)致錯(cuò)誤配置或造成防火墻無法完成關(guān)鍵任務(wù)等最常見的防火墻挑戰(zhàn)問題的最佳實(shí)踐解決方案。并提出以下建議:
- 讓企業(yè)的安全策略管理經(jīng)理或合規(guī)經(jīng)理輪崗執(zhí)行防火墻管理。
- 清理未使用的規(guī)則。
- 消除沖突的規(guī)則。
- 遵循一致的工作流程的要求實(shí)施對(duì)防火墻的改變。
- 讓應(yīng)用程序開發(fā)者或開發(fā)團(tuán)隊(duì)與防火墻管理員多磨合。
讓我們來逐條分析一下他給出的建議。
讓企業(yè)的安全策略管理經(jīng)理或合規(guī)經(jīng)理輪崗執(zhí)行防火墻管理。
在大多數(shù)中型或大型企業(yè)都設(shè)置有安全管理經(jīng)理,風(fēng)險(xiǎn)管理經(jīng)理或合規(guī)管理經(jīng)理的角色。此人通常不是一名操作工人。相反,他或她是負(fù)責(zé)制定該企業(yè)的總體安全管理政策,并確保這些管理政策在整個(gè)企業(yè)內(nèi)獲得遵守執(zhí)行。很多時(shí)候,這些安全經(jīng)理并沒有見到過防火墻管理員實(shí)際上是如何部署相關(guān)的規(guī)則的,其中有些規(guī)則可能會(huì)與企業(yè)政策沖突。
例如,防火墻管理員可以打開防火墻上的端口,讓各種流量進(jìn)入網(wǎng)絡(luò)。這一操作可能是危險(xiǎn)的,可能違背了企業(yè)的整體安全策略。所以,當(dāng)任何人對(duì)防火墻有任何改動(dòng)時(shí),都需要第一時(shí)間通知安全管理經(jīng)理,以便安全管理經(jīng)理能夠?qū)彶檫@些改動(dòng),以確保這些改動(dòng)符合企業(yè)的安全管理政策。這可以通過電子郵件警報(bào)或訪問控制臺(tái)來完成,以查看防火墻的更改配置,以及誰做的修改。如果這些改變看起來不正確,或違反了安全策略,安全管理和防火墻管理員可以根據(jù)商業(yè)目的討論進(jìn)行適當(dāng)?shù)男薷摹?/p>
清理未使用的規(guī)則。
防火墻有數(shù)百甚至數(shù)千的規(guī)則并不少見,其中許多已經(jīng)過時(shí),不再為業(yè)務(wù)目標(biāo)所需要。未使用的規(guī)則有時(shí)會(huì)存在潛在惡意攻擊的可能。例如,假設(shè)一個(gè)端口打開允許HTTP或HTTPS流量在企業(yè)和云應(yīng)用程序之間傳輸。那么企業(yè)內(nèi)部使用相關(guān)云應(yīng)用程序的部門廢棄了該端口,卻又未通知防火墻管理員關(guān)閉。惡意攻擊者可能發(fā)現(xiàn)該開放端口,并用它來傳輸企業(yè)的數(shù)據(jù)。
防火墻管理工具,可以持續(xù)輕松監(jiān)控網(wǎng)絡(luò)流量,并確定是否存在在指定的時(shí)間內(nèi)未打開的連接。防火墻管理員可以提醒這些顯然未使用的連接,以研究他們的目的,并關(guān)閉那些不再服務(wù)于商業(yè)目的鏈接。
Tufin的哈里森舉了一家能源公司最近進(jìn)行了一次規(guī)則的清理的例子,該公司發(fā)現(xiàn),50%以上的防火墻規(guī)則不再服務(wù)于業(yè)務(wù)需要。消除那些未使用的規(guī)則不僅提高了企業(yè)的安全,同時(shí)也提高了防火墻的性能。
消除沖突的規(guī)則。
很多防火墻已經(jīng)有著如此復(fù)雜的規(guī)則庫(kù),通常一個(gè)管理員不知道自己實(shí)施一個(gè)新規(guī)則是否與已有的規(guī)則沖突。這種情況可能會(huì)導(dǎo)致新的規(guī)則是完全不正常的,按照“第一匹配原則”,執(zhí)行原先已有的第一個(gè)規(guī)則也符合流量標(biāo)準(zhǔn)裝置原理。清理沖突的規(guī)則并不是解決手動(dòng),而是有一些工具可以推動(dòng)這項(xiàng)任務(wù)。
遵循一致的工作流程的要求實(shí)施對(duì)防火墻的改變。
防火墻規(guī)則,往往沒有適當(dāng)?shù)挠涗。沒有很好的記錄文檔,很難從商業(yè)的角度理清相關(guān)的規(guī)則都是由誰制定的。這使得對(duì)相關(guān)監(jiān)管如PCI DSS的遵守變得更難,因?yàn)槠渥陨砗茈y證明規(guī)則是必需的。對(duì)于在這一連接中的流量,想要搞清楚誰擁有這些流量及其目的,無疑是相當(dāng)大的挑戰(zhàn)。
修復(fù)所需要的不僅僅是一個(gè)簡(jiǎn)單的工具。其要求企業(yè)定義業(yè)務(wù)過程,以便讓防火墻的每一次操作都有著一套規(guī)范的工作流程以遵循。這工作將包括業(yè)主提交訪問請(qǐng)求,相關(guān)責(zé)任人審查和批準(zhǔn)請(qǐng)求,并最終防火墻管理員實(shí)際進(jìn)行操作,而所有這一切都需要有系統(tǒng)的文件記錄在案并符合相關(guān)的業(yè)務(wù)需要。為了方便未來的清理優(yōu)化,相關(guān)的業(yè)務(wù)背景記錄與防火墻管理員操作記錄在案,可以讓今天也知道誰在幾年前提出了何種操作請(qǐng)求要求。
讓應(yīng)用程序開發(fā)者或開發(fā)團(tuán)隊(duì)與防火墻管理員多磨合。
通常往往是正在開發(fā)新的應(yīng)用程序或配置新服務(wù)的人員要求改變現(xiàn)有防火墻的設(shè)置。像任何技術(shù)人員一樣,這些人只是對(duì)自己領(lǐng)域的技術(shù)相當(dāng)擅長(zhǎng),但對(duì)于防火墻管理員的技術(shù)術(shù)語卻沒有很好的理解,反之亦然。換句話說,可能需要多次的磨合才能找到一套恰到好處的新的防火墻規(guī)則,因?yàn)殡p方都沒有精確的互相了解。
目前市場(chǎng)上已經(jīng)有相當(dāng)?shù)墓ぞ,可以方便和?jiǎn)化這一技術(shù)溝通過程。應(yīng)用程序開發(fā)人員可以使用一種語言,以更高層次,更抽象的語音,系統(tǒng)可以整合各種分析功能,將其轉(zhuǎn)換成技術(shù)實(shí)現(xiàn)細(xì)節(jié),方便防火墻管理員的手動(dòng)操作或甚至指定為開發(fā)人員的應(yīng)用程序的業(yè)務(wù)規(guī)則由系統(tǒng)自動(dòng)實(shí)現(xiàn)。這無疑可以幫助消除或減少錯(cuò)誤配置和節(jié)省時(shí)間,有利于應(yīng)用程序的啟動(dòng)和運(yùn)行。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:防火墻管理的最佳實(shí)踐
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515845.html