為此,防火墻管理公司Tufin的首席技術官魯文·哈里森講解了一些導致錯誤配置或造成防火墻無法完成關鍵任務等最常見的防火墻挑戰問題的最佳實踐解決方案。并提出以下建議:
- 讓企業的安全策略管理經理或合規經理輪崗執行防火墻管理。
- 清理未使用的規則。
- 消除沖突的規則。
- 遵循一致的工作流程的要求實施對防火墻的改變。
- 讓應用程序開發者或開發團隊與防火墻管理員多磨合。
讓我們來逐條分析一下他給出的建議。
讓企業的安全策略管理經理或合規經理輪崗執行防火墻管理。
在大多數中型或大型企業都設置有安全管理經理,風險管理經理或合規管理經理的角色。此人通常不是一名操作工人。相反,他或她是負責制定該企業的總體安全管理政策,并確保這些管理政策在整個企業內獲得遵守執行。很多時候,這些安全經理并沒有見到過防火墻管理員實際上是如何部署相關的規則的,其中有些規則可能會與企業政策沖突。
例如,防火墻管理員可以打開防火墻上的端口,讓各種流量進入網絡。這一操作可能是危險的,可能違背了企業的整體安全策略。所以,當任何人對防火墻有任何改動時,都需要第一時間通知安全管理經理,以便安全管理經理能夠審查這些改動,以確保這些改動符合企業的安全管理政策。這可以通過電子郵件警報或訪問控制臺來完成,以查看防火墻的更改配置,以及誰做的修改。如果這些改變看起來不正確,或違反了安全策略,安全管理和防火墻管理員可以根據商業目的討論進行適當的修改。
清理未使用的規則。
防火墻有數百甚至數千的規則并不少見,其中許多已經過時,不再為業務目標所需要。未使用的規則有時會存在潛在惡意攻擊的可能。例如,假設一個端口打開允許HTTP或HTTPS流量在企業和云應用程序之間傳輸。那么企業內部使用相關云應用程序的部門廢棄了該端口,卻又未通知防火墻管理員關閉。惡意攻擊者可能發現該開放端口,并用它來傳輸企業的數據。
防火墻管理工具,可以持續輕松監控網絡流量,并確定是否存在在指定的時間內未打開的連接。防火墻管理員可以提醒這些顯然未使用的連接,以研究他們的目的,并關閉那些不再服務于商業目的鏈接。
Tufin的哈里森舉了一家能源公司最近進行了一次規則的清理的例子,該公司發現,50%以上的防火墻規則不再服務于業務需要。消除那些未使用的規則不僅提高了企業的安全,同時也提高了防火墻的性能。
消除沖突的規則。
很多防火墻已經有著如此復雜的規則庫,通常一個管理員不知道自己實施一個新規則是否與已有的規則沖突。這種情況可能會導致新的規則是完全不正常的,按照“第一匹配原則”,執行原先已有的第一個規則也符合流量標準裝置原理。清理沖突的規則并不是解決手動,而是有一些工具可以推動這項任務。
遵循一致的工作流程的要求實施對防火墻的改變。
防火墻規則,往往沒有適當的記錄。沒有很好的記錄文檔,很難從商業的角度理清相關的規則都是由誰制定的。這使得對相關監管如PCI DSS的遵守變得更難,因為其自身很難證明規則是必需的。對于在這一連接中的流量,想要搞清楚誰擁有這些流量及其目的,無疑是相當大的挑戰。
修復所需要的不僅僅是一個簡單的工具。其要求企業定義業務過程,以便讓防火墻的每一次操作都有著一套規范的工作流程以遵循。這工作將包括業主提交訪問請求,相關責任人審查和批準請求,并最終防火墻管理員實際進行操作,而所有這一切都需要有系統的文件記錄在案并符合相關的業務需要。為了方便未來的清理優化,相關的業務背景記錄與防火墻管理員操作記錄在案,可以讓今天也知道誰在幾年前提出了何種操作請求要求。
讓應用程序開發者或開發團隊與防火墻管理員多磨合。
通常往往是正在開發新的應用程序或配置新服務的人員要求改變現有防火墻的設置。像任何技術人員一樣,這些人只是對自己領域的技術相當擅長,但對于防火墻管理員的技術術語卻沒有很好的理解,反之亦然。換句話說,可能需要多次的磨合才能找到一套恰到好處的新的防火墻規則,因為雙方都沒有精確的互相了解。
目前市場上已經有相當的工具,可以方便和簡化這一技術溝通過程。應用程序開發人員可以使用一種語言,以更高層次,更抽象的語音,系統可以整合各種分析功能,將其轉換成技術實現細節,方便防火墻管理員的手動操作或甚至指定為開發人員的應用程序的業務規則由系統自動實現。這無疑可以幫助消除或減少錯誤配置和節省時間,有利于應用程序的啟動和運行。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:防火墻管理的最佳實踐
本文網址:http://www.guhuozai8.cn/html/consultation/10839515845.html
相關文章
