随着企业越来越多地将下一代防火墙整合到其安全部署中,他们将能够更精准地控制应用程序和用户行为,但同时,这也提高了错误配置和变更管理事故的可能性。并且,如果防火墙管理本身已经是传统防火墙组合中的一个问题的话,这将进一步增加复杂性。
RedSeal Networks公司首席技术官Mike Lloyd表示,“在最早防火墙推出以来,就存在这些问题:运维很复杂,因为其规则是技术性的,很容易带来混乱,‘下一代防火墙’同样也存在这些问题。”
Lloyd指出,每种额外的安全控制都会增加复杂性,在高级防火墙领域也是这样。防火墙使用的基础设施本身就很复杂,并且同时在很多层面运作。额外的一层(例如应用层)对于某些目的而言是好的,但并不会消除其他层的工作。
根据今年早些时候,防火墙管理公司AlgoSec对175名防火墙管理员进行的调查显示,56%的受访者称管理下一代防火墙比管理传统防火墙需要更多精力。AlgoSec公司市场营销主管Sam Erdheim表示,这主要归结为两方面的问题,首先是弄清楚与传统防火墙规则政策相比,下一代防火墙规则政策有什么不同。
第二个问题是如何将这些新政策的管理整合到网络环境中(传统防火墙仍然会留在环境中),以及如何在不需要重写防火墙管理方式的情况下,来实现这一目的。
Skybox Security公司首席执行官Gidi Cohen表示,“下一代防火墙的配置包括定义流量如何流动的新思路,但仍然要以传统的方式来表达,因此,企业需要经历一个漫长的过渡过程,他们需要定义新的企业政策,而这通常是一个漫长而具有挑战性的过程。在未来几年,传统防火墙和下一代防火墙仍然要并肩作战,因此,企业还需要思考如何对它们双管齐下。”
RedSeal、AlgoSec、Skybox Security和FireMon等防火墙管理公司已经将针对下一代产品的管理功能加入了其功能集,但根据Erdheim和FireMon公司总裁首席技术官Jody Brazil表示,企业首先必须教育他们的员工,并对用于下一代环境中的过程和政策进行调整,而这将不可避免地需要范式转变。
Brazil解释说,下一代防火墙将会带来一些防火墙管理员最初没有预想到的独特的问题。例如,下一代防火墙创建了一个简单的规则,来允许用户访问Facebook,这个规则其实并不那么简单。防火墙本身并不会识别Facebook等web应用,直到用户已经访问到、连接到以及验证到该应用。在此之前,它看起来就像是标准的HTTP。
他表示,“在你的政策的某处,你必须允许通过标准web流量或80端口访问到互联网;否则允许访问到Facebook的规则将失效,现在,这些关系必须共存,如果不行的话,访问将不被允许。这是一个非常简单的例子,如果管理员不能解决这个问题,将会带来很多麻烦。”
这可能不只是简单地管理端口80,企业可能实际需要管理1500以上个应用程序。另外,当企业开始实现下一代防火墙和Active Directory之间的紧密集成时,也会增加复杂性。Brazil表示,““防火墙团队和AD团队很少交流,因为他们从来没有这样的需要,也没用理由,现在,突然之间,Active Directory管理员的日常生活开始影响防火墙管理员的行为,而后者可能还不知道。”
这是因为很多这些防火墙的策略都捆绑到AD团队,这些策略的变化都会影响到AD团队。这个过程很容易导致AD团队抱怨防火墙阻止访问,尽管防火墙管理员这边从来没有进行更改。
Palo Alto Networks公司高级研究分析师Matt Keil表示,这就是为什么企业在部署下一代防火墙时需要多方协调和调整的原因。“我们给企业的建议是,先进行规划,然后有条理地进行部署。”
Keil表示,这种过渡是一个很好的机会,来加强安全团队和商业团队之间的合作。他认为,这主要涉及三个步骤。首先,企业需要盘点和研究网络上已有的应用程序,它们的用户是谁,以及这些应用程序的潜在风险。第二个步骤是,与业务团队会面,商讨这些应用程序的业务需求,以及IT确定的风险,从而通过明确的蒸菜,来平衡业务需求和安全风险。第三步就是归档。
Keil表示,“归档协商后的政策,对所有用户进行培训,执行政策,并定期审查有关政策,当有新应用时,更新政策。”当企业为未来管理制定政策时,他们必须牢记,尽管传统防火墙和下一代防火墙有所不同,无论使用的是哪种防火墙,糟糕的管理和审计习惯都会让企业陷入风险之中。
Lloyd表示,“主要需要避免的错误是复制不好的习惯规则。如果你一直是逐条审计规则,这是一个糟糕的办法,事实上,这可能会阻止你部署新的技术,如果审计过于严格,你就丧失了应对新威胁的能力。”
