Zapory pod specjalnym nadzorem
-
- 18.10.2011
Restrykcja pod kontrolą
Niekiedy reguły są tworzone pod konkretne zastosowanie, ale nie zawsze administratorzy dostosowują zakres działania tych reguł do rzeczywistych potrzeb. Przypadek ten dotyczy dawania dostępu do wybranych zasobów - często administratorzy dla własnej wygody ustawiają adresy źródłowe lub docelowe jako "all", podczas gdy wystarczyłoby wyspecyfikowanie podsieci, które mają mieć dostęp, lub wręcz pojedynczych hostów. Zatem dobre narzędzie powinno pomagać administratorowi przy konstrukcji reguł w taki sposób, by sugerować mu rzeczywisty zakres, na przykład adresów IP, które mają dostęp na mocy danej reguły. Gdy administrator dostanie informację, że zasada minimalnych przywilejów koniecznych oznacza udzielenie dostępu tylko z konkretnego hosta, zazwyczaj wybierze bezpieczniejszą regułę, bardziej restrykcyjnie limitującą ruch.
Repozytoria reguł
Najmocniejszą z opcji systemu zarządzania zaporami jest jednak repozytorium konfiguracji. Możliwość zachowania kompletu ustawień wszystkich zapór sieciowych wraz z datami i komentarzami oraz porównania różnych wersji umożliwia znalezienie przyczyny większości problemów. W praktyce administratorzy przygotowują sobie zestawy reguł, które odpowiadają ustabilizowanej sytuacji usług w firmie i opisują wszystkie zmiany oraz odstępstwa od standardu. W ten sposób można szybko wrócić do znanej konfiguracji (przywołać, sprawdzić i wdrożyć), ale także porównać zmiany linia po linii. Niektóre aplikacje dostarczają narzędzia, które wyświetlają te zmiany w natywnym wyglądzie konsoli danej zapory.
Automatyczna kontrola, ręczne wprowadzanie reguł
Wszystkie narzędzia do zarządzania zaporami potrafią samoczynnie pobierać informację z różnych urządzeń, niektóre z nich automatyzują proces wdrażania reguł. Administratorzy nadal sceptycznie podchodzą do pozbawienia ich kontroli nad tym, co się dzieje w regułach każdej z zapór, dlatego niektóre firmy decydują się na pozostawienie wdrażania reguł administratorom.
Paweł Marciniak, menedżer regionu krajów rozwijających się w firmie Tufin, mówi: "Nasze oprogramowanie nie zarządza automatycznie zaporami, gdyż taki jest wybór użytkowników. W zamian za to dostarcza im informacji, umożliwia sprawne rozwiązywanie problemów i ułatwia optymalizację pracy zapór. Ponadto kontroluje zdarzenia na firewallach w czasie rzeczywistym, zatem minimalizuje ryzyko ataku polegającego na szybkiej zmianie reguł i równie prędkim odwołaniu tej zmiany".
Przykładem reguły tymczasowej jest udostępnienie połączenia do serwera usługowego, m.in. SAP dla audytorów. Audytor wykonujący swoją pracę potrzebuje dostępu do aplikacji, z których pobiera dane, zatem zazwyczaj tworzone są pod tym kątem reguły na zaporach sieciowych, routerach i przełącznikach. Po zakończeniu pracy firmy audytującej reguły powinny być wycofane. Pozostawienie reguł popularnie nazywa się dziurawieniem firewalla i występuje w zadziwiająco dużej części przedsiębiorstw. Dobrze dopracowane oprogramowanie nadzorujące zapory sieciowe powinno uwzględniać takie przypadki i umożliwiać tagowanie reguł, a także oznaczać reguły wstawione na krótki czas, związane z testami infrastruktury sieciowej lub oprogramowania.
