Zapory pod specjalnym nadzorem

Gdy w firmie jest wiele zapór i routerów łączących różne podsieci lub skomplikowane reguły utrudniają analizę, należy sięgnąć po narzędzia, które ułatwią pracę administratorom.

Zapory pod specjalnym nadzorem
Zarządzanie siecią nieodłącznie wiąże się z zarządzaniem zaporami sieciowymi, routerami, przełącznikami oraz innymi elementami aktywnymi, a także fizycznymi połączeniami na krosownicy. Gdy sieć jest prosta, pracuje w niej kilka zapór z niewieloma regułami, wystarczy kilka kartek, na których opisane są założenia ruchu oraz ustawienia urządzeń. Jest to wystarczające rozwiązanie, gdy ustawienia nie ulegają zmianom, a przedsiębiorstwo ma stabilną infrastrukturę. Niestety, w miarę wzrostu skomplikowania infrastruktury lub jej zmienności administratorzy muszą sięgnąć po dodatkowe narzędzia. Na rynku znajdują się różne narzędzia do centralizowanego zarządzania zaporami sieciowymi, przy czym od automatycznego wgrywania założeń polityki ważniejsza jest pomoc administratorom przy wykrywaniu problemów i ich rozwiązywaniu.

Jak uniknąć konfliktów

Jednym z ważniejszych zadań, którym muszą podołać administratorzy, jest zapewnienie ciągłości działania. Aby dany proces biznesowy był prawidłowo obsługiwany przez IT, muszą być spełnione założenia polityki bezpieczeństwa dotyczące przepuszczania żądanego ruchu do serwerów usługowych. Zatem niektóre zasady ruchu muszą być zachowane, co przekłada się na reguły na zaporach sieciowych. Dobre narzędzie powinno móc zdefiniować reguły, które odpowiadają za ruch biznesowy, i automatycznie wykrywać kolizje, informując administratora, że wprowadzana właśnie reguła skutkuje ograniczeniem dostępu do zasobu A przez klientów ze strefy B, co wpływa na proces biznesowy C. Oczywiście dotyczy to nie tylko opisu protokołów (na przykład http czy https), pul adresów czy maszyn, ale także opisów procesów i aplikacji.

Konflikty mogą dotyczyć nie tylko blokowania ruchu usług biznesowych, ale także przypadkowego zablokowania dostępu przez administratora dla samego siebie. Zjawisko to jest szczególnie dokuczliwe w przypadku sieci rozproszonych geograficznie i może wymagać interwencji po stronie zdalnej. Sprawę utrudnia sieć, która jest wyposażona w urządzenia różnych firm, konfigurowane w odmienny sposób. W natłoku pracy łatwo o pomyłkę, dlatego dobre narzędzie umożliwi sprawdzenie reguł jeszcze przed ich zastosowaniem.

Pomoc przy doraźnych działaniach

Niekiedy administrator musi działać szybko - gdy systemy kontroli pracy serwerów usługowych wskazują na możliwość naruszenia bezpieczeństwa lub też występuje inne niekorzystne zjawisko, reguły muszą być zmienione tak prędko, jak to tylko możliwe. Zatem narzędzia te powinny móc podpowiedzieć, jakie zmiany muszą być wykonane, na których urządzeniach i jakie niosą ze sobą skutki. Jeśli wszystko odpowiada zleceniu, jakie administrator otrzymuje, wystarczy zweryfikować daną zmianę, uzupełnić o komentarz i wprowadzić. Wybór zmian powinien uwzględniać topologię sieci, przy czym administratorzy cenią sobie opcję polegającą na wskazaniu w schemacie połączeń wybranych maszyn lub stref i przyłożeniu kryteriów na połączenia, by otrzymać zestaw reguł do poszczególnych zapór sieciowych, routerów i przełączników. Razem z tymi opcjami oprogramowanie powinno analizować istniejące reguły, by uniknąć powielania lub nakładania się reguł. Tego nie da się zrobić za pomocą arkusza Excela, podobnie kartki z zapisanymi regułami konfiguracji nie zawsze podpowiadają poprawne rozwiązanie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200