Zapory pod specjalnym nadzorem
- 18.10.2011
Gdy w firmie jest wiele zapór i routerów łączących różne podsieci lub skomplikowane reguły utrudniają analizę, należy sięgnąć po narzędzia, które ułatwią pracę administratorom.
Jak uniknąć konfliktów
Jednym z ważniejszych zadań, którym muszą podołać administratorzy, jest zapewnienie ciągłości działania. Aby dany proces biznesowy był prawidłowo obsługiwany przez IT, muszą być spełnione założenia polityki bezpieczeństwa dotyczące przepuszczania żądanego ruchu do serwerów usługowych. Zatem niektóre zasady ruchu muszą być zachowane, co przekłada się na reguły na zaporach sieciowych. Dobre narzędzie powinno móc zdefiniować reguły, które odpowiadają za ruch biznesowy, i automatycznie wykrywać kolizje, informując administratora, że wprowadzana właśnie reguła skutkuje ograniczeniem dostępu do zasobu A przez klientów ze strefy B, co wpływa na proces biznesowy C. Oczywiście dotyczy to nie tylko opisu protokołów (na przykład http czy https), pul adresów czy maszyn, ale także opisów procesów i aplikacji.
Konflikty mogą dotyczyć nie tylko blokowania ruchu usług biznesowych, ale także przypadkowego zablokowania dostępu przez administratora dla samego siebie. Zjawisko to jest szczególnie dokuczliwe w przypadku sieci rozproszonych geograficznie i może wymagać interwencji po stronie zdalnej. Sprawę utrudnia sieć, która jest wyposażona w urządzenia różnych firm, konfigurowane w odmienny sposób. W natłoku pracy łatwo o pomyłkę, dlatego dobre narzędzie umożliwi sprawdzenie reguł jeszcze przed ich zastosowaniem.
Pomoc przy doraźnych działaniach
Niekiedy administrator musi działać szybko - gdy systemy kontroli pracy serwerów usługowych wskazują na możliwość naruszenia bezpieczeństwa lub też występuje inne niekorzystne zjawisko, reguły muszą być zmienione tak prędko, jak to tylko możliwe. Zatem narzędzia te powinny móc podpowiedzieć, jakie zmiany muszą być wykonane, na których urządzeniach i jakie niosą ze sobą skutki. Jeśli wszystko odpowiada zleceniu, jakie administrator otrzymuje, wystarczy zweryfikować daną zmianę, uzupełnić o komentarz i wprowadzić. Wybór zmian powinien uwzględniać topologię sieci, przy czym administratorzy cenią sobie opcję polegającą na wskazaniu w schemacie połączeń wybranych maszyn lub stref i przyłożeniu kryteriów na połączenia, by otrzymać zestaw reguł do poszczególnych zapór sieciowych, routerów i przełączników. Razem z tymi opcjami oprogramowanie powinno analizować istniejące reguły, by uniknąć powielania lub nakładania się reguł. Tego nie da się zrobić za pomocą arkusza Excela, podobnie kartki z zapisanymi regułami konfiguracji nie zawsze podpowiadają poprawne rozwiązanie.