NGFW - wydajność czy bezpieczeństwo?

McAfee przeprowadził badania, z których wynika, że co trzecia organizacja wyłącza część funkcjonalności bezpieczeństwa rozwiązań NGFW (Next-Generation Firewall) w celu zwiększenia wydajności zapory ogniowej. Najczęściej deaktywowaną warstwą jest system IPS (Intruse Prevention System).

Z grona 504 profesjonalnych administratorów biorących udział w badaniu, blisko 32% potwierdziło częściową deaktywację podstawowej filtracji pakietów, 31% deaktywację IPS, 29% deaktywację system antyspamowego, a wyłączenie funkcjonalności VPN prawie 28%. Niespodziewanie prawie 28% administratorów potwierdziło także wyłączenie systemu antywirusowego, a 23% funkcję ostrzegania przed niebezpiecznymi aplikacjami. Niewielka grupa administratorów nie wyłączała funkcjonalności, ponieważ nigdy ich nie aktywowała, podejrzewając szkodliwy wpływ na wydajność urządzenia.

Część problemów wynika z faktu, że obecnie zapory ogniowe posiadają wiele warstw bezpieczeństwa, a metoda konfiguracji prowadząca do uruchomienia wszystkich jednocześnie jest prawie intuicyjna. Włączenie większej ilości filtrów bezpieczeństwa wpływa na wydajność zapory ogniowej, szczególnie w przypadku starszych systemów. Wybór pomiędzy wydajnością a bezpieczeństwem jest jednak szybką drogą do katastrofy. Administratorzy nie mogą wybierać pomiędzy wskazanymi ideami.

Zobacz również:

  • IPS, OLED, mini-LED czy QLED - jaka matryca do pracy?

Rekomendacje dla działów bezpieczeństwa sugerują wykonanie rozbudowanych testów NGFW, przed podjęciem decyzji o wyborze NGFW. Testy powinny zawierać badanie przepustowości, skalowalności, systemu prewencji intruzów (Deep Packet Inspection), pomiary wydajności dla określonych protokołów sieciowch, a także zdolność do wykrywania AET (Advanced Evasion Techniques). AET stanowi typ ataku sieciowego, który łączy kilka różnych metod znanych metod obejścia zabezpieczeń w celu stworzenia nowej metody. Nowa metoda realizuje atak na kilka warstw sieci jednocześnie. Wynikiem testów określonych NGFW dla części projektów, może być wniosek o niewystarczającej liczbie zasobów. W takim przypadku lepszym rozwiązaniem będzie rozproszenie funkcji bezpieczeństwa pomiędzy wiele urządzeń, niż ograniczenie liczby warstw ochronnych na potrzeby wydajności.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200