Dużo zapór w jednej sieci

Która to wersja?

Czy administrator może „odciąć sobie dostęp”?

W starszych urządzeniach, szczególnie przeznaczonych dla sektora MSP, jedną z najgorszych zmor administratora było wprowadzenie zmiany konfiguracji, która sprawiła, że utracił możliwość zdalnego zarządzania. Obecnie zdarza się to jednak rzadko. Robert Dąbrowski wyjaśnia: „Nowoczesne firewalle są zazwyczaj tak zarządzane, że reguły dotyczące zdalnego dostępu do samego urządzenia są w innym miejscu niż reguły filtrowania ruchu. Odcięcie połączenia może nastąpić wtedy, gdy ruch jest wcześniej poddawany kontroli na innych urządzeniach lub przechodzi wewnątrz osobnego kanału komunikacji. Możliwy jest także ludzki błąd, ale w tej części konfiguracji zdarza się on rzadko”.

Nowoczesne zapory mają także możliwość automatycznego przywrócenia poprzedniej, sprawdzonej wersji konfiguracji, jeśli połączenie nie zostanie ponownie nawiązane. W przypadku błędu zapora przywróci poprzednią wersję konfiguracji, by administrator mógł się ponownie zalogować i naprawić błąd.

Prowadzenie repozytorium razem z opisami każdej ze zmian umożliwia szybką reakcję i przywrócenie poprzedniej wersji reguł, często na wielu urządzeniach jednocześnie. Zdarzenia takie mogą występować w przypadku analiz powłamaniowych, gdy trzeba odtworzyć reguły i możliwości filtrowania ruchu w chwili włamania. To dość skomplikowane zadanie, a jeśli ruch, np. z oddziału do internetu, przechodzi przez kilka firewalli (co w dużych środowiskach bywa regułą), to właściwy stan reguł należy odtworzyć na każdym z urządzeń.

O wiele jednak częściej zdarza się, gdy zmiana powoduje ograniczenie dostępności rzadko używanej usługi. Zazwyczaj w takim przypadku administrator przywraca poprzednią wersję reguł, żeby usługa była dostępna, a następnie wprowadza zmiany do najnowszej wersji, by docelowo odblokować transmisję związaną z tą usługą.

Zobacz również:

  • Firewall as a Service - nowy trend w cyberbezpieczeństwie

Sprawne wersjonowanie umożliwia także szybkie prowadzenie zadań związanych z nowymi usługami. Wtedy administratorzy przygotowują nowy zestaw reguł, wdrażają na wybranych zaporach, uruchamiają usługę, a po zakończeniu testów wracają do poprzedniej wersji.

Problemy operatora data center

Przy zarządzaniu wieloma zaporami sieciowymi głównie wspominamy o przypadku wielooodziałowej organizacji, ale nie są to jedyne podmioty, które muszą zmierzyć się z tymi problemami. W podobnej sytuacji znajdują się niektórzy operatorzy centrów przetwarzania danych. Co prawda wszystkie zapory są tam zlokalizowane w obrębie data center, niekiedy wewnątrz kilku fizycznych urządzeń, ale nadal na każdy z firewalli trzeba przygotować i wdrożyć reguły zgodne z założeniami polityki bezpieczeństwa.

Zasady będą podobne, zmienia się jedynie skala ruchu internetowego oraz stopień złożoności spowodowany przez to, że każda z firm może mieć nieco inne środowisko. W przypadku operatora istotny jest również krótki czas reakcji na zgłoszenia z wielu źródeł, gdyż musi on zapewnić bezpieczeństwo wielu różnym firmom. Zarządzanie takim środowiskiem bez sprawnego, centralnego repozytorium z automatycznym wprowadzaniem zmian na wszystkie urządzenia wydaje się zadaniem przekraczającym możliwości niewielkiej ekipy IT.


TOP 200