NGFW - wydajność czy bezpieczeństwo?
- Kamil Folga,
- 10.11.2014, godz. 09:00
McAfee przeprowadził badania, z których wynika, że co trzecia organizacja wyłącza część funkcjonalności bezpieczeństwa rozwiązań NGFW (Next-Generation Firewall) w celu zwiększenia wydajności zapory ogniowej. Najczęściej deaktywowaną warstwą jest system IPS (Intruse Prevention System).
Z grona 504 profesjonalnych administratorów biorących udział w badaniu, blisko 32% potwierdziło częściową deaktywację podstawowej filtracji pakietów, 31% deaktywację IPS, 29% deaktywację system antyspamowego, a wyłączenie funkcjonalności VPN prawie 28%. Niespodziewanie prawie 28% administratorów potwierdziło także wyłączenie systemu antywirusowego, a 23% funkcję ostrzegania przed niebezpiecznymi aplikacjami. Niewielka grupa administratorów nie wyłączała funkcjonalności, ponieważ nigdy ich nie aktywowała, podejrzewając szkodliwy wpływ na wydajność urządzenia.
Część problemów wynika z faktu, że obecnie zapory ogniowe posiadają wiele warstw bezpieczeństwa, a metoda konfiguracji prowadząca do uruchomienia wszystkich jednocześnie jest prawie intuicyjna. Włączenie większej ilości filtrów bezpieczeństwa wpływa na wydajność zapory ogniowej, szczególnie w przypadku starszych systemów. Wybór pomiędzy wydajnością a bezpieczeństwem jest jednak szybką drogą do katastrofy. Administratorzy nie mogą wybierać pomiędzy wskazanymi ideami.
Zobacz również:
Rekomendacje dla działów bezpieczeństwa sugerują wykonanie rozbudowanych testów NGFW, przed podjęciem decyzji o wyborze NGFW. Testy powinny zawierać badanie przepustowości, skalowalności, systemu prewencji intruzów (Deep Packet Inspection), pomiary wydajności dla określonych protokołów sieciowch, a także zdolność do wykrywania AET (Advanced Evasion Techniques). AET stanowi typ ataku sieciowego, który łączy kilka różnych metod znanych metod obejścia zabezpieczeń w celu stworzenia nowej metody. Nowa metoda realizuje atak na kilka warstw sieci jednocześnie. Wynikiem testów określonych NGFW dla części projektów, może być wniosek o niewystarczającej liczbie zasobów. W takim przypadku lepszym rozwiązaniem będzie rozproszenie funkcji bezpieczeństwa pomiędzy wiele urządzeń, niż ograniczenie liczby warstw ochronnych na potrzeby wydajności.