Zapory nowej generacji
-
- 14.12.2010
Aplikacja + rola = kontrola
Zastosowanie narzędzi ochrony, które potrafią rozróżnić aplikacje, umożliwia adaptację ochrony w ten sposób, że kontrolowany jest dostęp do sieci nie tylko na podstawie aplikacji, ale także tożsamości lub roli użytkownika. Wtedy uwierzytelniony użytkownik może korzystać z tych aplikacji, na które pozwala mu firmowa polityka bezpieczeństwa. Każdy ruch, który odpowiada aplikacji spoza listy, podlega zablokowaniu. W odróżnieniu od kontroli jedynie per aplikacja, podejście wiążące aplikacje i role sprawia, że obejście zabezpieczeń stacji roboczej nie umożliwia przesłania danych poza sieć lub dostępu do wrażliwej podsieci firmy, na przykład do serwerów aplikacyjnych. Aby uzyskać dostęp do tej części, użytkownik musi być uwierzytelniony za pomocą centralnego systemu, musi znajdować się na liście osób uprawnionych do korzystania z danej aplikacji (lub posiadać przypisaną rolę) i musi łączyć się w dozwolony sposób.
Problemy z migracją
Jeśli organizacja ma zaporę sieciową z bardzo skomplikowanym zestawem reguł, migracja do nowego rozwiązania może być trudnym zadaniem. Przede wszystkim wprowadzenie dodatkowych narzędzi ochrony sprawia, że zapora może blokować pożądany ruch lub też mogą wystąpić problemy z wydajnością. Należy pamiętać, że włączenie wszystkich opcji inspekcji ruchu, a także ochrony powoduje radykalny spadek wydajności większości firewalli, gdyż wzrasta stopień skomplikowania operacji obliczeniowych związanych z tymi zadaniami.
Według Gartnera, zapora sieciowa, by spełniała warunki definicji, musi mieć:
- standardowe opcje firewalla, takie jak NAT, inspekcja stanów;
- koncentrator VPN przeznaczony także dla obsługi ruchu właściwego dla dużych firm;
- system detekcji i prewencji ataków sieciowych, w pełni zintegrowany z zaporą sieciową;
- rozpoznawanie, klasyfikację oraz reguły związane z protokołami, aplikacjami i kontrolą ruchu związanego z nimi. Oznacza to przypisanie ruchu nie tylko do portu, ale także do konkretnej aplikacji, która go generuje;
- dodatkowe opcje, które umożliwiają zaawansowaną kontrolę, na przykład:
x analiza reputacji adresów IP, także za pomocą usług firm trzecich,
x integracja z usługami katalogowymi, takimi jak Active Directory,
x specjalistyczne opcje, na przykład blokowanie niektórych połączeń do i z hostów wykazujących określone właściwości lub podatności.
Nie każda zapora określana przez dostawców jako NGFW ma wszystkie wyżej wymienione opcje, ale najważniejsze, co odróżnia takie firewalle od prostych urządzeń, to świadomość aplikacji oraz reguły do nich przypisywane.
