Jak zarządzać zaporami sieciowymi

W wielu klasycznych scenach z filmów i książek grupę przybyszów do miasta lub zamku zatrzymuje w bramie strażnik i pyta: „Stój, kto idzie?”. W zależności od odpowiedzi to wartownik decyduje o tym, czy ich wpuścić.

Cyfrowym odpowiednikiem archetypowego wartownika są zapory sieciowe: stoją na straży naszych firmowych sieci i składają się na ochronę brzegową centrów obliczeniowych. To zapory sieciowe analizują poszczególne pakiety i przepuszczają lub pozostawiają za murem poszczególne typy ruchu sieciowego i usługi. W przeciwieństwie jednak do legendarnych lub historycznych wartowników stosują one oszałamiającą liczbę reguł. Wartownik przestawiany w bajkach miał do czynienia najczęściej z jedną zasadą.

Reguły zapory sieciowej

W rzeczywistym świecie brzegowe zapory sieciowe stosują wyjątkowo skomplikowane polityki obejmujące setki — a nawet więcej — reguł. Są zdumiewająco skomplikowane, ale też jednocześnie wyjątkowo precyzyjne. Trafność polityki decyduje o skuteczności zapory sieciowej. Nieodpowiednia polityka — przepuszczająca ryzykowne usługi lub dopuszczająca otwarcie niewłaściwych portów — może być równoznaczna z całkowitym brakiem zapory sieciowej.

Zapora, zaporze nie równa

Kolejnym problemem są różnice pomiędzy regułami poszczególnych zapór sieciowych. Duże organizacje stosują wiele zapór sieciowych i routerów w konfiguracjach nadmiarowych i o wysokiej dostępności. Najlepiej jest, gdy urządzenia zabezpieczeń brzegowych są synchronizowane, dzięki czemu zmiany zastosowane w jednym urządzeniu są wdrażane tak samo we wszystkich pozostałych w danej architekturze. W praktyce jednak bywa różnie, gdy zestawy reguł z czasem zaczynają się różnić, zmiany są wprowadzane w jednych urządzeniach, a w innych nie. W konsekwencji wartownicy decydują o przepuszczaniu lub zatrzymywaniu na podstawie różnych, czasem wręcz sprzecznych, reguł.

Jak sprawdzić, czy urządzenia działają zgodnie z regułami z tego samego źródła?

Trzeba w jakiś sposób znormalizować wdrażanie polityk oraz weryfikować wdrożenie zestawów reguł we wszystkich zaporach sieciowych, a także innych urządzeniach kontrolujących dostęp, takich jak routery. Zestawy reguł można weryfikować ręcznie, ale wielu specjalistów, którzy robili to niezliczoną ilość razy, wie, że jest to zadanie nie tylko czasochłonne, ale też sprzyjające błędom ludzkim i przeoczeniom (nie wspominając już o nadwerężeniu wzroku).

Jednym ze sposobów rozwiązania tego problemu jest korzystanie z rozwiązań do zarządzania zaporami sieciowymi. Jest to zyskująca na popularności kategoria rozwiązań zabezpieczających, które umożliwiają zarządzanie politykami zapór sieciowych przy użyciu centralnej konsoli. Zamiast utrzymywać rozproszone polityki i aktualizować je ręcznie w poszczególnych zaporach można zarządzać nimi przy użyciu centralnej konsoli — nie oznacza to stosowania jednej polityki we wszystkich zaporach sieciowych.  

W polityce musi być konsensus

Kolejną zaletą centralnego przechowywania polityk zapór sieciowych jest możliwość automatycznego sprawdzania zgodności tych polityk z wymaganiami norm. Automatyczne narzędzia do zarządzania politykami mogą także pomóc w określeniu najlepszego miejsca dla nowej reguły, aby nie przesłaniała dotychczasowych ani nie powodowała konfliktów. Kiedy audytor zażyczy sobie przeglądu reguł zapór sieciowych, wystarczy jeden czy dwa raporty z centralnego repozytorium — nie trzeba już gromadzić stosów konfiguracji z każdego urządzenia w sieciowej infrastrukturze.

Rozwiązania do zarządzania zaporami sieciowymi umożliwiają tworzenie o wiele bardziej precyzyjnych baz reguł, które są bezpieczniejsze, bardziej zgodne z wymaganiami i zoptymalizowane pod kątem potrzeb firmy. Pierwsze badania nad zwrotem z inwestycji wskazują, że automatyzacja może skrócić czas i zmniejszyć koszt audytów zapór sieciowych aż o 75%, a w zależności od stanu baz reguł w organizacji skrócić czas i zmniejszyć koszt zarządzania zaporami o połowę. Korzystanie z właściwie zastosowanej automatyzacji to nie tylko inteligentne zabezpieczenie, ale i inteligentna decyzja biznesowa.