安全春季大扫除:整理混乱的防火墙规则以降低复杂性

安全春季大扫除大多数安全团队每天都在与复杂的IT基础架构,高级恶意软件和严重 技能短缺 –三重奏迫使他们应对选择的“优先事项”,同时让其他重要的倡议落在了后面。

通常落入安全“待办事项”列表底部的此类任务之一是防火墙规则清除。有这么多事情要做(例如管理下一代体系结构和与复杂的网络犯罪分子作斗争),并且可用资源很少,因此很容易理解安全团队如何将防火墙管理视为琐事。但是,实际上这很关键。

实施防火墙以控制访问。每个防火墙的核心是一个由规则组成的策略,旨在强制执行允许的访问。尽管存在与任何访问权限相关的风险,但通过限制允许的访问权限,组织可以增强其风险状况。但是,不良的防火墙管理可能会产生相反的效果。

由于防火墙规则的数量呈指数级增长(在某些企业中为数以万计)-由于不断发展的威胁,法规遵从性,云计算和先进技术(例如,微分段和软件定义的网络)-不良的防火墙卫生状况很快会导致混乱。一堆陈旧,未使用,多余或不合规的规则。

由于两个主要问题,防火墙策略错误也很常见:关联的复杂性和过度的访问。毫不奇怪,防火墙的复杂性与关联策略中的错误数量之间存在很强的相关性。由于以下三个原因,过度访问非常普遍(并且通常是无意的):

无效的变更管理 –进行更改时未考虑业务风险或根据当前策略如何最佳实施这些风险。

业务需求定义不明确 –变更请求通常缺乏围绕请求背后的业务目标的上下文。善意的安全管理员会尽力根据所拥有的信息来限制访问,但是最终往往会创建广泛的访问规则(“ ANY”),这些规则可以满足企业对及时访问的需求,但缺乏安全性。

停滞 –大多数组织都具有将规则添加到防火墙的成熟方法和步骤,但是很少有策略可以删除不再用于合法业务目的的规则,从而导致未使用规则的数量激增。实际上,我们发现,在典型的组织中,没有使用40-50%的防火墙规则。

所有这些加在一起,您将剩下防火墙策略,这些策略不仅不能有效地控制访问,而且还导致配置错误,性能下降,不必要的风险和合规性差距,所有这些都增加了运营成本,因为防火墙管理员试图这样做。管理复杂的防火墙并纠正策略错误。

我们现在正处于春天的盛放期,没有比现在更好的优先级来清理防火墙规则了。以下是四个建议,可帮助您摆脱安全控制的混乱状况,降低复杂性并改善防火墙规则管理,同时在此过程中增强安全性:

1.消除规则中的技术错误

防火墙策略中的技术错误是可以识别为无效或不正确的规则,或者不符合业务目的的规则。技术错误的主要示例是隐藏规则,其中包括冗余规则和阴影规则。两者都是防火墙(永远不会评估)的规则(或规则的一部分),因为先前的规则将匹配传入的流量。两者之间的区别在于,冗余规则与隐藏它的规则具有相同的作用,而阴影规则则具有相反的作用。

删除隐藏的规则是一个非常低风险的更改,因为删除后,防火墙行为没有任何更改。换句话说,根据定义,隐藏规则永远不会被防火墙评估,因此删除它们不会对策略行为产生影响。但是,识别隐藏的规则并非易事。典型企业防火墙的巨大规模和复杂性使其难以手动执行,因此许多组织转向自动分析,这可以极大地帮助进行准确而完整的识别,并将这一艰巨的过程转变为简单的过程。

2.删除未使用的访问

未使用的访问规则会使防火墙策略膨胀,从而导致混乱和错误。要确定规则使用情况,请针对网络流量模式分析活动策略并将其与之关联。在持续的时间内执行此操作将明确显示使用哪些规则,哪些不使用。识别和删除未使用的规则不仅降低了策略复杂性,而且还提高了整体安全性并有助于合规性计划。

3.查看规则并完善访问权限

规则检查绝对是确保防火墙策略有效控制访问的必要条件。消除错误是重要的第一步。删除未使用的访问权限是一个很好的下一步。但是,简单确定使用规则并不意味着它是必要的。应当根据已定义的业务需求来证明规则的合理性,并且对该规则的需求必须超过其带来的风险。如果不是,则应改进访问权限。

从使用“ ANY”的规则开始,因为这些规则可能带来最大的风险。正如我们所讨论的那样,由于业务需求定义不明确,通常会在访问过多的情况下创建这些规则。完善广泛的访问规则,使其仅包括必要的访问,会对防火墙管理和安全性产生重大影响。

4.持续监控政策

维护有效,高效和正确的防火墙策略是一个持续的过程,需要实时的策略监视和更改审核。目标是在发生违反安全策略的情况时及时收到通知,以便您可以迅速采取措施进行纠正。此外,防火墙规则清除应该是一个经常执行的说明性过程。

多年来,我们一直在听到有关“防火墙的终结”的信息,但事实是,随着网络安全格局的不断发展以及公司对下一代体系结构的越来越多的采用,今天的防火墙比以往任何时候都更为重要。组织不再承担起清理防火墙规则的负担,也无法忽略适当的防火墙管理所提供的许多优点。增强的防火墙性能,降低在更改策略和配置时发生错误的风险,增强的安全状态,对已定义的策略和行业法规的更严格的遵从以及成本的节省,所有的切实好处都唾手可得–您只需消除混乱并整理一下防火墙策略以获取隐藏的奖励。

分享这个