Zabezpečení: Firewally nové generace zvýší ochranu

Trouble Ticket
Co řešit: Ve srovnání s firewally instalovanými před šesti lety je současná technologie mnohem důmyslnější.
Akční plán: Vyzkoušet novou generaci firewallů na některých menších místech, a pokud bude vše probíhat dobře, následně zahájit celopodnikové nasazení.

Tento týden jsme v naší firmě začali nasazovat nové firewally. Ty původní byly využívány více než šest let.

V současné době nabízejí firewally založené na aplikační vrstvě mnohem více flexibility, než bylo dříve možné. Inovativní metody řízení datového toku nám umožňují povolit nebo zakázat přenos na základě různých faktorů.

Zvolili jsme zařízení od společnosti Palo Alto Networks, které navíc poskytuje i komplexní ochranu typu UTM (jednotná správa hrozeb), takže můžeme odstranit několik dalších appliancí a správních konzolí.

Zařízení UTM nejsou novinkou a v minulosti jsem si ověřil, že veškerá jimi nabízená funkcionalita měla zásadní dopad na výkon. To je i v současnosti do určité míry pravda – systémy firmy Palo Alto ale využívají několik čipových sad pro odlehčení zátěže a některé funkce jsou vykonávány s využitím paralelního zpracování. Vzniká tak naděje, že snížení výkonu bude akceptovatelné.

Jednou ze sympatických vlastností nových firewallů je možnost integrace s Active Directory. Umožňuje nám to vytvořit pravidla pro aplikace na základě individuálních potřeb. Pokud například naše zásada pro vzdálený přístup nedovoluje použití aplikace pcAnywhere, ale někdo ji legitimně potřebuje v rámci své firemní práce, mohu připsat pravidlo pro použití tohoto softwaru, vztažené pouze na tohoto jednoho zaměstnance. Současně také mohu omezit využití takového druhu vzdáleného přístupu na určité časové rozmezí.

Firewall nové generace samozřejmě nabízí filtrování URL pro omezení přístupu k určitým webům a jejich aplikacím. Nyní však můžeme dělat více než jen blokovat weby s pornografickým, kriminálním, teroristickým a hráčským obsahem – můžeme také definovat nežádoucí druh aktivit, které jsou u některých dovolených webů povoleny.

V současné době umožňujeme našim zaměstnancům přístup k chatovacím aplikacím, jako jsou Yahoo Messenger, Google Talk a dokonce Skype. Firewall nám však umožňuje zabránit přenosům souborů přes tyto systémy. To nám poskytuje nový způsob ochrany našeho duševního vlastnictví díky zákazu šíření citlivých dokumentů jistými faktory. A znovu platí, že pokud někdo potřebuje funkci pro firemní účely, mohu vytvořit výjimku.

Dalším důvodem mého nadšení je, že protokoly firewallu zároveň směrujeme do našeho nového nástroje pro správu událostí zabezpečení (SIEM). Doufám, že zkombinujeme pravidla z firewallu se zásadami z dalších protokolů aplikací a serverů stejně jako s přenosy NetFlow z naší infrastruktury Cisco – tak získáme užitečné informace vztahující se k potenciálním incidentům.

Pokud například firewall zablokuje na portu 80 spojení se záškodnickým serverem navrženým pro převzetí vzdáleného řízení, můžeme zjistit souvislost s dalšími daty a zjistit, jak byl příslušný uživatel napaden odpovídajícím malwarem, zjistit původ infekce a třeba také počet zaměstnanců, kterých se tento problém také může týkat.

Ne všechno najednou
Pro několik našich malých poboček také zprovozníme funkci IPS, i když zatím nebudeme přenosy blokovat, dokud si nebudeme jisti, že jsou pravidla správně vyladěna. Další skvělé funkce zahrnují ochranu před viry a malwarem v reálném čase, tradiční možnosti VPN a pravidla QoS (kvalita služeb), která nám umožní upřednostnit různé typy přenosů.

Úvodní nasazení zahrnuje šest firewallů implementovaných v některých našich menších pobočkách. Pokud budeme s výsledkem spokojeni, budeme v nasazení pokračovat v postupných krocích, a to až v dalších více než 40 místech.

Jsem z této nové technologie nadšen a doufám, že bude její nasazení v našem prostředí úspěšné. Pro všechny případy se však starých firewallů raději zatím nezbavujeme.

Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.