فایروال ها و پروکسی ها چشمک ترین مباحث IT نیستند ، اما آنها نگهبان ساکت ابر سازمان شما هستند و در محل محیط آنها را به عنوان دروازه بان ها فکر کنید ، تصمیم می گیرید چه کسی وارد می شود و از آنجا خارج می شود.
مانند اکثر ابزارهای امنیتی ، اثربخشی آنها نه تنها به ویژگی های آنها بلکه به نحوه مدیریت و پیکربندی سازمانها نیز بستگی دارد. خواندن را برای کشف استراتژی های عملی برای تقویت امنیت و کارآیی ادامه دهید.
مدیریت ترافیک شمال و جنوب ، شرق-غرب
یک شبکه شرکت معمولی از چندین منطقه برای فضای کاری ، سرورهای برنامه ، بانک اطلاعاتی و موارد دیگر تشکیل شده است. فایروال های خارجی ترافیک بین این مناطق و اینترنت را کنترل می کنند ، که معمولاً “ترافیک شمال-جنوب” نامیده می شوند.
در مقابل ، “ترافیک شرقی-غرب” نشان دهنده جریان بین مناطق داخلی است که توسط فایروال های داخلی اداره می شود (شکل 1 را ببینید). در حالی که پروکسی ها در درجه اول ترافیک خارج از کشور از مناطق محل کار به اینترنت را مدیریت می کنند ، سازمان های بزرگتر نیز ممکن است از آنها برای ترافیک سرور استفاده کنند.
شکل 1: نمونه تنظیم شبکه
شکل 1: نمونه تنظیم شبکه
سازمان ها می توانند خود را کاهش دهند سطح حمله شبکه با مجموعه های قانون خیاطی. حتی یک راه اندازی ساده می تواند شامل سیاست های متعدد خاص در منطقه باشد. به عنوان مثال ، سرورهای پایگاه داده به طور معمول نیازی به دسترسی به اینترنت ندارند. بنابراین ، قانون فایروال برای مناطق پایگاه داده تنظیم شده است و در عین حال اجازه اتصالات ورودی JDBC/ODBC را از مناطق کاربردی مجاز می کند.
چرا کنترل ترافیک خروجی؟
در حالی که امنیت شبکه غالباً بر روی تهدیدات متمرکز است ، سناریویی را که یک متجاوز در آن در حال حاضر در شبکه است ، در نظر بگیرید. کنترل های Egress-از طریق فایروال ها یا پروکسی ها-از جلوگیری از استفاده از داده ها جلوگیری می کنند و از سرورهای آلوده به مراکز فرماندهی و کنترل متوقف می شوند. آنها به عنوان آخرین خط دفاعی خدمت می کنند و قبل از اینکه به یک فاجعه تمام عیار تبدیل شوند ، حمله را مهار می کنند.
مدیریت تغییرات پروکسی و فایروال
فایروال و مدیریت پروکسی از یک قانون ساده پیروی می کنند: تمام درگاه ها را به طور پیش فرض مسدود کرده و فقط ترافیک اساسی را امکان پذیر می کنند. با درک اینکه توسعه دهندگان برنامه های خود را به بهترین وجه درک می کنند ، چرا آنها را برای مدیریت تغییرات فایروال و پروکسی به عنوان بخشی از یک استراتژی “Shift Security Left” توانمند نمی کنید؟ با این حال ، در عمل ، مهلت های تنگ اغلب توسعه دهندگان را به سمت اجرای اتصال گسترده – باز شدن به اینترنت کامل – با برنامه هایی برای اصلاح بعداً سوق می دهد. رفع موقت ، در صورت عدم کنترل ، می تواند به آسیب پذیری های جدی تبدیل شود.
هر متخصص امنیتی می فهمد چه اتفاقی در عمل می افتد. هنگامی که مهلت ها محکم است ، ممکن است توسعه دهندگان وسوسه شوند که میانبرها را بگیرند. آنها به جای اینکه دامنه IP دقیق مورد نیاز را کشف کنند ، با هدف اصلاح این موضوع بعداً به کل اینترنت وصل می شوند. راه حل هایی که به نظر می رسید موقت هستند ، اغلب جمع می شوند و آسیب پذیری های امنیتی قابل توجهی را با گذشت زمان ایجاد می کنند.
برای کاهش این خطر ، سازمان های بالغ به طور معمول دو روش را اتخاذ می کنند:
-
تصویب امنیتی رسمی توسط سازمان CISO برای تغییرات (خاص) و
-
متمرکز کردن اجرای قانون فایروال و پروکسی تغییراتی را تعیین کرده است.
برخی از سازمان ها جلسات هیئت مدیره هفتگی یا دو هفته ای را برای چنین مصوباتی تغییر می دهند و تاریخ اجرای این تغییرات را تعریف کرده اند.
در حالی که چنین فرایندی به حفظ امنیت کمک می کند ، تأخیرها را نیز معرفی می کند – به خصوص اگر تیم های برنامه برای اولین بار درخواست های تغییر را دریافت نکنند و باید آنها را بارها و بارها ، به طور بالقوه از دست بدهند.
حسابرسی تنظیم قانون پس از عمل
به طور دوره ای حسابرسی فایروال و مجموعه قانون قانون برای حفظ امنیت ضروری است ، اما جایگزینی برای یک فرآیند تصویب قوی نیست. فایروال ها و پروکسی ها در معرض تهدیدهای خارجی قرار دارند و ممکن است مهاجمان قبل از اینکه ممیزی های دوره ای آنها را بگیرند ، سوء استفاده از اشتباهات را سوء استفاده کنند.
مسدود کردن اتصالات ناامن در یک فایروال هنگامی که برنامه در حال حاضر به صورت زنده است ، نیاز به مجدداً به برنامه ریزی راه حل دارد که پرهزینه و وقت گیر است. بنابراین ، جلوگیری از تغییرات خطرناک باید اولویت باشد.
یک جریان نرم و صاف تر و سریعتر: اتوماسیون خودکار
یکی از بزرگترین چالش ها ، تعادل سرعت با امنیت است. هر تغییر فایروال یا تغییر پروکسی می تواند پروژه های مهم را به تأخیر بیندازد. پیشرفت های احتمالی به سطح خطر تغییر بستگی دارد:
-
پرخطر: تغییراتی مانند دسترسی به پروتکل دسک تاپ از راه دور (RDP) از اینترنت (تقریباً) بدون در نظر گرفتن اهمیت یک پروژه ، همیشه انکار می شوند.
-
در معرض خطر متوسط: درخواست های غیرمعمول (به عنوان مثال ، پروتکل های UDP برای Skype) یا محدوده IP گسترده نیاز به بررسی دقیق تیم امنیتی دارند.
-
کم خطر: درخواست هایی مانند ترافیک HTTPS به برنامه های وب یا برنامه های اتصال به پایگاه داده از طریق JDBC استاندارد هستند. نیازی به اعتبار سنجی امنیتی نیست.
تسریع تصمیمات متوسط و پرخطر چالش برانگیز است. اگر بودجه وجود داشته باشد ، اختصاص کارمندان بیشتر گزینه خوبی است. افزایش اشتهای ریسک و انجام چک های سطحی تر گزینه دیگر است.
برای تغییرات کم خطر ، ترکیب و اتوماسیون مصوبات و تغییر اجراها به طور قابل توجهی روند را بدون به خطر انداختن امنیت سرعت می بخشد. پیش نیاز این است که سازمان امنیتی معیارهای روشنی را برای آنچه که یک تغییر کم خطر را تشکیل می دهد ، تعریف می کند.
سپس ، تیم Platform Cloud می تواند یک را پیاده سازی کند فایروال و پروکسی API را تغییر می دهد ، همانطور که شکل 2 نشان می دهد. هنگامی که یک تیم برنامه درخواست تغییر می کند ، API بررسی می کند که آیا این درخواست کننده نقش لازم را دارد ، به عنوان مثال ، بر اساس برچسب های منابع.
در مرحله بعد ، API بررسی می کند که آیا این تغییر معیارهای سازمان برای تغییرات کم خطر را برآورده می کند (به عنوان مثال ، JDBC به یک پایگاه داده). اگر چنین است ، API تغییر را بلافاصله مستقر می کند ، اگرچه بستگی به ارائه دهنده ابر دارد که سرعت این تغییر را به سرعت انجام می دهد.
شکل 2: فایروال سلف سرویس و تغییرات پروکسی برای تیم های برنامه از طریق API
شکل 2: فایروال سلف سرویس و تغییرات پروکسی برای تیم های برنامه از طریق API
رویکرد دیگر این است که مسئولیت ها همانطور که در شکل 3 نشان داده شده است ، برای اجزای امنیتی شبکه با داشتن دو کنترل تعارف.
به عنوان مثال ، دو کنترل مکمل ممکن است یک فایروال از منطقه شبکه توپی و فایروال در منطقه صحبت شده – یا فایروال لاجورد در مقابل گروه های امنیتی شبکه لاجورد (NSG) باشد. اگر هر دو طرف درگاه را باز کنند ، ترافیک امکان پذیر است.
ایده اجرای تقسیم این است که فقط تیم مرکزی درگاه های متوسط و پرخطر را مدیریت می کند (همیشه از طرف دیگر باز است) ، در حالی که تیم های برنامه تنظیمات را برای درگاه های کم خطر کنترل می کنند.
هم رویکرد API محور و هم مدل مسئولیت تقسیم نیاز به ادغام با فرآیندهای مدیریت تغییر برای حفظ مسیرهای حسابرسی جامع دارد.
شکل 3: اجرای سلف سرویس با مسئولیت های تقسیم شده
شکل 3: اجرای سلف سرویس با مسئولیت های تقسیم شده
پیام خانه
مدیریت فایروال و مدیریت پروکسی در مورد تعادل آزادی و امنیت است – توانمندسازی مهندسان برای ادامه حرکت پروژه ها در حین محافظت از شبکه. با نوآوری در زیرساخت ها به عنوان کد (IAC) ، خدمات ابری عمومی و اتوماسیون ، سازمان ها می توانند تغییرات کم خطر را ساده تر کنند و باعث کاهش تأخیرهای بوروکراتیک بدون قربانی کردن امنیت شوند.
اعتصاب تعادل مناسب ، یک منظره کاربردی امن و چابک را تضمین می کند – یکی از مقاومت در برابر تهدیدهای سایبری در حال تحول.