如果非要从各种各样的安全措施和手段中选择一种作为开展安全运营工作的起点,那我认为最合理也可能是最行之有效的就是——用好防火墙!
基础和围栏
还是喜欢把信息安全和公众安全做类比说明,感觉比较直观,也易于理解。
众所周知,无论是国防安全、厂区安防还是农场防护,最基本的措施和方法就是划定边界控制线,并在控制线前后修建各式各样的“围栏”,并在围栏周边“站岗”、“巡逻”。比如我们伟大的万里长城(当然还有万千争议的GFW,嘿嘿)、边防检查站、海关、各小区的围墙和门口的大爷以及防止牛马乱跑的木栅栏,统统都是物理意义上的防火墙(策略)。而只有具备了这些基础措施,才能进一步制定边防制度、安排保安工作、划定牛马活动范围。
现在几乎所有的组织在开展信息安全防护工作的第一步都会部署防火墙,也应该让所有的安全管理人员都认识到防火墙是最基础和最必要的安全控制措施,是几乎所有其他安全工作开展的前提和基本保障。
逐渐消失的防线
可是,同样的边防措施、同样的围墙栅栏,结果却是出现了完全不一样的边防等级和社区治安环境,并且会随着时间逐渐变差。究其原因,还是这些最最基本的措施和手段在日复一日的繁重的“运行工作”中,被“习惯”、被修改(通融)、被逐渐的边缘化。
同一台防火墙随着规则的不断累积增加,其可管理性会逐渐降低。假如再经历几次管理人员的变更,那么这台防火墙的使用价值将会急剧降低,甚至出现只要设备连通性不出问题就“万事大吉”的悲惨结局。如果将这样的防火墙数量变为几十、成百、上千之后,防火墙的管理和使用只能用“灾难”来形容。为了避免这样的“灾难”发生,许许多多企业防火墙管理员总结出了一套可悲的实用方法:规则只增不减、业务只通不断。甚至许多企业把每年都购买的防火墙设置成了透明模式,或者仅仅作为NAT转换设备使用。
这些年久失修的城墙、无人看守的大门、没有栅栏的围栏,逐渐的失去了实用价值,成为了安全运营工作中只能缅怀的“文化遗产”。
回归本质
想要让防火墙找回其原本的价值,依据不同的组织规模和业务类型,制定一个行之有效的防火墙运营和管理制度,应该是安全运营工作中最重要最基础的工作(不得不感概一下GFW的运营做得相当不错)。力争做到配置规范、传承有序。
在有条件的情况下,尽量选择单一厂家的防火墙产品(考虑国情和商务环境,实际工作中不超过三家,也是可以接受的)。这能够有效减少使用成本,并且为后续的集中管理运营创造最为优良的条件。
对防火墙策略和配置的原则进行全局规范,建立控制基线。有能力的可以考虑对规则和配置进行自然语言描述,增强人工可读性。
如果防火墙数量和部署层级较多,应该尽量考虑利用技术手段实现防火墙策略和配置的集中管理。对长期失效、冗余、过于宽松甚至前后冲突的规则具备自动发现能力(再进一步就是集中配置),同时对防火墙自身的安全状态也能够方便查看。而且能够利用分布在不同边界的防火墙实现应对安全威胁时的协同工作,为安全运营提供基础的SECaaS能力。
价值提升
利用防火墙的基础特性,如果结合安全运营中对业务间(或系统间)访问关系的梳理,我们完全可以进一步做到安全域间的精细化访问控制。利用业务访问白名单规则,快速发现数据中心内部异常访问和异常业务行为。
甚至利用防火墙对于五元组的良好控制特性,我们还能够梳理出一套业务和数据访问的过程化管理模型,为大数据安全分析、智能感知等提供最具价值的安全基础支撑。
未来,结合了SDN的虚拟化防火墙,也将会在云计算环境中持续发挥巨大作用。
其实,防火墙对于安全运营的价值还远不止以上所述,限于篇幅不再展开。关于安全运营的其他想法,我们以后继续聊。
本文固定链接:
http://www.sec-un.org/talking-about-the-safe-operation-of-the-underrated-firewall.html
转载请注明: 驭龙 2014年11月18日 于 Sec-UN 安全圈 发表