虽然防火墙可用来帮助解决基本的网络安全性问题——可视和可控,但是快速配置修复以及缺乏关于这些修改的交流可能会导致企业陷入困境。防火墙变更管理和自动化则可以帮助解决这些问题。
最近,我为一家大型公司提供咨询服务。该公司的IT员工对一个关键防火墙做了一些管理变更,结果导致它失效了。网络防火墙和公司的电子商务平台在一段时间内都是中断的。结果遭受了重大的财务损失,这些损失不仅是系统被迫中断,还包括从外部聘请专家花费一周多的时间来查找问题所在。***我们发现这家公司没有正确的变更管理政策、过程和技术。更讽刺的是,公司已经很好地开展了一个最终本该能够帮助它避免这种情况的ITIL采用项目。
不管网络的状态如何,实施防火墙变更管理流程有助于公司避免导致错误的手动变更,同时可以在员工之间实现更好的交流。一旦IT团队拥有了一个持续更新的网络状态,那他们就可以更容易地符合不断变更的规范要求。
防火墙变更管理和自动化管理
一个稳定的防火墙变更管理过程并非是一个哗众取宠的条文,而是每个人都必须遵守的一些真实流程。虽然“变更管理”这个词看起来比较复杂,但实际上它并不一定复杂。变更管理只是规范我们的工作方式以及记录所有防火墙的变更信息,包括是变更人、变更内容、变更时间、变更原因和变更方法。此外,还有一些工具可以自动化日常的防火墙管理任务,并将这些变更和流程联系在一起,因此它们作为变更计划的一部分被记录下来。事实上,自动化技术可以弥补变更管理程序与真正实现的变更之间的差距。它们能够提高精确度并且在很大程度上避免人数超过预定范围,这样可提高效率并降低业务风险。
防火墙管理工具应注意的问题
因此,问题出现了:您是应该使用第三方防火墙管理和诸如Tufin或AlgoSec的审计解决方案呢,还是依赖于您现有系统的原生控制呢?预算会是一个考虑因素,网络复杂性也是必须考虑的。如果您打算购买一个工具,那么您需要注意以下几点:
工具是如何跟踪防火墙政策变更的?
解决方案是否提供假设分析?(例如,如果您执行了X或Y变更,会出现什么结果?)
在正确考虑业务持续性之后,解决方案是如何确保变更的实现?
解决方案可以支持您所有现有的平台/供应商吗?
解决方案是如何帮助实现对当前风险和规范级别的(实时)审计?
解决方案是如何帮助实现职责、审计日志和总体责任的分离?
虽然实现完整周期的可持续和可重复的过程需要预付和持续的投入,但是它们的回报是值得的,它允许您关注更多的策略和分析问题,而不是只停留在网络安全性的小细节上。
如果您正确地实现了自动化防火墙管理,那么您就不需要进行很多的演练,并且当防火墙配置变更出错时,也不会导致整个网络出现中断。此外,审计可以无缝地进行,而且可以更快地实现精确的变更。
【编辑推荐】