很多情况下,解决方案的实施没有考虑企业整体的安全战略。为了避免这种错误,很重要的是确保你的策略是最新的,你考虑的解决方案支持全面的安全策略。
在考虑各种解决方案时,另一个要点是对企业的要求有清楚的认识。根据加特纳公司(Gartner)的报告,在企业防火墙市场,产品之间只有较少的不同点,因此企业必须根据他们的特定需求选择最终的产品。
本部分介绍的几种不同类型的控制,必须考虑到企业的安全策略,提供你需要确定技术要求的特定案例,然后用你定义的要求与供应商制定一个提案请求(RFP)。最后重要的是,要很好地划分网络和敏感数据,以及满足移动用户的要求。
启用安全的智能策略
启用的首要任务是对用户灌输有关应用、行为和风险的知识。在企业2.0应用的情况下,虽然仍有选择最佳应用的机会,用户很早就因收益而做了决定。 IT的角色是顾问和导师,告诉用户有关的风险和行为-- 并告诉他们哪些应用是满足需要的最好解决方案。启用也要提高应用相关的风险意识。为此,IT员工需要使他们自己成为真正的超级用户。企业2.0的超级用户应是这样的人,“生活”在应用中,并依赖应用解决大多数的任务。对于IT相关者,需要全心全意、没有偏见地采用企业2.0。一旦做到了这一点,IT就成功地教育了用户使用企业2.0应用的所有风险。
管理是有效的,IT应成为智能策略定义的主要角色。还有一点非常关键:IT不是这些策略的唯一所有者,因为策略的有效性和针对性与传统IT的思考量成反比。这可能听起来极有争议,但企业2.0应用有一种成为“禁果”倾向。虽然多数企业2.0的采用从下而上开始,没有执行层的赞同和支持就不会走得太远。这意味着,虽然IT可能会尝试停止企业2.0应用,一旦他们成功,IT就不再依靠管理层的支持。
很多时候,管理讨论会出示错误案例,用户在使用企业2.0应用同时使用其他应用,如社交媒体。这对IT是个简单的论据,但它是最终败诉一方。对IT这不是个明智想法,因为没有这种法律法规的存在,需要管理企业2.0的应用,所以不会造成合规的问题。实际上,在工作中使用正确的工具是明智的。例如,在一个严格监管的环境中,如股票交易,使用即时通讯可能更符合保留和审计的规则。 IT的角色是告诉商人每种工具的影响,参与使用策略的制定,然后监视它的使用。在这个例子中,这一策略可以阻止商人利用脸谱(Facebook)聊天用作即时通讯,而启用MSN代替。
如果基于一组智能策略管理企业,这些策略应该由四个主要利益相关方在企业2.0的环境下制定: IT、人力资源、行政管理和用户。显然,IT部门可以发挥作用,但不能成为严格定义的角色,应作为应用和技术的使能者和管理者。
如果实施和执行应用控制,他们应该是整个企业安全策略的一部分。作为实施应用控制策略过程的一部分,IT应做出一贯努力了解企业2.0应用。这包括为所有预期的目的接受他们,如果需要,应积极地安装他们,让他们在实验室环境中运行,看看他们如何表现。同行们的一起讨论、关注企业2.0网站、留言板、博客和开发者社区都是有价值的信息来源。
员工控制
多数公司有一些应用的使用策略,说明哪些应用是许可的,哪些应用是禁止的。每位员工应了解这一策略的内容,承担不遵守策略的责任,但还有一些悬而未决的问题,包括:
✓鉴于有越来越多的“坏”的应用,如何让员工知道允许哪些应用,禁止哪些应用?
✓如何更新未经批准的应用列表,谁来保证员工知道列表的变化?
✓什么行为违反了策略?
✓违反策略的后果是什么–开除还是谴责?
策略指南的制定往往具有挑战性,因为风险和回报之间的紧张程度已到了必须决定允许什么应用和禁止什么应用。这个问题的核心是,参与策略制定的通常有两个部门-- IT安全部门和人力资源部门--在采用新技术的过程中很多人都被边缘化。当实施新技术和应用后,为安全使用建立一个策略并不容易。
记录员工策略是应用控制的关键,而员工控制作为一种独立机制,在安全启用的企业2.0应用中基本无效。
桌面控制
桌面控制表现对IT部门的明显挑战。应仔细考虑桌面控制的粒度和对员工工作效率的影响。为了在企业中安全启用企业2.0应用,由于有了员工策略,桌面控制就是一个关键部分。如果单独使用无效,可能有以下几个原因。
对桌面锁定的激烈行为,使用户不能安装自己的应用,这是一个容易说做到难的任务。
✓笔记本电脑远程连接、因特网下载、插拔USB驱动器和其他,所有手段安装的应用有可能被批准也有可能没被批准。
✓完全除去用户的管理权限已被证明难以实施,在某些情况下,限制了最终用户的功能。
✓USB驱动器能够运行应用,因此,在网络允许的情况下,可以访问企业2.0的应用。
桌面控制可以补充记录员工策略,作为手段安全启用企业2.0应用。
网络控制
在网络层,需要一种手段识别企业2.0应用,来阻止或控制它们。通过实施网络层控制,IT能最小化使用企业2.0应用所带来的威胁和中断。在网络层,可以使用几种控制机制,每种都有一定的局限,因而降低了他们的有效性。
✓状态防火墙可以作为防御的第一道防线,提供流量的粗过滤,并把网络分割成不同的密码保护区。状态防火墙的一个缺点是:他们使用协议和端口来识别并控制网络的进出流量。这种以端口为中心的设计是相对无效的,因为企业2.0应用能够从一个端口跳到另一个端口,直到找到一个与网络的连接。
✓侵入防御系统(IPS)通过查看流量子集并阻止已知威胁或坏应用,所以把IPS加入防火墙能提高网络的威胁预防能力。但IPS产品缺乏应用广度的了解,也没有监视所有端口所有流量的性能,所以不能算一个完整的解决方案。
✓为了避免降低性能,IPS技术通常仅监视流量的一部分。因此,无法覆盖当今企业所需应用的广泛性。最后,管理防火墙和IPS组合通常是一个繁重的任务,需要在不同策略表中指向不同的管理接口。简单地说,目前捆绑的解决方案不具备准确、策略或性能,解决今天应用的可视和控制要求。
✓代理方案是流量控制的另一种手段,但也一样,他们只能监视有限的应用或协议,这只能监视一部分流量。因此,企业2.0应用只能看到代理封锁的端口,并跳到下一个开放的端口。通过设计,代理需要模仿他们试图控制的应用,使他们更新到现有的应用,以及为新应用开发代理。困扰代理方案的最后一个问题是代理如何终止应用提高吞吐性能,然后在把它转发到目的地。
这些网络控制的挑战是,他们没有识别企业2.0应用的能力;他们仅监视流量的一部分,并受性能问题的影响。
定义需求和制定RFP
创建或更新企业的安全策略后,这时可以定义企业对下一代防火墙方案的要求了。在高层,这包括对供应商的调查,考虑选择哪家。应该对潜在的供应商提以下问题,如:
✓公司的愿景是什么,以及如何实现这一愿景?
✓公司如何创新?
✓什么是企业的文化?
✓它的发展过程是什么?它的质量保证过程是什么?
✓公司规模和财务状况怎么样?
✓公司潜在的收购目标是什么?如果有的话,是为了快速获得它的创新和专有技术,还是为了消灭竞争对手?
✓有多大的客户群?
✓是否有其他客户(甚至是竞争对手),与你的企业在类似的行业?
✓是否有引用的记事或客户成功案例可供分享?
接下来,定义企业的技术要求。幸运的是,你不需要在这里重新发明内容。看看企业的安全策略(见前面的部分),看看实施和支持这些策略需要什么能力。
此外,还有大量的防火墙例子与无处不在的网络安全要求。事实上,多数与数据保护有关的合规要求是基于信息安全的最佳实践。即使企业不受这些法规影响,把他们用作指南并不是坏事。例如,支付卡行业数据安全标准(PCI DSS),适用于处理信用卡或借记卡的每个组织,定义几条防火墙的要求,所有一切都很容易修改,并正式纳入企业的RFP。
找到特定的特性要求,企业的RFP还应满足以下要求,包括应用识别、应用策略控制、威胁防范、管理、网络和硬件。
✓应用识别。描述网关如何能准确识别应用和使用的分类应用机制。
•识别是否基于IPS或DPI技术?如果是这样,在扫描网络流量时,如何解决准确性、完整性和性能问题?
•流量分类的机制是什么,与其他厂商的产品有什么不同?
•如何处理未知的应用?
•是否支持定制的应用特征?
•如何对安全套接字层(SSL)加密的流量进行识别、检查和控制?
•在SSL如何划分正式员工(如银行、购物、医疗)与非正式员工的流量?
•能识别多少种应用(提供列表)?更新应用数据库(例如,软件升级或动态更新)的过程有哪些?
•如果需要新应用,把它加到设备的过程是什么?
•为识别和分析和/或定义定制应用,最终用户是否要提交应用?
•产品是否支持URL过滤?描述该URL过滤数据库。该数据库位于该设备还是其它设备?
•描述/列出其他能用于应用信息收集的安全功能,包括获取细节和用户可视特性。
✓应用策略控制。描述实现基于策略应用控制的过程,所有应用策略控制的参数(如用户、IP地址、日期/时间),以及如何使用他们。
•对所有应用识别都能实现策略控制?
•对特定用户或组都能实现策略控制?
•如何支持远程访问环境(例如,Citrix和终端服务)?
•能对应用数据库中的所有应用实现基于端口的控制吗?
•该解决方案能执行传统防火墙的访问控制吗?
•能从单一管理接口实现策略控制吗?
•当用户尝试访问违反策略的URL或应用时,是否警告了他们?
✓威胁预防。描述入侵防御特性和杀毒引擎。
•列出可以阻止的威胁类型。列出可以阻止的文件类型。
•是否支持数据过滤?
•威胁防护引擎能扫描SSL内加密的流量吗?能扫描压缩的流量吗?
✓管理。描述管理能力和可视工具,使网络上的流量清晰可见。
•设备管理是否需要单独的服务器或设备?
•应用策略控制、防火墙策略控制和威胁防御特性都用同一个策略编辑器启用吗?
•什么工具能提供网络上的应用、威胁和URL摘要显示?
•描述日志可视工具。
•报告工具是否能理解网络如何使用并标出网络使用的变化?
•描述解决方案的记录和报告功能。
•当设备处在大流量负载时,描述如何确保管理访问。
•是否有集中的管理工具?
✓网络。描述网络集成和实施能力。
•描述第2层或第3层的功能。
•是否支持VLAN 的802.1q?VLAN的容量有多大?
•是否支持动态路由(例如OSPF、BGP和RIP)?
•描述QoS或流量整形特性。
•是否支持IPv6?
•是否支持IPSec的VPN?是否支持SSL的VPN?
•有什么部署选项(例如,线内、接头、无源)?
•描述高可用性(HA)功能。
✓硬件。解决方案基于软件、OEM服务器或专用设备?描述架构。
部署事项
重要的是要按最大的性能和效率设计企业网络。在网络的最优位置正确部署NGFW也同样重要。网络分段是合理设计网络和部署防火墙的一个重要概念。虽然有很多不同的方法来分段网络,下一代防火墙具有独特的硬件和软件分段能力结合,使企业能够隔离网络的关键部分,如数据中心。
安全区的概念,目的是为了隔离敏感数据或关键网络基础设施(再如,数据中心),大致相当于网络分段(见图5-1)。安全区是物理接口、虚拟局域网(VLAN)、IP地址范围或它们组合的逻辑容器。加到每个安全区的接口可以在第2层、第3层或混合模式中配置,因而能在广泛的网络环境中部署,而不需要更改网络拓扑。
图5-1:网络分段和安全区。
许多不同的技术可用于网络分段,但是,当把分段作为一种隔离敏感数据或关键基础设施的方式时,需要考虑以下几个关键的要求。
✓灵活性。为了安全目的分割网络,有时需要变更网络体系结构,如果可能,多数公司都避免这个任务。使用IP地址范围、VLAN、物理接口或他们组合的分段网络能力是极为重要的。
✓基于策略的安全。策略必须基于使用用户和应用的识别-- 不仅仅是IP地址、端口和协议。如果不知道和控制到底是谁(用户)和什么(应用和内容)在段内访问,敏感数据可能会暴露给应用和用户,可以轻松绕过基于IP地址、端口和协议的控制。
✓性能。分段意味着在网络位置使用纵深安全策略,通常是关键业务,高密集流量。这意味着,该解决方案提供了安全分段运行,具有千兆的速度、高的会话率和最小的延迟。
移动和远程用户
传统防火墙技术的另限制是为移动或远程用户提供的可视和控制,超出企业防火墙周边的范围。在这种情况下,下一代防火墙的挑战是提供一个解决方案,提供相同程度保护,在本地网络的用户启用应用,不需管理完全独立的一套策略。另一个主要挑战是避免当前解决方案的局限性和缺点,包括:
✓端点安全套件。分发和安装往往会发生问题,同时超载特性通常提出了客户端性能、资源需求和持续管理方面的挑战。
✓云或基于CPE的代理。关联Web服务和产品通常集中在一个窄流量(例如,端口80/只使用HTTP),可能仅有有限的服务和对策集(例如仅过滤URL或恶意件),以及-- 因为它们依赖于代理架构-- 为了避免破坏它们,通常不得不允许很多应用绕过过滤器。
✓通过VPN技术的回程。无论是基于IPSec的VPN还是基于SSL的VPN,差别都不大。当客户端流量直接返到回几个中央站点时,通常会路过VPN网关,在延迟时难免发生碰撞。更令人关注的是:头端设备缺少应用可视和控制,而他们随后用于识别和过滤该流量。
相比较而言,依赖客户端的解决方案,可以按需安装,提供更好的结果。像基于VPN的方法,远程流量用安全隧道发送。在这种情况下,不同的是该连接自动接到最近的NGFW-- 无论是在企业的枢纽设施,在地区或分支办公室,或是公共云/私有云的一部分。从而使延迟最小化,用户的会话由全系列面向应用、用户和内容识别和检查技术来保护和控制--完全与用户在本地网络的情况一样。最终结果是一种易于实现的解决方案,为远程和移动用户提供与它们在办公室同等程度的应用使能和保护。
