在PCI数据安全标准审计和HTTP应用普及的时代,基于电子表格的防火墙策略管理似乎早已落伍。然而,许多公司仍然在15年前使用的电子表格中保留了数以千计的防火墙规则。网络和安全管理员经常会问这样的问题:“这条规则是谁写的,为什么写的?”答案通常是,“前首席执行官拉里需要通过NetZero拨号访问财务数据。”然后是出现的问题:“你认为我们可以删除它吗?”然而,答案通常是不确定的。防火墙策略管理在许多IT部门都是一团糟。根据防火墙管理软件提供商AthenaSecurity***的一项调查,95%的工程师都会遇到防火墙审计问题,因为所需的手动过程非常耗时。此外,审核通常是一个快照,一旦另一个管理员使用工程师的密码添加新规则,它就会过期。在Athena调查的841名工程师中,90%的人表示他们的防火墙由于不必要的、冗余的防火墙规则而失败。他们想抛弃规则,但他们应该从哪里开始呢?全球消费品制造方面的风险管理专家杰夫克莱默说:“我花了半个晚上的时间来担心我们的防火墙中是否有一些不应该存在的规则,或者有人未经授权添加了规则。是否有人得到“在我的防火墙中,然后添加违反规范或安全法规的规则?或者,是否有人明目张胆地添加窃取公司信息的规则?老实说,我不确定此时是否会出现这些问题。”Kramer正在安装Athena的FirePAC,以改进他拥有15,000名员工的公司的防火墙规则管理。该软件将监控大约50个Cisco和CheckPoint防火墙。购买FirePAC的原因主要是为了改进公司对PCI的审计。“我们检查了一些PCI审计流程,发现防火墙规则集检查流程存在一些问题,”他说。“而且,最后的审计过程确实存在重大问题,它显然造成了一些合规性问题。我们设法通过了审计。纠正了我们的做法,但进行防火墙规则检查所需的人力显然是不可接受的。“防火墙策略管理:新兴的第三方软件Gartner研究副总裁GregYoung指出,Athena、TufinTechnologies和Algosec等防火墙策略管理供应商服务于这个规模虽小但不断增长的市场,它们需要获得防火墙规则管理服务。当然,并不是每个公司都需要这种第三方软件,这些公司通常要等到灾难发生后才意识到自己需要这种软件。Young说:“这就像:只有出现问题时——规则库才是太大或审计有大问题或人手不足,这将提醒他们使用这些工具。根据Young的说法,有四种情况促使企业购买防火墙策略管理软件:◆复杂的环境:拥有大量防火墙的公司往往难以理解所有设备的作用,或者因为数量太多而无法有效管理。◆高动态防火墙环境:“即使是少数也可能存在错误配置或漏洞,因为环境在不断变化,”Young说。》◆多厂商防火墙环境:防火墙厂商自己提供了一些管理软件,但这些软件与其他厂商的产品不兼容。许多大型企业部署了来自多个供应商的防火墙产品。比如Kramer的公司在Theedgenetwork中使用CheckPoint,同时使用Cisco设备对内部网络进行分段。严格的审计要求:如果公司增加审计的严密性,尤其是像PCI或HIPAA审计,帮助审计人员记录防火墙规则的人力可能会非常大,并且可能会放大前面提到的其他三个因素。如果防火墙很少,都是静态的或都来自同一个供应商,那么这些工具可能不是很有用。“除非这些防火墙加载了某种带有大量规则的怪异策略。”虽然现在规模很小,但确实需要防火墙策略管理工具的公司数量正在增长。随着我们创建的应用程序具有越来越多的方面,配置可以处理它们的防火墙也变得越来越困难。不再是每个端口处理一个连接的问题。当部署到云环境时,防火墙监控的连接状态是Web,非常复杂,因此规则库会变得更大更复杂。随着更多的企业和应用上线,这些工具的使用将慢慢增加。》#p#Application防火墙策略管理工具:不可能一蹴而就防火墙策略管理软件已经建立了一个工作流程和一个自动化的配置管理系统,可以将防火墙策略映射到防火墙规则,这需要工程师调整规则变更并维护所有配置即时记录.这种即时记录非常适合向审计员提供合规性验证。这些工具还可以演示防火墙规则如何影响网络安全。它们可以识别一些狡猾的规则,同时还能够识别一些冗余或过时的规则。Kramer正在他的应用程序中实施FirePAC公司,但不得不搁置该项目,因为他需要完全投入到新的PCI审计周期中。“因为我们的一些防火墙非常大,需要时间,”他说。完成消化和清洗。是大型企业业务扩展的直接结果。在启动并运行FirePAC之后,Kramer希望公司的安全工程师将跟进产品,以便改进防火墙规则的整体管理。.安全工程师还没有到位。我们公司还存在一些组织问题,中层管理人员无法动员各个团队一起工作。因此,执行路由器和防火墙的日常安全和配置的人员与直接负责整个公司安全架构的风险管理人员完全分开。“Kramer只需要监控安全工程师的防火墙操作。”但是,我相信,当我们正确部署并且人员到位时,人们会开始更多地购买该工具。“
