2008年9月19日 星期五

企業防火牆管理 (Enterprise Firewall Management)

這篇繼「企業防毒管理 (Enterprise Anti-Virus Management)」一文。
防火牆(Firewall),維基上的說明在這裡,這篇主要還是以「網路層防火牆」管理為主。防火牆在資安防護佈署策略上,大多都是第一道防線,理論上也應該是要成為第一道防線。有的會把入侵偵測防系統在前面,但,我不知這樣佈署有任何意義,完全是不負責任的佈署,這部分等寫「企業入侵偵測防護管理」一文時再做說明。倘若防火牆加以「嚴密」管控通常能省去許多資安問題,我還是一句話:「管的越嚴謹,近乎求疵地步,資安人員得日子就會越愜意」。

我還是要在強調,資安防護是一場組織戰,有了戰略與策略之後,如何把資安防護組織起來,對抗外在的風險與威脅,甚至發掘內在的弱點與威脅因子,這是很重要的一個過程。

經常忽視的重大議題:
1.Policy 程序
只有建立 Policy 的程序,卻沒有真正的所謂的「維護」,所有資安設備在維護階段是很重要的一環。網路開通了以後就不管了,變萬年規則,這是很常見的網管觀念,然後就是等出事才會去理它,哪...能不出事的唄。
2.整合資訊安全政策或網路政策
Policy 的建立,幾乎沒有整合或結合所謂的資訊安全政策或網路政策等。防火牆管理者知道哪些 Policy 是不能開設的嗎?如果沒有,防火牆就會大開後門了。最常見的,明明就是獨立、隔離網段,但防火牆卻有開後門做管理。
3.管理權責劃分
防火牆、網路、系統管理的權責劃分。如果有一個人身兼多份工作,這個人就極可能成為企業虛擬世界中的神。所以要注意權責劃分問題。
4.Outbount控管
很多防火牆管理者只重 Inbount 的管理,卻疏於對 Outbount 的管理,但這不是防火牆管理者的錯,因為,從來就沒有人說要管的。
5.Policy複雜且異動頻繁
Policy 設定過多、且異動頻繁,這都是一個嚴重警訊。防火牆的政策英文是用 Policy ,就是不能朝令夕改的。

企業防火牆管理觀念:
1.防火牆與網路架構為一體,但先要有網路架構在佈署防火牆,因為,在網路規劃時就要有資訊安全的觀念,防火牆是實現資安的策略之一,也是極重要的關卡,不能輕忽之。如果防火牆 Policy 失守,等同網路架構失守。
2.資訊安全政策或網路政策...等,與防火牆也會密切相關,也會有關於防火牆管理的規則、條文,如隔離網段就是隔離網段,有些 Policy 就是不能開放設定的,所以,一切「依法行政」就對了。防火牆管理者是否清楚知道哪些是不能開的。如有窒礙難行,務必尋求資安推動小組或管理階層反應,進行相關規則、條文的修改,甚至需要調整網路架構的。
3.防火牆 Policy 設定、作業流程,相關申請、修改、刪除的程序需要明訂,並建立覆核機制,這整個流程機制需要經得起考驗的;這部分在需多稽核單位或人員上都已經有特別要求,就是做的任何申請、修改、刪除的程序要有跡可循,所以這比較會有共識,但很重要的一點:法條是需要人去遵守的,法條有值得人遵從嗎?
4.防火牆已開放的通訊埠(Port)就需要有配套加強防護或管制,無論 Inbount(防護)或 Outbount(管制)皆是。這是非常重要的觀念,防火牆是用來開放通道的,用這點去想就對了
5.防火牆的好朋友-虛擬私有網路(Virtual Private Network, VPN),VPN 管理與防火牆管理觀念相當類似,後續會再針對 VPN 管理加以說明,如要避免防火牆 Policy 異動過於頻繁,請務必善用 VPN 來輔助防火牆管理,也只有透過 VPN 管理才能達到更好的安全性。另外,我深深覺得 VPN 應該用來內部使用的,而非 Internet 使用。
6.防火牆連線記錄的報表管理。啥...防火牆要出報表,不要懷疑,能出的好連線記錄報表,可以發現很多資安事件的。雖然防火牆有報表功能,但多半沒有太大用處的,且目前並沒有太多的工具,甚至是分析軟體,所以需要花費點功夫的。最基本的連線記錄報告,是可以回頭稽核防火牆管理,明明是獨立網段卻有連線記錄,這樣不就抓包了;如果功力好還可以查覺惡意程式的連線行為,是屬於未知惡意程式哩,千萬別小看防火牆記錄的威力。重要的是你想要哪些分析報表呢?
7.防火牆系統運作、稽核記錄與稽核報表。主要是相關人員登入登出記錄與統計、防火牆異動記錄統計、系統負載流量記錄統計,甚至運作異常的統計分析...等。這些都是健康與內稽的重要數據指標。
8.有部電影:防火牆(Firewall),官方網址在這裡這裡這裡有中文介紹。避免「人」成為弱點,就需要權責劃分。如果一個人管防火牆、網路兼系統...這個人等同企業網路的神了。
9.其實,防火牆管得好不好,防火牆管理者最清楚;最怕是防火牆管理已經經手多次,而經手人都是一團亂帳,哪就無力扶正,也無從匡正了。

防火牆明明已經是很成熟的產品了,但...它的管理似乎不是哪麼成熟,為啥會這樣咧?你得好好想想。其他還有很多資安產品的,你又管好了嗎?話說回來還是人才的問題

2 則留言:

當不勒 提到...

「如果一個人管防火牆、網路兼系統...這個人等同企業網路的神了」

這句話不知道是「褒」還是「貶」?

一個人當三個人用 ... 是要說他的能力跟神一樣,還是說他跟神一樣可以主宰這個企業?

電影頭文字D 內不是有一句台詞:「神也是人 ...」

望觀台灣目前的中小型企業 ... 哪裡生的出三個?

Crane_Ku 提到...

這句話並沒有褒或貶之意,只是描述一些情況。小公司這種情況並不足為奇,但是隨著公司成長,小公司也會變成大企業,情況必須跟著改變。我還看過 300 人的企業還有這種情況,也許是公司擴張很快,但內部資訊部門並未跟著成長,導致資安問題不斷。我只是發現這情況還普遍存在,讓我無法想像的。
有些資訊人員真的不食人間煙火,單純到可以用脆弱形容...XD