10 saker din nästa brandvägg måste klara av
Palo Alto Networks 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg) 10 saker din nästa brandvägg måste klara av 1. Identifiera och kontrollera applikationer på alla portar Applikationsutvecklare bryr sig inte längre om standard port/protokoll/applikations mappning. Fler och fler applikationer är kapabla att använda icke-standard portar eller de kan byta portar (t.ex. Sharepoint, Instant Messaging, P2P file sharing, eller VoIP). Dessutom är användare mer och mer kompetenta att använda applikationer över icke-standard portar (t.ex. MS RDP, SSH). För att genomdriva policys baserat på applikationer där portar är alltmer irrelevant, så måste er nästa brandvägg ta för givet att en applikation kan använda vilken port som helst. 10 saker din nästa brandvägg måste klara av 2. Identifiera och kontrollera anonymisering och tunnlar De flesta företag och myndigheter har säkerhetspolicys – och verktyg anpassade för att genomdriva dessa policys. Proxys, fjärrstyrningsapplikationer, och krypterade tunnlar används specifikt för att kringgå brandväggar och webfilter. (T.ex. Ultrasurf, Teamviewer) Utan möjlighet att kontrollera dessa applikationer kan inte organisationer genomdriva sina policys, och de utsätter sig för risker som de trodde sig kontrollera via sina säkerhetsinvesteringar. Er nästa brandvägg måste vara kapabel att hantera tunnlar och anonymisering och också se till att få regelbundna uppdateringar på dessa applikationer när de förändras. 10 saker din nästa brandvägg måste klara av 3. Dekryptera utgående SSL Idag är mer än 15% av nätverkstrafiken krypterad med SSL. Inom vissa branscher (t.ex. finans), är det mer än 50%. Givet den ökning av HTTPS för många högriskapplikationer (t.ex. Facebook, Gmail) och användarnas möjlighet att forcera SSL till många hemsidor, så har ITsäkerhetsavdelningen ett större och större svart hål. En modern brandvägg måste klara av att inspektera krypterad SSL trafik och samtidigt vara flexibel nog att ändå släppa igenom viss krypterad trafik (t.ex. webbtrafik till banker och sjukhus) via policy. 10 saker din nästa brandvägg måste klara av 4. Tillhandahålla kontroll av funktioner inom applikationer Många applikationer har idag väldigt varierande funktioner, och dessa introducerar helt skilda risker och värden. Bra exempel på detta är WebEx Presentation mot WebEx Desktop Sharing, och MSN Messenger Chat mot filöverföring via MSN Messenger. Inom organisationer med reglerande krav från myndigheter, eller med behov att skydda immateriell egendom så blir detta enormt stora problem. Er nästa brandvägg måste klara avatt kontinuerligt monitorera trafiken och se efter förändringar – Om en annan funktion dyker upp inom en session måste brandväggen se detta och genomföra en check mot policyn. 10 saker din nästa brandvägg måste klara av 5. Skanna efter virus och malware i tillåtna applikationer Organisationer anammar kontinuerligt nya molntjänster som ligger utanför deras fysiska kontroll. Oavsett om det rör sig om Sharepoint, Box.net, Google Docs, eller Microsoft Office Live, så har man ett behov att dela filer mellan användare. Många infekterade dokument ligger lagrade i molnet via ”collaboration” verktyg, tillsammans med dokument med känslig information. Och idag scannas dessa dokument bara om de kommer via epost och webb, inte via Sharepoint eller SSL krypterade applikationer t.ex. Er nästa brandvägg måste klara av att säkert tillåta dessa nya tjänster, vilket innebär att de måste skannas för hot precis som webb och epost. 10 saker din nästa brandvägg måste klara av 6. Hantera okänd trafik via policy Det kommer alltid finnas okänd trafik som utsätter organisationer för hög risk. Det finns många saker att tänka på när det gäller okänd trafik – att minska den, att enkelt identifiera egenskrivna applikationer som ”kända” i policyn, och kontinuerligt monitorera och visualisera, och blockera om nödvändigt, den okända trafik som fortfarande finns kvar. Er nästa brandvägg måste klara av att klassificera all trafik, vilket ger en positiv kontrollmodell (default deny). En negativ kontrollmodell (default allow) tillåter all okänd trafik så att ni inte vet vad som skadar er, detta gäller samtliga ”stateful inspection” som ex. släpper igenom all trafik på port 80, 443 eller 8080. 10 saker din nästa brandvägg måste klara av 7. Identifiera och kontrollera applikationer som använder samma session Applikationer delar sessioner. För att säkerställa att användare fortsätter använda samma ”plattform”, oavsett om det gäller Google, Facebook, Microsoft, eller Salesforce, så integrerar utvecklarna massor med olika applikationer – som utsätter företag för skilda risker och värden. Låt oss se på Gmail – som har en möjlighet att starta en Google Docs session från Gmails användargränssnitt. Detta är två helt skilda applikationer, och er nästa brandvägg måste klara av att upptäcka det, och sätta en policy var och en av dessa applikationer. Det klarar inte en brandvägg som bygger applikationskontroll på ips blad av. 10 saker din nästa brandvägg måste klara av 8. Tillåta samma visibilitet och kontroll för fjärranvändare Användare befinner sig allt oftare utanför företagets fyra väggar. En stor del av användarna kan idag arbeta hemifrån eller från i princip varsomhelst. Och de förväntar sig att kunna använda sina applikationer via WiFi, mobilt bredband, eller andra nätverk. Oavsett var användaren befinner sig, eller var applikationen befinner sig, så skall samma kontroll och policy kunna gälla. Om er nästa brandvägg tillhandahåller visibilitet och kontroll av applikationer inom företagets fyra väggar men inte utanför så missar man en stor del av högrisktrafiken. 10 saker din nästa brandvägg måste klara av 9. Förenkla nätverkssäkerhet Många organisationer har problem med allt mer information, fler policys, och mer management för en redan överbelastad säkerhetsavdelning. Med andra ord, om man inte kan managera det man redan har på ett bra sätt såhjälper det knappast att introducera fler verktyg. Givet att er brandvägg har hundratals eller tusentals regler, att lägga på ytterligare tusentals signaturer för att kontrollera applikationer på tiotusentals portar ökar komplexiteten och sänker prestandan dramatiskt. Er nästa brandvägg måste klara av att sätta policys baserat på användare och applikationer, vilket förenklar regelverket och management drastiskt. 10 saker din nästa brandvägg måste klara av 10. Leverera samma prestanda med applikations kontroll och AV/IPS påslaget Många organisationer har problem med kompromissen mellan prestanda och säkerhet. Alldeles för ofta blir prestandan lidande när man slår på ips-signaturer eller antivirus. Om din nästa brandvägg är byggd • på rätt sätt så slipper ni kompromissa. Det finns ett stort behov av att genomföra avancerade och komplicerade uppgifter (t.ex. applikations kontroll) på riktigt höga trafikvolymer med snabba svarstider. Er nästa brandvägg måste ha optimerad hårdvara för specifika uppgifter som säkerhet, innehållskontroll och routing.
© Copyright 2024