دیر زمانی بود که، بسیاری از سازمانها، فایروال های معمولی را در شبکه های خود مورد استفاده قرار میدادند، و مدیریت آنها نسبتا ساده بود. اولین فایروالی که از لیست های دستیابی بدون تابعیت استفاده کرد، نیازمند این بود که کاربران به صراحت قوانین هر دو ترافیک خروجی و بازگشتی را، در جایی که زیربنای امنیت شبکه های اولیه بود، پیکربندی کنند – برخی از لیست های دسترسی بدون تابعیت امروزه هنوز در روترها استفاده می شوند.
با این حال، فایروال به طور چشمگیری نسبت به گذشته تکامل یافته، و با هر مرحله از تکامل، اضافه شدن ویژگی های امنیتی پیچیده تر منجر به پیچیدگی بیشتر مدیریت فایروالها شده است.
اولین تکامل فایروال stateful، که می تواند جریان های ترافیکی دو جهته را باهم فیلتر کند، نیازمند آن است که کاربران سیاستها را تنها برای ترافیک خروجی تنظیم کنند.این ویژگی توسط فایروال نسل جدید (NGFW)، که علاوه بر پروتکل های شبکه و شماره پورت، دارای پشتیبانی از فیلترهای جزئیتر و بازرسی بسته عمیقتری برای شناسایی ترافیک نرم افزارهای خاص بود، دنبال شد.
تصویب مجازی سازی در مرکز داده ها، منجر به توسعه از فایروال مجازی و اضافه شدن ابزارهای مدیریتی بیشتر و درنتیجه تغییرات بیشتری گردید. در حال حاضر با حرکت به سوی سیستمهای ابری خصوصی و عمومی، هنوز کنترلهای امنیتی بسیاری در دسترس هستند: فایروالهای ابر تجاری، کنترلهای مختص ارائه دهندگان ابر، و یا فایروالهای مبتنی بر میزبان.
همانطور که این امور با شتاب در سازمانهای در حال گسترش و شبکه های ترکیبی مستقر میشوند، همچنین موجب شدهاست تا پیچیدگی مدیریت دستگاه های مختلف، و دست زدن به فرایند تغییرات در سراسر این محیط های ترکیبی چند برابر شود.
نمایندگی تجهیزات شبکه متصاکو ارائه دهنده فایروال فورتی گیت، فایروال سایبروم، فایروال سوفوس و فایروال جونیپر است.
مشکلات ترجمه دستورات فایروالها برای فایروالهای دیگر
در حال حاضر واقعیت این است که سازمانها به طور معمول دارای محیط های بسیار پیچیدهای هستند: ترکیبی از نسلهای گوناگون فایروال، فن آوری، و فروشندگان مختلف. مدیریت چنین ترکیبی به دلیل وجود هر نسل از فایروال، و محصولات هر فروشنده، استفاده از دستور و مفاهیم مختلف برای ایجاد سیاست های امنیتی، چالش بزرگی است.
به عنوان مثال، اجازه دهید شبکه سازمانی را که از هر دو نوع فایروالهای سنتی و NGFWs استفاده کرده است را بررسی کنیم. به عنوان مثال ممکن است سیاست سازمانی مسدود کردن دسترسی به سایت های رسانه های اجتماعی در گسترهی شرکت باشد. بخش بازاریابی آن باید قادر به دسترسی به فیس بوک باشد.ترافیک فیس بوک از طریق هر دو نوع فایروال عبور می کند که این به این معنی است که سیاست های امنیتی جدید، نیازمند تعیین هردو این سیاستها در موترد مذکور میباشد.
برای NGFW، این ساده و مشهود است. فیس بوک می تواند از پیش در قوانین فایروال بهعنوان نرمافزار مجاز تعریف شود، در حالی که دسترسی به دیگر سایت های رسانه های اجتماعی، و از بخش های دیگر، مسدود شده است. با این حال، دیوار آتش سنتی نمیتواند محدوده فیس بوک را درک کند: که نیازمند “منبع”، “مقصد”، “خدمات” بهصورت پیشفرض است و پروتکلهای ‘اقدام’ که برای استفاده از http و https به فیس بوک داده می شود.
پس در واقع ایجاد تغییر در سیاستهای امنیتی NGFW و فایروال سنتی شامل مراحل گوناگون و زبانهای بسیار متفاوتی است. مهندسان پیکربندی دستگاه ها باید به وضوح نگاشت میان برنامه های کاربردی را (همانطور که آنها در NGFW تعریف شدهاند)، و خدمات مربوطه، پروتکل ها و پورتهای آنها را (همانگونه که در فایروال سنتی تعریف شدهاند)، درک نماید، به طوری که قوانین و سیاست های به درستی تنظیم در هر دو محیط قابل پیادهسازی و تنطیم باشند.
هر گونه اشتباه و یا خطا در ترجمه میان محصولات، در هنگام تعیین این سیاست ها و یا ایجاد تغییرات شبکه پتانسیل آن را دارد که باعث قطع غیر منتظره خروجی برنامه یا پیدایش حفره های امنیتی گردد، همچنین پیدایش آن میتواند به دلیل مسدود شدن ناخواسته ترافیک بسیار مهم، و یا باز شدن تصادفی ترافیک های دیگر باشد. ده ها یا حتی صدها فایروال شبکه در سراسر سازمانهای معمولی را نیز بر موارد قبلی اضافه کنید، این دستورالعملی برای یک خوراک داغ است.
پیچیدگیهای ابر
هنگامی که این فرایند ها تا استقرار ابر توسعه مییابد، بسته به کنترل های امنیتی ابر مورد استفاده، تیم های IT با چالش های بیشتری روبرو می شوند. ارائه دهنده ابر ممکن است پیشنهاد داشتن گروههای متعدد امنیتی را که با یک سرور حاص ارتباط دارند را ارائه دهد؛ در حالی که دیگری ممکن است تنها گروههای امنیتی محدودی را ارائه دهد که علاوه بر آن ممکن است اجازه دهد گروههای امنیتی با تمام سرورهای یک VLAN ارتباط داشته باشند.
در سطح بالا، شما ممکن است قادر به شناسایی پایین ترین مخرج مشترک برای فیلترینگ ترافیک اساسی است، اما هنگامی که شما می خواهید با دقت بیشتری فیلترینگ جزئی مورد نیاز شبکه های سازمانی را پیادهسازی کنید، برخی از ارائه دهندگان به این منظور قابلیتهای خاصی ارائه میکنند و برخی نیز ارائه نمیدهند.
هر ارائه دهنده یک مدل معنایی متفاوت از آنچه شما می توانید فیلترکنید، و در کجا آن کنترلها استفاده می شوند ارائه میکند. همچنین این با فایروالهای پیش فرض موجود در محل سازمان متفاوت خواهد بود.
این زبانهای مختلف به این معنی است که انتخاب سیاست امنیتی یک سازمان و اعمال آن بر همه انواع مختلف فایروال در سراسر یک شبکه ناهمگن، بسیار پیچیده است – به این معنی که حتی ایجاد تغییرات ظاهرا ساده (مانند فعالسازی دسترسی فیس بوک یا یوتیوب برای یک بخش در این شرکت ) مملو از خطر است.
شکستن موانع زبانی در فایروال ها
پس چگونه شما خطر تغییراتی را که باید بهسادگی انجام شوند، کاهش میدهید، و تغییرات کسب و کار منجر به سیاست های امنیتی – و کاهش نیاز به تیم های IT برای تعامل با زبانهای متعدد فایروال ها، را فراهم میسازید؟آنچه که نیازمندیم راهی میان دستورات و عبارات متفاوت است که هر نوع از کنترل امنیتی را – چه در سیستمهای ابری باشد یا سیستم پیشفرض، که برای ایجاد قوانین و سیاست ها مورد استفاده قرار میگیرد را ترجمه نماید به طوری که تیم های IT بتوانند ابزارهای امنیتی خود را قادر به درک زبان مورد استفاده در کسب و کارشان نمایند.
برای دستیابی به فراتر از موانع زبانی و بهینه سازی مؤثر و مدیریت امنیت در سراسر یک محیط مرکب از یک کنسول واحد با مجموعهای از دستورات، شما به یک راه حل مدیریت خودکار با چهار قابلیت کلیدی نیاز دارید:
دید و کنترل: شما باید قادر باشید همه فایروال ها، دروازه ها و کنترل های امنیتی کل شبکه خود را تنها در یک قاب شیشه ای زیر نظر داشته باشید.
مدیریت تغییرات طبیعی: شما باید قادر باشید تا این محصولات امنیتی را با نگرشی کلی بهعنوان بخشی از یک عملیات متعارف روزانه پیکربندی و مدیریت نمایید. بنابراین راه حلی را که شما انتخاب می کنید باید قادر به ترجمه و تفسیر منطق و دستورات مختلف مورد استفاده تمام کنترل های امنیتی گوناگون باشد، و به صورت خودکار و بیوقفه به اجرای تغییرات سیاستهای امنیتی بپردازد. راه حل همچنین باید تمام این تغییرات را مستند کند.
مدیریت تغییرات بزرگتر: همچنین تغییرات معماری شبکه های بزرگ در مدیریت سیاستهای امنیتی خواسته بزرگی است. شما باید قادر باشید تا به طور خودکار سیاست های امنیتی خود را در زمان مهاجرت مراکز داده یا برنامه های کاربردی به ابر، به عنوان مثال، و یا زمانی که یک تیم از یک فروشنده به دیگری روی میاورد، در سراسر محیطی ناهمگن تنظیم کنید.
اثبات انطباق: امنیت شبکه، ناحیه کلیدی مورد نیاز شما است تا قادر به اثبات انطباق به ممیزان و تنظیم کنندهها باشید. راهکاری که به صورت خودکار همه فرآیندها و تغییرات را رهگیری میکند، ارزیابی خطر فعالانهای داشته و حاوی گزارشاتی خارج از چهارچوب حسابرسی فراهم می کند، و میتواند به آمادگی برای حسابرسی و حفظ پیوسته انطباق کمک کند.
یک زبان مشترک برای همه فایروال ها
با راهکار مناسب، سازمان ها می توانند در هر دو زمینه همزبانی و کسب نیازمندیهای امنیتی عمومی از فایروالها، بدون توجه به جایی که آنها مستقر هستند، اطمینان حاصل نمایند.
این مسئله سیاستها را قادر می سازد تا به طور مداوم اعمال شوند، بدون، فرآیندهای دستی و وقت گیر و مستعد خطا و تضمین ترافیک شبکه می تواند با امنیت در سراسر هر دو شبکه پیشفرض و ابر خصوصی و یا عمومی جریان پیدا کند.پس از همه اینها، امنیت و انطباق کسب و کار شما مواردی هستند که شما نمی توانید هزینه ازدست دادن آنها را در ترجمه پرداخت نمایید.