引用:Gartner预测:“到2023年,99%的防火墙损坏是由于防火墙配置错误,而不是防火墙本身的缺陷。”
防火墙是最常见的网络安全设备,广泛构建在各种金融机构的网络中。防火墙的基本功能包括设置网络访问控制策略、收敛网络访问权限、降落最低赋权原则、防止未经授权的访问、防止和降低网络风险。访问控制策略是防火墙的灵魂,是网络安全防御系统的基础,设置效果直接影响防火墙的应用效果和网络安全防御的总体水平。如果对网络的访问控制策略没有正确部署,即使是最先进的网络安全设备,攻击者也可以用最简单的方法进行非法入侵。(David aser,Northern Exposure(美国电视电视剧),网络)2019年二月Gartner在技术观察报告中预测:“到2023年为止,99%的防火墙都是因为防火墙配置错误而不是防火墙本身的缺陷而受到攻击的。”
目前,大多数金融机构的防火墙策略都是手动管理的。随着网络规模的不断扩大和业务的频繁更改,政策规则的数量和剧增、效果评估难度和法规遵从性都无法得到保证。在邓波2.0中,明确提出了防火墙策略精细化、集中管理的要求,但对于用户单位或评估机构,在复杂的网络方案中,大规模防火墙策略分析超出了人员。防火墙政策的细致管理和评价工作都很难落实。
金融机构防火墙政策管理的难点
金融机构防火墙政策管理的困难主要在异构、复杂和动态三个茄子方面。
1.异构体
金融机构网络中的防火墙品牌通常超过5个,每个牌子设备的访问控制策略配置不同,同一牌子设备的每个软件版本的访问控制策略配置也不同。大中型金融机构网络的防火墙数量可以从数十台到数百台,每个设备的政策规则一般为1000多个,核心边界设备的政策规则可以达到数万个。异质性的另一个主要表现是同时存在本地和云的混合网络环境,其形式包括物理、虚拟、安全组策略和主机访问控制。
2.复杂性
防火墙策略设置的有效性和风险分析应通过单个防火墙以及网络对象之间的访问关系和访问路径进行分析。网络中两点之间的访问路径需要对多个网络设备的逻辑连接和访问控制进行关联分析。此处提到的网络设备不仅包括防火墙,还包括路由器、交换机和负载平衡、需要分析的数据,包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融机构的网络结构复杂,几乎不可能手动实施全球网络对象访问路径和访问关系分析。
3.动态
金融机构的防火墙政策变更正常,每周至少有两次变更窗口,主要原因是防火墙访问控制政策与网络连接和安全有关。访问控制的安全原则是聚合网络连接,以降低网络风险。因此,每当网络结构和业务发生变化时,访问控制策略都必须发生变化,在业务敏捷性高的金融机构网络中,策略变得更加频繁,规则数量也越来越多。
上述三个茄子问题使金融机构的防火墙政策精细管理变得困难,可能导致两个茄子结果。一种是频繁的政策变更,增加引入安全风险的机会,另一种是占用大量人力。一些金融机构的政策管理工作量达安全操作维护工作量的40%,其他高级别的工作资源没有保障。
防火墙策略集中管理响应
1.关于NSPM定义
Gartner在2019年的技术观测中定义了网络安全策略管理(NSPM)。nspm超过了防火墙供应商提供的用户策略管理界面,在异构环境中提供了集中的安全策略可视化控制,NSPM提供了整个网络设备,NSPM提供了异构牌子安全策略的集中管理、更改管理、风险和漏洞分析,以及应用程序连接管理的四个茄子方面。
在混合网络环境中,网络防火墙的形式更加多样化,包括专用物理设备、虚拟设备、内置防火墙模块,以及IaaS平台提供的防火墙控制系统。Gartner建议考虑使用NSPM等特殊工具,以便在2019年网络防火墙幻方图报告中集中管理混合网络的访问控制策略。
防火墙策略集中管理平台整体体系结构
参考Gartner的NSPM定义,结合现阶段金融行业用户防火墙策略管理方法和管理体系的研究,牙齿文章对防火墙策略集中管理平台的整体体系结构进行了一般性说明。希望金融业用户能对防火墙政策集中管理系统的设计、构建和运行起到借鉴作用。
防火墙策略集中管理平台整体体系结构由四个茄子关键元素组成:策略组态管理、策略最优化清除、标准和风险管理以及变更进程管理。
策略组态管理模块基于平台,必须能够徐璐收集其他牌子、各种网络访问控制设备配置、提取策略相关数据、向父计算模块提供标准化数据,并将配置脚本反向发送到设备。策略组态管理模块包括SSH、telnet、