雖然防火牆可用來幫助解決基本的網絡安全性問題——可視和可控,但是快速配置修復以及缺乏關於這些修改的交流可能會導致企業陷入困境。防火牆變更管理和自動化則可以幫助解決這些問題。
最近,我為一家大型公司提供咨詢服務。該公司的IT員工對一個關鍵防火牆做了一些管理變更,結果導致它失效了。網絡防火牆和公司的電子商務平台在一段時間內都是中斷的。結果遭受了重大的財務損失,這些損失不僅是系統被迫中斷,還包括從外部聘請專家花費一周多的時間來查找問題所在。最後我們發現這家公司沒有正確的變更管理政策、過程和技術。更諷刺的是,公司已經很好地開展了一個最終本該能夠幫助它避免這種情況的ITIL采用項目。
不管網絡的狀態如何,實施防火牆變更管理流程有助於公司避免導致錯誤的手動變更,同時可以在員工之間實現更好的交流。一旦IT團隊擁有了一個持續更新的網絡狀態,那他們就可以更容易地符合不斷變更的規范要求。
防火牆變更管理和自動化管理
一個穩定的防火牆變更管理過程並非是一個嘩眾取寵的條文,而是每個人都必須遵守的一些真實流程。雖然“變更管理”這個詞看起來比較復雜,但實際上它並不一定復雜。變更管理只是規范我們的工作方式以及記錄所有防火牆的變更信息,包括是變更人、變更內容、變更時間、變更原因和變更方法。此外,還有一些工具可以自動化日常的防火牆管理任務,並將這些變更和流程聯系在一起,因此它們作為變更計劃的一部分被記錄下來。事實上,自動化技術可以彌補變更管理程序與真正實現的變更之間的差距。它們能夠提高精確度並且在很大程度上避免人數超過預定范圍,這樣可提高效率並降低業務風險。
防火牆管理工具應注意的問題
因此,問題出現了:您是應該使用第三方防火牆管理和諸如Tufin或AlgoSec的審計解決方案呢,還是依賴於您現有系統的原生控制呢?預算會是一個考慮因素,網絡復雜性也是必須考慮的。如果您打算購買一個工具,那麼您需要注意以下幾點:
*工具是如何跟蹤防火牆政策變更的?
*解決方案是否提供假設分析?(例如,如果您執行了X或Y變更,會出現什麼結果?)
*在正確考慮業務持續性之後,解決方案是如何確保變更的實現?
*解決方案可以支持您所有現有的平台/供應商嗎?
*解決方案是如何幫助實現對當前風險和規范級別的(實時)審計?
*解決方案是如何幫助實現職責、審計日志和總體責任的分離?
雖然實現完整周期的可持續和可重復的過程需要預付和持續的投入,但是它們的回報是值得的,它允許您關注更多的策略和分析問題,而不是只停留在網絡安全性的小細節上。
如果您正確地實現了自動化防火牆管理,那麼您就不需要進行很多的演練,並且當防火牆配置變更出錯時,也不會導致整個網絡出現中斷。此外,審計可以無縫地進行,而且可以更快地實現精確的變更。