白名单可以显著提升防火墙管理员的工作量,因为每个新的链接都需要另外的防火墙规则——这种规则需要被计划,认证,部署和批准。随着下一代防火墙的出现,黑名单与白名单的争议也值得被大家重新审视,但是大多数有关此话题的争议都是在技术层面提出。那么其管理方面的挑战又是什么呢?
过去几年是防火墙技术几十年发展史里边变化最大的一段时间。自上世纪90年代Check Point引入静态检测后,防火墙管理员和信息安全官员一直都在对基于某链接的源IP地址,目标IP地址和服务的安全策略进行定义。
现在有了Palo Alto Networks和Check Point R75倡导的所谓下一代防火墙,策略也可以在应用基础上进行定义。
通过一些令人印象深刻的技术改进,这些设备可以对共享端口的不同应用进行区别对待。下一代防火墙可以实施精细化粒度策略,如“阻止文件交换型应用”或是“允许Facebook但阻止其游戏应用”抑或是“阻止Skype应用”——同时允许有益的HTTP数据流通过防火墙。其销售噱头确实很吸引有着安全忧患的组织,而且很多组织都开始接受这一新技术。
构建一个更好的防火墙
不过,一旦过了这阵新鲜劲儿,就必须意识到下一代防火墙其实是需要严加管理的。这意味着要合理规划,特别是要对“黑名单”和“白名单”加以斟酌。
十五年前,防火墙管理员之间曾就如何为防火墙策略进行结构优化发生过激烈争论。黑名单的支持者建议“除了阻止那些不想要的数据流外,对一切数据流放行。”而白名单的支持者则认为“除了需要的数据外,阻止一切数据。”这场争议以大多数人赞成更为安全的白名单方法而告终:现在,特别是每个防火墙策略都有一个“Default Drop”规则以及大量“允许”的规则。而且,大多数规则都需要配备这样的结构。
尽管如此,这种更为安全的方法需要付出一定代价:白名单给防火墙管理员带来了很多工作量。因为每个新的连接都需要新的防火墙规则——这种规则应该被计划,认证,部署以及验证。有些组织每周要处理几百个类似的规则变更请求,结果,他们要花上几周的时间变更请求与部署。
许多企业防火墙策略已经膨胀成包含数千条规则的大怪物。
重新审视
这么庞大的策略很难保障其安全性——而且其中还包含着大量错误。事实上,已经有研究指出策略这种策略中的策略复杂性与大量错误存在着相关性;就防火墙策略而言,小才会精。现在,想象一下如果替换一个允许HTTP的单独规则,会发生什么呢?该策略将包含一万条新规则,每个应用一条?如果不仔细设计,新策略的安全性可能更低。
随着下一代防火墙的出现,黑名单和白名单的争议值得大家重新审视,然后做出明智的选择。考虑一下:如果你打算在应用层级使用白名单,每周将要处理多少变更需求呢?现有团队可以在不增加时间的前提下处理额外的工作量嘛?这对你的风险姿态有何影响呢?
况且,CISO或许会发现通过黑名单定义策略会更容易,比如“阻止社交网络,文件共享和视频流,以及允许其他Web流量。”
对Web代理过滤以及Web应用防火墙的配置方式进行对比后发现,黑名单通常用于Web代理,当然也有一些组织使用白名单。下一代防火墙应该延续Web代理使用黑名单的惯例吗?还是应该延续传统的防火墙白名单设置方法?
大多数有关下一代防火墙的文章都是基于技术层面。但是这个问题在管理层面存在什么挑战呢?我们应该对此认证讨论。PCI-DSS, NERC和CIST对此的态度是什么?内部审查准则是什么?而安全托管服务商(MSSP)们的态度又是如何呢?
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。