防火墻變更管理和自動(dòng)化可控制人為錯(cuò)誤
雖然防火墻可用來幫助解決基本的網(wǎng)絡(luò)安全性問題——可視和可控,但是快速配置修復(fù)以及缺乏關(guān)于這些修改的交流可能會(huì)導(dǎo)致企業(yè)陷入困境。防火墻變更管理和自動(dòng)化則可以幫助解決這些問題。
最近,我為一家大型公司提供咨詢服務(wù)。該公司的IT員工對一個(gè)關(guān)鍵防火墻做了一些管理變更,結(jié)果導(dǎo)致它失效了。網(wǎng)絡(luò)防火墻和公司的電子商務(wù)平臺(tái)在一段時(shí)間內(nèi)都是中斷的。結(jié)果遭受了重大的財(cái)務(wù)損失,這些損失不僅是系統(tǒng)被迫中斷,還包括從外部聘請專家花費(fèi)一周多的時(shí)間來查找問題所在。***我們發(fā)現(xiàn)這家公司沒有正確的變更管理政策、過程和技術(shù)。更諷刺的是,公司已經(jīng)很好地開展了一個(gè)最終本該能夠幫助它避免這種情況的ITIL采用項(xiàng)目。
不管網(wǎng)絡(luò)的狀態(tài)如何,實(shí)施防火墻變更管理流程有助于公司避免導(dǎo)致錯(cuò)誤的手動(dòng)變更,同時(shí)可以在員工之間實(shí)現(xiàn)更好的交流。一旦IT團(tuán)隊(duì)擁有了一個(gè)持續(xù)更新的網(wǎng)絡(luò)狀態(tài),那他們就可以更容易地符合不斷變更的規(guī)范要求。
防火墻變更管理和自動(dòng)化管理
一個(gè)穩(wěn)定的防火墻變更管理過程并非是一個(gè)嘩眾取寵的條文,而是每個(gè)人都必須遵守的一些真實(shí)流程。雖然“變更管理”這個(gè)詞看起來比較復(fù)雜,但實(shí)際上它并不一定復(fù)雜。變更管理只是規(guī)范我們的工作方式以及記錄所有防火墻的變更信息,包括是變更人、變更內(nèi)容、變更時(shí)間、變更原因和變更方法。此外,還有一些工具可以自動(dòng)化日常的防火墻管理任務(wù),并將這些變更和流程聯(lián)系在一起,因此它們作為變更計(jì)劃的一部分被記錄下來。事實(shí)上,自動(dòng)化技術(shù)可以彌補(bǔ)變更管理程序與真正實(shí)現(xiàn)的變更之間的差距。它們能夠提高精確度并且在很大程度上避免人數(shù)超過預(yù)定范圍,這樣可提高效率并降低業(yè)務(wù)風(fēng)險(xiǎn)。
防火墻管理工具應(yīng)注意的問題
因此,問題出現(xiàn)了:您是應(yīng)該使用第三方防火墻管理和諸如Tufin或AlgoSec的審計(jì)解決方案呢,還是依賴于您現(xiàn)有系統(tǒng)的原生控制呢?預(yù)算會(huì)是一個(gè)考慮因素,網(wǎng)絡(luò)復(fù)雜性也是必須考慮的。如果您打算購買一個(gè)工具,那么您需要注意以下幾點(diǎn):
工具是如何跟蹤防火墻政策變更的?
解決方案是否提供假設(shè)分析?(例如,如果您執(zhí)行了X或Y變更,會(huì)出現(xiàn)什么結(jié)果?)
在正確考慮業(yè)務(wù)持續(xù)性之后,解決方案是如何確保變更的實(shí)現(xiàn)?
解決方案可以支持您所有現(xiàn)有的平臺(tái)/供應(yīng)商嗎?
解決方案是如何幫助實(shí)現(xiàn)對當(dāng)前風(fēng)險(xiǎn)和規(guī)范級(jí)別的(實(shí)時(shí))審計(jì)?
解決方案是如何幫助實(shí)現(xiàn)職責(zé)、審計(jì)日志和總體責(zé)任的分離?
雖然實(shí)現(xiàn)完整周期的可持續(xù)和可重復(fù)的過程需要預(yù)付和持續(xù)的投入,但是它們的回報(bào)是值得的,它允許您關(guān)注更多的策略和分析問題,而不是只停留在網(wǎng)絡(luò)安全性的小細(xì)節(jié)上。
如果您正確地實(shí)現(xiàn)了自動(dòng)化防火墻管理,那么您就不需要進(jìn)行很多的演練,并且當(dāng)防火墻配置變更出錯(cuò)時(shí),也不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)出現(xiàn)中斷。此外,審計(jì)可以無縫地進(jìn)行,而且可以更快地實(shí)現(xiàn)精確的變更。
【編輯推薦】
