【51CTO.com快譯】防火墻是保護貴企業(yè)的網(wǎng)絡(luò)、數(shù)據(jù)及其他資源的一種重要的防御方式。無論你的防火墻在本地、在云端還是在兩者的混合環(huán)境中，都是如此。但是及時跟上防火墻所需的所有更改可能充滿挑戰(zhàn)，如果你使用手動流程更是如此。一個錯誤的配置可能會使你的防火墻容易受到黑客和數(shù)據(jù)泄露的攻擊。

在第六份年度《防火墻狀況》報告中，F(xiàn)ireMon對573多名網(wǎng)絡(luò)和安全工程師、IT Ops經(jīng)理和高層主管進行了調(diào)查，了解他們用于處理防火墻配置更改的方法。在這些受訪者中，65%的人表示對防火墻更改系統(tǒng)使用手動流程。在高層主管當中，68%的人給出了同樣的回復(fù)，38%的人表示其變更流程是臨時性的。

定期需要進行的防火墻更改次數(shù)可能給網(wǎng)絡(luò)和安全人員造成負擔。約45%的受訪者表示，他們每周處理的防火墻更改請求數(shù)量在10個到99個。在這群人當中，許多人表示，他們的防火墻更改流程是手動或臨時性的，比如通過發(fā)給防火墻管理員的電子表格或電子郵件請求。那些更改中許多是針對錯誤作出請求的。約36%的受訪者表示，錯誤配置、不正確或網(wǎng)絡(luò)帳戶問題占需要返工的防火墻更改總數(shù)的10%至24%。

了解防火墻配置問題是許多網(wǎng)絡(luò)和安全人員面臨的又一挑戰(zhàn)。約38%的受訪者表示，他們通過以電子郵件、短信或電話等形式的緊急通信來發(fā)現(xiàn)防火墻配置錯誤引發(fā)的問題。但是34%的人承認，他們對網(wǎng)絡(luò)安全風險和合規(guī)性的實時了解不到50%。除了導(dǎo)致數(shù)據(jù)泄露外，缺乏可見性還會導(dǎo)致合規(guī)性問題。接受調(diào)查的人中約24%不確定或不承認自己在過去的12個月未通過合規(guī)性審查。

但是防火墻仍然是網(wǎng)絡(luò)安全的重要組成部分，95%的受訪者表示防火墻與以往一樣重要。幾乎三分之一的受訪者表示，他們的網(wǎng)絡(luò)上有100個或更多的防火墻。超過四分之三的人使用兩家或更多家不同的供應(yīng)商來幫助管理防火墻，而80%的人表示在云端搭建了防火墻。

調(diào)查受訪者列出了防火墻方面的幾大挑戰(zhàn)：

• 防火墻規(guī)則和策略的復(fù)雜性
• 優(yōu)化防火墻規(guī)則
• 管理多家供應(yīng)商和多種類型的防火墻
• 防火墻實施方面的缺口
• 缺乏自動化

為了幫助網(wǎng)絡(luò)和安全人員更好地管理和維護防火墻配置，F(xiàn)ireMon建議采用更自動化的流程。但這種自動化不僅僅是你可以打開和關(guān)閉的功能。相反，企業(yè)應(yīng)實施靈活的自動化，以適應(yīng)其步伐和信心程度。

據(jù)FireMon聲稱，自動進行防火墻配置更改可以從這幾個方面幫助公司：

• 通過消除可能增加攻擊面的錯誤配置來減少人為錯誤。
• 消除DevOps和SecOps之間的摩擦，以便它們可以更快地提供安全解決方案。
• 提高安全敏捷性，同時縮短服務(wù)級別協(xié)議中設(shè)置的時間范圍。
• 最大限度地提高效率，同時降低運營和安全成本。
• 通過在混合環(huán)境中持續(xù)監(jiān)測全局安全策略，防止違規(guī)行為。

原文標題：How firewall automation can help prevent breaches caused by wrong configurations，作者：Lance Whitney

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】