Al firewall o no al firewall?

Sono certo che siete a conoscenza del fatto che per molte minacce alla sicurezza e / o requisiti di conformità esistono controlli di attenuazione basati sulla rete e su host.

Microsoft, essendo essenzialmente una società orientata all'host, sarà naturalmente dalla parte delle soluzioni di sicurezza basate su host. E quando si ha a che fare con persone e applicazioni, si potrebbe tradizionalmente schierarsi con una soluzione basata su host. Ma i firewall sono cambiati. I "firewall di nuova generazione", come definito da Gartner, sono progettati specificamente per abilitare l'utente e l'applicazione, nonché i tradizionali controlli IP, port e protocolli. (Non sono sempre un fan di Gartner, ma hanno ragione sugli NGFW.) Quindi un NGFW in grado di controllare l'accesso dal Layer 3 al Layer 7 sarà una soluzione migliore di un approccio basato su host che ovviamente è cieco per abbassare i livelli di comunicazione.

Il mio stato di origine, il Massachusetts, ha approvato una legge sulla privacy molto rigida. Le organizzazioni stanno collocando NGFW tra utenti e server per soddisfare i propri requisiti. Ecco alcuni requisiti della legge e il modo in cui un NGFW li incontra:

• Isola dati privati - Definisci zone logiche di sicurezza che ti permettono di isolare server che contengono dati privati.

• Controlla l'accesso ai dati privati in base alle applicazioni - Definisci criteri per controllare quali applicazioni sono autorizzate ad accedere ai server che contengono dati privati.

• Controlla quali utenti hanno accesso ai dati privati: integra il firewall con i tuoi server LDAP in modo da poter definire i criteri per controllare quali gruppi hanno accesso ai dati privati.

• Rileva e blocca le minacce: questo firewall deve anche avere una funzionalità di protezione dalle minacce per monitorare il traffico consentito e bloccare le minacce rilevate.

A seconda del firewall che si sta utilizzando, è possibile creare lo scenario n. 3 con un firewall fisico.

Detto questo, se l'obiettivo è proteggere le informazioni di identificazione personale (PII), un NGFW di per sé non è la risposta completa. Per prima cosa devi trovare dove si trovano le PII.

In secondo luogo, una volta individuate tutte le informazioni personali, è possibile prendere provvedimenti per consolidarlo nel minor numero possibile di server.

Terzo, potresti voler implementare i controlli per impedire alle PII di "riposare" sulle workstation degli utenti finali e di essere trasmesse da un utente a qualcun altro.

In quarto luogo, è possibile aggiungere un controllo di accesso al database specifico che monitora il 100% degli accessi al database. Questo deve essere un controllo basato su host. Non c'è altro modo per assicurarsi di monitorare tutto, comprese le viste, le stored procedure e i trigger.

La mia esperienza è principalmente con grandi banche globali, quindi questo potrebbe non essere appropriato per tutti, ma lo scenario tipico per loro è molto simile al # 3, ad eccezione di più segregati, quindi ci sono più DMZ, di solito segregati per funzione, profilo di rischio , proprietario del dipartimento o altri criteri.

Inoltre, tutto ciò che si connette a Internet viene replicato, quindi dovresti avere almeno due connessioni, in genere servizi MPLS di provider diversi, con i choke router che si uniscono a un servizio di bilanciamento del carico, con accelerazione VPN immediatamente all'interno o all'esterno del bilanciamento del carico a seconda della struttura.

Il set di firewall esterni fornisce quindi DMZ segregati per server Web, ecc., con un firewall interno che fornisce protezione per i database. In alcuni casi esiste un livello aggiuntivo, con i server delle app, ma man mano che le applicazioni vengono create sempre di più nel server Web, questi stanno lentamente scomparendo.

Un set separato di connessioni, che utilizza firewall separati o proxy inversi, verrebbe utilizzato per connettere gli utenti interni all'esterno, e ancora un altro set di firewall per la connettività di accesso remoto.

Se dovessi esaminare una banca globale che non aveva almeno questi componenti, sarei molto preoccupato del motivo per cui non stavano prendendo le precauzioni appropriate e un audit IT avrebbe commenti interessanti sul perché il business non poteva fare affidamento sull'ambiente sicuro.

Il più grande problema che ho con questa teoria (ho sentito argomenti simili) è che se rimuovi il firewall, puoi comunque eseguire il DoS sul / sui server dell'applicazione.

Tuttavia, una domanda di follow-up è la seguente: puoi utilizzare correttamente IPsec e PKI sui server Web di fronte a Internet?

Vorrei anche sostenere che aggiungendo misure di difesa in profondità, si sta per definizione aumentando la disponibilità, ma solo per coloro che dovrebbero averlo se lo si fa correttamente.

Detto ciò, sono parziale allo scenario n. 2, ma non separando i server Mail / Web e DB dalle opzioni. Se ci sono altri server e client sulla rete, aggiungerei anche un firewall tra loro creando una DMZ. In seguito, raccomanderei anche l'aggiunta di firewall e switch ridondanti.

Ogni sistema operativo per server che ho configurato negli ultimi anni ha alcune funzionalità per il firewall e così fa quasi ogni router. È un gioco da ragazzi che è una buona idea configurare l'accesso limitato sulla scatola. E, naturalmente, buone pratiche per non eseguire servizi non necessari.

Tuttavia ci sono cose che potrebbero essere considerate come le funzioni di un firewall che non possono essere facilmente implementate a questo livello (ad esempio, filtraggio AV). Ma di nuovo ci sono strumenti che funzioneranno sul server a scapito della CPU extra, a scapito di un altro hop di rete. Ma se sei nel gioco di servizi in esecuzione che potrebbero essere compromessi / necessità di mantenere la disponibilità, allora dovresti già eseguire un cluster piuttosto che un singolo nodo.

IMHO, il file winsock.dll MS espone ancora una grande complessità all'esterno del firewall, ma probabilmente è un caso speciale.

C'è un argomento strong per mantenere un collo di bottiglia come protezione contro un DOS, in particolare un DDOS: rende l'identificazione in tempo reale e il blocco molto più semplice. Non deve essere un SPOF.

Nelle organizzazioni più grandi è spesso visto come un vantaggio avere la cassetta di sicurezza posseduta e gestita indipendentemente dai server - IMHO è una premessa sbagliata - la sicurezza dovrebbe essere pervasiva e ovunque - ci sono molte persone che vogliono venderti una magia box che rende sicuri i tuoi sistemi, ma non aiutano con la maggior parte dei problemi a livello di applicazione.

Se fossi io a configurare i server che descrivi (lasciando da parte il fatto che ogni server sembra essere un singolo punto di errore) non collegherei il DB alla stessa rete del router - Io correrei 2 strati di rete con il DB all'interno.

Se si è preoccupati per un singolo punto di errore contro un DDoS, è possibile configurare più firewall in un sistema con bilanciamento del carico in cui è possibile elaborare il traffico alla velocità della linea. Con questo tipo di configurazione, l'unico attacco DDoS che riuscirà è quello in cui la linea in entrata è saturata. A quel punto, non importa se hai un firewall o meno.

Raccomando la soluzione 2 in quanto consentirà comunque la comunicazione tra host anche se è in atto un attacco DDoS. Nella soluzione 1, qualsiasi tipo di traffico indesiderato viene ancora elaborato attraverso lo switch, riducendo eventualmente la velocità e aggiungendo traffico non necessario.