L'argomento è "È più sicuro utilizzare i firewall di due diversi fornitori" Non è molto più sicuro utilizzando un firewall multi-vendor perché " Oltre il 95% delle violazioni del firewall è causato da errate configurazioni del firewall, non da difetti del firewall. "
Now, I want to use different vendors because if there is an vulnerability with one firewall, maybe a firewall from a different vendor does not have this vulnerability.is it, right ?
L'uso di più firewall di fila aumenta la complessità, sia per il difensore che per l'attaccante. Configurato correttamente tale configurazione può aumentare significativamente la sicurezza poiché la possibilità è elevata che i diversi fornitori abbiano punti di forza e punti deboli diversi.
Se guardi solo semplici firewall per filtri di pacchetti (ad esempio ispezione di livello 3 e livello 4, nessuna ispezione di livello applicazione), non c'è molta differenza su come funzionano questi firewall. Ma i firewall più complessi che sono in grado di eseguire l'ispezione dello strato applicativo (utilizzando deep packet inspection o proxy dell'applicazione) differiscono molto nel modo in cui ispezionano il livello dell'applicazione poiché i protocolli ei payload implicati sono molto più complessi dei layer 3 e 4. Quindi, praticamente tutti questi firewall hanno alcuni punti deboli nell'ispezione dello strato applicativo, ma i dispositivi di diversi fornitori di solito non presentano esattamente gli stessi punti deboli. Ciò significa che, combinandoli, si ottengono meno punti deboli, ovviamente a costo di maggiori costi e più complessità nell'amministrazione.
Per quanto riguarda l'affermazione sull'errata configurazione: non so da dove provengano queste affermazioni (alcune citano Gartner, alcune con il 95% nel 2018 e altre con un proiettato al 99% nel 2020) e non so quale tipo di configurazione errata è inteso da questa affermazione. Se si tratta di una configurazione errata per impostazione (vale a dire politiche eccessivamente ampie, filtro disabilitato poiché è una seccatura), i firewall multipli probabilmente non saranno di grande aiuto per mitigare il problema di configurazione errata. Ma se si tratta di una configurazione errata per errore (forse a causa di modi non intuitivi per configurare il firewall), più firewall potrebbero effettivamente ridurre anche la possibilità di errori di configurazione, poiché l'amministratore probabilmente non ripeterà tutti gli errori in tutti i firewall se il modo in cui la configurazione deve essere fatta diversa.
È una domanda interessante e, in realtà, ho visto configurazioni come questa nel mio lavoro, ad esempio, ho visto una società utilizzare un Cisco ASA e quindi dietro di esso un firewall Checkpoint, e ad essere sinceri posso guarda il metodo alla follia.
Tuttavia, considerando che molti problemi dei firewall sono in realtà causati da una errata configurazione come indicato nel tuo post, in modo così realistico, non vedo che ciò abbia un impatto massiccio .
Quando le vulnerabilità vengono rilevate nei firewall (e altri prodotti) il più delle volte vengono rettificate dai team di sicurezza della sicurezza del prodotto molto rapidamente e in genere è sufficiente inserire una nuova versione del firmware sul dispositivo. Più veloce esegui questo aggiornamento, meglio è. In generale, non vedo che questo faccia un'enorme differenza, se il firewall viene mantenuto in modo proattivo e le minacce alla sicurezza vengono gestite rapidamente, non sono sicuro che spendere soldi e risorse extra per mantenere due firewall diversi valga la pena.
Alla fine, si tratta del tuo modello di minaccia e del tuo budget, direi che se stai proteggendo qualcosa di veramente prezioso, due diversi firewall di diversi fornitori sono potenzialmente utili - alla fine, è piuttosto difficile rispondere a questo domanda come, in realtà, arriva al tuo modello di minaccia.
Per i prodotti di sicurezza che dipendono da "abbonamenti" (definizioni antivirus, filtri di phishing, ecc.), esiste una strong argomentazione per una difesa multilivello con ogni livello proveniente da un altro fornitore.
Ad esempio: è possibile che sul tuo server di posta sia installato un filtro antimalware e probabilmente sulle tue workstation è installato anche un anti-malware degli endpoint. Se un utente malintenzionato invia un nuovo malware zero day all'utente e entrambi i prodotti provengono dallo stesso fornitore, è molto probabile che il malware scivoli attraverso ENTRAMBI livelli di protezione. Tuttavia, se si utilizzano due diversi fornitori, esiste la possibilità che un fornitore rilevi qualcosa che l'altro ha mancato.
Questo argomento può essere applicato ai firewall con UTM, dove hanno integrato malware e blocco dei siti dannosi. La protezione antimalware del firewall deve provenire da un fornitore diverso rispetto alla protezione endpoint.
Leggi altre domande sui tag firewalls vulnerability