Cómo las organizaciones están haciendo mal uso de los firewalls (y qué deben hacer los equipos de TI al respecto)


La gestión de firewall no significa configurarlo y olvidarlo. Aprenda consejos para una configuración efectiva de firewall para proteger su organización de riesgos y amenazas de seguridad.

«data-credit =» Imagen: alphaspirit, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Concepto de seguridad en una sala de centro de datos con servidor de bases de datos. Mujer con escudo defiende contra ataques de hackers

Imagen: alphaspirit, Getty Visuals / iStockphoto

Los cortafuegos son simples y complejos. Son simples en el sentido de que tienen una función: permitir o denegar el tráfico dentro y fuera de una organización. Son complejos porque el proceso de configuración no es tan fácil como parece, y las compañías pueden, sin saberlo, prepararse para las vulnerabilidades a través del uso incorrecto del firewall.

Hablé con Matt Glenn, vicepresidente de administración de productos de Illumio, una organización de seguridad de computación en la nube, para obtener algunas concepts de la industria.

VER: Lanzar una carrera en ciberseguridad: una guía interna (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cómo están haciendo mal uso las organizaciones de sus firewalls?

Matt Glenn: De la misma manera que es difícil apretar un tornillo de cabeza Phillips con un martillo, resulta que los firewalls no siempre son la mejor herramienta para cada trabajo. Se construyeron cortafuegos para proteger el perímetro. Dicho de otra manera, separan una red interna confiable o una nube del exterior no confiable. Sin embargo, no fueron diseñados para un centro de datos interno eficiente o una segmentación en la nube, a pesar de que se los solicitó con frecuencia para hacer ese trabajo.

Según hallazgos recientes de Illumio, El 86% de los encuestados estaban usando firewalls para hacer la segmentación de la crimson interna–no defensa perimetral. Esto significa que más de las tres cuartas partes de las organizaciones están pidiendo a los firewalls que hagan algo que originalmente no estaban destinados a hacer. En ese sentido, están siendo mal utilizados.

Scott Matteson: ¿Qué se puede hacer para remediar esto?

Matt Glenn: Lo primero que deben hacer las organizaciones es reconocer que los firewalls pueden, de hecho, ayudar con muchos desafíos de seguridad, pero no deberían usarse para resolver todo. Fueron diseñados para proteger el perímetro y evitar amenazas, pero en muchos casos también se les ha encargado la segmentación. Reconocer para qué se puede y se debe usar su firewall e implementar soluciones alternativas para llenar los vacíos, es el primer paso para encontrar una solución.

VER: Política de respuesta de seguridad (TechRepublic High quality)

Scott Matteson: ¿Cuáles son algunos de los riesgos y amenazas de seguridad asociados con la gestión incorrecta del firewall?

Matt Glenn: Hay dos problemas comunes:

Las organizaciones piensan que su firewall los protege, pero han escrito reglas demasiado permisivas. Esto le da la ventaja a un atacante que tiene más superficie para tratar. He visto organizaciones poner un cortafuegos entre dos zonas, pero permitirá casi cualquier cosa esto satisfizo al auditor de que una zona fue cortada por cortafuegos, pero no protege contra nada. Además, a medida que crecen las reglas del firewall, hay una mayor probabilidad de que tengan una configuración incorrecta que los dejará expuestos.

El problema de «aprovisionar y orar» es cuando una organización aprovisiona una regla de firewall y luego recibe una llamada de que la regla rompió algo. Esto habla directamente de la complejidad de administrar reglas complejas, especialmente en un mundo cada vez más ágil.

Scott Matteson: ¿Dónde están los puntos débiles actuales con la administración del firewall?

Matt Glenn: Según la encuesta reciente de Illumio, el tamaño y la complejidad de los firewalls tienden a ser dos de los mayores problemas para las organizaciones cuando se trata de la administración de firewall. Cuando piensa en la cantidad de reglas de firewall por dispositivo y multiplica eso con los muchos firewalls que implementa una organización, es una pink compleja que es compleja y difícil de administrar.

El informe de Illumio también encontró que el tiempo promedio para que los encuestados implementen y sintonicen firewalls para la segmentación fue de uno a tres meses. Además, más de dos tercios de los encuestados reconocieron que los cortafuegos dificultan la prueba de las reglas antes de la implementación, lo que facilita la configuración accidental de las reglas y el corte de las aplicaciones.

VER: Política de gestión de riesgos (TechRepublic High quality)

Scott Matteson: ¿Puede ofrecer algunos consejos o soluciones sobre cómo aliviar esos problemas?

Matt Glenn: La forma clásica en que las organizaciones piensan que resolverán este problema, pero fallan, es comprar una herramienta de administración de firewall. Las organizaciones que han cambiado de una a otra y luego a una tercera debido a la dificultad de administrar estas soluciones (además del firewall) saben que estos productos ayudan a cumplir, pero en realidad no hacen la vida más fácil.

Una mejor solución es quitar el «cortafuegos» del tráfico Este-Oeste. Esta es la ruta que defienden SDN (redes definidas por application) y la segmentación basada en host y cómo las organizaciones se mueven cada vez más. El cortafuegos se usa para lo que estaba destinado: defensa perimetral.

Scott Matteson: ¿Cuáles son las configuraciones e implementaciones ideales?
Matt Glenn: Existe la concept errónea de que implementar una solución de segmentación es difícil, pero no tiene que ser así. Esta plan errónea se debe a que las personas piensan en volver a diseñar la pink cuando piensan en la segmentación. No tiene que ser así. Si la segmentación de crimson (para dominios de difusión) se desacopla de la segmentación de seguridad (para aislamiento), la configuración es realmente basic. Comienza con la visibilidad para crear políticas de seguridad sin romper la crimson. Idealmente, las mejores soluciones de segmentación se basan en el host y no en sistemas heredados. Esto permite un enfoque más rentable y confiable.

Scott Matteson: ¿Puede proporcionar más detalles sobre las soluciones de segmentación, como ejemplos subjetivos, uso en el mundo authentic, and many others.?

Matt Glenn: En realidad, existen tres enfoques sobre cómo las empresas intentan resolver el problema (y los proveedores también).

El clásico: Esto está utilizando VLAN / zonas clásicas junto con firewalls. El mayor problema con esto es que para insertar un nuevo firewall (para crear compartimentos), una organización generalmente tiene que volver a IP o VLAN a su aplicación. Esto es altamente perjudicial para una red de producción.

SDN: SDN requiere una organización para actualizar la infraestructura, aunque muchas organizaciones ya tienen las piezas correctas. El problema es derivar cuáles son los grupos correctos de cargas de trabajo, es decir, qué hosts pertenecen a qué VLAN. Las organizaciones que han comprado ACI (infraestructura centrada en la aplicación) de Cisco, que proporciona SDN, pero tienen la infraestructura en modo centrado en la pink (que es la gran mayoría de estas implementaciones) son un ejemplo de la lucha de SDN. Las organizaciones que tienen NSX para la automatización, pero luchan por lograr la aplicación, son otro ejemplo. Otro desafío con SDN es que su red física no se extiende a la nube pública.

Basado en el host: Este enfoque utiliza los firewalls con estado que ya están en el host para aplicar la segmentación de seguridad. Curiosamente, los proveedores de SDN y firewall ahora están presentando productos basados ​​en host.

Scott Matteson: ¿Cuáles son algunas otras estrategias y soluciones de administración de red que pueden ayudar aquí?

Matt Glenn: La estrategia de administración de purple que puede ayudar es simplemente sacar la pink del camino.

Considera esto. Hemos diseñado redes, durante años, para la entrega confiable de paquetes y la autocuración. Grupos de trabajo completos en el IEEE y el IETF se crearon para crear redes resistentes. Spanning Tree se creó para garantizar que no haya bucles en una pink. Si la topología de capa 2 de una purple cambia, Spanning Tree vuelve a calcular y los paquetes fluyen de manera confiable. ¡Gracias Radia Perlman!

Para las redes de capa 3, utilizamos protocolos como OSPF y BGP para garantizar que si una pink de capa 3 se rompe o se crea una nueva purple, esos paquetes fluyen de manera confiable.

La segmentación, por su propia naturaleza, se trata de aislar de manera confiable las cosas. Cuando combinamos la segmentación (aislamiento) con la entrega confiable de paquetes (redes), rompemos las cosas de manera confiable. Cualquier persona que haya aprovisionado un ACL y luego recibió una llamada telefónica de que rompió algo sabe de este dolor.

Al descargar la pink de la segmentación forzada, la red puede ser confiable y ágil (y no romperse debido a la segmentación).

VER: Los profesionales de TI admiten la frustración con los firewalls (TechRepublic)

Scott Matteson: ¿Cómo se debe capacitar al own de TI sobre lo que falta?

Matt Glenn: La segmentación como práctica es fundamental para los marcos de seguridad como Zero Belief, que cree que defender el perímetro por sí solo ya no es una estrategia efectiva. Zero Rely on implementa métodos para localizar y aislar amenazas a través de técnicas como microsegmentación y visibilidad profunda para brindar a las organizaciones y equipos de TI un enfoque más organizado que limite el impacto de cualquier incumplimiento. Mientras más equipos de TI puedan aceptar esta mentalidad, mejor podrán comprender los beneficios de los nuevos enfoques de segmentación.

VER: ¿Por qué muchos profesionales de la seguridad carecen de confianza en su implementación de Zero Belief? (TechRepublic)

Scott Matteson: ¿Cómo evolucionará el uso y la administración del firewall en el futuro?

Matt Glenn: Nuestra esperanza es que los usuarios se den cuenta de que los firewalls son excelentes para su propósito: asegurar el perímetro. Pero tienden a perder efectividad cuando se implementan en centros de datos y nubes para la segmentación. Las soluciones de segmentación y los firewalls fueron diseñados para ser recursos complementarios, no competidores. A medida que las organizaciones comprenden mejor sus firewalls, también pueden comprender mejor los recursos que tienen a su disposición para llenar los vacíos, es decir, la segmentación, para mantener seguros sus centros de datos y nubes.

Ver también



Enlace a la noticia initial