Журнал "Information Security/ Информационная безопасность" #6, 2023

Ошибка 3. Инженеры предпочитают удобство Чем больше ваш бизнес, тем слож- нее им управлять. С сетями ситуация аналогичная: чем больше ваша инфра- структура, тем сложнее становится управление, дольше поиск и устране- ние неисправностей. Если мы говорим о межсетевых экранах, то процедура их поиска должна быть максимально удобной для службы эксплуатации, так как любой простой межсетевого экрана напрямую влияет на работу бизнеса. Большинство современных межсете- вых экранов на рынке имеют возмож- ность централизованной настройки через систему управления. Но одного наличия системы управления недоста- точно, ее эксплуатация должна быть удобной. Удобство – понятие субъективное. Сделать универсальную систему управления, одинаково удобную для любой сети, практически невозможно. Каким бы опытным и именитым ни был производитель NGFW, он не может предусмотреть все сценарии администрирования сотен или тысяч устройств в системе управления. Но решение есть – программный интер- фейс API (Application Programming Interface). Не все, но многие западные произво- дители стараются поддерживать свой API в открытом и доступном виде без необходимости регистрации и заключе- ния контракта. Для производителей рос- сийских NGFW это не всегда так и тре- бует дополнительной проверки и конт- роля. Кроме системы управления, особое внимание стоит уделить системе мони- торинга, сбора и анализа логов с устройств. Для современных сетей нали- чие такой системы – обязательное усло- вие, без нее время решения любой про- блемы будет стремиться к бесконечно- сти. Но опять же, одного ее наличия недостаточно. Система сбора логов должна под- держивать возможность выгрузки данных во внешние системы для анализа. От способа и количества ручных операций для выгрузки напрямую зависит время решения проблемы в сети. Большинство существующих решений традицион- но поддерживает протоколы SNMP (Simple Network Management Protocol) и Syslog. Но для сегодняшнего объе- ма данных эти протоколы уже чрез- вычайно медленные, а количество выгружаемой информации – огром- но, оно растет ежегодно в геометри- ческой прогрессии, поэтому при выборе межсетевого экрана обра- тите внимание на поддержку теле- метрии и возможность интеграции с сопутствующими системами анализа и реагирования. Ошибка 4. Количество правил не имеет значения Зачастую процесс выбора межсете- вого экрана ограничен изучением под- держиваемых функций, при этом мало внимания уделяется анализу работы устройства под нагрузкой с большим количеством правил. Многие компании проводят лабораторные испытания перед покупкой, настраивая крайне упрощен- ные политики безопасности, не соответ- ствующие реально используемым в орга- низации. Все внимание лаборатории приковано к возможностям настройки: поведение устройства не должно изме- ниться, если политик станет гораздо больше. Обычно столь поверхностное тести- рование перед покупкой связано с невоз- можностью быстро, в условиях лабора- тории, настроить большое количество правил и сгенерировать поток данных, эмулирующий реальную нагрузку. После подобных тестов ввод устройств в экс- плуатацию зачастую полон неприятных открытий, ведь межсетевой экран впер- вые попадает в боевые условия и его поведение непредсказуемо. За годы изучения конфигураций сете- вых устройств наших клиентов мы выявили важную тенденцию: количе- ство правил на межсетевом экране с течением времени непрерывно растет. Добавляются новые пользователи, отделы, приложения, исключения. Все это приводит к увеличению настроек. При этом с ростом количества правил нелинейно растет загрузка межсетевого экрана, что приводит к проблемам в передаче трафика или в работе систе- мы управления. В большинстве случаев правила можно оптимизировать, но с течением времени появляются новые политики безопасности и количество правил снова растет, а возможности установленного межсетевого экрана – нет. Совет: удобство работы службы эксплуатации может спасти ваш бизнес. Чрезвычайно функцио- нальные, но неудобные в работе межсетевые экраны создают постоянные проблемы и приводят к росту недовольства пользовате- лей. Лучше пожертвовать функ- циями, но выбрать более понят- ную и отзывчивую систему управ- ления. Совет: научитесь работать с API и разработайте скрипты для настройки тестируемых межсе- тевых экранов в условиях имен- но вашей сети. Эти же скрипты помогут вам во время валида- ции новых версий программного обеспечения перед загрузкой их в работающую сеть. Настраивайте во время тестиро- вания больше правил безопас- ности, чем используете на самом деле. Включайте сбор логов по каждому правилу. Про- веряйте межсетевые экраны под нагрузкой. Если у вас нет генератора, проверяйте их работу с копией вашего трафи- ка либо воспользуйтесь арен- дой оборудования. Хорошая лаборатория – это инвестиции в ваше спокойствие. • 35 NGFW www.itsec.ru Рис. 1. Работа с приложениями в PT NGFW На правах рекламы