组织是如何滥用防火墙的

　　防火墙既简单又复杂。它们很简单，因为它们只有一个功能:允许或拒绝组织内外的流量。它们很复杂，因为配置过程并不像看起来那么简单，而且公司可能在不知情的情况下通过不恰当的防火墙使用为自己设置了漏洞。
　　我与云计算安全组织Illumio的产品管理副总裁马特•格伦(Matt Glenn)进行了交谈，以获得一些行业见解。
　　参见:开启网络安全职业生涯:内部人士指南(免费PDF) (TechRepublic)
　　Scott Matteson:组织是如何滥用他们的防火墙的?
　　马特·格伦:就像很难用锤子固定一个费城头螺丝一样，事实证明防火墙并不总是所有工作的最佳工具。防火墙是用来保护周边地区的。换句话说，它们将可信的内部网络或云与不可信的外部网络分开。然而，它们并不是为高效的内部数据中心或云分割而设计的，尽管经常需要这样做。
　　根据Illumio最近的调查结果，86%的受访者使用防火墙进行内部网络分割，而不是外围防御。这意味着超过四分之三的组织要求防火墙做一些他们原本不打算做的事情。从这个意义上说，它们被滥用了。
　　斯科特·马特森:我们能做些什么来补救?
　　马特·格伦:组织需要做的第一件事是认识到防火墙确实可以帮助解决许多安全挑战，但它们不应该用来解决所有问题。他们的目的是保护周边和防止威胁，但在许多情况下也被分割的任务。认识到您的防火墙可以并且应该用于什么，并实现替代解决方案来填补这些空白，这是您找到补救方法的第一步。
　　参见:安全响应策略(TechRepublic Premium)
　　Scott Matteson:与防火墙管理不当相关的一些安全风险和威胁是什么?
　　马特·格伦:有两个共同的问题:
　　组织认为他们的防火墙在保护他们，但是他们写了过于宽松的规则。这给了攻击者一个优势，他们有更多的表面积来对付。我曾看到组织在两个区域之间设置了防火墙，但是几乎允许任何事情——这满足了审计人员的要求，即一个区域被防火墙隔开了，但是它不能保护任何东西。更重要的是，随着防火墙规则的增长，它们有可能出现错误配置，从而暴露出来。
　　＂供应和祈祷＂问题是当一个组织供应防火墙规则，然后他们得到一个电话，该规则打破了一些东西。这直接反映了管理复杂规则的复杂性，特别是在一个日益敏捷的世界中。
　　Scott Matteson:当前防火墙管理的痛点在哪里?
　　Matt Glenn:根据Illumio最近的调查，当涉及到防火墙管理时，防火墙的大小和复杂性是组织面临的两个最大的问题。当您考虑每个设备的防火墙规则的数量，并将其与组织部署的许多防火墙相乘时，您会发现这是一个复杂且难于管理的web。
　　Illumio的报告还发现，受访者部署和调整防火墙进行细分的平均时间是一到三个月。更重要的是，超过三分之二的受访者承认，防火墙使得在部署之前很难测试规则，这使得意外错误配置规则和破坏应用程序变得更容易。
　　参见:风险管理政策(TechRepublic Premium)
　　Scott Matteson:你能就如何缓解这些问题提出一些建议或解决方案吗?
　　Matt Glenn:组织认为他们可以解决这个问题，但是失败了的典型方法是购买防火墙管理工具。由于管理这些解决方案(除了防火墙之外)的痛苦而从一个到另一个再到第三个的组织知道这些产品有助于遵从性，但并没有真正使生活变得更容易。
　　一个更好的解决方案是为东西方的交通打通＂防火墙＂。这就是SDN(软件定义的网络)和基于主机的细分所倡导的路线，以及组织是如何不断前进的。然后，防火墙用于防火墙的目的:外围防御。
　　Scott Matteson:理想的配置和实现是什么?马特·格伦:人们有一种误解，认为实现细分解决方案很难，但其实并不难。这种误解是因为人们在考虑细分时考虑的是重新架构网络。不一定非得如此。如果网络分段(用于广播域)与安全分段(用于隔离)解耦，那么配置实际上很简单。它从可见性开始，在不破坏网络的情况下创建安全策略。理想情况下，最好的细分解决方案是基于主机的，而不是基于遗留系统的。这使得一种更加经济有效和可靠的方法成为可能。
　　Scott Matteson:你能提供更多关于细分解决方案的细节吗，比如主观的例子，真实世界的用法等等?
　　Matt Glenn:实际上有三种方法可以帮助企业(以及供应商)解决这个问题。
　　经典:这是使用经典的vlan /专区和防火墙。最大的问题是，要插入新的防火墙(创建隔离)，组织通常必须重新ip或重新vlan它们的应用程序。这对生产网络具有极大的破坏性。
　　SDN: SDN需要一个组织来升级基础设施，尽管许多组织已经有了合适的部分。问题是派生工作负载的正确分组，这意味着哪些主机属于什么vlan。已经购买了Cisco的ACI(以应用程序为中心的基础设施)的组织提供了SDN，但是它们的基础设施处于以网络为中心的模式(这是这些部署中的绝大部分)，这是SDN面临的难题的一个例子。另一个例子是，有些组织使用NSX来实现自动化，但难以实施。SDN的另一个挑战是您的物理网络不能扩展到公共云。
　　基于主机的:这种方法使用主机中已经存在的有状态防火墙来加强安全分割。有趣的是，SDN和防火墙供应商现在正在引入基于主机的产品。
　　Scott Matteson:还有什么其他的网络管理策略和解决方案可以提供帮助吗?
　　马特·格伦:网络管理策略的作用很简单，就是把网络清除出去。
　　考虑这一点。多年来，我们一直在为可靠的包交付和自修复构建网络。IEEE和IETF中的整个工作组都是为了构建弹性网络而创建的。生成树的创建是为了确保网络中没有循环。如果网络的第二层拓扑发生变化，则生成树将重新计算，包将可靠地流动。谢谢你，Radia Perlman!
　　对于第3层网络，我们使用OSPF和BGP等协议来确保如果第3层网络中断，或创建了新网络，包可以可靠地流动。
　　从本质上讲，细分就是可靠地分离事物。当我们把分段(隔离)和可靠的包传递(网络)结合起来时，我们就可靠地破坏了东西。任何准备了ACL然后接到电话说它坏了什么的人都知道这种疼痛。
　　通过将网络从强制分割中解脱出来，网络可以变得可靠和灵活(并且不会因为分割而中断)。
　　IT专业人士承认对防火墙感到失望(TechRepublic)
　　Scott Matteson: IT人员应该如何培训，以了解缺少了什么?
　　马特格伦:分割作为一种实践是基础的安全框架，如零信任，这是一个信念，保卫周边不再是一个有效的战略。Zero Trust通过微分割等技术实现了本地化和隔离威胁的方法，并提供了深度可见性，从而为组织和IT团队提供了更有组织的方法，限制了任何破坏的影响。IT团队越能接受这种思维方式，他们就越能理解新的细分方法的好处。
　　参见:为什么许多安全专家对实现零信任缺乏信心(TechRepublic)
　　Scott Matteson:防火墙的使用和管理将如何发展?
　　马特·格伦:我们希望用户能够意识到防火墙对于他们的目的是非常重要的:保护周边的安全。但是，当跨数据中心和云进行划分时，它们往往会失去效力。细分解决方案和防火墙被设计成互补的资源，而不是竞争对手。当组织更好地理解防火墙时，他们也可以更好地理解他们所拥有的资源来填补空白，即分割，以保持他们的数据中心和云的安全。