Sicurezza

Chi ha bisogno di uno strumento di gestione delle regole dei firewall?

Si tratta, ovviamente, di aziende piuttosto grandi, con ambienti firewall complessi o multivendor. Ma la richiesta di questo tipo di soluzioni è in crescita. Scopriamo perché.

Pubblicato il 25 Lug 2012

elaborazione-dati-140402100505

Nell’era dei controlli PCI Data Security Standard e delle applicazioni “tutto-su-HTTP”, le policy di gestione dei firewall basate sui fogli di calcolo sembrano appartenere al Paleolitico.

Tuttavia, molte organizzazioni hanno fogli di calcolo con migliaia di righe di regole relative ai firewall che risalgono a ritroso anche di 15 anni…

Amministratori di rete e specialisti di sicurezza si trovano a chiedersi “chi ha scritto questa regola, e perché?”. La risposta è in genere “un tizio di nome Marco, per l’ex amministratore delegato, che aveva bisogno di accedere ai dati finanziari attraverso un dial-up”. Poi c’è l’inevitabile domanda successiva: “Pensi che siamo in grado di rimuoverlo?”. Purtroppo, la risposta è, troppo spesso…”Forse”.

Le policy di gestione del firewall sono sovente un problema all’interno di molti reparti IT. Un’indagine resa pubblica dal fornitore di soluzioni di gestione dei firewall Athena Security ha rivelato che il 95% degli ingegneri ha problemi con le verifiche su questo tipo di strumenti, perché i processi manuali coinvolti fanno perdere veramente molto tempo.

Inoltre, l’audit è di solito una quota infinitesimale di questo tempo, che diventa irrilevante nel momento in cui qualche amministratore che ha preso in prestito una password da un ingegnere di sicurezza aggiunge in autonomia una nuova regola.

Il 90% dei 481 ingegneri intervistati da Athena ha ammesso di avere in azienda firewall non ottimali proprio a causa delle regole applicate ai firewall, spesso definite inutili e ridondanti.

Quasi tutti vorrebbero sbarazzarsi di queste regole, ma da dove cominciare?

“Mi sveglio la notte preoccupato di sapere se ci sono delle regole nei nostri firewall che non dovrebbero esserci, o se ne sono state create di nuove da qualcuno non autorizzato”, ha dichiarato Jeff Kramer, professionista della gestione del rischio all’interno di un’azienda globale di produzione. “Qualcuno è entrato nel mio firewall e ha aggiunto una regola che sta creando un problema di conformità o una lacuna di sicurezza? Oppure qualcuno ha aggiunto palesemente una regola al fine di carpire informazioni internamente all’organizzazione? In tutta onestà, in questo momento non sono in grado di rispondere a queste domande”.
Kramer si è, quindi, deciso a installare un software specifico, utile per migliorare la gestione delle regole dei firewall nella sua azienda di 15.000 dipendenti. Il software controllerà circa 50 firewall. L’acquisto di questo strumento si è reso necessario soprattutto nell’ottica di migliorare le modalità attraverso le quali sua azienda conduce le verifiche necessarie a garantire la conformità alle specifiche PCI-DSS (Payment Card Industry – Data Security Standard).
“Abbiamo attraversato un paio di cicli di audit PCI-DSS che hanno messo in luce la difficoltà insita nel rivedere i set di regole dei firewall”, ha detto Kramer. “L’ultimo ciclo di audit è stato davvero un grosso problema e ha fatto emergere in modo sfacciato alcune nostre lacune in materia di conformità”.

Un mercato emergente
I produttori di software di gestione delle policy dei firewall come Athena, Tufin Technologies e Algosec stanno servendo un mercato piccolo ma crescente di aziende che hanno bisogno di aiuto con le regole di gestione del firewall, si dice convinto Greg Young, vice presidente ricerche di Gartner. Non tutte le aziende hanno bisogno di questi software e solitamente quelli che ne hanno bisogno ne riconoscono la necessità solo dopo una catastrofe.

Secondo Young, ci sono quattro scenari che spingono un’impresa a investire in applicazioni di gestione delle policy dei firewall:

Ambienti complessi. Le società che hanno un gran numero di firewall spesso faticano a comprenderne il significato oppure si trovano a doverne gestire così tanti che la faccenda risulta impossibile da portare a termine.

Ambienti firewall altamente dinamici. In questo caso, ha detto Young, “anche se non ne avete parecchi da gestire, il cambiamento costante delle regole rappresenta l’occasione d’oro per un errore di configurazione o l’introduzione di una vulnerabilità”.

Ambienti firewall multivendor. I produttori di firewall offrono spesso il software per la gestione della propria piattaforma, ma si tratta di soluzioni generalmente incompatibili con i prodotti di altri fornitori. Molte grandi imprese hanno più di un fornitore di firewall. La società di Kramer, per esempio, utilizza i prodotti di Check Point in corrispondenza del perimetro e quelli di Cisco per segmentare la rete interna.

Stringenti necessità di audit. Se una società è assoggettata a obblighi di revisione e audit più pressanti rispetto agli anni passati, in particolare per PCI e HIPAA (Health Insurance Portability and Accountability Act), la quantità di ore/uomo necessarie per documentare le regole del firewall per i revisori possono rivelarsi veramente consistenti.

Anche se piccolo oggi, il numero di aziende che hanno bisogno di strumenti di gestione delle policy dei firewall è in crescita. “La natura delle nostre applicazioni, il fatto che prevedono una pluralità di connessioni, rende molto più difficile la configurazione dei firewall necessari per gestirle. Le connessioni single port fanno ormai parte del passato”, ha detto Young. “Quando, poi, si comprendono in questo scenario anche gli ambienti cloud, tutto diventa ancora più complesso, quindi le regole divengono sempre più numerose e complicate. L’adozione di questi strumenti, quindi, aumenta parallelamente alla diffusione della nuvola”, ha chiarito Young.

Una rivoluzione che non si fa in una notte
I software di gestione delle policy dei firewall sono pensati per creare un flusso di lavoro e un sistema di configurazione automatizzati che mappano le policy relative ai firewall sulle regole di gestione di questi strumenti. Richiedono, quindi, l’intervento di ingegneri e tecnici per giustificare qualsiasi variazione alle regole e mantengono una copia dal vivo di tutte le configurazioni e le modifiche apportate. Questo disco “live” risulta perfetto per fornire prova della conformità ai revisori.

Questi strumenti possono anche fornire una proiezione di come le regole del firewall influenzeranno la sicurezza della rete. Tale funzionalità è in grado di identificare le regole che sono intrinsecamente insicure, così come le norme ridondanti o datate, che dovrebbero essere eliminate. ù
Un aiuto prezioso per tutti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati