Giải pháp quản lý chính sách thiết bị mạng và tường lửa – FireMon

Giải pháp quản lý chính sách bảo mật của FireMon

FireMon cung cấp giải pháp quản lý chính sách thiết bị mạng và tường lửa cho các tổ chức, doanh nghiệp. Giải pháp giúp hệ thống trở nên đáng tin cậy, an toàn và có thể mở rộng để quản lý các thiết bị mạng hiện có, tăng mức độ hiển thị để tuân thủ các nguyên tắc tuân thủ tiêu chuẩn của ngành đối với các quy tắc / chính sách của từng thiết bị, đồng thời giảm mức độ rủi ro chung do đến các yếu tố chưa biết:

Tầm quan trọng của giải pháp

Do sự phức tạp của một cơ sở hạ tầng mạng của tổ chức, không có gì đáng ngạc nhiên khi các quản trị viên mạng có rất ít khả năng hiển thị sâu của từng thiết bị mạng. Một quy tắc được định cấu hình sai trong tường lửa hoặc bất kỳ thiết bị mạng nào khác, có thể tạo ra một con đường cho các bên độc hại để xâm nhập vào cơ sở hạ tầng phụ trợ của tổ chức. Theo ghi chú của Gartner Inc., trong miền này, hơn 95% các vi phạm tường lửa là do các quy tắc được định cấu hình sai, thay vì các lỗi tường lửa.

Đề xuất thực tiễn tốt nhất cho quản lý Thiết bị tường lửa / Thiết bị mạng

Như được thấy dưới đây, phân tích các thực tiễn tốt nhất được đề xuất cho quản trị viên thiết bị tường lửa / mạng. Mặc dù đây không phải là một danh sách đầy đủ, nhưng nó phục vụ để giải quyết phần lớn các mối quan tâm và điểm đau đầu mà các quản trị viên và chuyên viên bảo mật phải đối mặt khi giải quyết các công việc hàng ngày của họ.

Hiểu những gì bạn có:

• Báo cáo quy tắc / chính sách chi tiết từng quy tắc
• Phân tích thành viên nhóm

Thực hiện các quy trình dọn dẹp thường xuyên:

• Xác định các quy tắc / chính sách không sử dụng
• Làm cho nó một quá trình liên tục
• Hiểu quy tắc / sử dụng chính sách theo thời gian
• Lịch sử sử dụng chính sách / quy tắc quan trọng

Sắp xếp các quy tắc / chính sách dựa trên việc sử dụng:

• Tập trung vào 10% quy tắc hàng đầu
• 5% quy tắc / chính sách hàng đầu thường chiếm 90% lưu lượng truy cập
• Duy trì các chính sách có thể sử dụng, dễ hiểu là ưu tiên hàng đầu

Cải thiện quy trình tạo quy tắc(rule):

• Xác định nếu một quy tắc/rule là cần thiết bằng cách sử dụng các công cụ phân tích
• Xác định các cơ hội hợp nhất quy tắc(rule)

Xác định các quy tắc/rule không sử dụng:

• Thiết lập một quy trình để xem xét các quy tắc không sử dụng và loại bỏ như một phần của bảo trì thường xuyên
• Xác minh tính chính xác của kết quả. Dữ liệu không chính xác hoặc không đầy đủ là vô giá trị.

Xác định các quy tắc/rule được sử dụng nhiều nhất:

• Xác định các quy tắc (rule) được sử dụng cao (highly-utilized) được đặt thấp trong cơ sở quy tắc. Chỉ tập trung vào các quy tắc/rule được sử dụng hàng đầu.
• Nếu quy tắc (rule) thả là một trong ba quy tắc (rule) hàng đầu, hãy xác định xem có thể loại bỏ một số lưu lượng truy cập dự kiến (noisy protocols) sớm trong chính sách (policy) hay không.

Xác định các đối tượng không sử dụng (Unused Objects):

• Tập trung vào hầu hết các quy tắc/rule được sử dụng và loại bỏ các đối tượng mạng không cần thiết không sử dụng

Đánh giá trước khi thay đổi:

• Xác định nếu một quy tắc(rule) là cần thiết
• Xác định nơi quy tắc (rule) phải đi
• Luôn luôn cân nhắc các lựa chọn hợp nhất có thể

Khắc phục sự cố kết nối:

• Xác định quy tắc/rule nào sẽ hành động trên một lưu lượng truy cập cụ thể

Báo cáo hoạt động kinh doanh liên tục:

• Đảm bảo báo cáo thường xuyên để đảm bảo tuân thủ liên tục và sức khỏe của thiết bị

Thực thi tuân thủ liên tục:

• Tự động hóa thực thi và báo cáo tuân thủ
• Theo dõi và theo dõi liên tục

GIẢI PHÁP ĐỀ XUẤT - FIREMON

Bất kỳ mối đe dọa và rủi ro nào cũng có thể được tìm thấy trong bất kỳ môi trường nào trong quá trình thiết lập tổ chức, giải pháp FireMon đề xuất Mô-đun quản lý bảo mật một công cụ quản lý tường lửa với tổng quan cao giám sát tất cả các tường lửa và thiết bị mạng một cách toàn diện cho doanh nghiệp. Giải pháp đề xuất giải thích và phác thảo các tính năng và chức năng của các mô-đun riêng lẻ.

Giải pháp FireMon bao gồm 4 mô-đun, cụ thể là:

• Quản lí an ninh (Security Manager)
• Hoạch định chính sách (Policy Planner)
• Tối ưu hóa chính sách (Policy Optimizer)
• Phân tích rủi ro (Risk Analyzer)

FireMon – Security Manager

Security Manager là một giải pháp quản lý sự kiện và giám sát sự kiện theo thời gian thực cho tường lửa, thiết bị chuyển mạch, bộ định tuyến, proxy và thiết bị cân bằng tải. FireMon giám sát chính sách và cấu hình thay đổi theo thời gian thực và sẽ tự động so sánh chính sách mới với chính sách trước đó và báo cáo về sự khác biệt dựa trên các biến chính của Ai, Cái gì, Khi nào và Ở đâu.

Trình quản lý bảo mật bao gồm 3 thành phần chính là Cơ sở dữ liệu, Máy chủ ứng dụng & Trình thu thập dữ liệu. Trình quản lý bảo mật Hình 1 hiển thị có thể được triển khai theo kiểu thống nhất hoặc phân tán tùy thuộc vào các yêu cầu và cơ sở hạ tầng của khách hàng, cung cấp sự linh hoạt cần thiết cho bất kỳ loại môi trường nào.

Trình quản lý bảo mật Kiến trúc phân tán, cho phép thu thập dữ liệu cục bộ nhằm giảm thiểu tác động của lưu lượng nhật ký trong khi thu thập và lưu trữ tất cả dữ liệu giám sát cần thiết. Trong trường hợp mở rộng kiến ​​trúc, việc triển khai Bộ thu thập dữ liệu bổ sung có thể được thực hiện trong vài phút.

Giao tiếp giữa các thành phần khác nhau của giải pháp được xây dựng để chống lại sự gián đoạn. Bộ nhớ đệm và trạng thái có sẵn cho tất cả các thành phần cho phép phục hồi dễ dàng và nhanh chóng từ bất kỳ gián đoạn giám sát nào.

Hình 1 - Hiển thị kiến trúc chung FireMon

Ngoài ra, với các chính sách mới được truy xuất được lưu trữ trong Trình quản lý bảo mật (Security Manager), các báo cáo / kiểm toán tự động để đáp ứng các yêu cầu của công ty có thể được thực hiện. Ví dụ bao gồm tuân thủ PIC-DSS, cấu hình thiết bị NIST, báo cáo quy tắc không sử dụng, v.v.

Chức năng dọn dẹp tường lửa:

• Báo cáo hoạt động hàng ngày
• Báo cáo độ phức tạp của tường lửa
• Báo cáo quy tắc (rule) ẩn
• Phân tích sử dụng quy tắc (rule)
• Phân tích sử dụng đối tượng

Hình 2 - Hiển thị Web GUI của Trình quản lý bảo mật (Security Manager) Ảnh chụp màn hình báo cáo sử dụng quy tắc

Chức năng tuân thủ tường lửa:

• Phân tích lưu lượng giao thông
• Đánh giá PCI-DSS
• Báo cáo tuân thủ tùy chỉnh

Hình 3 - Hiển thị Web GUI của Trình quản lý bảo mật (Security Manager) Ảnh chụp màn hình với các báo cáo có sẵn

FireMon – Hoạch định chính sách (Policy Planner)

Hoạch định chính sách (Policy Planner) cho phép các tổ chức tự động hóa quy trình quản lý thay đổi khi áp dụng sửa đổi / thay đổi / giới thiệu các quy tắc / chính sách (Rule/Policy). Điều này đạt được nhờ Hoạch định chính sách (Policy Planner) tích hợp với một tổ chức quy trình quản lý thay đổi hiện có và triển khai giải pháp quản lý thay đổi.

Nhà hoạch định chính sách (Policy Planner) có thể:

• Nắm bắt các yêu cầu thay đổi tường lửa từ bất kỳ người dùng nào
• Nhanh chóng tìm đúng thay đổi tường lửa với đề xuất quy tắc
• Phê duyệt các thay đổi cho tuân thủ và rủi ro
• Phù hợp nhu cầu kinh doanh với thực hiện kỹ thuật
• Xác minh & ghi lại tất cả các khía cạnh của sự thay đổi

Hình 4 – Policy Planner Quy trình làm việc tự động hóa chính sách thông minh và ảnh chụp màn hình của một Ticket

Tính năng đề xuất quy tắc (rule) của Policy Planner phân tích hành vi hiện tại của chính sách (policy) và có thể ngay lập tức xác định thay đổi cần thiết:

• Không cần thay đổi: quyền truy cập được yêu cầu đã tồn tại, do đó không cần thay đổi / thêm quy tắc (rule)
• Tồn tại một truy cập tương tự: thay vì thêm quy tắc mới và tăng gánh nặng không cần thiết vào chính sách, quy tắc hiện tại có thể được sửa đổi để cung cấp quyền truy cập tương tự
• Vị trí quy tắc: khi một sự thay đổi là cần thiết và không có quy tắc tương tự tồn tại, Chính sách hoạch định (Policy Planner) cho bạn biết chính xác nơi đặt quy tắc mới

FireMon – Tối ưu hóa chính sách (Policy Optimizer)

Mô-đun tối ưu hóa chính sách (Policy Planner) FireMon tự động hóa các yếu tố chính của quy trình cần thiết để điều chỉnh các chính sách thiết bị bảo mật mạng để đáp ứng với các điều kiện thay đổi. Trình tối ưu hóa chính sách (Policy Planner) thúc đẩy đáng kể việc xác định và cải thiện cấu hình tường lửa rắc rối liên quan đến các mối đe dọa mới nổi, phát triển nhu cầu kinh doanh và yêu cầu tuân thủ, cung cấp quy trình làm việc tập trung cho phép các nhóm bảo mật tương tác trực tiếp với các bên liên quan truy cập mạng khác, với tích hợp phân tích rủi ro.

Sử dụng Trình tối ưu hóa chính sách (Policy Planner), các hoạt động bảo mật mạng có thể tự động tạo các yêu cầu để xem xét và phê duyệt quy tắc bởi các nhóm ban đầu yêu cầu quyền truy cập.

Trình tối ưu hóa chính sách (Policy Planner) tự động hóa quy trình xem xét bảo mật mạng với các chức năng dành riêng cho tường lửa:

• Đánh giá chính sách (policy) tự động
• Đánh dấu các lỗi quy tắc (rule) bảo mật quan trọng dựa trên mức độ nghiêm trọng hoặc thời gian xem xét.
• Nhắm mục tiêu thông minh để cải thiện quy tắc (rule)
• Phân công nhiệm vụ xem xét quy tắc (rule) dựa trên các thuộc tính và tài liệu hiện có.
• Tài liệu tất cả các quyết định và biện minh trong FireMon Security Manager.
• Tạo thông tin và thực hành tốt nhất để sửa đổi hoặc loại bỏ quy tắc (rule).
• Tạo báo cáo đột xuất cho các quyết định xem xét.
• Duy trì trạng thái tuân thủ

Hình 5 – Ticket Trình tối ưu hóa chính sách (Pocily Optimizer) cho người đánh giá để đưa ra quyết định chứng nhận lại quy tắc (rule)

FireMon – Phân tích rủi ro (Risk Analyzer)

Phân tích rủi ro (Risk Analyzer) làm giảm rủi ro của doanh nghiệp bằng cách cho phép các nhà quản lý an ninh mạng xem làm cách nào các cuộc tấn công lan truyền qua mạng và chỉ cho họ đâu là nơi để dừng các cuộc tấn công ở vành đai. Điều này cho phép các giám đốc điều hành đo lường mức độ hiện tại của họ, nỗ lực làm việc trực tiếp và đảm bảo rủi ro đang có xu hướng giảm. Phân tích rủi ro đạt được điều này bằng cách tổng hợp và tương quan dữ liệu từ 3 nguồn khác nhau,

• Quản lí an ninh (Security Manager)
• Cơ sở dữ liệu dễ bị tổn Thương (Vulnerability Database)
• Máy quét lỗ hổng (Vulnerability Scanners)

Những lợi ích chính của mô đun Phân tích rủi ro (Risk Analyzer) bao gồm:

• Dừng lan truyền tấn công: Trình phân tích rủi ro (Risk Annalyzer) cung cấp biểu đồ tấn công trực quan, cho thấy cách kẻ tấn công có thể xâm nhập mạng và nơi ngăn chặn cuộc tấn công vào vành đai
• Ưu tiên các lỗ hổng: Mọi mô phỏng tấn công đều dẫn đến một danh sách các lỗ hổng được phân đoạn và ưu tiên, nếu được chống lại, sẽ giúp giảm thiểu rủi ro lớn nhất.
• Đo lường rủi ro: Risk Annalyzer cung cấp một phép đo cụ thể về rủi ro đối với mạng dựa trên các cuộc tấn công mô phỏng. Nó cung cấp cho những người ra quyết định dữ liệu cấp cao cần thiết để đảm bảo hành động thích hợp đang diễn ra.
• Xác định bản vá ảo có thể: Trình phân tích rủi ro (Risk Annalyzer) cung cấp trạng thái rủi ro tập trung vào quy tắc - đó là các lỗ hổng ngăn chặn theo quy tắc và là các lỗ hổng cho phép theo quy tắc (rule). Phân tích này có thể được sử dụng cho bản vá ảo cho các truy cập không cần thiết thông qua sửa đổi quy tắc (rule).

Hình 6 - Hiển thị Visual Risk Topology - Hiển thị vectơ tấn công & đo lường rủi ro

FireMon – Ngôn Ngữ Truy Vấn (Query Language)

FireMon SIQL (Ngôn ngữ truy vấn bảo mật thông minh) có sẵn trên Web GUI của Security Manager và nó giúp gửi các truy vấn tùy chỉnh và cho phép quản trị viên tìm kiếm dữ liệu tùy chỉnh của riêng họ. Kết quả của các truy vấn này có sẵn trong màn hình đồ họa, bao gồm biểu đồ và đồ thị, cũng như các tệp dựa trên văn bản có thể xuất được.

Sử dụng SIQL, quản trị viên có thể viết các truy vấn đặc biệt và kiểm tra kiểm toán để truy xuất thông tin từ các cấu hình, thay đổi, kiểm tra kiểm toán và phân tích sử dụng được lưu trữ bởi Trình quản lý bảo mật. Đặc thù của miền tên miền có nghĩa là SIQL biết về các thiết bị, chính sách, quy tắc cũng như các thuộc tính của chúng (như tên và nhà cung cấp thiết bị, nguồn của quy tắc/rule, địa chỉ IP nguồn, giao thức dịch vụ, cổng dịch vụ, vùng, nhận xét, v.v.) .

Sử dụng SIQL, quản trị viên có thể truy xuất dữ liệu để trả lời các câu hỏi như:

1. Chính sách nào trên các thiết bị trong nhóm ABC không có quy tắc thả toàn cầu?
2. Những quy tắc nào được tạo ra sau ngày 16 tháng 7 và không có Nhận xét (Comment) bao gồm văn bản “CCN” ?
3. Những thiết bị Check Point nào của tôi có nhiều hơn 5 quy tắc (rule) không thành công “Find Rules with Any” với bất kỳ kiểm tra kiểm toán đưa ra ?
4. Những quy tắc (rule) nào chiếm ít hơn 1% trong tổng số sử dụng chính sách của họ?

Hình 7 - Hiển thị các truy vấn có thể tùy chỉnh Ảnh chụp màn hình bằng SIQL

FireMon – Phân tích đường dẫn truy cập (Access Path Analysis)

Khung phân tích hành vi FireMon cho phép các tính năng như Phân tích đường dẫn truy cập (Access Path Analysis) cho phép quản trị viên theo dõi luồng của gói thông qua các cấu hình mạng. Đi sâu vào phân tích đường dẫn chi tiết - xem các tuyến đường, giao diện, tường lửa và các quy tắc NAT mà gói gặp phải trong khi truyền qua mạng.

Công cụ phân tích mạnh mẽ này giúp quản trị viên tìm ra nơi các quy tắc chặn truy cập dọc theo một đường dẫn nhất định, xác định nơi cấu hình tuyến đường ngăn chặn truy cập đường dẫn cụ thể, phân tích cách lưu lượng truy cập có thể đi từ sâu trong mạng ra thế giới bên ngoài hoặc hiểu cách dễ bị tổn thương cụ thể có thể truy cập.

Hình 8 - Hiển thị của một Access Path Analysis hoạt động hiển thị thiết bị, đường dẫn và interface bị ảnh hưởng.  Ảnh chụp màn hình của luồng lưu lượng mô phỏng thông qua cấu hình thực tế.