Bu Help Net Security röportajında Tufin CEO’su Raymond Brancato, kuruluşların güvenlik ihtiyaçlarını ağ performansıyla etkili bir şekilde dengelemek için yeni nesil bir güvenlik duvarı seçerken dikkate alması gereken hususları tartışıyor.
Kuruluşlar, güvenlik ihtiyaçlarını ağ performansıyla dengelemek için yeni nesil bir güvenlik duvarı seçerken hangi faktörlere öncelik vermelidir?
Zaten en önemli kısmı söylediniz; güvenlik ihtiyaçları, kullanılabilirlik ve ağ performansı dengelenmelidir ve bu ortak zemini bulmak her zaman kolay değildir.
Bir güvenlik duvarı seçerken bir kuruluşun atması gereken ilk adım, mevcut ağ altyapısını derinlemesine incelemektir. Mevcut ağ mimarisini ve güvenlik gereksinimlerini ve önemli varlıkları veya hassas verileri değerlendirmek, ekibin en uygun güvenlik duvarı türünü ve yapılandırmasını belirlemesine yardımcı olacaktır.
Hangi ağ erişim seviyelerinin desteklenmesi gerektiği, istenen güvenlik seviyesi, dahili segmentasyon (örn. DMZ), düzenleme ve uyumluluk gereklilikleri, ağ topolojisinin karmaşıklığı ve yaygın/potansiyel tehdit türleri gibi temel değişkenlere odaklandığınızdan emin olun. . Güvenlik duvarı seçilirken bu faktörlerin vurgulanması, seçimin nihai olarak kuruluşun kendine özgü zorluklarını ve ihtiyaçlarını yansıtmasını sağlamaya yardımcı olacaktır.
Tüm ilgili paydaşların sürecin başında sürece dahil edilmesi, kuruluş genelinde hedeflerin ve beklentilerin uyumlu hale getirilmesine yardımcı olacağından bir diğer önemli eylemdir. Bunun yapılmaması, güvenlik duvarına güvensizlikle sonuçlanabilir ve geliştiriciler arasında, örneğin güvenlik duvarının, üretken olabilmek için üstesinden gelmeleri gereken bir engel olduğu hissine yol açabilir.
İşletmelerin güvenlik duvarı yönetim araçlarını kullanırken yaptığı yaygın yanlış anlamalar veya hatalar var mı?
Kuruluşların (ve güvenlik ekiplerinin) yapabileceği en büyük hatalardan biri, güvenlik duvarlarının yalnızca ‘kur ve unut’ araçları olduğunu düşünmektir. Kuruluşun güvenlik duvarı kural kümesinin, gelişen ağ taleplerine ve tehditlere uyum sağlayacak şekilde düzenli olarak yeniden gözden geçirilmesi ve ayarlanması çok önemlidir. Bunun yapılmaması, organizasyonu saldırılara açık hale getirir.
Birçok kuruluş aynı zamanda güvenlik duvarlarına ilişkin eski ve olumsuz bir bakış açısına sahiptir. Bunlar hala güvenlikle ilgili olmayan profesyoneller tarafından ağ performansını yavaşlatabilecek ve geliştiricilerin etkinliğini sınırlayabilecek bir şeyle eş tutuluyor. Geçmişte bu kaygılarda bazı doğruluk payı olsa da, modern güvenlik duvarları güvenlik ve performans arasındaki dengeyi bulmak üzere tasarlanmıştır. Aslında performansta herhangi bir yavaşlama varsa, bu genellikle güvenlik duvarlarının yanlış yapılandırılmasından kaynaklanır.
Güvenlik duvarlarının düzenli olarak gözden geçirilmesi ve güncellenmesi gerekirken, birçok kuruluşun yaptığı bir diğer hata da her eylemi manuel olarak yönetmek ve çalıştırmaktır. Otomasyon, güvenlik uzmanları için mükemmel bir araçtır ve modern bir güvenlik duvarının, erişimin kontrol edilmesi ve verilmesinden (veya reddedilmesinden), yeni bağlantıların dağıtılmasına kadar pek çok yönü otomatikleştirilebilir. ‘Ayarlayıp unutmak’ bir hata olsa da, güvenlik duvarı yönetimi mümkün olduğu kadar fazla otomasyon içermiyorsa, güvenlik ekiplerine kolayca aşırı yük getirebilir.
Kötü güvenlik duvarı yapılandırmaları büyük veri ihlalleriyle ilişkilendirilmiştir. Kuruluşlar, güvenlik duvarlarının en başından itibaren doğru ve güvenli bir şekilde yapılandırıldığından emin olmak için hangi adımları atmalıdır?
Bir kuruluşun güvenlik duvarı politikası, gelen ve giden trafik yönetimi, idari haklar ve erişim, hangi tehditlerin engellenmesi gerektiği ve düzenleyici ve kurumsal uyumluluk standartlarına en iyi şekilde nasıl uyulacağı için çerçeveyi belirler. Güvenlik ekiplerini aklı başında tutmak için güvenlik duvarlarının temel araç olarak anıldığını sık sık duydum.
Ağ ortamları genişledikçe ve geliştikçe yapılması gereken ayarlamalar için her zaman yer vardır, ancak konu güvenlik duvarları olduğunda, diğer çözümlerden daha da önemlisi, sürecin doğru şekilde başlatılması kritik öneme sahiptir.
Yapılandırma süreci, kuruluşun mevcut ağ altyapısının kapsamlı bir şekilde incelenmesiyle başlamalıdır. En iyi şekilde çalışması için güvenlik duvarı ayarlarının her kuruluşun özel ihtiyaçlarına ve gereksinimlerine göre uyarlanması gerekir.
Gelen ve giden trafiği yönetmek için bir güvenlik duvarı yapılandırırken, yeni güvenlik duvarının (ve/veya yalnızca ayarlamalar yapılıyorsa eskisinin) öğelerini ve uç noktalarını anlamak önemlidir. Bunlar, güvenlik duvarı politikalarını, NAT kurallarını, VPN ve/veya VLAN ayarlarını, IP adreslerini ve bunlara bağlı tüm ilişkili kimlik doğrulama, doğrulama ve/veya SSL işlemlerini içerir.
Bazen daha fazla erişim garanti edilir, bazen de daha sıkı korumaların olması gerekir. Süreç, önemli varlıkları, hassas verileri ve olası güvenlik açıklarını tanımlamalıdır. Ayrıca, hâlâ geçerli/ilgili oldukları sürece, önceki politikaların eski bir güvenlik duvarından aktarılmasını sağlayacak adımlar atılmalıdır.
İlk kurulumun ardından güvenlik duvarını test etmek önemlidir. Ekipler, tüm kuralların doğru şekilde uygulandığını ve yetkili trafiğin planlandığı gibi güvenlik duvarından geçtiğini doğrulamalıdır. Buradan itibaren sürekli inceleme ve yönetim bir zorunluluktur. Kuralların yeni tehditlere ve gelişen ihtiyaçlara yanıt verecek şekilde düzenli olarak ayarlanması ve doğru şekilde yapılandırılması için başlangıçtan itibaren düzenli inceleme ve düzenleme süreci oluşturun.
Yanlış yapılandırmalar bazen meşru trafiğin güvenlik duvarları tarafından engellenmesine yol açabilir. Güvenlik protokollerini korurken hatalı pozitifleri en aza indirmek için en iyi uygulamalar nelerdir?
Önlem alınmadığı takdirde yanlış pozitifler kısa sürede basit bir sıkıntıdan daha fazlası haline gelebilir. Yalnızca güvenlik ekibinin çözmesi gereken gerçek sorunlardan zaman ve dikkati uzaklaştırmakla kalmaz, aynı zamanda hem günlük çalışanlar hem de güvenlik ekibinin kendisi arasında alarm yorgunluğu yaratabilirler. Bir sorunu görmezden gelmek ve ortadan kalkmasını ummak kolaydır, ancak yanlış pozitifler söz konusu olduğunda ekiplerin yasal trafiğin engellenmesinin temel nedenini bulması gerekir.
Çoğu zaman yanlış pozitif, yanlış yapılandırmanın sonucudur. Hem mevcut sorunları belirlemek hem de yeni yanlış yapılandırmaları önlemek için kuruluşların operasyonel korkuluklar oluşturması ve otomasyonu benimsemesi gerekir.
Bu korkuluklar esasen sistemin belirli yönlerinin (IP adresleri, kullanıcı/uygulama kimliği, ağ trafiği vb.) içinde çalışması gereken sınırlardır. Başka bir deyişle kimin kiminle konuşabileceğine, neyin neyle konuşabileceğine dair kurallardır.
Yoğun güvenlik ekipleri, bu korkulukların incelenmesini otomatik hale getirerek, belirlenen kurallardan herhangi bir sapmanın tespit edileceğinden ve bir sorun olması durumunda anında bildirim alarak hızlı bir şekilde yanıt verebileceklerinden emin olabilirler. Kuruluşlar ayrıca isteklere ve kural sapmalarına verilen belirli yanıtları otomatikleştirerek, sıradan ve zaman alıcı bir süreci güvenlik ekiplerinin plakalarından tamamen kaldırarak ve ağların yüksek düzeyde performans göstermeye devam etmesini sağlayarak bunu başka bir düzeye taşıyabilir.
İyi tanımlanmış korkuluklar ile otomatik incelemeler ve yanıtların birleşimi, erişim iznini sorunsuz hale getirebilir, ağların güvenli olmasını sağlayabilir ve yanlış pozitifleri geçmişte bırakabilir.
Birçok güvenlik duvarı yönetim aracı, kural kümelerine ve trafik modellerine ilişkin görünürlük sunar. Kuruluşlar güvenlik duvarlarını optimize etmek ve performansı artırmak için bu araçlardan nasıl yararlanabilir?
Güvenlik duvarı kural geçmişleri, ağ ve güvenlik ekipleri için önemli bir araçtır. Temel olarak, bir kuruluşun ortamındaki her türlü değişikliğin zaman damgalı bir kaydını oluştururlar; bu, bir ihlali düzeltmenin adli aşaması söz konusu olduğunda son derece değerli olabilir; yani, bir daha olmamasını sağlamak için neyin yanlış gittiğini bulmak. Kural geçmişleri, giriş noktasını, kullanılan araçları ve bir saldırganın ağ ortamında ne kadar çok veya ne kadar az erişime sahip olduğunu belirlemeye yardımcı olabilir.
Ancak kural geçmişleri, bir ihlal veya saldırı sonrasındaki soruları yanıtlamaktan daha fazlasını yapabilir. Ekipler, kural geçmişlerini düzenli olarak denetleyerek, bir isteği etkinleştirmek için güvenlik politikasını veya kuralları değiştirmek veya güncelliğini yitirmiş kuralları güncellememek veya kaldırmamak gibi riskli davranışları tespit edebilir.
Kural değişikliği günlükleri olmadan, politikalardaki geçici değişiklikler veya atlamalar unutulabilir ve bu da bir saldırganın yanlış yapılandırma veya istismar etme potansiyeli yaratabilir. Ağ bölümleme, kontrol veya yönetişim süreçlerindeki zayıflıklar ortaya çıkarılabilir, böylece ekiplere anlamaları ve olası bir sorunu çok geç olmadan çözmeleri için gerekenler sağlanır.
Kısacası, güvenlik ekipleri, hem tek seferlik sorunları hem de anında görülebilenin ötesinde yinelenen kalıpları tanımlamak için güvenlik duvarı kural geçmişlerini kullanabilir. Bu bilgi, ekiplerin hem güvenlik açıklarını önlemede hem de güvenliği ve dolayısıyla ağlarının performansını artırmada proaktif olmalarına yardımcı olur.