четверг, 15 августа 2019 г.

Почему компании, купив L7 firewall, настраивают правила L4

В то время как я писал статью про разницу L4 и L7 правил, я еще не думал, что реально, покупая NGFW компания по сути покупает еще 
- обучение сотрудников
- внедрение новых процессов

Обучение сотрудников и процессы

Оказалось, что те два сотрудника (которых как правило отправляют на обучение по NGFW после покупки) никак не влияют на всех сотрудников компании. Они начинают жить в своем L7 мире, а все другие сотрудники остаются жить с обычными L4 вендорами. Происходит разрыв шаблона. 

Для 99% ИТ сотрудников является нормальным открыть наружу в Интернет порт 80. А для обученных в инновационных компаниях двух сотрудников это дико - ведь по 80 порту ходит 1332 разных приложения и какое реально L7 приложение они должны пропустить по этому порту? L4 люди забывают сказать, потому что они просто не в курсе, что приложений много, а не только браузер. Вы как думаете? Вот что можно разрешить на порту 80, если поискать по протоколу tcp и порту 80 в базе приложений NGFW:


Соответственно, идеология L4 отражается в HelpDesk системах: они содержат просьбы открыть им только порты, без объяснения, что за приложения реально нужны. 
А если нужно открыть более сложные приложения, например в DMZ, то я просто в ужасе что же пишут в запрос (тикет) cлужбы поддержки. В ужасе, потому что догадываюсь!

И этот тренд 2019 года продолжают сам вендора которыми мы пользуемся. Если читать их документацию, то они пишут про что? Про L4 правила! Например, если нужно открыть Microsoft Skype For Business, существует только документация портовая у компании Микрософт! Здрасьте, приплыли!

Вот что по мнению Микрософт должен сделать владелец L4 Firewall:


Что делает владелец L4 firewall глядя на этот список? Правильно! Он разрешает все порты выше 1024 на сервер! Ему же надо доступ дать, а не башню на танк поднять (я про анекдот).

В то время как владелец NGFW должен разрешить одно приложение ms-lync. Удобно ли это? Ему удобно, бизнесу удобно, и компании безопасно и быстро! Ну впрочем, если, правда, в компании безопасность - важна и сотрудников ИТ - ценят.

Итог

В итоге к чему я клоню. Мне как сотруднику компании, которая придумала и сделала NGFW - выговор. Я должен позаботиться, чтобы все ИТ сотрудники знали, что существуют более удобные методики межсетевого экранирования. А я этим не занимаюсь? Занимаюсь, но недостаточно.

А надо ли это этим счастливчикам, которые живут в L4 и разрешают все возможные 1332 приложения по порту 80 всем?