понедельник, 4 мая 2020 г.

К нам едет L4 firewall

К нам едет L4 firewall

Часто ли к вам приходят коллеги и говорят, что L4 firewall достаточно?

Коллега из ИБ, написал мне, что его CIO не понимает зачем им нужен L4 firewall. Основной довод - он дешевле. ) Отличаете ли вы цену и ценность?

L4 firewall все-таки стоит денег и часто больших. Я тогда предлагаю не покупать L4 Firewall совсем - это во-первых бесплатно, во-вторых уровень безопасности будет такой же! ) NAT и списки доступа уже есть на роутерах - их и так хватает и они бесплатны. И ценность L4 firewall в этом случае мне неясна. Да его можно купить "дешево", а зачем?

И такая ситуация с попытками купить L4 firewall, я знаю, происходит часто. Я конечно улыбаюсь. На самом деле сетевые администраторы и тем более CIO в курсе, что L7 firewall лучше: им удобнее и быстрее управлять сетью и информации он дает больше. Об этом можно почитать в Интернете. Нет смысла лишаться всей той информации, которую дает более глубокая классификация трафика каждого приложения:



Действительно, чтобы анализировать приложения нужно использовать более высокопроизводительное устройство. Причем нагрузка на L7 firewall раз в 10-100 больше, чем на L4 firewall. Сравните что тяжелее: прочитать всю книгу или только заголовок книги? Нагрузка на процессоры зависит от числа включенных в нем функций ИБ. Причем цена устройства L4 не в 10-100 раз больше чем L7. Производителям L4 firewall стало удобно завышать цены - они продают свои устройства лишь незначительно дешевле чем L7, минимально вкладываясь в исследования и разработки, и получая огромную маржу.

Что нужно сказать тем, кто за L4 firewall

1. Во-перых сетевым администраторам невыгодно, чтобы у безопасников был L7 firewall. Вы будете видеть их ошибки. Вы обнаружите, что они используют открытые вами порты для своих других приложений. В L4 вы не сможете увидеть ошибки, просто потому, что номер порта не дает никакой информации о приложении. Когда служба ИБ дружит со службой ИТ - ситуация меняется, и все одновременно хотят L7 firewall. Мне коллега - начальник службы ИБ крупной энергетической компании сказал, что после покупки Palo Alto Networks NGFW к нему подошли сетевики и сказали: "Спасибо, что купили! Мы лучше стали понимать свою сеть и нам стало удобней ей управлять."

2. Во-вторых сетевым администраторам не хочется переводить старые правила с обычных L4 firewall. Они часто не знают что есть утилиты-конверторы, например, Expedition, которые переводят правила с L4 на L7. Занимает 1-2 дня на периметре или 5-7 дней в ЦОД, поскольку вы обычно проводите тесты на доступность важных для бизнеса сервисов. Понятно, что важна не утилита, а чьи руки ей пользуются. 
Также есть уже готовые конфигурации NGFW для периметра и ЦОД, например, IronSkillet.

3. В-третьих дайте послушать лекцию про APP-ID фанатам портовых правил. 

4. И я согласен - учиться лень! Тогда более короткий видеоролик про то же самое )

5. И также есть примеры из жизни для совсем неверующих. Поставьте себе хотя бы раз NGFW в сеть - и вы сами все поймете ) Я не пробовал и отрицаю - это тоже метод, но он не работает )

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru