Современную сеть нельзя представить без брандмауэра, как и компьютер без антивирусного программного обеспечения. Располагаясь на входе в сеть, он призван защитить ее от внешнего мира и становится, таким образом, ключевым компонентом любой инфраструктуры обеспечения безопасности ИТ. Ввиду возрастающего многообразия исходящих из Internet угроз на базе брандмауэра все чаще реализуются многофункциональные сетевые устройства с поддержкой целого ряда функций, включая защиту от вирусов и спама, обнаружение и предотвращение вторжений, фильтрацию контента и т. д. (см. статью Бернда Билека «Безопасность благодаря множеству компонентов»).

Однако декларируемый производителями надежный заслон от всевозможных вторжений приводит к появлению ложного чувства защищенности, особенно у тех, для кого это оборудование предназначено в первую очередь — у руководителей небольших компаний, где нет опытных специалистов в области ИТ. Дело не в том, что попытка объединить в одном устройстве как можно более широкую функциональность чревата некачественной реализацией части этих функций, а в том, что действительно надежную защиту способна обеспечить только целостная и продуманная архитектура безопасности, в которой даже такое важное устройство, как брандмауэр, является всего лишь одним из элементов.

Впрочем, даже необходимость в сетевом брандмауэре и его значение для защиты сети порой ставятся под сомнение, поскольку границы между внутренней сетью и внешней все сильнее размываются. По мнению Стюарта Бермана, архитектора системы безопасности в компании Fortune 1000, внешний брандмауэр лишь затрудняет использование приложений, например VoIP, поэтому для их реализации приходится придумывать обходные пути, использовать туннели и т. п. А раз многие приложения проникают в сеть, минуя брандмауэр, то какой в нем смысл? Как утверждает Берман, в своей сети он избавился от подобных внешних устройств, укрепив защиту клиентов и сети и поместив серверы в отдельную зону. Конечно, такой подход слишком радикален, да к тому же он все равно предполагает применение тех или иных методов фильтрации, в частности списков контроля доступа на коммутаторах для ограничения обращений к серверам. И все-таки смещение фокуса внимания с брандмауэра заставляет пересмотреть исповедуемые подходы к защите.

Опасность внутренних угроз постоянно подчеркивается, но тем не менее часто недооценивается. Так, в связи с появлением новых протоколов при ненадлежащей конфигурации стали возможны даже атаки на втором уровне (см. статью Энно Рея и Петера Фирса «Безопасность на втором уровне под угрозой»). Однако, если архитектура безопасности реализована подобающим образом, внутренние угрозы наносят гораздо меньший ущерб, чем приписываемые им пресловутые 80% (нередко по незнанию, халатности и т. п., а не по злому умыслу), особенно если предприятие не только контролирует поведение сотрудников, но и обучает правилам безопасности (см. статью Йоханнеса Вилле «Каждый сотрудник как брандмауэр»). При отсутствии же собственных ресурсов можно обратиться к внешним услугам (см. статью Кристиана Эберта «Распределенные роли при проблемах с безопасностью»).

Поделитесь материалом с коллегами и друзьями