W trakcie wczorajszej konferencji CheckPoint Security Day zwróciłem szczególną uwagą na prezentację „Polityka bezpieczeństwa 2.0” wygłoszoną przez Jarosława Prokopa. Zwrócił on szczególną uwagę na to, ze obecnie stosowane na urządzeniach aktywnych polityki bezpieczeństwa (czyli tytułowe reguły i regułki) w niedługim czasie utracą dalszy sens – ich bieżąca konfiguracja stanie się zbyt częsta i skomplikowana by móc za nią nadążyć. Tradycyjne „geograficzne” zarządzanie siecią oparte na adresach IP nie jest w stanie sprostać swojej roli w sytuacji gdy:
- Mamy mobilnych pracowników zmieniających nie tylko biurka ale i kontynenty
- W firmie pracują kontraktorzy, którzy naprawdę potrzebują dostępu do Internetu
- Odwiedzają nas goście, którzy naprawdę chętnie skorzystaliby z sieci
- Budujemy rozwiązania wirtualne, gdzie termin IP zaczyna się rozmywać
W takiej sytuacji tworzy się kolejne vlan’y, ustawia statyczne IP dla pojedynczych użytkowników… potrafi to być żmudne, nie jest to lubiane przez IT (bo trzeba to robić na wczoraj), nie jest to lubiane przez bezpieczeństwo (gdyż ktoś grzebie przy regułach bezpieczeństwa. Rozwiązaniem przyszłości są oczywiście funkcjonalności programów produkowanych przez CheckPoint :)
A tak na serio to po raz kolejny pewnie ta firma pokazuje nam trendy. Chociaż zresztą nie jest to nic nowego – proponują rozwiązania bazujące na rolach. Nowe systemy mają odejść od reguła ustawianych na konkretne IP na rzecz reguł przydzielanych konkretnym UŻYTKOWNIKOM, pracującym w konkretnych GRUPACH (rolach) na zdefiniowanych grupach KOMPUTERÓW.
Dobre skonfigurowanie systemu pozwoli na bardziej elastyczne tworzenie polityki bezpieczeństwa biorąc pod uwagę ROLĘ pracownika (zdefiniowaną w Active Directory) jak również miejsce z którego prowadzi pracę (laptop prywatny, służbowo utwardzony PC…). Na tej bazie będzie można określać z czym może się łączyć użytkownik (IP, serwer, aplikacja), czy opierając się o DLP określać jakie dane przesyłać (szczególnie podoba mi się funkcja ASK – pozwala na ruch, ale wymaga podania uzasadnienia, które jest analizowane i może służyć za podstawę do zdefiniowania polityki bezpieczeństwa dla konkretnego użytkownika).
CheckPoint już to potrafi, inni pewnie niedługo też będą, pozostanie tylko jedno małe ale… Jak tym teraz zarządzać?
Już teraz, bazując tylko na IP polityka bezpieczeństwa na firewallu potrafi być niesamowicie trudna do analizy. Gdy pojawią się polityki pisane per user (IT będzie musiało się tu wykazywać wielką asertywnością, ale na pewno będzie bardzo dużo wyjątków), to KTO i JAK będzie w stanie dokonać analizy tego czy dane naprawdę są zabezpieczone przed zniszczeniem, modyfikacją czy upublicznieniem?