El. pašto apsauga, VPN (virtualus privatus tinklas), aplikacijų apsauga, ir net SD-WAN (programine įranga apibrėžtas plačiajuostis tinklas) – tai tik kelios iš funkcijų, kurias gali turėti šiuolaikiniai ugniasienės (angl. firewalls) sprendimai. Kol gamintojai lenktyniauja tarpusavyje siūlydami vis pažangesnes funkcijas, tokia galimybių gausa nebūtinai atliepia konkrečios organizacijos poreikius ir gali sukelti iššūkių, pastebi „Blue Bridge“ tinklų ir saugumo sprendimų vadybininkas Valdas Statauskas pasakodamas, kaip tinkamai pasirinkti papildomas ugniasienės funkcijas.
Nuo antivirusinės programos iki daiktų interneto valdymo
To, ką galima būtų pavadinti tradicinėmis ugniasienėmis šiandien rinkoje beveik nebeliko. Visi ugniasienių gamintojai stengiasi pasiūlyti kuo daugiau įvairių funkcijų bei galimybių. „Tarp populiariausių funkcionalumų – VPN palaikymas, duomenų nutekėjimo prevencija, el. pašto apsauga, tradicinės antivirusinės programos, apsauga nuo tinklo lygio grėsmių (IPS)“, – vardija V. Statauskas.
Tarp naujausių tendencijų – mašininis mokymasis, kuris leidžia apsisaugoti nuo Nulinės dienos atakos dingus interneto ryšiui. Taip pat – mikrosegmentacijos funkcionalumas, leidžiantis kontroliuoti, kokios aplikacijos gali pasiekti duomenų bazes. Siūloma apsaugoti ir sudėtingėjantį organizacijos perimetrą, kurį sudaro debesijos paslaugos bei daiktų interneto įrenginiai.
„Europoje populiariausias ugniasienių gamintojas ir vienas iš „Gartner“ kvadranto lyderių – „Fortinet“ – taip pat pristatė itin pažangų SD-WAN ugniasienės funkcionalumą. Šis funkcionalumas leidžia užtikrinti ne tik saugesnį, bet ir pigesnį ryšį tarp nutolusių organizacijos padalinių. Norint naudoti šį funkcionalumą, nereikia įsigyti net papildomų licencijų – užtenka nusipirkti ugniasienę ir palaikymą (angl. support)“, – pasakoja V. Statauskas.
Didėjantis pasirinkimas gali sukelti naujų iššūkių
Galimybė turėti ugniasienę, primenančią šveicarišką peiliuką, turi savo kainą. „Apie tai nedaug kalbama, tačiau būtina atsiminti, jog papildomi ugniasienės funkcionalumai – kad ir kokie pažangūs jie būtų – negali pilnai atstoti dedikuotų sprendimų. Lyginant su specializuotomis priemonėmis, šie funkcionalumai užtikrina mažesnę apsaugą“, – sako V. Statauskas.
Pašnekovas paaiškina, kad viena iš pagrindinių to priežasčių yra ta, kad dedikuoti sprendimai turi savo grėsmių duomenų bazes ir vykdo savo analitiką. „Ugniasienės funkcionalumai remiasi ta pačia duomenų baze, todėl dalis specifinių grėsmių spektro lieka nepadengta. Todėl, trumpai tariant, dedikuoti sprendimai gali aptikti didesnį įvairesnių grėsmių skaičių, o ugniasienės funkcionalumai – mažesnį“, – apibendrina pašnekovas.
Kita problema, kurią gali sukelti papildomos ugniasienės funkcijos – ugniasienės resursų naudojimas ir apkrovimas, sulėtinantis organizacijos darbą. „Kiekvienas funkcionalumas naudoja tam tikrą dalį ugniasienės resursų. Tai reiškia, kad įjungus visus funkcionalumas, pagrindinės ugniasienės funkcijos gali sulėtėti. Pavyzdžiui, jei ugniasienės VPN funkcionalumą naudoja daug naudotojų, ji sulėtėja. Jeigu ugniasienės dokumentacijoje nurodyta, kad ji gali palaikyti 200 VPN naudotojų, bet jūs nusprendėte įjungti visus kitus funkcionalumus, reikia būti pasiruošus tam, kad ugniasienė galės pilnavertiškai palaikyti tik 100 VPN naudotojų. Kai kurie gamintojai iš anksto nurodo ugniasienės pralaidumą įjungus visus funkcionalumus, tačiau kiti to nedaro“, – komentuoja „Blue Bridge“ tinklų ir saugumo sprendimų vadybininkas.
Papildomos galimybės naudingiausios mažesnėms organizacijoms
Renkantis, kokią ugniasienę, jos funkcionalumus ir konfigūraciją pasirinkti, lemiamą vaidmenį vaidina keli veiksniai.
„Pirmiausia, reikėtų atsižvelgti į IT infrastruktūros dydį. Kuo ji mažesnė, tuo naudingesni bus papildomi ugniasienės privalumai. Antra, reikėtų įvertinti, ar turite jautrios informacijos, pavyzdžiui, asmens duomenų, mokėjimo kortelių duomenų ir kitos informacijos, kuri saugoma pagal BDAR. Jeigu saugote asmens duomenis arba teikiate valstybines paslaugas, jums reikia dedikuotų sprendimų, kurie įgalina patikimiau apsaugoti duomenis. Trečia, reikėtų įvertinti darbo vietų skaičių. Jeigu turite 50 ir mažiau darbo vietų, papildomos ugniasienės funkcijos jums bus naudingos ir leis už prieinamą kainą gauti papildomų pažangių sprendimų galimybes“, – paaiškina pašnekovas.
Kaip įsitikinti, kad ketinate įsigyti tinkamiausią sprendimą?
Ugniasienės gyvenimo ciklas siekia 3-5 metus, per kuriuos pasikeičia ir technologijos, ir grėsmės, todėl sprendimą reikia atnaujinti. Renkantis naują ugniasienės sprendimą ir jo funkcijas, pirmiausia reikėtų atsižvelgti į savo saugomų duomenų tipą ir infrastruktūros kritiškumą.
„Svarbiausias kriterijus renkantis, kuriuos funkcionalumus naudoti, o kurių – atsisakyti pakeičiant specializuotais sprendimais, yra jūsų duomenų ir IT infrastruktūros kritiškumas. Kaip geriau derinti ugniasienės funkcionalumus ir kitus saugumo sprendimus galima pasitarti su nepriklausomais IT tiekėjais, kurie gali atlikti lyginamąją sprendimų analizę atsižvelgdami į jūsų poreikius“, – sako V. Statauskas. Jeigu norite apsaugoti kritinę infrastruktūrą, prieš pasirenkant ugniasienę, reikėtų ir testavimų.
„Galiausiai, verta atsiminti ir gerai žinomus dalykus – jeigu ketinate senąją ugniasiene pakeisti nauja, bet to paties gamintojo – projektas bus paprastesnis. Jeigu norite išbandyti naują sprendimą arba pakeisti saugumo taisykles, ugniasienės diegimas gali užtrukti šiek tiek ilgiau“, – primena pašnekovas.
TRUMPAI
Papildomų ugniasienės funkcijų pliusai:
- Galimybė naudoti įvairias saugumo funkcijas už vieno sprendimo kainą.
- Paprastesnis ir centralizuotas funkcijų valdymas bei atnaujinimas.
- Atitiktis teisės aktams, reikalaujantiems specifinių sprendimų funkcijų padengimo.
- Naujausias grėsmes atliepiantis pasirinkimas nedidelėms, jautrių duomenų nesaugančioms organizacijoms.
- Papildomos funkcijos leidžia sustiprinti dedikuotų sprendimų apsaugą praplečiant skirtingų gamintojų grėsmių duomenų bazes.
Papildomų ugniasienės funkcijų minusai:
- Papildomos funkcijos neužtikrina tokio pat saugumo lygio kaip dedikuoti sprendimai.
- Naudojami ugniasienės resursai, todėl sumažėja jos pralaidumas.
- Negali užtikrinti tinkamo apsaugos lygio didelėms, jautrius duomenis saugančioms organizacijoms.
- Apsauga nuo mažesnio grėsmių skaičiaus, nes naudojamos vieno gamintojo grėsmių duomenų bazės ir analitika.