Le regolamentazioni e i requisiti per controllare l’accesso alle informazioni e ad altri dati critici rappresentano un notevole impegno per i responsabili di sicurezza, i quali devono assicurarsi che le regole dei loro firewall e delle loro tabelle di routing implementino in modo accurato le policy.
Ma i firewall contengono centinaia, spesso migliaia, di regole elaborate nel corso del tempo. Alcune possono essere ridondanti o semplicemente irrilevanti; altre possono essere in conflitto con determinate norme. In particolare questo nelle gerarchie dove, per esempio, un firewall A ha una regola che consente il traffico, mentre il firewall B a valle lo blocca. Le grandi organizzazioni hanno spesso un mix di firewall provenienti da costruttori differenti – tipicamente Cisco, CheckPoint, Juniper Networks – ciascuno con propri formati e sintassi.
Essere sicuri che un firewall faccia realmente quello che si suppone debba fare non è facile, specialmente in ambienti complessi dotati di gruppi di firewall – non solo di fornitori differenti, ma probabilmente anche con amministratori e ubicazioni diverse all’interno dell’organizzazione. In una situazione di questo tipo spesso si deve ricorrere agli auditor. Difatti, è davvero difficile verificare manualmente le regole e capire dove sta l’intoppo. Bisogna guardare a tutte le possibili connessioni e scollegarle e quindi l’audit diventa un elemento chiave.
Ad esempio, l’ultima release di AlgoSec ha mosso un significativo passo in questa direzione, aggiungendo la capacità di analizzare più firewall all’interno di una gerarchia in tutta la rete, il che permette di determinare non solo le regole e le configurazioni individuali, ma anche le dipendenze tra di loro.
Athena Security ha invece adottato un approccio diverso, introducendo FirePac per l’analisi e la comparazione delle policy e l’individuazione di anomalie sui singoli firewall. Il suo primo prodotto, Verify, analizza le relazioni tra l’infrastruttura di rete e il firewall. FirePac riprende le capacità di base di Verify e le riporta al singolo firewall per progetti di portata minore.
Al di là dell’impostazione tecnica, è comunque importante segmentare la rete per isolare il back-end di database contenenti informazioni sensibili. Anche in assenza di specifici requisiti normativi, tale segmentazione è una delle migliori practice per proteggere le banche dati che contengono, per esempio, dati finanziari, amministrativi, o riservati. In altre parole è fondamentale il principio di avere zone di dati confidenziali e di essere in grado di controllarne l’accesso
Con il maturare di questo mercato, molti fornitori stanno lavorando per integrare la configurazione dei loro firewall e la capacità di analisi nei processi di gestione aziendale. Tufin Technologies ha recentemente aggiunto SecureChange Workflow, un nuovo componente che si integra nel suo più importante prodotto per l’analisi del firewall SecureChange. Quest’ultimo automatizza la gestione dei cambiamenti, facilita i processi di sicurezza, aiuta a far rispettare la suddivisione dei compiti e muove le informazioni necessarie all’interno di tutto il processo di cambiamento e di approvazione.
In aggiunta alla compliance, si assiste a un altro paio di altri forti driver per questo mercato. Il primo è il consolidamento del data center, visto che ora le organizzazioni, per ridurre i costi, stanno andando verso la virtualizzazione e le reti ad elevata larghezza di banda. I tool di gestione del firewall possono aiutare a pianificare e a correggere i cambiamenti nei percorso di dati tra utenti, applicazioni e storage.
Inoltre, le medie e grandi imprese spesso hanno a che fare con ambienti misti, di solito a causa di fusioni e acquisizioni, ma a volte anche per scelta. Prodotti come il firewall AlgoSec consentono di gestire più firewall di diversi vendor.
L’ottimizzazione del firewall di fatto sta diventando una parte importante nella decisione di acquisto. E diversi analisti ritengono che l’ottimizzazione del firewall non sia solo per una “nicchia”, ma andrà a interessare un ampio spettro di aziende. Il punto è che probabilmente sarà una priorità solo per coloro che hanno bisogno di spremere fino all’ultima goccia le prestazioni dei loro firewall al fine di rinviare un aggiornamento. È un po’ quanto accade quando si decide di ripulire la propria casella di posta elettronica o la cartella Documenti.
