安全策略该如何梳理 – 作者:雨水

防火墙里的安全策略,是这个世界上最乱的东西之一,很多甲方想梳理清楚本单位的安全策略,给安全团队安排任务,邀请第三方安全服务公司等等方式,最后能成功梳理清楚,满足甲方最初预期的很少。安全策略梳理工作,是不是真的无从下手,没法实施呢?本文以参与过几次安全策略梳理的经验,讨论安全策略梳理的难点,同时对应的解决方式。

总结安全策略梳理工作难以满足要求的原因,不外乎几点:

甲方领导起了安全策略梳理的念头,第一时间会把工作安排给安全团队。安全团队需要找运维团队、业务部门配合,调研目前业务访问情况和安全策略现状,流程上是没错,但是,就这项调研工作,基本上就没法开展下去。调研工作需要的时间太多,没法让其他部门抛开当前工作,花大量的时间来配合。

防火墙策略太多,一般都是几千条,以项目的形式开展工作,周期太长,领导急于看到效果,匆忙给出的结果往往不尽如意。

很多策略的配置时间很久,有几年前配置的,当时配置的人员很难再找到,所以,因为什么原因配置,策略周期多久都没法再问到。这样的策略调研后也会被标注不明策略,最后会发现,最起码有60%的策略,都是不明策略。

安全策略的优化目标不明确,安全策略整改时,没有明确的目标作为对照。

分析以上的原因,为了避免安全策略梳理工作再次“入坑”,需要调整工作开展思路:

原因分析

“避坑”方式

沟通成本太高,调研工作无法进行

直接安排专职工程师负责安全策略,包括策略维护、策略梳理。

项目周期太长

以安全运维的思路开展工作

调研的结果会出现“不明策略”过多的情况,面对这些“不明策略”无从下手

安全策略工程师驻场服务,深入了解用户单位网络,通过流量分析设备,查实“不明策略”中的流量内容

安全策略优化目标不明确,不知道按照什么标准来优化策略

以安全域为节点,确定访问数据流,以最小化开放,满足安全域不同安全级别要求为主要目标

首先安排一名专职工程师,负责安全策略梳理工作,同时,可以把安全策略维护工作全部交给这名工程师来开展,如果策略维护是其他人负责,中间的沟通成本太高,另外,这名专职工程师负责全部的安全策略相关工作,也可以降低整体成本。工程师可以本单位IT部门安排,也可以找第三方公司,第三方公司提供人员的话,必须是驻场形式。

安全策略管理工程师,会接手单位安全策略工作,负责新增策略需求,策略调整,同时,主动熟悉了解策略单位安全策略配置情况,预计三个月左右,该工程师即为单位最了解安全策略的人。

开展安全策略调研工作,基于前期对整体环境和安全策略的熟悉程度,基本已经了解主要的安全策略,如安全域划分、NAT转换、反向代理、主要的业务服务提供等。依然还是有很多“不明策略”,需要向业务部门调研。这时候的调研工作,不再是像安全咨询工作那样,集中调研,而是,分批次,以自身主动了解为主,业务部门配合调研为辅的方式开展。

安全策略管理工程师在了解策略的基础上,开展安全策略梳理工作。

1602827257_5f8933f950b7a8da00f36.png!small

确定安全域

安全策略管理工程师首先要做的是确定安全域,安全域是具有相同安全边界的网络分区,是由路由器、交换机、防火墙等设备的ACL(访问控制列表)封闭起来的一个逻辑上的区域,可以跨地域存在,这个区域内所有主机具有相同的安全等级,内部网络自由可达。

访问数据流分析

在确定了安全域的基础上,对每个安全域之间的访问数据流进行分析,前文已经提到,每个安全域内部网络自由可达,安全策略主要配置在不同安全域之间的边界上,实现边界隔离。

安全策略管理工程师经过前期工作,已经基本调研清楚安全策略情况,将安全策略对应到安全域上,绘制安全域之间的访问数据流图谱。

安全策略优化

安全策略管理工程师这时候可以开展安全策略优化工作了,基于以下目标:

以安全域为主要节点,分析各安全域之间的数据流量访问关系,如果前期策略有重合部分,可以合并到一个大的策略中。同时,梳理清楚各个安全域的安全级别。

先确定主要数据访问关系,如:DMZ区域的门户网站对外网区域提供web服务,数据库区域对DMZ区域web服务器提供数据库服务等。主要数据访问关系的策略放在最前端(一般设备都是从上往下匹配策略,匹配到之后,就不再往下继续匹配了)其他临时开启、使用范围较小的策略、“不明策略”、放在后面。

对后面部分策略开始优化处理,可以在流量分析工具上抓取数据,对长时间不能匹配到的策略,关闭策略但是不删除,没有影响后,删除策略,做好记录,后期如果网络出现问题,可以在已删除策略中尝试恢复。对匹配到策略,但是流量很小的策略,调研清楚是哪些服务,跑的哪些数据,是否还在使用。

以最小开放原则优化安全策略,从业务侧开始,只开放最少的服务,不再需要开放时,及时关闭策略。

建立安全策略开启、废弃流程,确定安全策略的生命周期,持续优化,做到每条策略记录在册,每条策略的配置满足最小化开放需求、对设备性能消耗最小需求、不再需要时关闭需求。

来源:freebuf.com 2020-10-16 15:15:23 by: 雨水

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论