Brannmuren har blitt voksen og flyttet hjemmefra

Jeg begynte å jobbe med brannmurer i 2005-2006, hvor jeg var heldig og fikk jobbe med Ciscos berømte PIX. Hvis PIX ikke høres kjent ut så er det sannsynligvis fordi den ble tatt ut av drift tilbake i 2008. Det var en fantastisk enkel tid, da brannmuren var den sentrale delen av nettverkssikkerheten i enhver virksomhet, og den eksisterte først og fremst for å sikre selskapene mot scriptkiddies og Kevin Mitnick (verdens mest kjente hacker), som dessverre gikk bort i fjor.

Brannmuren har utviklet seg siden den spede begynnelse, da den var en fysisk boks, som i likhet med Harry Potter, bodde under trappen i bøttekottet. Senere ble brannmuren eldre og bestemte seg for å flytte inn i bofellesskapet kalt «rackskapet», hvor den delte hus med vennene sine – switchen og den litt annerledes vennen som alltid vil ha lysene på – UPS-en. I dag har brannmuren flyttet hjemmefra.

Brannmuren har flyttet hjemmefra, og dens nye hjem er «skyen»

Den fysiske brannmuren du i dag kjøper er i de fleste tilfellene en virtuell maskin som kjører på produsentens hardware. Dette gjør det enklere for produsenter å oppdatere programvaren på egen hardware og i skyen. Når jeg nevner «skyen», så refererer jeg til både den private skyen (ditt eget datasenter) og den offentlige skyen (AWS, Azure, Google Cloud). Dette betyr at du kan få de samme funksjonene som du kjenner fra din nåværende next generation firewall i skyen. Det gir deg samme sikkerhetspolicy i skyen som på de andre sitene dine gjennom én administrasjons-plattform med den velkjente URL-filtreringen, DNS-sikkerheten, IPS-konfigurasjonen, applikasjonskontrollen, avanserte site-2-site og remote access VPN uten behov for videre utdanning og konfigurering.

Hvorfor ha en virtuell brannmur?

Den virtuelle brannmuren gir deg muligheten for å reagere raskt hvis du plutselig befinner deg i en situasjon der du trenger ekstra sikkerhet, eller som under COVID-19, da alle ansatte måtte jobbe hjemmefra – da kom den virtuelle brannmuren oss alle til unnsetning. Svært få selskaper hadde nemlig en brannmur som kunne håndtere den nye belastningen på båndbredde og antall VPN-brukere med ekstern tilgang. De fikk det derfor travelt med å finne en ny løsning, og en av de mest brukte løsningene var å bygge en ny virtuell brannmur i skyen eller eget datasenter som kunne håndtere den nye situasjonen. Før brannmuren ble modnet, måtte vi vente på en hardware-forsendelse fra produsenten vår, som også var under press under COVID-19.

Så når er den virtuelle brannmuren relevant?

Her er 3 gode brukstilfeller for virtuelle brannmurer:

  • Enkel og sentral styring av alle brannmurer.
  • Samme funksjonalitet og transparens i skyen som i datasenteret og på perimeterbrannmuren din.
  • Fleksibelt miljø hvor ressursene kan skrus opp og ned etter behov, og ny funksjonalitet raskt kan rulles ut ved behov.

Men hva bør du være oppmerksom på når brannmuren flytter hjemmefra?

Er sikkerheten i under kontroll? Har «vinduene» for eksempel kun slike søte små hasper, som er designet for å holde vinden ute og kan åpnes fra utsiden av min 4 år gamle sønn med et stykke ståltråd? Eller er vinduene og dørene låst med nøkkel?

Når brannmuren din flytter hjemmefra, flytter den over på ny hardware, som dermed introduserer et nytt lag under brannmuren i form av en hypervisor, som plutselig blir veldig kritisk for infrastrukturen din. Hvis en aktør med onde hensikter, la oss kalle ham Kevin, får tilgang til hypervisoren din, kan denne personen samtidig få tilgang til konsollen på brannmuren din. På konsollen kan Kevin skape mye «spennende» kaos. Et fint eksempel kan være å etablere en VPN i infrastrukturen din fra en site hvor Kevin får tilgang til nettverket ditt uten brannmurregler. Et annet fint eksempel kan være å stenge nettverket ditt i forbindelse med for eksempel Black Friday eller på et annet kritisk tidspunkt for virksomheten din.

Derfor er det superkritisk at du har kontroll over hvem som får tilgang til infrastrukturen din.

Du bør se nærmere på:

  • At tilgang er begrenset fra dedikerte IP/adresser
  • MFA tilgangskontroll
  • Å ha sikret tilgang til revisjonsloggen din, slik at du alltid vet hvem som har vært inne og når.

Det kan være mange andre gode tiltak, avhengig av den spesifikke skytjenesten eller datasenterimplementeringen.

Men er brannmuren i virkeligheten klar til å flytte inn på gamlehjem?

For 3 år siden hadde jeg en kollega som spurte meg om ikke sikkerheten faktisk var flyttet til endepunktet. Det vil si at brannmuren og nettverkssikkerheten faktisk hadde blitt mindre viktig. Her glemte min ellers dyktige og sikkerhetsfokuserte kollega de gamle prinsippene om «defence in depth» eller sikkerhet i lag. IT har utviklet seg enormt de siste 20 årene, og IT har nå kommet inn i alt fra kjøleskap til releer som kontrollerer tilgangen til strømmen vår. IT-økosystemet har vokst seg større og større, og endepunktsikkerhetsproduktene våre fungerer ikke på alle operativsystemer.

Derfor må du ta en risikobasert tilnærming til ditt selskaps IT-sikkerhet. Representerer du et selskap som primært jobber fra et kontor, er sannsynligvis risikoen for å bli angrepet størst på endepunktene dine. Da kan det være viktigere å investere i høy sikkerhet på endepunktet og kontinuerlig overvåke endepunktene dine. Hvis forretningsgrunnlaget ditt handler om å levere strøm, internett eller lignende kritisk infrastruktur, er både sentrale og desentraliserte brannmurer nødvendige for å segmentere trafikk og begrense omfanget av et angrep dersom Kevin eller hans venner skulle komme på besøk.

Brannmurens nye Zero Trust-familie

I dag er brannmuren fortsatt en viktig del av et større IT-økosystem. Den spiller en avgjørende rolle for å sikre grunnleggende tilkobling, sikkerhet og synlighet. Brannmuren har derfor nylig blitt adoptert av en ny familie. Den har blitt en del av SASE- og SSE-familien, som i tillegg til å ha de tradisjonelle brannmurfunksjonene også støtter Zero Trust Network Access, SDWAN, CASB og mye mer.

SASE-løsningen har sentral administrasjon fra skyen og egner seg spesielt godt for bedrifter med mange lokasjoner, hvor man ønsker en enklere og enhetlig brannmurpolicy, for eksempel dersom man har mange like butikker eller varehus, hvor man må ha samme sikkerhetspolicy.

Les mer om SASE i vårt whitepaper her

Dessverre er det ikke lenger bare scriptkiddies og Kevin Mitnick-er vi må beskytte forretningen vår mot. Verden har blitt betydelig mer kompleks, og det er nødvendig å ha kontroll og synlighet over dine endepunkter, applikasjoner og mye mer for å kunne sovne med ro i sinnet. Dette betyr også at brannmuren ikke lenger kan stå alene med ansvaret for sikkerheten til IT-infrastrukturen din, noe som igjen bidrar til enda mer kompleksitet i IT-en din. Derfor er det ekstremt relevant å vurdere hvor brannmuren din bør implementeres i dag, slik at du oppnår høyeste mulige sikkerhet basert på din virksomhet. Hvis bedriften din opplever utfordringer med å administrere endepunkter, applikasjonssikkerhet, nettverk og brannmurinfrastrukturen din, kan det være fordelaktig å vurdere å få hjelp til å administrere brannmurinfrastrukturen som en tjeneste (FwaaS).

Dette lar deg fokusere på områder med høyere risiko eller kjernevirksomheten din, samtidig som du overlater driften av brannmurinfrastrukturen til eksperter som oss.

Hold deg oppdatert

Registrer deg til å motta Conscias nyhetsbrev, så holder vi deg oppdatert med siste nytt, blogginnlegg, whitepapers og invitasjoner til spennende webinarer og seminarer.

Registrering

Kontakt
Ta kontakt med Conscias eksperter