8 Best Practice del firewall per la sicurezza della rete
Avere una guida alle migliori pratiche di sicurezza per firewall può comunicare agli stakeholder di sicurezza gli obiettivi della politica di sicurezza della tua azienda, garantire la conformità alle normative del settore e migliorare la postura complessiva di sicurezza della tua azienda.
Di seguito, analizziamo alcune risorse e otto best practice di sicurezza per i firewall per iniziare il tuo percorso verso una postura di sicurezza migliore.
#1. Rafforzare e configurare correttamente il Firewall
La maggior parte dei sistemi operativi con soluzioni firewall all-in-one sono protetti dal fornitore. Se si sta implementando una soluzione firewall software, assicurarsi prima che il OS sia stato patchato e reso più sicuro.
Oltre a iniziare con un OS rafforzato, gli amministratori della sicurezza vorranno assicurarsi che il firewall sia configurato in modo sicuro. Sono disponibili guide da fornitori e terze parti come il Center for Internet Security (CIS), che pubblica la rete Dispositivi dei benchmark CIS. Consulta anche la checklist SANS Firewall.
#2. Pianifica l'implementazione del tuo Firewall
I firewall sono uno strumento fondamentale per l'applicazione dei principi di sicurezza zero trust . Monitorano e controllano l'accesso in entrata e in uscita oltre i confini della rete in una rete macro-segmentata. Questo vale sia per la Implementazione del firewall instradata di livello 3 (dove il Firewall agisce come un gateway che collega più rete) sia per l'Implementazione del firewall bridge di livello 2 (dove il Firewall collega e isola i Dispositivi all'interno di un singolo rete).
Quando si distribuisce un firewall, le interfacce di rete del firewall vengono connesse a queste reti o zone. Queste zone possono quindi essere utilizzate per semplificare la politica del firewall. Ad esempio, un firewall perimetrale avrà una zona esterna connessa a Internet, una o più interfacce interne connesse alla rete interna e forse una connessione alla rete DMZ . La policy del firewall può quindi essere personalizzata in base alle esigenze per aggiungere un controllo più granulare.
Il Firewall dovrà essere gestito. Una domanda importante è: "Il Firewall avrà bisogno anche di un'interfaccia di gestione dedicata?" La gestione delle luci e l'accesso seriale alla console dovrebbero essere accessibili solo da rete dedicato e sicuro.
Infine, un firewall è un punto unico di guasto (SPOF). Distribuirne due o più in un cluster di alta disponibilità (HA) garantisce la continuità della sicurezza in caso di guasto. Un'opzione migliore che utilizza continuamente le risorse di ogni membro del cluster è una soluzione di sicurezza rete Hyperscale . Questo dovrebbe essere considerato anche per il rete, dove il traffico subisce picchi stagionali.
#3. Proteggere il Firewall
Un firewall è una componente essenziale dell'infrastruttura di sicurezza di un'organizzazione e deve essere protetto da eventuali attacchi. Per proteggere il tuo firewall, procedi come segue:
- Disabilita protocolli non sicuri come telnet e SNMP oppure usa una configurazione SNMP sicura.
- Pianificare backup periodici della configurazione e del database.
- Abilita l'audit delle modifiche di sistema e invia i log tramite syslog sicuro o un altro metodo a un server esterno, sicuro, centrale SIEM server o soluzione di gestione firewall per forensi e reportistica.
- Aggiungere una regola stealth nel criterio del firewall per nascondere il firewall dalle scansioni di rete.
- Limita l'accesso alla gestione a host specifici.
- I firewall non sono immuni da vulnerabilità. Verificare con il fornitore se sono note vulnerabilità e patch di sicurezza che le risolvono.
#4. Account utente sicuri
Il controllo dell'account è una tecnica comune utilizzata dagli attori delle minacce informatiche. Per proteggere gli account utente sul tuo firewall, procedi come segue:
- Rinomina o cambia account e password predefiniti
- Richiedere MFA e/o impostare una politica di password forte (password complesse con lettere maiuscole e minuscole, caratteri speciali e numeri di 12 caratteri o più, impedire il riutilizzo delle password)
- Usa il controllo degli accessi basato sui ruoli (RBAC) per gli amministratori del firewall. Delegare e limitare l'accesso per soddisfare la necessità di accesso dell'utente (cioè, consentire solo l'accesso in lettura per gli auditor e creare ruoli e account dedicati per i team DevSecOps)
#5. Bloccare l'accesso alla zona di traffico autorizzato
La funzione principale di un firewall è quella di imporre e monitorare l'accesso per la segmentazione della rete.
Il firewall può ispezionare e controllare il traffico nord/sud oltre un confine di rete. In questo caso d'uso di macro-segmentazione, le zone sono ampie categorie come esterna, interna, DMZ e Wi-Fi ospite. Possono anche essere gruppi aziendali su rete interna separata come Data Center, HR e finanza, oppure un piano di produzione in uno stabilimento che utilizza Industrial Control System (ICS).
Il firewall distribuito in cloud privato o pubblico virtualizzato può ispezionare il traffico tra singoli server o Applicazione che cambiano dinamicamente man mano che le istanze vengono avviate. In questo caso d'uso di micro-segmentazione , le zone possono essere definite da Application, come app web o database. La funzione del server virtuale può essere impostata da un tag e utilizzata dinamicamente in una policy firewall senza intervento umano, riducendo le possibilità di errori manuali di configurazione.
Sia nell'Implementazione, nella macro che nella micro, il firewall controlla l'accesso impostando una regola di policy firewall, che definisce in modo ampio l'accesso in base alla sorgente e alla destinazione del traffico. Può essere definito anche il servizio o la porta utilizzata dall'Application. Ad esempio, le porte 80 e 443 sono porte predefinite per il traffico web. Su un server web, dovrebbe essere consentito solo l'accesso a queste porte e tutte le altre porte bloccate. Questo è un caso in cui è possibile inserire il traffico consentito nella lista bianca.
Il traffico in uscita da un'organizzazione verso Internet è più problematico per una policy di sicurezza basata sulla whitelist, perché è quasi impossibile stabilire quali porte siano necessarie per l'accesso a Internet. Un approccio più comune per una policy di sicurezza in uscita è la blacklist, in cui il traffico dannoso noto viene bloccato e tutto il resto è consentito tramite una regola di policy del firewall "accetta tutto".
Per rilevare siti dannosi noti, sono possibili funzionalità di sicurezza aggiuntive sul Firewall di Nuova Generazione (NGFW) oltre ai controlli IP e delle porte. Questi includono il filtraggio URL e il controllo delle applicazioni. Ad esempio, questo può essere usato per consentire l'accesso a Facebook ma bloccare i giochi di Facebook.
#6. Assicurarsi che la politica e l'uso Firewall siano conformi agli standard
Le normative prevedono requisiti specifici per i firewall. Qualsiasi best practice in materia di sicurezza deve essere conforme a questi requisiti e potrebbe richiedere l'aggiunta di ulteriori controlli di sicurezza a qualsiasi firewall implementato. Tra i requisiti figurano ad esempio l'utilizzo di reti private virtuali (VPN) per crittografare i dati in transito, antivirus per prevenire malware noti e sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) per rilevare eventuali tentativi di intrusione nella rete.
Ad esempio, il PCI DSS richiede controlli basati su zone del firewall tra zone affidabili e non affidabili. Questo include l'uso di una DMZ e di un firewall perimetrale tra tutte le rete wireless e gli ambienti dati del titolare della carta. Alcuni requisiti aggiuntivi per il PCI DSS includono:
- Utilizzare strumenti anti-spoofing per rilevare e bloccare l'accesso alla rete da parte di indirizzi IP sorgente falsificati. Ad esempio, bloccare il traffico in entrata sull'interfaccia esterna con un indirizzo sorgente di una delle reti interne.
- Non divulgare indirizzi IP privati e informazioni di routing a parti non autorizzate tramite rete Address Translation (NAT) e rimuovere le pubblicità di routing per rete privato.
- Ogni sei mesi, elimina tutte le regole non necessarie, obsolete o errate e assicurati che tutti i set di regole consentano solo servizi e porte autorizzati.
- Crittografare la trasmissione dei dati dei titolari di carta attraverso una rete pubblica e aperta.
- Installare le patch di sicurezza fornite dal fornitore applicabili. Installa le patch di sicurezza critiche entro un mese dal rilascio. (Dato quanto rapidamente gli attori della minaccia sfruttano vulnerabilità note, le aziende potrebbero voler modificare questo aggiornamento quando è disponibile una patch. Un NGFW che aggiorna automaticamente IPS firme può proteggere l'intera rete da vulnerabilità appena annunciate.)
- Devono essere predisposti processi per limitare l'accesso in base alla necessità di sapere e alle responsabilità lavorative.
- Monitorare e monitorare tutti gli accessi alle risorse di rete e ai dati del titolare della carta.
- Utilizzando la tecnologia di sincronizzazione del tempo, sincronizza tutti gli orologi e gli orari critici del sistema.
- Testa regolarmente sistemi e processi di sicurezza.
#7. Test per verificare la polizza e identificare i rischi
Con una politica di sicurezza più ampia, può essere difficile immaginare come verrebbe elaborata una nuova connessione. Esistono strumenti per eseguire l'analisi del percorso e potrebbero essere presenti nel sistema di gestione della sicurezza per cercare e trovare regole.
Inoltre, alcuni sistemi di gestione della sicurezza avvisano quando viene creato un oggetto duplicato o non installano un criterio che contiene una regola che ne nasconde un altro. Testa regolarmente la tua policy per verificare che funzioni come progettato per individuare oggetti inutilizzati e duplicati.
Firewall politiche sono tipicamente applicate in ordine top-down e possono essere ottimizzate spostando le regole top hit più in alto nell'ordine di ispezione. Ispeziona regolarmente la policy per ottimizzare le prestazioni del tuo firewall.
Infine, esegui regolarmente dei test di penetrazione per identificare eventuali rischi e misure di sicurezza aggiuntive che potrebbero essere necessarie oltre al firewall per proteggere la tua organizzazione.
#8. Software o firmware di audit e registri
Audit regolari sono essenziali per garantire che software e firmware siano corretti e aggiornati e che i log siano correttamente configurati e operativi. Alcune best practice per questi audit includono:
- Stabilire un piano formale di controllo dei cambiamenti per modificare la politica di sicurezza e garantire che la sicurezza non venga compromessa.
- Le regole con Qualsiasi impostato nella sorgente, destinazione o porta possono essere delle lacune nella politica di sicurezza. Quando possibile, modifica queste opzioni per aggiungere la fonte, la destinazione o il servizio specifico che è lo scopo della regola.
- Crea sezioni o livelli per aggiungere una gerarchia alla politica di sicurezza, rendendola più facile da revisionare.
- Aggiungi regole di pulizia alla fine della sezione o del livello che corrispondano all'intento del livello (cioè, permesso o nega tutto).
- Aggiungi commenti e nomi alle regole per aiutare a identificare lo scopo originale di ogni regola.
- Abilita la registrazione per monitorare meglio i flussi di rete e aumentare la visibilità per le indagini e i reportistici forensi.
- Esamina regolarmente i log e i report di audit per vedere chi ha cambiato la policy del Firewall.
Raccomandazioni per Check Point Ottimizzazione delle Politiche
Check Point offre diverse risorse per aiutare a configurare il tuo NGFW di Check Point. Per una discussione preliminare sulla politica Check Point Firewall, consulta questo articolo di supporto sulla Costruzione e Ottimizzazione delle Regole della Base. Inoltre, se sei nuovo a Check Point, dai un'occhiata al CheckMates Community Check Point per principianti.
Per approfondire come gestire meglio la tua soluzione Check Point, segui uno dei nostri corsi gratuiti di eLearning. Sei anche libero di chiedere un NGFW o Security Management Demo.
