昔からある質問です。この質問に対する回答は双方向でしたが、信頼できるネットワーク内でファイアウォールをアクティブにする必要がある理由についての包括的な回答は一度もありませんでした。「信頼できる」と言うとき、私は (通常) すでにアクティブなファイアウォールの背後にある LAN を意味します。
なぜこれを望むのか、包括的な理由を知りたいです。私がこれまでに聞いた唯一の議論は、信頼できるネットワーク内でファイアウォールが非アクティブになると、「カリカリで噛み砕ける」セキュリティ構成になり、「カリカリで硬い」外部ファイアウォールが破られると、「柔らかく噛み砕ける」内部マシンがすべて露出するというものです。
答え1
ネットワーク内にファイアウォールを設置することは、さまざまな理由から良いことだと私は思います。
- 機密性の高い社内データが変更/盗難/削除されないように保護します。社内のすべてのエンド ユーザーがすべての実稼働データベース サーバーにネットワーク アクセスできる場合、パスワードがデータを保護する唯一の手段となります。場合によっては (SQL アカウントとドメイン アカウント)、開発スタッフ全員がこれらのすべてのデータベースへの書き込みアクセス パスワードを持っていることも珍しくありません。私が目にした統計の大半は、外部からの攻撃者よりも内部からの攻撃を受ける可能性の方がはるかに高いことを示しています。不満を抱く従業員は、非常にやる気が出ることがあります。
- 機密性の高い内部データを保護偶然に変更/削除。ステージング Web サーバーを誤って本番 DB サーバーに向けることは、想像以上に頻繁に発生します。本番 DB サーバーをファイアウォールで遮断し、本番 Web サーバーと DBA だけがアクセスできるようにすると、このリスクを大幅に軽減できます。
- より堅牢で階層化されたアプローチ。適切なセキュリティの階層を増やすほど、効果は高まります。人によってはこれに少々熱中しすぎるかもしれませんが、全体的には良いアイデアです。
- ネットワークが大きくなるにつれて、自分自身を保護する必要が出てきます。不正なアクセス ポイントやラップトップなど、ネットワーク上のすべてがセキュリティ ポリシーに準拠していると 100% 確信することはほぼ不可能です。
答え2
はい、境界にファイアウォールがあるだけでは、単一障害点となります。そのファイアウォールにバイパスできるバグがあれば、セキュリティは失われます。
セキュリティは階層化されたアプローチであるべきであり、可能な場合はいつでも、または少なくともコスト効率が良く、リスクのレベルに応じて適切な場合はいつでも、各レイヤーでセキュリティを適用する必要があります。
すべてのセキュリティに関するアドバイスと同様に、システムが侵害された場合に実際に発生するリスクを考慮する必要があります。失うのがデータのない重要でないボックスだけであれば、それほど問題にはならないかもしれません。国家機密、銀行口座、医療情報を保護しようとしている場合は、さらに多くのレイヤーを採用する必要があります。
答え3
他の従業員が自宅からウイルスに感染したラップトップを持ち込み、バックボーンに接続する可能性も決して過小評価しないでください。
答え4
これを見る一つの方法は次のとおりです。
あなたの会社には、何らかの境界セキュリティがありますか?例えば、フェンスのある門番小屋など。
これをメインのファイアウォールと考えてください。
それでも、建物を施錠し、建物の一部を施錠し、個々のオフィスなどを施錠します。スキャンするバッジがある場合、一部の人のバッジでは、個々のオフィスどころか、一部の建物の一部にも入ることができません。
ロックされたセクションはそれぞれ別のファイアウォールのようなものです。
ファイアウォールを防御手段として使う場合は、ネットワークの各セクションをファイアウォールで分離することを検討してください。パケットが境界内にあるからといって、それが安全であると想定してはいけません。