A velha questão. Já vi respostas em ambos os sentidos, mas nunca uma resposta abrangente sobre por que você deseja firewalls ativos em sua rede confiável. Quando digo "confiável", (normalmente) me refiro a uma LAN que já está protegida por um firewall ativo.
Eu gostaria de ter razões abrangentes sobre por que você deseja isso. O único argumento que já ouvi é que firewalls inativos em sua rede confiável levam a um acordo de segurança "crocante", onde a violação do firewall externo "crocante" expõe todas as máquinas internas "mastigáveis".
Responder1
Acho que ter firewalls na rede é bom por vários motivos.
- Proteja seus dados internos confidenciais de serem modificados/roubados/excluídos. Se todos os usuários finais da sua empresa tiverem acesso à rede a todos os seus servidores de banco de dados de produção, as senhas serão tudo o que protegerá seus dados. Em alguns casos (contas SQL vs. contas de domínio) é comum que toda a equipe de desenvolvimento tenha a senha de acesso de gravação em todos esses bancos de dados. A maioria das estatísticas que vi indicam que é muito mais provável que você seja atacado internamente do que por um invasor externo. Funcionários insatisfeitos podem ficar extremamente motivados.
- Proteja seus dados internos confidenciais de seremacidentalmentemodificado/excluído. Apontar acidentalmente um servidor Web Stage para um servidor de banco de dados de produção acontece com muito mais frequência do que você imagina. Se você bloquear seus servidores Prod DB de forma que apenas servidores Web Prod e DBAs possam alcançá-los, você reduzirá esse risco significativamente.
- Uma abordagem mais robusta e em camadas. Quanto mais camadas de segurança sensata você adicionar, melhor. Algumas pessoas podem enlouquecer com isso, mas no geral é uma boa ideia.
- À medida que sua rede aumenta, você precisa de proteção contra si mesmo. Sejam pontos de acesso não autorizados ou laptops, é quase impossível ter 100% de certeza de que tudo na sua rede está em conformidade com sua política de segurança.
Responder2
Sim, simplesmente porque com apenas um firewall na fronteira você tem um único ponto de falha. Se esse firewall tiver um bug que permita que ele seja contornado, sua segurança desaparecerá.
A segurança deve ser uma abordagem em camadas, aplicando segurança em cada camada sempre que possível, ou pelo menos rentável, e apropriado ao nível de risco.
Tal como acontece com todos os conselhos de segurança, você deve levar em consideração o risco real envolvido se o seu sistema for comprometido. Se tudo o que você perderia fosse uma caixa não crítica e sem dados, isso pode não importar muito. Se você está tentando proteger segredos de estado, contas bancárias ou informações de saúde, precisará empregar muito mais camadas.
Responder3
Nunca subestime a capacidade de outro funcionário trazer seu laptop carregado de vírus de casa e conectá-lo ao seu backbone.
Responder4
Uma maneira de ver isso é:
Sua empresa possui algum tipo de segurança perimetral, certo? Ou seja, uma casa com portão e cerca, etc.
Pense nisso como seu firewall principal.
Ainda assim, você bloqueia edifícios, bloqueia seções de edifícios e bloqueia escritórios individuais, etc. Se você tiver crachás para digitalizar, os crachás de algumas pessoas nem mesmo permitem que eles entrem em seções de alguns edifícios, muito menos em escritórios individuais.
Cada uma dessas seções bloqueadas é como outro firewall.
Se você for usar firewalls como proteção, pense em fazer com que eles isolem seções da sua rede umas das outras. Você não deve presumir que um pacote é bom só porque está dentro do seu perímetro.