Старый как мир вопрос. Я видел ответы на этот вопрос в обоих направлениях, но ни разу не было исчерпывающего ответа на вопрос, почему вы хотите, чтобы в вашей доверенной сети были активны брандмауэры. Когда я говорю «доверенный», я (обычно) имею в виду локальную сеть, которая уже находится за активным брандмауэром.
Я хотел бы иметь исчерпывающие причины, почему вы этого хотите. Единственный аргумент, который я когда-либо слышал, заключается в том, что неактивные брандмауэры в вашей доверенной сети приводят к "хрустяще-жевательной" схеме безопасности, где нарушение "хрустяще-жесткого" внешнего брандмауэра делает уязвимыми все "мягкие-жевательные" внутренние машины.
решение1
Я считаю, что наличие межсетевых экранов в сети — это хорошо по ряду причин.
- Защитите свои конфиденциальные внутренние данные от изменения/кражи/удаления. Если каждый конечный пользователь в вашей компании имеет сетевой доступ ко всем серверам производственных баз данных, пароли — это все, что защищает ваши данные. В некоторых случаях (учетные записи SQL против учетных записей домена) обычно весь персонал разработки имеет пароль доступа на запись во все эти базы данных. Большинство статистических данных, которые я видел, указывают на то, что вы гораздо более склонны к атаке изнутри, чем к атаке со стороны внешнего злоумышленника. Недовольные сотрудники могут быть чрезвычайно мотивированы.
- Защитите ваши конфиденциальные внутренние данные отслучайноизменено/удалено. Случайное указание веб-сервера Stage на сервер производственной базы данных происходит гораздо чаще, чем вы думаете. Если вы отгородите свои серверы производственной базы данных брандмауэром так, что только веб-серверы производственной базы данных и администраторы баз данных смогут получить к ним доступ, вы значительно снизите этот риск.
- Более надежный, многоуровневый подход. Чем больше слоев разумной безопасности вы добавите, тем лучше. Некоторые люди могут немного сойти с ума от этого, но в целом это хорошая идея.
- По мере того, как ваша сеть становится больше, вам нужна защита от себя. Будь то несанкционированные точки доступа или ноутбуки, практически невозможно быть на 100% уверенным, что все в вашей сети соответствует вашей политике безопасности.
решение2
Да, просто потому, что с одним только брандмауэром на границе у вас есть единая точка отказа. Если в этом брандмауэре есть ошибка, которая позволяет его обойти, то ваша безопасность потеряна.
Безопасность должна обеспечиваться на основе многоуровневого подхода, с применением мер безопасности на каждом уровне, когда это возможно или, по крайней мере, экономически эффективно и соответствует уровню риска.
Как и в случае со всеми советами по безопасности, вам следует учитывать реальный риск, связанный с скомпрометированной системой. Если все, что вы потеряете, это некритичный ящик без данных, то это может не иметь большого значения. Если вы пытаетесь защитить государственные секреты, банковские счета или информацию о здравоохранении, вам нужно задействовать гораздо больше слоев.
решение3
Никогда не недооценивайте способность другого сотрудника принести из дома свой зараженный вирусом ноутбук и подключить его к вашей магистрали.
решение4
Один из способов взглянуть на это так:
У вашей компании есть какая-то охрана периметра, да? То есть, сторожка с забором и т. д.
Думайте об этом как о вашем основном брандмауэре.
Тем не менее, вы запираете здания, запираете части зданий, запираете отдельные офисы и т. д. Если у вас есть пропуска, которые вы сканируете, то пропуски некоторых людей не позволяют им даже попасть в части некоторых зданий, не говоря уже об отдельных офисах.
Каждый из этих заблокированных разделов подобен еще одному брандмауэру.
Если вы собираетесь использовать брандмауэры в качестве защиты, вам следует подумать о том, чтобы они изолировали разделы вашей сети друг от друга. Вы не должны предполагать, что пакет хорош только потому, что он находится внутри вашего периметра.