Jak ważny jest "compliance" zapór sieciowych i jak go osiągnąć

Instytucje finansowe, szpitale, agencje rządowe i inne organizacje podlegające regulacjom, stoją w obliczu poważnych wyzwań zachowania zgodności ze standardami takimi jak PCI-DSS, ISO 27001, czy GDPR. Wymagania PCI na przykład obejmują każdy aspekt infrastruktury IT oraz bezpieczeństwo aplikacji i danych. Kary finansowe i prawne za nieprzestrzeganie przepisów są wysokie, a zasoby ludzkie często bywają niewystarczające, nie wspominając o czasie jaki należy poświęcić, by utrzymać środowisko w stanie zgodności z regulacjami prawnymi. Wszystko to powoduje, że utrzymanie „compliance” staje się sporym obciążeniem dla wielu organizacji.

Wyzwaniom związanym z regulacjami nie jest łatwo sprostać, szczególnie jeśli nie ma się do dyspozycji odpowiednich narzędzi i wszystkie działania opiera się na manualnych operacjach. Często, zazwyczaj z powodu braku rąk do pracy, brakuje czasu na ciągłe sprawdzanie zgodności infrastruktury z wewnętrznymi politykami firmy, nie wspominając o trudnych i zawiłych zapisach regulacyjnych.

W takim wypadku sprawy zachowania zgodności infrastruktury sieciowej pod kątem regulacji często są odsuwane na dalszy plan, a w związku z brakiem czasu, zespoły IT zajmują się wyłącznie bieżącymi bolączkami oraz zachowaniem ciągłości działania, czyli kwestiami najbardziej odczuwalnymi.

Zmiany kadrowe w branży IT to jedna z głównych bolączek Zarządów, odpowiadających za całość bezpieczeństwa informatycznego w firmie. Przy mniejszych organizacjach mowa tu o Prezesach lub ich zastępcach, którzy bezpośrednio odpowiedzialni są nie tylko za bezpieczeństwo informatyczne, ale także za działanie przedsiębiorstwa. Zresztą, niezależnie od tego kto jest za to odpowiedzialny, ostatecznie to organizacja jako całość poniesie ten ogromny koszt w przypadku nałożenia kar za złamanie regulacji, wypływ danych osobowych, bądź niestosowanie się do obowiązujących norm prawnych.

Często zdarza się, że pracownik działu IT zmieniając miejsce pracy, zabiera ze sobą całą wiedzę na temat infrastruktury sieciowej, jej konfiguracji, istniejących tam polityk oraz reguł na zaporach. Często nie jest prowadzona dokumentacja, szczególnie w przypadku zmian środowiska, nie jest również powszechne stosowanie narzędzi obrazujących jak wygląda sieć aktualnie i jak wyglądała na przestrzeni lat. Zatem w przypadku wymiany pracowników, nowi administratorzy sieci spędzają mnóstwo czasu na rozpoznanie jak infrastruktura w ogóle wygląda, nie wspominając nawet o kwestiach jej zgodności.

Odpowiedź na powyższe pytanie bez zastosowania odpowiedniego narzędzia, które przede wszystkim zagreguje wszystkie zalecenia i „dobre praktyki” wspieranych producentów, a także wskaże zgodność urządzeń, jest wręcz niewykonalne. Przy średniej skali infrastruktury sieciowej, przypadającej na jednego administratora, pracownik nie będzie w stanie poznać i zweryfikować wszystkich wpisów w pliku konfiguracyjnym każdego z urządzeń. Nie wspominając o tym, że nie będzie mógł śledzić aktualizacji zapisów najlepszych praktyk i zaleceń, by ponownie je zweryfikować w kontekście posiadanej infrastruktury.

Powolne działanie urządzeń sieciowych, na których znajdują się wpisy ACL lub reguły dostępowe od momentu jego pierwszej implementacji, często jest oznaką błędów konfiguracyjnych. W takim momencie warto zadać sobie pytanie, w jaki sposób zweryfikować, czy wszystkie znajdujące się tam polityki dostępu są potrzebne? Ile razy w trakcie ostatniego roku została przebudowana sieć informatyczna? Ile dodatkowych zasobów zostało dodanych, a ile zostało usuniętych? Czy nadal wszystkie obiekty zapory sieciowej są używane? W jakim stopniu urządzenie wykorzystuje utworzone polityki oraz jakie adresy lub ich pule korzystają z poszczególnych reguł?

Na wszystkie powyżej zadane pytania powinien móc odpowiedzieć administrator sieci. Przy czym akcent kładziemy na słowo „powinien”.  Wczytywanie się w pliki logów jest mozolne, czasochłonne lub wręcz niewykonalne. Jak zatem odpowiadać na te pytania? W jaki sposób zbierać dane na ten temat? Gdzie uzyskać te informacje dla wszystkich urządzeń w sieci? I przede wszystkim – jak to zrobić, żeby praca administratora nie sprowadzała się do stałej rejestracji zmian i ręcznej weryfikacji wszystkich wprowadzanych polis i reguł?

Platforma Skybox Security, powstała właśnie po to, by wesprzeć administratorów (i tym samym całe organizacje) i zautomatzować proces zarządzania zgodnością. Skybox wspomaga przedsiębiorstwa we wdrażaniu procesów operacyjnych w całej infrastrukturze i umożliwia wprowadzenie ciągłego monitorowania zgodności. Pozwala wyeliminować błędy i naruszenia, podpowiadając skuteczne strategie zapewniające zgodność, przy stosunkowo niewielkim nakładzie pracy ze strony administratorów IT.