Pentru marea majoritate a organizatiilor firewall-ul reprezinta elementul fundamental pe care intregul ecosistem de securitate se bazeaza. Firewall-ul serveste ca un punct de convergenta pentru tot traficul din retea si, de aceea, el trebuie intotdeauna sa fie capabil sa indeplineasca cerintele de business ale organizatiei.
Adesea, vendorii de firewall includ in produsele lor caracteristici nice-to-have pentru a isi diferentia solutiile de celelalte disponibile pe piata, insa focusul trebuie sa fie mentinut asupra capabilitatilor fundamentale. Un firewall trebuie sa ofere cel putin:
- content filtering – inspectia URL-urilor accesate, a traficului web si a fisierelor descarcate de catre utilizatori este o masura de securitate esentiala pentru a preveni infectarea cu malware. Intrucat multe dintre interactiunile dintr-o organizatie se bazeaza acum pe videoconferinte, inspectia traficului video este de asemenea ceva de avut in vedere
- advanced threat protection – detectarea amenintarilor numai pe baza unor semnaturi specifice nu mai ofera nivelul de protectie corespunzator contextului actual. Firewall trebuie sa detecteze toate pericolele, inclusiv cele pentru care nu exista o semnatura sau cele de tip “zero day”. In acest sens, firewall-ul trebuie sa foloseasca algoritmi avansati de inteligenta artificiala si de machine learning. . Updatarea constanta a fluxurilor de security intelligence este critica pentru minimizarea ferestrei de timp in care atacatorul poate profita de o vulnerabiltate proaspat descoperita.
- inspectia traficului criptat – conform Google, procentul de trafic web criptat a ajuns la 95%. HTTPS este esential pentru securizarea tranzactiilor online, dar poate fi folosit si pentru a introduce malware in retea, bypass-ând firewall-ul. Acesta poate sa filtreze malware-ul doar daca il vede, iar acest lucru presupune decriptarea traficului. Firewall-ul trebuie sa fie corect dimensionat pentru a putea decripta traficul, pentru a-l verifica si recripta cat mai in timp real, pentru a nu penaliza experienta utilizatorilor.
- hardware specializat – executarea functiilor de mai sus este indeplinita cu ajutorul procesorului firewall-ului si de modul in care acesta interactioneaza cu sistemul de operare. Este foarte important ca procesorul sa fie unul dedicat construit special pentru acea platforma de securitate pentru a putea livra performantele dorite. Procesoarele generice, “off-the-shelf”, nu pot indeplini in mod optim sarcini pentru care nu au fost gandite sa le execute.
- sandboxing – un sandbox este un mediu izolat. fara comunicare cu exteriorul, in care firewall-ul poate deschide si “detona” fisiere si atasamente din email pentru a determina daca sunt malitioase sau benigne. Firewall-ul trebuie sa fie capabil sa retina fisiereul, pana cand primeste verdictul de la sandbox pentru a putea bloca proactiv acea amenintare. Altfel, departamentul IT trebuie sa urmareasca traiectoria acelui fisier si sa il inlature manual de pe fiecare sistem afectat.
- API-uri – un firewall modern nu trebuie sa mai fie construit ca un siloz independent de alte componente ale ecosistemului de securitate si trebuie sa poate partaja informatii cu acestea indiferent ca sunt produse sau nu de acelasi vendor. API-uri ofera un mediu deschis integrarilor terte si reprezinta un mod mai scalabil, mai inteligent si mai eficient de a interactiona cu firewall.
Alegerea firewall-ului potrivit pentru nevoile organizatiei ofera liniste si increderea ca activitatea se desfasoara in conditii de siguranta. Firewall-ul trebuie sa protejeze organizatia acum dar si maine cand poate strategia de business va evolua in functie de cerintele si asteptarile clientilor. Ecosistemul de securitate trebuie sa ofere o protectie extensa, inteligenta si automata pentru toata suprafata digitala de atac a organizatiei.
Mihai Dumitrascu, Sr Systems Engineer
