Аудит відповідності брандмауера порівнює поточні конфігурації брандмауера з вимогами, встановленими нормативними актами, галузевими стандартами та внутрішньою політикою.
Стратегія управління ризиками визначає початкові засоби контролю безпеки, але конфігурації брандмауера можуть змінюватися з часом. Аудит відповідності брандмауера переглядає конфігурації та зміни правил для забезпечення постійної відповідності.
Часто потрібно проводити внутрішні аудити, а потім залучати незалежного стороннього аудитора для перевірки відповідності вимогам мережевої безпеки. Наприклад, вам може знадобитися зовнішній аудит для досягнення відповідності таким нормам захисту даних та галузевим стандартам:
-
PCI DSS
-
NERC CIP
-
NIST 800-53
-
ISO 27001
-
GDPR
-
SOX
-
HIPAA
Під час розробки програми відповідності брандмауера ви можете використовувати найкращі практики з цього контрольного списку в усіх процесах та етапах аудиту брандмауера.
Планування
У динамічних середовищах критичним є безперервний моніторинг відповідності. Перед проведенням аудиту відповідності необхідно мати основу для реалізації засобів контролю безпеки.
Ви повинні провести аналіз ризиків, включаючи:
-
Типи даних та ризики
-
Мережеві пристрої, включаючи маршрутизатори, комутатори та брандмауери
-
Механізми безпеки, включаючи VPN, SASE та інші засоби контролю доступу до мережі
Перед зверненням до внутрішнього чи зовнішнього аудитора ви повинні:
-
Визначити відповідальних осіб у сфері ІТ, мережевої безпеки та додатків
-
Документувати топології мережі, включаючи сегменти мережі, що містять критичні ресурси
-
Оновити політики та процедури мережевої безпеки
Збір документації
Для більшості організацій збір документації є трудомістким процесом. Щоб підготуватися до аудиту відповідності брандмауера, ви повинні зібрати документацію за наступними категоріями:
1. База правил брандмауера
-
Набори правил брандмауера: дозволені вихідні IP-адреси, адреси призначення, порти призначення та дозволені протоколи (TCP, ICMP або UDP)
-
Об'єкти мережі: фізичні (машини, сервери) та логічні представлення мережевих сутностей (IP-адреси, підмережі, мережі)
-
Огляди наборів правил: конфігурації брандмауера, такі як порядок правил, ризиковані правила, надто дозволені правила
2. Контроль доступу
-
Списки контролю доступу (ACL): дозволений трафік з глобальної мережі до внутрішніх мереж
-
Контроль доступу користувачів: використання принципу найменших привілеїв із використанням ролевого контролю доступу (RBAC) послідовно у багатохмарних та гібридних мережах, особливо коли змінюються IP-адреси користувачів та мережевих ресурсів
3. Процес управління змінами
-
Заявки на зміни: ділові причини та цілі зміни наборів правил
-
Оцінки ризиків: огляди перед реалізацією змін, що показують ризики та потенційний вплив
-
Виправлення: заходи пом'якшення ризику
-
Журнал аудиту: часові рамки внесення та затвердження змін
4. Вразливості
-
Апаратне забезпечення постачальника брандмауера: загальні вразливості та експозиції (CVE) для прошивки та операційних систем
-
Ризиковані правила: виявлення експлуатованих правил та заходи усунення
-
Усунення вразливостей: як пріоритезувати патчі на основі критичності ресурсів
5. Внутрішні звіти про аудит брандмауера
-
Засоби контролю безпеки: відповідність політиці безпеки для брандмауерів, маршрутизаторів, SDN та гібридних мереж
-
Ад-хок аудити: проактивне виявлення правил брандмауера для порушень або винятків
-
Неплановані зміни брандмауера: затвердження та винятки з непередбачених, реальних заходів
Робота на місці
Сторонній аудитор проводить огляди в реальному часі, щоб порівняти письмові політики та процедури з повсякденною діяльністю управління брандмауером. Щоб підготуватися до цього, у вас є наступне:
-
Відповідальні особи: мережева безпека, мережева інфраструктура, адміністратори, власники додатків та інші особи, залучені до створення або моніторингу зон безпеки
-
Консолі управління: підтвердження конфігурацій брандмауера та перегляд автоматизації процесу управління змінами та робочих потоків
Звіт про аудит
Під час процесу аудиту брандмауера ви повинні мати уявлення про кінцевий результат аудиторського звіту на основі питань аудитора та відповідей внутрішньої команди. Хоча ви не зможете підготувати все заздалегідь, у вас повинні бути процеси або автоматизація, які дозволяють вам усувати виявлені недоліки. Реалізуючи зміни брандмауера в реальному часі для покращення безпеки, ви можете довести, що у вас є сильна культура відповідності, яка реагує на ризики кібербезпеки.
Прискорте готовність до аудиту брандмауера з Tufin
Tufin пропонує єдину платформу, яка спрощує управління брандмауером та аудит за допомогою єдиних політик безпеки (USP), незалежних від постачальника, щоб ви могли створювати узгоджені політики безпеки у складних мережах. Використовуючи видимість, яку ви отримуєте з наших карт топології мережі, ви можете покращити мережеву безпеку та усунення неполадок брандмауера для безперервної відповідності.
Tufin Orchestration Suit - унікальне рішення для українського IT-ринку в портфелі компанії NWU
Tufin Orchestration Suit - по справжньому передове та унікальне рішення від світового лідера кібербезпеки на вітчизняному IT-ринку, представлене в портфелі компанії NWU, що є офіційним дистриб'ютором Tufin на території України. Завдяки чому у вас є можливість купити Tufin в Україні. Tufin Orchestration Suit є бажаним рішенням для SOC-команди будь-якої компанії України.
Купити Tufin або для більш детальної інформації та консультації щодо нового функціоналу Tufin TOS R24-1 звертайтесь на
Продукти Tufin