云端自助管理,让下一代防火墙高效运维

近年来,随着众多厂商、媒体以及第三方专业咨询机构的大力推广以及众多企业用户购买后的亲身实践,下一代防火墙[注](以后简称为NGFW)已经凭借完美的入侵防御集成能力、细致的应用及用户控制能力以及更高的应用层处理性能被最终用户所逐渐认可和接受,成为他们替代当前传统防火墙和UTM产品的一个重要选择。但是这并不意味着NGFW已经成为了包治百病的“治世良药”,实际上用户在运维和使用NGFW的时候依然面临的诸多的困扰,具体体现在以下方面:

1. 要使NGFW发挥最大功效,需要企业配备较好的管理平台和专业运维人员,而实际上大部分企业特别是中小型企业由于预算有限,不可能在安全上投入大量的资金和运维人力。

2. 即使有比较专业的运维人员以及比较好的管理平台,但是在实际使用过程中并没有那么得心应手。当前的安全管理系统,从安全事件的检测——>分析——>处理——>汇报展示并不是一脉相承,用户的连续体验较差,并且不能很好的发现和解决安全问题。

3. 有些威胁事件发生后,运维人员并不在现场,想第一时间了解威胁事件详情,处理威胁事件非常困难,尤其是连入内网的操作更加繁琐,得具备一定的工作环境才能够完成。

为了有效解决上述问题,企业可以考虑选择将NGFW接入一种叫云端自助管理的系统。所谓云端自助管理是通过一种开放式的客户自助门户系统实现管理员对NGFW的远程自助管理。管理员可以通过一键方式轻松将NGFW接入至云端自助管理平台,并实现在任何时间,任何地点,任何终端通过浏览器访问NGFW,并且对其安全事件进行监控、查询、分析、追踪并生产报告。

总得来说,这种开放性的自助管理平台可以实现以下几个关键能力:

1. 设备自身管理

NGFW接入云端自助管理平台,实现对设备自身管理是第一步,如实时监测设备的CPU,内存等设备状态信息,一旦出现运行异常,第一时间通过邮件或者短信等方式对管理员进行告警。另外云端自助管理平台还可以支持基础配置文件的保存、查看、删除等工作,能够让用户轻松、高效的管理NGFW当前的配置信息。

2. 安全事件管理

及时发现并阻断安全威胁是NGFW给用户提供的核心价值,云端自助管理平台除了要进行设备自身的监控和管理外,还可以实现对安全事件的监测、查询、分析、追踪、报告等操作,实现对安全事件的闭环管理。

1) 事件监测与响应

NGFW接入云端自助管理平台后,云端平台可以提供一定时间段的事件走势图和事件类型分布图,让管理员充分了解哪些天发生的事件较多以及哪些事件类型占比较重,需要引起重视。同时能够为管理员提供最近的TOPN事件展示,如展示告警时间、事件类型、源地址、目的地址、事件名称、处理时间、上报设备、摘要信息、事件详情信息。同时管理员可以根据事件展示的信息进行如:已确认、忽略、误报等相关响应处理。

2) 事件筛选与查询

除了对事件的实时监测与响应,管理员还可以根据告警对象、告警起止时间、告警处理时间、告警类型、告警源目的地址、告警上报设备、告警摘要等信息查询自己想要寻找的具体事件记录。

3) 事件分析与追踪

通过一个阶段的事件监测和处理,云端自助管理平台能够为管理员提供虫图直接展示TOPN事件及说明。通过每种类型的威胁事件,将攻击地址及被攻击地址进行关联,可以查看被攻击IP具体是哪些,每个被攻击IP被哪些攻击IP分别进行了多少次攻击,并且对哪些攻击比较感兴趣可以一键查看攻击详情,从而实现对整个事件过程进行相当完整的连贯分析。

4) 生成个性化定制报告

最后通过上述的分析,管理员可以通过自定义生成报表的时间段区间、过滤规则、含有的TOPN事件、报表标题、自定义logo等内容,为客户生成完全个性化定制数据报表。

3. 远程专家协同

NGFW接入云端自助管理平台后,还可以将远端的安全专家与用户管理员有效的连接起来,当用户处出现紧急安全事件的时候,用户管理员可以通过帐号授权的方式邀请远端安全专家协助在第一时间内进行响应和处理,并且快速进行故障恢复。

对于用户普遍关注的云端管理平台自身安全性的问题,笔者认为可以通过数据保护、加密和密钥管理、身份识别和访问管理以及业务连续性等几个方面进行综合解决。数据保护可以使数据在创建、存储、使用、共享、归档、销毁等阶段采用不同的保护措施实现完整的数据生命周期防护,从而保障云中数据的保密性、完整性、以及可用性;加密和密钥管理可以通过链路加密和密钥管理机制保障数据在上传过程中的机密性和完整性;身份识别和访问管理可以保证云平台在运行过程不会被非授权用户进行恶意破坏;而业务连续性管理可以使云平台遇到严重问题时(如:火灾、长时间停电及网络故障等),通过相应的技术措施(如备份数据中心、网络冗余架构、抗拒绝服务攻击等)快速的恢复业务,从而为用户提供不间断的服务。

说了这么多,云端自助管理平台对企业用户来说到底有哪些优势和价值呢,总结来看,有以下三点:

1. 成本低廉

NGFW接入云端自助管理平台后,客户不需要再购买单独的日志服务器,免除了本地日志服务器安装,部署、运维等大量工作,同时也免除了日志存储能力需要定期扩充的烦恼。对于资金预算紧张的中小型企业用户来说是一个不错的选择。

2. 管理方便

NGFW接入云端自助管理平台后,用户管理员可以不再受场地和时间的束缚,可以在任何时间、任何地点、任何终端上实现对设备的日常运维管理。当再次出现安全事件或者设备运行故障的时候,管理员再也不需要跑去机房了,坐在家里敲敲键盘可以轻松搞定。

3. 运维高效

NGFW接入云端自助管理平台后,可以实现对设备产生的安全事件信息进行监测、分析、跟踪处理、可视化呈现等全过程无缝衔接,并且能够高效连贯的完成全过程。管理员不再发愁面对大量的安全事件信息素手无策,大大减轻了管理员的运维压力。

随着企业业务的不断扩展及IT的深化融合,安全已经成为企业IT建设的必备因素,而安全运维在企业日常IT管理中的地位已经显得越发重要。企业管理者在选择安全方案的时候不仅仅需要考虑方案本身能否满足企业的安全防护需求,同时也需要重点考虑该方案是否能够有效的降低企业运维的成本、提升安全管理效率。避免安全运维成为繁琐、辛苦的工作和出现“吃力不讨好!”的现象。因此相信本文提到的基于云端的NGFW管理方案对于企业来说会成为一个非常不错的选择。