A tűzfal az elmúlt tíz évben alapvető funkcionális átalakuláson ment keresztül. A korábbi állapottartó, port- és protokollalapú szűrésből mára olyan policy-vezérelt biztonsági réteg lett, amelynek képesnek kell lennie alkalmazásazonosításra, TLS-dekódolásra, IPS-alapú fenyegetésmegállításra, identitáskezelésre, valamint hibrid és többfelhős környezetek támogatására. A Cisco Secure Firewall ezen fejlődési ív mentén jelent meg mint a Cisco következő generációs tűzfalplatformja, amely a Threat Defense (FTD) futtatási modellre, a Security Management Center központi vezérlésére és a Cisco security intelligence ökoszisztémára épül.
A tűzfal evolúciója
A klasszikus perimeter firewall a hálózati szegélyen elhelyezett szabályrendszer volt, amely a statikus zonális modellekre és az L3/L4 szintű kontrollra épült. Ez a modell a peremek jól definiált világában működőképes volt, de a SaaS, a remote work, a dinamikus workload-telepítés és a kelet-nyugati forgalom térnyerésével fokozatosan elvesztette hatékonyságát. A modern NGFW esetén a kontroll már L7-ben is értelmezett, azaz az alkalmazás, a felhasználó, a tartalom és a fenyegetés kontextusa is része a döntésnek. A Cisco Secure Firewall ezért nem csupán ACL-szintű szűrést végez, hanem integráltan kezeli az IDS/IPS funkciókat, az application visibility and control képességeket, a URL- és tartalomszűrést, a malware elleni védelmet és a TLS inspection-t is.
FTD és FMC működési modell
A Cisco Secure Firewall technikai alapját a Firepower Threat Defense operációs modell adja, amely egységes runtime-ot biztosít a tűzfal- és threat-prevention funkciók számára. Ennek központi menedzsmentje tipikusan a Secure Firewall Management Centeren keresztül történik, amely policy-kezelést, object managementet, eseményelemzést és konfigurációs kontrollt nyújt. Ez a szétválasztás fontos architekturális döntés: a dataplane és a management plane elkülönítése lehetővé teszi, hogy a forgalomfeldolgozás célhardveres gyorsítással működjön, miközben a szabályok és az analitika központilag maradnak kezelhetők. A Cisco az elmúlt években folyamatosan bővítette a platform skálázhatóságát és a release-ciklusokhoz kötött képességeit is.
TLS inspection és deep visibility
A mai fenyegetések jelentős része titkosított csatornákon közlekedik, ezért a nyers packet filtering már nem elég. A Secure Firewall egyik kulcsképessége a TLS/SSL inspection, amely lehetővé teszi a forgalom tartalmi ellenőrzését, természetesen a megfelelő policy- és kivételkezelés mellett. Ezzel párhuzamosan az alkalmazás-szintű láthatóság és a threat telemetry is egyre fontosabbá vált. A firewall már nem pusztán blokkol vagy enged, hanem kontextust gyűjt a sessionökről, a kapcsolódó threat-ekről, az alkalmazáshasználatról és az anomáliákról. Ez alapot ad a gyorsabb incidenskezeléshez és a pontosabb szabályoptimalizáláshoz.
Meshed Firewall és hybrid mesh
A Meshed Firewall, illetve a Cisco által kommunikált Hybrid Mesh Firewall modell egy elosztottabb biztonsági szemléletet képvisel. A lényege, hogy a policy nem egyetlen peremeszközre koncentrálódik, hanem a workloadokhoz, a telephelyekhez, a felhőhöz és a különböző enforcement pointokhoz közelebb kerül.A hybrid mesh megközelítés kulcseleme az intent-based policy management, amelyet a Cisco Security Cloud Control és a Mesh Policy Engine támogat. Ennek célja, hogy egy egységes policy-logika több enforcement domainre is kiterjeszthető legyen, beleértve a Cisco és bizonyos third-party firewall környezeteket is.
Ez architekturálisan azért jelentős, mert a szervezetek egyre gyakrabban több gyártó tűzfalait, cloud security policy-it és különböző deployment formáit kénytelenek együtt kezelni. A hybrid mesh modell erre nem manuális másolással, hanem policy-orchestration réteggel ad választ.
Mire jó a meshed modell?
A distributed firewalling egyik fő problémája történelmileg az volt, hogy a szabályok sok környezetben széttöredeztek, a change management bonyolulttá vált, és a konzisztencia fenntartása nehézkessé vált. A meshed megközelítés ezt próbálja csökkenteni azzal, hogy a policy abstrakciót magasabb szintre emeli.
Gyakorlati szempontból ez azt jelenti, hogy az adminisztrátor nem minden egyes enforcement pointon külön újradefiniálja a security intentet, hanem központi policy-struktúrában gondolkodik. Ez különösen értékes mikro-szegmentációs, multi-cloud és hibrid DC topológiák esetén.
Cisco security ökoszisztéma
A Secure Firewall önmagában is erős NGFW platform, de a teljes értéke a Cisco Security portfólióval együtt látszik igazán. Ide tartozik többek között a Secure Client a végponti hozzáféréshez, az Umbrella a DNS- és cloud-delivered security réteghez, az Identity Services Engine az identitás- és hozzáféréspolitikához, a Secure Workload a workload-szintű policy-khez, a Secure Network Analytics a forgalomelemzéshez, valamint a Security Cloud Control az egységes menedzsmenthez.
Ez a portfólió lehetővé teszi, hogy a security stack több szinten is konzisztens legyen: identitás, hálózat, workload, felhő és endpoint. A cél nem az, hogy minden funkciót egyetlen box oldjon meg, hanem hogy a policy és a telemetry egységes szemléletben működjön.
Architektúra jelentősége
A Secure Firewall a modern Cisco security architektúrában leginkább enforcement layerként értelmezhető. A policy decision réteg a központi security platformokban, a visibility és telemetry réteg pedig a menedzsment- és analitikai eszközökben jelenik meg, míg a végrehajtás a peremeken, a telephelyeken, a DC-ben vagy akár a felhőben történik. Ez a bontás fontos, mert a mai hálózatokban a védelem már nem lehet kizárólag perimeter-alapú. A biztonsági döntéseket közelebb kell vinni a forgalomhoz, ugyanakkor meg kell tartani a központi konzisztenciát. A Cisco hybrid mesh erre ad skálázható modellt.
Összességében
A Cisco Secure Firewall fejlődése jól mutatja, hogy a tűzfal ma már nem egyszerű hálózati kapuőr, hanem a teljes security architektúra aktív végrehajtási pontja. A következő évtized kulcsszava várhatóan nem a perimeter, hanem a distributed enforcement, az intent-alapú policy és a központilag koordinált, hibrid biztonsági működés lesz. A Meshed Firewall ebbe az irányba mutat: nem egyetlen eszközre épít, hanem egy többkörnyezetes, több enforcement pointból álló, de egységesen menedzselt security modellre. Ez az a szemlélet, amely technikailag és üzemeltetési oldalról is jobban illeszkedik a mai vállalati hálózatokhoz.
Nincsenek megjegyzések:
Megjegyzés küldése