‘Complexity Creep’ as dangerous as a new threat vector; Smart Policies needed to simplify management and enforce policy based on user ID or location
Dubai, UAE – 9 July, 2013 – Despite the fact that the typical enterprise user typically employs multiple devices, exchanging information from many locations and using application data across hybrid cloud infrastructures, the network security management of most organisations still struggles to accomplish secure unified access without leaving a morass of duplicated and often contradictory policies in their wake. According to Fortinet, a leader in high-performance network security, the escalating number and complexity of security rules and policies accumulated by organisations over time is leaving many unable to respond effectively to the changing threat landscape.
“Rules are constantly added to security devices, but seldom removed, and this complexity is spiralling out of control,” said Alain Penel, Regional Vice President – Middle East, Fortinet. “Administrators find it increasingly challenging to understand the security they are implementing and are under impossible time pressures to troubleshoot new problems. The risk is that security holes open up amid the chaos. The answer to complexity is not more complexity.”
The following are Fortinet’s top five tips for minimising ‘policy accumulation’.
1. Drive Application Awareness. The process of simplifying security policies is challenged by the introduction of application-aware security; a key tenet of next-generation firewall technology. Critical, however, is the ability to attach this to individual user-IDs in one place, and enforce it throughout the network and across network security functions.
2. Enable Single-Sign On. In reality, the added granularity that arises from running distinct security policies according to each different authentication environment can be burdensome to security management. Applying Single Sign On (SSO) is another instance where (when implementing the correct approach) simplified security policy need not be at the cost of losing valuable context about the user’s location or device.
3. Unify Wired and Wireless Network Visibility & Control. Runaway policy accumulation invariably occurs where wired and wireless network access is entirely separate for management purposes. Where both coexist, wireless is typically the more dynamic environment with similar levels of traffic as wired infrastructure; compounding the rationale for integrating both (including user-centric policies) for easier oversight and simplified monitoring and compliance.
4. Rationalise Network Security. Managing a large estate of specialised security devices from many different manufacturers is a sure fire way of multiplying the number of live security policies. Deploying a suite of complementary systems from the same vendor reduces operating costs by enabling easier and more responsive management with less policies, higher performance and better overall security. It also enables network access policies to be integrated with all other security policies.
5. Focus Smart Policies by Users and Devices. iOS, MacOS, Windows, RIM, Android, Ubuntu, Unix, Linux all require policy differentiation at some level, which can have a huge drain on management time. Combined with a SSO approach to policy enforcement at a unified ingress point onto the wired/wireless network, all policies can be determined according user ID, device type and location.
Fortinet has followed up the release of its new FortiOS 5 operating system with a new white paper resource for security administrators to easily and seamlessly implement ID-based ‘smart policies’ across their wired and wireless network infrastructures. Entitled “Making Smart Policies with FortiOS 5”, the white paper shows how organisations can unify access and security policies, apply an integrated, ID based authentication and authorisation model, and benefit from simplified visibility of detailed real-time data.
"فورتينت" توصي بخمس نصائح للحد من كارثة "تراكم السياسات الأمنية"
الشركة تدعو إلى تبني سياسات أمنية ذكية لتبسيط الإدارة وفرض سياسة قائمة على هوية المستخدم والموقع
دبي، الإمارات – 9 يوليو، 2013 – على الرغم من أنّ المستخدمين في المؤسسات التقليدية عادة ما يوظفون أجهزة مختلفة ويتبادلون المعلومات من مواقع متعددة ويستخدمون بيانات التطبيقات عبر البنى التحتية السحابية الهجينة، إلا أنّ الإدارات الأمنية للشبكة في معظم المؤسسات لا تزال تكافح من أجل تحقيق عملية وصول آمنة وموحدة دون ترك عوائق السياسات الأمنية المكررة والمتناقضة غالباً خلفها. ووفقاً لـ "فورتينت" (Fortinet)، إحدى الشركات الرائدة في مجال توفير الحلول عالية الأداء لأمن الشبكات، فإنّ تنامي عدد وتعقيد القوانين والسياسات الأمنية التي تراكمت على مر الزمن في المؤسسات، يضعف إلى حد كبير من قدرة هذه المؤسسات على الاستجابة بفعالية لواقع التهديدات الأمنية المتغير باستمرار.
وقال ألين بينيل، نائب الرئيس الإقليمي لشركة "فورتينت" في منطقة الشرق الأوسط: "يتم باستمرار إضافة القوانين لأجهزة أمن الشبكات، لكن نادراً ما تتم إزالتها، حيث تخرج هذه العملية المعقدة عن السيطرة. ويجد القائمون على إدارة الشبكات تحدياً متزايداً في فهم السياسة الأمنية التي يقومون بتنفيذها ويخضعون كذلك لضغوط زمنية لإصلاح المشاكل الجديدة. وتكمن الخطورة في أنه يتم فتح الثغرات الأمنية وسط هذه الفوضى ليتمثل الحل بالتالي في عدم مواجهة هذا التعقيد بإضافة مزيد من التعقيد".
وفيما يلي أهم خمس توصيات من "فورتينت" للحد من "تراكم السياسات الأمنية":
- القيام بالتوعية حول التطبيقات: تعترض عملية تبسيط السياسات الأمنية مسألة إدخال الأمن المعني بالتطبيقات؛ وهو أحد الركائز الأساسية للجيل الجديد من تكنولوجيا الجدران النارية. ومع ذلك، تعد القدرة على ربط ذلك مع تعريفات المستخدمين الأفراد في مكان واحد، وفرض تطبيق ذلك في مختلف أنحاء الشبكة وعبر وظائف أمن الشبكة أمراَ أساسياً.
- تمكين عملية الدخول الموحد: في الواقع، يمكن لحجم البيانات المضاف والناجم عن تشغيل سياسات أمنية مميزة وفقاَ لكل بيئة مصادقة مختلفة، أن يمثل عملية مرهقة للإدارة الأمنية. ويعد تطبيق عملية الدخول الموحد (SSO) مثالاً آخر، حيث لا يلزم- عند تطبيق المنهجية الصحيحة- أن تكون السياسة الأمنية المبسطة على حساب فقدان البيانات القيّمة حول موقع المستخدم أو الجهاز الذي بحوزته.
- توحيد عملية مراقبة الشبكة السلكية واللاسلكية والتحكم بها: تظهر عملية تراكم السياسات الأمنية بشكل ثابت حيث يكون الوصول للشبكة السلكية واللاسلكية مستقلاً تماماً لأغراض الإدارة. وحيث تتواجد كلا الشبكتين، تكون الشبكة اللاسلكية عادة أكثر فعالية مع نفس مستويات حركة مرور البيانات التي تكون ضمن البنية التحتية السلكية؛ الأمر الذي يدعم الأساس المنطقي لدمج كل منهما (بما في ذلك السياسات الأمنية التي تركز على المستخدم) من أجل تسهيل عملية الإشراف على الشبكة وتبسيط المراقبة والامتثال.
- عقلنة الأمن الشبكي: إنّ إدارة عدد كبير من أجهزة أمن الشبكات المتخصصة للعديد من المصنعين هي وسيلة ناجحة لمضاعفة عدد السياسات الأمنية. وتقلل عملية نشر مجموعة من الأنظمة التكميلية من نفس الشركة المنتجة من تكاليف التشغيل من خلال توفير إدارة أسهل وأكثر استجابة مع سياسات أمنية أقل وتقديم أداء أعلى وحالة أمنية كلية أفضل. كما أنها تسهم في تكامل سياسات الوصول إلى الشبكة مع كافة السياسات الأمنية الأخرى.
- التركيز على السياسات الذكية من قبل المستخدمين والأجهزة: تتطلب أنظمة التشغيل "آي. أو. أس" (iOS) و"ماك أو. أس" (MacOS) و"ويندوز" (Windows) و"آر. آي. أم" (RIM) و"أندرويد" (Android) و"يوبونتو" (Ubuntu) و"يونكس" (Unix) و"لينوكس" (Linux) جميعها تمايزاً في السياسات الأمنية على مستوى ما، الأمر الذي يمكن أن يتسبب باستنزاف كبير لوقت الإدارة. وجنباً إلى جنب مع منهجية الدخول الموحد لإنفاذ سياسة أمنية على نقطة دخول موحدة إلى الشبكة السلكية/اللاسلكية، يمكن تحديد كافة السياسات وفقاً لهوية المستخدم ونوع الجهاز والموقع.
وقدمت "فورتينت" بعد إطلاقها نظام التشغيل الجديد "فورتي أو. أس 5" تقريراً جديداً للقائمين على أمن الشبكات من أجل تنفيذ "السياسات الذكية" القائمة على هوية المستخدم بشكل سهل وسلس عبر البنى التحتية للشبكات السلكية واللاسلكية. وتحت عنوان "تنفيذ السياسات الذكية مع فورتي أو. أس 5"، يظهر التقرير كيف يمكن للمؤسسات أن تقوم بتوحيد عملية الوصول والسياسات الأمنية وتطبيق نموذج مصادقة وتفويض متكامل قائم على هوية المستخدم، والاستفادة من المراقبة المبسطة للبيانات الفورية المفصلة.
