云防火墙ACL策略和安全组策略风险及优化对策

正禾
  • 收获赞:3
  • 擅长领域:超过10年的安全从业经验,熟悉企业应用安全架构、安全攻防实战经验

本文将从实际的企业IT管理角度,帮助客户识别安全策略管理过程中可能存在的风险,并提供一些有效可行的解决方案解决管理问题。

随着业务的深入,防火墙策略的管理一直是运维环节中管理员最为头疼的问题,多年运行、防火墙策略上线流程不完整、人员交接导致上千条的策略,这里面出现冗余、无效等“蜘蛛网”架构,甚至因为策略的繁杂导致设备性能下降,造成业务转发异常,业务故障,同时也给技术人员带来不敢碰的痛苦局面。

下面将从安全风险、优化场景及方案几个维度介绍如何解决策略管理问题。

一.防火墙策略安全风险列表

1.1 策略过于宽松

源地址any、目的地址any、目的端口any、any to any

检查动作为Permit的策略源地址对象、目的地址对象、端口对象任何一个对象中是否含有Any。

1.2 未启用或重叠的无效策略

检查策略是否启用、或者是默认策略放行拒绝全部或部分,其他策略被包含在默认策略类的重叠效果策略。

1.3 默认策略不是Deny All策略

检查防火墙默认策略源地址对象、目的地址对象、端口对象是否为any,同时动作为Permit。

1.4 高风险端口被全部放行

检查是否存在比如SSH 22、RDP 3389、MySQL数据库3306等高风险应用端口是否被放行发布到互联网上,如果发布了这些高风险端口,则会有很大的攻击风险。

1.5 源和目的对象相同无效策略

源地址对象和目的地址对象一致的策略。状态过滤防火墙不需要这样配置。

1.6 源和目的对象的IP地址范围过大

检查Permit的策略源地址对象、目的地址对象看是否为Class A、Class B、Class C或用户指定IP范围。

1.7 ACL端口范围过大或无效协议端口

检查Permit的策略端口对象中端口数量,用户可以指定端口数量多少(端口对象为any的策略除外)。

1.8 测试环境策略和生产环境策略混杂

在实际使用中,随意添加策略导致测试环境策略和生产环境策略混杂无法区分,时间久了无法管理。

二.防火墙策略优化场景

防火墙策略优化分为两类场景:

2.1.白名单策略模式

白名单策略模式指最后一条策略是Deny all,在这种场景下基本做到了按需开放策略,优化的目标主要是减少策略冲突、冗余策略,并分析策略使用情况。

2.2 可白又可黑模式

可白又可黑模式表示默认策略不是Deny all策略,可以同时设置为放行或拒绝策略,这种场景就比较复杂了,除了优化策略以外,还需要根据业务需求制定出未知的访问控制策略。

如何利用流量信息制定访问控制规则可以尝试以下方法?

对于线上生产环境,可以先调研资产和业务系统信息,在流量分析系统中导入资产和业务系统信息(其实就是防火墙中的源地址对象、目的地址对象),然后再以资产和业务系统IP出基于源地址、目的地址、目的端口的会话统计报表,这样就基本得出防火墙所需要配置的访问控制策略。注意,输出结果仅供参考,需要结合实际业务情况,考虑应用休眠期没有流量的情况。

一般建议在所有业务流量高峰期统计数据分析结果。

三.防火墙策略优化方法

优化场景

场景说明

优化防范

冲突策略

在方向和接口相同的情况下,两条动作属性不一样的策略源地址、目的地址、端口三者相同。造成本来应该允许的流被拒绝,本来应该拒绝的流被允许。

建议根据业务情况,默认设置拒绝所有流量,进开启要允许的流量,规则对象尽可能的最小颗粒度,比如精确到IP、协议、端口。

冗余策略

在方向和接口相同的情况下,两条动作属性一样的策略源地址、目的地址、端口三者相同,这为策略删除合并等调整留下了隐患。

建议根据业务情况,合并策略。

长时间无效策略

梳理长时间无效的策略场景:

  • 策略没有被使用
  • 包含未使用的对象
  • 没有匹配记录日志

建议删除无效策略。

未被使用的策略对象

重点检查源地址、源端口、目标地址、目标端口、协议相关对象的使用情况。
  • 没有使用
  • 在某些规则中没有被使用
  • 没有匹配记录日志

建议剔除无效策略。

以上简单的介绍常见遇到的实际管理问题,笔者在13年左右给运营商做防火墙策略优化咨询项目时,具体在实践中需要长时间的梳理,与各个应用负责人沟通交流调研,对业务摸底了解,才能慢慢收敛问题,规范管理防火墙策略,让防火墙精简简洁。当然在梳理的过程中,耗费了大量的人力和时间,也冒着业务的风险收敛策略。

四.关于策略流程管理

策略的管理本质上是流程规范化管理,建议从使用产品开始前流程好业务流程,从策略需求评估、上线、实施、回收删除与应用保持一致的生命周期进行平台化进行管理,目前国外也有很多防火墙策略管理的厂商,主要有Algosec、Firemon、Skybox、Solarwinds,国内也有一些相关的安全管理平台(SMP)集成了策略变更相关流程类的管理功能,这些都是基于传统硬件设备支持和落地,云上环境可以按照以上建议方案进行人工梳理或者是开发管理平台实现自动化梳理管理策略。

防火墙策略申请模板样例:

类别

参数

策略名称

外网ssh远程连接规则

策略ID

123456

策略创建

2022.04.01 12:00:00

策略修改时间

2022.04.01 12:05:00

策略名称

外网策略

源地址对象

ExternalNetwork1

源IP(禁止配置ANY,默认策略除外)

192.168.3.4/24

目的地址对象(禁止配置ANY,默认策略除外)

官网主站

目的IP/域名(禁止配置ANY,默认策略除外)

192.168.3.254

端口对象(禁止配置ANY,默认策略除外)

官网业务对外开放端口

协议(禁止配置ANY,默认策略除外)

tcp

服务

SSH

端口(禁止配置ANY,默认策略除外)

22

方向(Inbound或Outbound)

Inbound

动作(允许或拒绝)

Permit

启用状态(是或否)

日志或命中次数

0

包内容检测策略

IPS

策略是否启用

1

是否定时生效策略(是或否)

定时生效时间

每晚21点-23点