sábado, 4 de fevereiro de 2012

O que é um Next Generation Firewall

O termo "Next Generation Firewall" ganhou força recentemente quando o Gartner Group indicou, no relatório da última versão do Quadrante Mágico para firewalls, esse tipo de solução. Segundo o Gartner as empresas devem, já na próxima mudança de sistema de segurança, procurar uma solução de Next Generation Firewall e não perder a oportunidade de partir para esse tipo de sistema.

Obviamente todos os fabricantes passaram a usar, de uma maneira ou outra, esse termo para definir seus novos produtos, mas será que são todos mesmo Next Generation Firewalls?

A grande diferença entre um firewall tradicional e um Next Generation é a forma como o administrador indica o que pode ou não pode ser feito. No Next Generation Firewall a configuração das regras e políticas de segurança utiliza uma forma diferente, que torna o trabalho do administrador mais intuitivo e simples.

No firewall tradicional as regras são baseadas principalmente nos parâmetros do TCP/IP: endereço de origem e destino, tipo de protocolo, porta, etc. Tudo isso é uma linguagem técnica complexa, que  exige um bom conhecimento de redes por parte dos administradores.

Cabe ao administrador compreender como cada protocolo funciona e criar uma regra. Além de trabalhoso é algo que exige do administrador experiência e muitas empresas sofre com falta de profissionais capazes de manter apropriadamente as regras.

Por outro lado a forma como se acessa a Internet está mudando. Por questão de redundância e eficiência um mesmo site fica hospedado em vários servidores espalhados pela Internet (diversos endereços IPs) e um site pode conter serviços importantes e inúteis/perigosos ao mesmo tempo (ex.: Facebook pode conter informações importantes sobre concorrentes para comparação e ao mesmo tempo jogos que apenas distraem o usuário).

Um outro problema é que estão surgindo aplicações cujo objetivo é driblar essas regras de firewall, usando as regras permitidas como brecha para acessar serviços não permitidos.

O grande efeito prático é que custa caro para as empresas (salário de profissionais ou valores de consultoria) manterem os firewalls tradicionais funcionando apropriadamente e mesmo assim nem sempre estão conseguindo implementar uma política adequada.

Dessa forma os Next Generation Firewall chegam para tentar resolver esses problemas.

Em primeiro lugar o administrador de um Next Generation Firewall não precisa mais saber a porta TCP ou endereço IP de um serviço. O Next Generation Firewall "conhece" os serviços e permite ao administrador liberar ou não baseado no nome desses serviço.

Por exemplo, um administrador quer liberar acesso ao Linkedin e aos sites corporativos do Facebook, mas quer proibir jogos do Facebook. Para isso o administrador indica "liberar Linkedin", "liberar Facebook corporativo", proibir "Facebook jogos". O Next Generation Firewall conhece todos esses serviços e já tem pronta as regras.

Além disso o Next Generation Firewall inspeciona todos os pacotes, procurando por mecanismos que tentem burlar as regras.

Outra característica do Next Generation Firewall é a capacidade de identificar cada usuário, independentemente de onde ele esteja e de qual equipamento esteja utilizando (hoje em dia é comum o mesmo usuário se conectar na rede através do seu computador, tablet e smartphone, tudo ao mesmo tempo). Assim o Next Generation Firewall identifica o usuário (e não apenas o seu endereço IP) para saber o que ele pode ou não fazer.

Em resumo, o Next Generation Firewall é mais simples de configurar. Sendo mais simples ele acaba trazendo algumas vantagens importantes:
  • a empresa não necessita de um profissional tão especializado. Isso significa redução de custos em consultorias ou certificação de pessoal.
  • por "absorver" as complexidades cada vez maiores dos tipos de acessos feitos pelos usuários. 
Unindo isso tudo ao fato dele identificar claramente cada usuário temos uma solução mais apropriada ao ambiente corporativo.

Meu Twitter: http://twitter.com/mlrodrig



Nenhum comentário: