Maksymalne wykorzystanie zapory następnej generacji

Transkrypt

1 Oficjalny dokument Maksymalne wykorzystanie zapory następnej generacji Wszechstronny wgląd w sieć oraz jej nadzorowanie zwiększają efektywność działalności firmy i sprzyjają jej rozwojowi, jednocześnie maksymalizując bezpieczeństwo. Aby poradzić sobie z następującym wyzwaniem biznesowym: Zapewnianie zgodności z przepisami Zapewnianie dogłębnego wglądu i nadzoru Umożliwianie realizacji celów biznesowych przy jednoczesnym ograniczaniu zachowań niebezpiecznych Autoryzowanie właściwego korzystania z urządzeń prywatnych Ochrona przed zagrożeniami internetowymi Umożliwianie bezpiecznego stosowania szyfrowania Równoważenie wymogów bezpieczeństwa i wydajności Zapora następnej generacji musi: Przeprowadzać deterministyczne inspekcje ze śledzeniem stanów połączeń Rozpoznawać i nadzorować aplikacje oraz mikroaplikacje niezależnie od używanych portów i protokołów Identyfikować użytkowników za pomocą biernych i aktywnych metod uwierzytelniania Rozpoznawać i nadzorować określone zachowania w obrębie mikroaplikacji Umożliwiać uzasadniony dostęp do Internetu, a jednocześnie blokować niepożądane kategorie sieci WWW Obsługiwać zróżnicowany dostęp do szerokiej gamy urządzeń mobilnych Nadzorować witryny internetowe i aplikacje sieciowe na podstawie dynamicznej analizy reputacji Chronić przed atakami bezpośrednio po ujawnieniu informacji o podatności (zero-day) niemal w czasie rzeczywistym Odszyfrowywać i sprawdzać ruch zaszyfrowany na podstawie zasad Realizować oczekiwania dotyczące wydajności po aktywowaniu wielu usług w zakresie bezpieczeństwa Dążąc do równoważenia bezpieczeństwa i wydajności, administratorzy sieci stykają się z największymi zmianami w historii. Szybka ewolucja tendencji biznesowych stawia przed nimi wyzwania polegające na zapewnieniu szerokiego, lecz bezpiecznego dostępu do Internetu, umożliwiającego pracownikom korzystanie z zatwierdzonych aplikacji biznesowych przy użyciu wybranych przez siebie urządzeń. W wyniku tych zmian programy stają się bardzo dynamiczne i wieloaspektowe, co powoduje zacieranie linii między zatwierdzonymi aplikacjami biznesowymi oraz programami, które marnują czas pracowników i zwiększają podatność firmy na zagrożenia internetowe. W przeszłości kwestia dopuszczalnego użycia była stosunkowo łatwa do określenia, ale obecnie ewoluujące serwisy społecznościowe, programy do udostępniania plików i aplikacje do komunikacji w Internecie poza celami ściśle prywatnymi zaczęły również służyć celom biznesowym wszystkie te rozwiązania są obecnie szeroko używane na wszystkich szczeblach organizacji. Sytuację dodatkowo komplikuje fakt, że współcześni pracownicy stają się coraz bardziej mobilni, przez co wymagają dostępu do sieci w dowolnym miejscu i czasie przy użyciu różnorodnych urządzeń przenośnych należących do firmy lub prywatnych. Skłania to firmy niezależnie od rozmiaru i typu do stosowania zasady BYOD ( bring your own device, przynieś własne urządzenie ), co zwiększa wydajność i zadowolenie pracowników. Ze względu na te i inne tendencje biznesowe administratorzy sieci stoją w obliczu istotnego wyzwania: jak wdrożyć zasady dopuszczalnego użycia konieczne do ochrony sieci, a jednocześnie zapewniać elastyczność, aby osiągnąć i utrzymać poziom wydajności niezbędny do rozwoju firmy. Wymagane jest nowe podejście do kwestii bezpieczeństwa bez rezygnacji ze sprawdzonych metod aby poprawić wgląd w sieć i jej nadzorowanie, przyspieszyć innowacje biznesowe oraz proaktywnie chronić przed nowymi i pojawiającymi się zagrożeniami. Administratorzy nie powinni zatem zaprzestawać korzystania z istniejących zapór ze śledzeniem stanu, ale uzupełnić te sprawdzone funkcje zabezpieczające dodatkowymi funkcjami nadzoru opartymi na sieci. Pozwoli to uzyskać kompleksową wiedzę na temat sieci i usprawnić operacje biznesowe Cisco i/lub podmioty stowarzyszone. Wszystkie prawa zastrzeżone. Dokument zawiera jawne informacje firmy Cisco. Strona 1 z 6

2 Wyzwania biznesowe Jak wspomniano wcześniej, serwisy społecznościowe, programy do udostępniania plików i aplikacje do komunikacji w Internecie, z których wcześniej nie wolno było korzystać w sieciach firmowych, obecnie zyskały status pełnoprawnych, efektywnych i ekonomicznych metod docierania do klientów i partnerów biznesowych na całym świecie. Zgodnie z Rocznym raportem firmy Cisco na temat bezpieczeństwa procent wszystkich żądań wysyłanych do Internetu w firmie dotyczy oglądania plików wideo online, a kolejne 20 procent odnosi się do wizyt w witrynach społecznościowych. W efekcie organizacje niezależnie od wielkości zaczynają wykorzystywać serwisy społecznościowe i materiały wideo w Internecie. Większość dużych marek jest obecna w serwisach Facebook i Twitter, ponadto znaczna część organizacji włącza funkcje społecznościowe do swoich produktów. Analogicznie urządzenia stykające się z siecią były w przeszłości ograniczone do tych stanowiących własność firmy i ściśle nadzorowanych przez działy IT, a obecnie bezpieczny dostęp można także uzyskać przy użyciu szerokiej gamy urządzeń prywatnych. Mimo korzyści związanych z wydajnością biznesową powyższe tendencje w ewolucji sieci wiążą się także z nowymi poważnymi zagrożeniami. W efekcie do podstawowych wyzwań biznesowych, przed którymi stoją współczesne firmy, należy egzekwowanie zasad dopuszczalnego użycia, nadzorowanie aplikacji grożących obejściem zabezpieczeń, autoryzowanie urządzeń prywatnych i ochrona przed zagrożeniami internetowymi. Egzekwowanie zasad dopuszczalnego użycia Dwa podstawowe problemy biznesowe, które organizacje muszą rozwiązać, wiążą się z kwestią zasad dopuszczalnego użycia. Po pierwsze wymagane jest niezawodne filtrowanie adresów URL na podstawie treści w celu blokowania obraźliwych, nieodpowiednich i potencjalnie nielegalnych witryn internetowych zawierających materiały związane z erotyką, przemocą lub nienawiścią rasową; obniżających wydajność lub nadmiernie zajmujących łącza (na przykład YouTube); a także mogących narazić na szwank zgodność firmy z przepisami (na przykład BitTorrent i emule). Niezbędne jest także dogłębne sprawdzanie aplikacji, aby blokować złośliwe oprogramowanie, takie jak serwery anonimizujące, które pracownicy mogą wykorzystywać do obchodzenia zabezpieczeń stosowanych przez działy IT. Wprowadzanie zasad dopuszczalnego użycia dodatkowo komplikują takie aplikacje, jak Facebook, Twitter, LinkedIn i Skype. Obecnie są to pełnoprawne serwisy biznesowe, ale wiele firm niechętnie zezwala na używanie ich w sieci, ponieważ może to prowadzić do powszechnego niewłaściwego wykorzystywania przepustowości i obniżenia wydajności pracowników. Nadzorowanie aplikacji grożących obejściem zabezpieczeń Z wyzwaniem tym wiąże się wgląd w aplikacje przełączające się między różnymi portami i protokołami, takie jak Skype i BitTorrent, oraz nadzorowanie ich. Ze względu na fakt, że nieodłączną cechą tych programów jest dążenie do przebicia się przez sieć niezależnie od tego, co się w niej dzieje, mogą one stwarzać wyjątkowe problemy administratorom chcącym zablokować korzystanie z nich. Zdarza się, że administratorzy opracowują dziesiątki zasad mających na celu zablokowanie choćby jednej tego rodzaju aplikacji, mimo to nie udaje im się skutecznie ich nadzorować. Autoryzowanie urządzeń prywatnych W Rocznym raporcie firmy Cisco na temat bezpieczeństwa 2013 ujawniono, że 81 procent studentów uważa, iż powinni mieć prawo wyboru urządzeń do wykonywania obowiązków służbowych. 77 procent pracowników w różnych częściach świata biorących udział w badaniu korzysta z wielu urządzeń do uzyskania dostępu do sieci firmowej ponad jedna trzecia używa w pracy co najmniej trzech. W efekcie zgodnie z raportem Cisco 2012 Global IBSG Horizons Report 84 procent kierowników działów IT twierdzi, że ich firmy stają się bardziej dostępne. Roczny raport firmy Cisco na temat bezpieczeństwa 2013 potwierdza te wnioski, zauważając, że w ciągu zaledwie dwóch ostatnich lat firma Cisco zanotowała 79-procentowy wzrost liczby urządzeń mobilnych używanych przez pracowników większość z nich to sprzęt prywatny, zgodnie z zasadą BYOD Cisco i/lub podmioty stowarzyszone. Wszystkie prawa zastrzeżone. Dokument zawiera jawne informacje firmy Cisco. Strona 2 z 6

3 Tendencje te sprawiły, że zasada BYOD stała się priorytetem dla większości organizacji oczekuje się, że w roku 2014 na inicjatywy związane z mobilnością będzie przeznaczane średnio 23 procent budżetów IT, podczas gdy w 2012 roku było to zaledwie 18 procent. Zaledwie kilka lat temu wystarczyło wskazać, kto może uzyskać dostęp do sieci i poufnych danych firmy, ale zasada BYOD skomplikowała podejmowanie tego rodzaju decyzji. Obecnie organizacje muszą określić, czy pracownicy, którym przyznano dostęp do tego rodzaju danych, będą mogli uzyskać go tylko przy użyciu sprzętu należącego do firmy czy też również za pomocą urządzeń prywatnych. Jeśli możliwe jest korzystanie ze sprzętu prywatnego, czy mogą to być dowolne urządzenia czy tylko niektóre? Czy pracownicy muszą być zlokalizowani w obrębie firmowej sieci LAN, czy też wirtualne połączenia VPN również zapewniają odpowiedni poziom bezpieczeństwa? Ochrona przed zagrożeniami internetowymi Zagrożenia internetowe to dodatkowy problem, z którym muszą poradzić sobie wszystkie organizacje niezależnie od wielkości. Niektóre narzędzia, takie jak aplikacje do udostępniania plików i serwisy społecznościowe, wywierają korzystny wpływ na wydajność pracowników, ale jednocześnie ich używanie nieodłącznie wiąże się z ryzykiem, ponieważ mogą być wykorzystywane przez hakerów i innych sprawców złośliwych ataków w celu uzyskania nieuprawnionego dostępu do sieci lub rozpowszechniania w niej szkodliwego oprogramowania. Aplikacje do nadzoru zdalnego, takie jak TeamViewer i PC Anywhere, znacząco poprawiają wydajność indywidualną i zespołową, ale autorzy złośliwego oprogramowania mogą wykorzystać luki w tych programach do przejęcia kontroli nad zasobami sieciowymi. Ponadto korzystanie z aplikacji do udostępniania plików, na przykład Dropbox i icloud, stwarza możliwości przesłania poufnych danych firmy do chmury, gdzie firma traci kontrolę nad ich rozpowszechnianiem. Również złośliwe oprogramowanie może podszywać się pod znane aplikacje uruchamiane na otwartych portach, stanowić część prawidłowych aplikacji, w których odkryto luki, a także być instalowane przy okazji pobierania z oszukańczych witryn internetowych lub pełnoprawnych, które zostały zarażone. Udowodniono także skuteczność metod socjotechnicznych stosowanych wobec użytkowników serwisów społecznościowych aplikacje te przyzwyczaiły użytkowników, że zupełnie normalne jest klikanie łączy w wiadomościach i pobieranie treści z nieznanych witryn, mimo konsekwentnych przestróg personelu IT, by tego nie robić. Konieczne jest proaktywne, wszechstronne podejście do bezpieczeństwa w sieci Liderzy biznesowi rozumieją, że elastyczność jest niezbędna do maksymalizacji wydajności. Ale w jaki sposób korzystać z zalet tendencji biznesowych i technologicznych w zakresie wydajności i oszczędności, a jednocześnie chronić się przed zagrożeniami, jakie niosą ze sobą te trendy? Odpowiedź kryje się w zdolności firmy do maksymalizacji wglądu w ruch sieciowy poprzez pełną świadomość kontekstu. Jeśli administratorzy mają wyraźny obraz szczegółów ruchu w sieci, mogą podejmować bardziej świadome decyzje. Wgląd w aplikacje i ID użytkowników, mimo że cenny, nie zapewnia pełnej świadomości kontekstu wymaganej do bezpiecznego aktywowania nowych aplikacji, urządzeń i przypadków biznesowych. Pełna świadomość kontekstu obejmuje powyższe zagadnienia, jak również filtrowanie adresów URL na poziomie korporacyjnym, dynamiczne określanie reputacji witryn WWW, świadomość urządzeń oraz wiedzę o lokalizacji użytkownika i urządzenia. Wgląd w aplikacje i nadzór Jak wspomniano wcześniej, świadomość aplikacji to podstawowy wymóg w przypadku każdej zapory następnej generacji. Jednakże musi ona rozpoznawać coś więcej niż tylko same programy, dając możliwość blokowania mikroaplikacji wchodzących w ich skład. Ma to szczególne znaczenie w przypadku aplikacji społecznościowych, takich jak Facebook i LinkedIn. Samo ich rozpoznawanie pozwala wyłącznie na całościowe blokowanie lub zezwalanie na korzystanie z nich. Organizacja może na przykład chcieć udostępnić serwis Facebook, aby umożliwić personelowi działów sprzedaży i marketingu wysyłanie postów na profil firmy oraz komunikowanie się z klientami i partnerami, a jednocześnie zablokować dostęp do gier w ramach tego portalu. Dzięki rozpoznawaniu każdej mikroaplikacji oddzielnie administratorzy mogą przyznawać im różne uprawnienia dostępu Cisco i/lub podmioty stowarzyszone. Wszystkie prawa zastrzeżone. Dokument zawiera jawne informacje firmy Cisco. Strona 3 z 6

4 Ponadto poprzez identyfikację konkretnych zachowań w obrębie tych mikroaplikacji zapora zapewnia administratorom jeszcze bardziej precyzyjny nadzór. Na przykład do tego rodzaju zachowań w obrębie mikroaplikacji Wiadomości należy wysyłanie załączników, pobieranie załączników i wideoczat. Większość z nich można zaliczyć do właściwych działań biznesowych, ale pobieranie załączników zostanie zapewne uznane przez personel IT za czynność ryzykowną z samej swojej istoty. Dzięki korzystaniu z zapory potrafiącej rozpoznawać określone zachowania w obrębie mikroaplikacji administratorzy mogą udostępnić funkcję Wiadomości, blokując pobieranie załączników. Aplikacje grożące obejściem zabezpieczeń, takie jak Skype, także da się skutecznie nadzorować, jeśli zapora jest w stanie monitorować wszystkie porty i protokoły oraz umożliwia opracowywanie zasad wyłącznie w oparciu o identyfikację samej aplikacji. Ponieważ programy w rodzaju Skype mają zawsze takie samo ID niezależnie od portu lub protokołu używanego do wyjścia z sieci, dodanie zasady Blokuj Skype może zapewnić skuteczniejsze egzekwowanie, a przy tym jest prostsze w porównaniu z opracowywaniem dziesiątek zasad dla zapory ze śledzeniem stanu w celu zablokowania wszystkich możliwych kombinacji. Oszczędza to czas administratorów w początkowym okresie wdrożenia oraz późniejsze zarządzanie zasadami, co przekłada się na większą efektywność działalności firmy. Na koniec należy wspomnieć o nadzorowaniu osób mających dostęp do aplikacji do udostępniania plików oraz określaniu dozwolonych zachowań w ich obrębie, co chroni dane organizacji o krytycznym znaczeniu, a jednocześnie pozwala pracownikom na korzystanie z efektywnych narzędzi biznesowych. Zaawansowana identyfikacja użytkownika Świadomość użytkowników to kolejny kluczowy element każdej zapory następnej generacji większość umożliwia bierne uwierzytelnianie za pośrednictwem firmowej usługi katalogowej, na przykład Active Directory (AD). Funkcja ta pozwala administratorom na egzekwowanie zasad w zależności od tego, kim jest użytkownik lub do jakiej grupy bądź jakich grup należy. Tego rodzaju identyfikacja sama w sobie ma niewielką wartość, ale w połączeniu z omówioną wyżej świadomością aplikacji pozwala administratorom na różnicowanie dostępu do określonych programów Na przykład personel marketingu i sprzedaży może mieć uzasadnioną potrzebę biznesową uzyskiwania dostępu do narzędzi społecznościowych, w przeciwieństwie do pracowników działu finansów. Poza uwierzytelnianiem biernym zapory następnej generacji obsługują funkcję uwierzytelniania aktywnego na potrzeby działań biznesowych wymagających silniejszych środków bezpieczeństwa. Podczas gdy uwierzytelnianie bierne opiera się na prostym przeszukiwaniu usługi katalogowej i zaufaniu, że właściwie rozpoznała ona użytkownika na podstawie odwzorowania jego nazwy na adresie IP, uwierzytelnianie aktywne wymaga dodatkowej warstwy zabezpieczeń dzięki zastosowaniu takich mechanizmów, jak Kerberos i NT LAN Manager (NTLM). Jest to realizowane poprzez przesłanie zapytania do przeglądarki, która z kolei błyskawicznie wysyła odpowiedź na podstawie poświadczeń logowania użytkownika albo wyświetla monit o uwierzytelnienie. W obu przypadkach to administrator zabezpieczeń uwierzytelnia użytkownika, a nie polega na odwzorowaniu jego nazwy na adresie IP. Ma to istotne znaczenie w przypadku organizacji, które muszą zapewniać dostęp do informacji poufnych, takich jak dane kart kredytowych klientów lub baza danych zawierająca informacje zdrowotne. Świadomość aplikacji W przypadku organizacji stosujących na co dzień zasadę BYOD osiągnięcie równowagi między wydajnością a bezpieczeństwem wymaga precyzyjnego wglądu w konkretne urządzenia usiłujące uzyskać dostęp do sieci, co pozwala administratorom na wdrożenie różnych zasad w zależności od używanego sprzętu. Na przykład organizacja może zdecydować się na umożliwienie telefonom iphone 4 dostępu do większości zasobów sieciowych, a jednocześnie ograniczenie lub zablokowanie dostępu starszym wersjom urządzenia albo umożliwienie dostępu modelom iphone 4, ale nie 4S. Analogicznie organizacje mogą przyznać dostęp komputerom z systemem Windows, blokując dostęp komputerom Mac. Ponadto, jeśli zapora jest wyposażona w funkcję świadomości lokalizacji, istnieje możliwość wdrożenia różnych zasad w zależności od tego, czy urządzenie znajduje się w zasięgu sieci LAN czy loguje się z innego miejsca Cisco i/lub podmioty stowarzyszone. Wszystkie prawa zastrzeżone. Dokument zawiera jawne informacje firmy Cisco. Strona 4 z 6

5 Zabezpieczenia sieci WWW Funkcje filtrowania adresów URL i sieci WWW umożliwiają uzyskiwanie dostępu do właściwych aplikacji i informacji, a jednocześnie zapobiegają korzystaniu z treści mogących zwiększać ryzyko, obniżać wydajność lub powodować utratę informacji poufnych. Większość urządzeń do zabezpieczania sieci WWW udostępnia podstawowe filtrowanie na podstawie szerokich kategorii, a także możliwość tworzenia list konkretnych witryn do udostępnienia lub zablokowania. Wielu sprzedawców oferuje także bazę danych znanych złych adresów URL w samym urządzeniu. Jednakże ze względu na dynamiczny charakter Internetu funkcje te nie są wystarczające. Według niekomercyjnej organizacji stopbadware.org aktualnie ponad milion witryn internetowych stanowi źródło złośliwego oprogramowania i innych aplikacji podejmujących działanie bez zgody użytkownika (określa się je często terminem greyware ). Ponieważ w każdym tygodniu do listy dodawane są tysiące nowych adresów URL, zabezpieczenia internetowe ograniczające się do statystycznej listy w rozwiązaniu nigdy nie będą aktualne. A zatem poza tymi funkcjami organizacje potrzebują stale uaktualnianego filtrowania adresów URL, aby uzyskać ochronę przed nieustannie zmieniającymi się zagrożeniami niemal w czasie rzeczywistym. Ponadto zapora musi być w stanie rozpoznawać i zatrzymywać złośliwe oprogramowanie, które podszywa się pod znane aplikacje uruchamiane na otwartych portach, a jednocześnie nie zmniejszać wartości biznesowej pełnoprawnych narzędzi biznesowych korzystających z tych portów. Funkcja ta może zostać dodatkowo wzmocniona przez korzystanie z globalnego przepływu danych i aplikacji celem zapewnienia informacji o zagrożeniach niemal w czasie rzeczywistym, w tym analizy reputacji opartej na zachowaniach konkretnej witryny lub aplikacji internetowej. Jeśli dostawca obsługuje ruch przychodzący z wielu źródeł z całego świata i zapewnia uaktualnienia z odpowiednią częstotliwością, dane globalne mogą także pomagać w ochronie organizacji przed atakami bezpośrednio po ujawnieniu informacji o podatności (zero-day). Aby umożliwić tego rodzaju użytkowanie bez narażania bezpieczeństwa na szwank, niektóre organizacje z branży IT zastąpiły w swojej ofercie zapory ze śledzeniem stanu produktami zapewniającymi dodatkowe poziomy wglądu a tym samym doskonały nadzór. Mimo że dodatkowy wgląd rzadko uważa się za wadę, większość zapór następnej generacji ma słabe strony, które administratorzy i liderzy biznesowi powinni poznać przed podjęciem decyzji o zakupie. Ograniczony wgląd: połowiczne rozwiązanie Nie ulega wątpliwości, że zapewnianie większego wglądu w ruch sieciowy ma ogromne zalety, jeśli chodzi o bezpieczeństwo. Dzięki lepszemu wglądowi w sieć administratorzy zyskują możliwość opracowywania i egzekwowania bardziej precyzyjnych zasad bezpieczeństwa, aby zagwarantować zasobom firmy niezawodną ochronę. Właśnie dlatego funkcje świadomości aplikacji i ID użytkownika są kluczowe dla zapór następnej generacji. Jednakże w przypadku wielu z nich całe rozwiązanie koncentruje się wyłącznie na tych dwóch elementach kosztem wszystkich innych. Nie ulega wątpliwości, że jakikolwiek wgląd jest lepszy niż żaden, ale jak wspomniano w niniejszym dokumencie w typowej sieci firmowej dzieje się tak wiele, że sama świadomość aplikacji i ID użytkownika nie wystarcza do zapewniania wystarczającego wglądu, by podejmować trafne decyzje biznesowe. Poza tymi funkcjami wszechstronne rozwiązanie w zakresie bezpieczeństwa musi umożliwiać administratorom nadzorowanie określonych zachowań w obrębie dozwolonych mikroaplikacji, ograniczanie korzystania z sieci WWW i aplikacji internetowych na podstawie reputacji witryny, proaktywne zabezpieczanie przed zagrożeniami internetowymi oraz egzekwowanie zróżnicowanych zasad w zależności od użytkownika, urządzenia, stanowiska i typu aplikacji. Wyszukiwanie optymalnego rozwiązania Zastosowanie zapory następnej generacji zapewnia wiele korzyści, ale należy także rozważyć słabe strony takiego rozwiązania. Z tego powodu liderzy biznesowi powinni w pełni ocenić dostępne opcje przed podjęciem decyzji o zakupie. Wielu sprzedawców zapór następnej generacji zmusza klientów do rezygnacji z istniejących zabezpieczeń tego typu oraz ze wszystkich związanych z nimi zasad bezpieczeństwa, aby zacząć od nowa z zupełnie nowymi zasadami bezpieczeństwa opracowanymi specjalnie dla platformy zapory następnej generacji. Takie radykalne postępowanie jest konieczne, ponieważ większość zapór następnej generacji zasadniczo różni się od istniejących zapór klasycznych lub zapór ze śledzeniem stanu, ponieważ funkcjonuje w zupełnie innej warstwie obliczeniowej Cisco i/lub podmioty stowarzyszone. Wszystkie prawa zastrzeżone. Dokument zawiera jawne informacje firmy Cisco. Strona 5 z 6

6 Zapory ze śledzeniem stanu działają w warstwie sieciowej i transportowej architektury obliczeniowej, natomiast zapory następnej generacji wykorzystują warstwę aplikacji. W efekcie zasady dotyczące zapór obowiązujące w organizacji będą bezużyteczne w nowych warunkach, a zatem trzeba opracować je na nowo. Nie jest to bynajmniej szybkie i łatwe zadanie przeważająca część organizacji ma tysiące zasad, a większe niekiedy dziesiątki tysięcy. Dlatego cała operacja może potrwać kilka miesięcy i wymaga znacznych nakładów finansowych. Dodatkowo zabezpieczenia w warstwie aplikacji z samego charakteru stanowią głębszy poziom nadzoru i mogą spowodować spadek wydajności sieci. Zastąpienie zapory ze śledzeniem stanu rozwiązaniem przeznaczonym specjalnie dla warstwy aplikacji może także narazić na szwank zgodność organizacji z przepisami branżowymi. Ponadto wiele organów nadzorujących wyraźnie podkreśla potrzebę stosowania nadzoru ze śledzeniem stanu. Ponieważ zasady dotyczące zapór oparte na aplikacjach i ID użytkownika nie są deterministyczne, poleganie wyłącznie na zaporze następnej generacji może narazić firmę na negatywny wynik audytu. Z tego względu niektórzy sprzedawcy zapór stosują podejście hybrydowe, łączące funkcje zapory ze śledzeniem stanu i zapory następnej generacji. Dzięki temu po zastosowaniu tego rodzaju produktów organizacje mogą nadal stosować istniejące zasady, a jednocześnie opracowywać nowe dla rozwiązań następnej generacji. Nie muszą rezygnować z jednych na rzecz drugich mogą zastępować stare zasady stopniowo, co wydaje się najbardziej rozsądnym wyjściem w odniesieniu do potrzeb w zakresie bezpieczeństwa. Ponadto niecały ruch wymaga głębszego poziomu nadzoru, a więc model hybrydowy pozwala organizacjom utrzymać dotychczasową wydajność sieci, ponieważ głębszy poziom nadzoru stosowany jest tylko do tych przypadków biznesowych, które tego wymagają. Pozwala to organizacjom na osiągnięcie doskonałego poziomu bezpieczeństwa przy maksymalizacji elastyczności działalności. Wnioski Pojawiające się tendencje, takie jak BYOD oraz wykorzystywanie serwisów społecznościowych i innych niestandardowych aplikacji jako pełnoprawnych narzędzi biznesowych, wywierają istotny wpływ na organizacje niezależnie od wielkości Jednakże zapory następnej generacji zawierające wyłącznie funkcje świadomości aplikacji i ID użytkownika nie są w stanie zapewnić takiego poziomu wglądu w sieć, aby bezpiecznie z nich korzystać. Znając pełny kontekst ruchu sieciowego, administratorzy zyskują jednak możliwość świadomego wdrażania zabezpieczeń dzięki lepszemu wglądowi i wiedzy na temat sieci. Poprzez wdrożenie zapory łączącej funkcje analizy stanu z pełną świadomością kontekstu organizacje mogą uzyskać równowagę między wysokim poziomem bezpieczeństwa sieci wymaganym do realizowania tych nowych zadań oraz elastycznością niezbędną do zapewnienia sprawności biznesowej. Wydrukowano w Stanach Zjednoczonych C / Cisco i/lub podmioty stowarzyszone. Wszystkie prawa zastrzeżone. Dokument zawiera jawne informacje firmy Cisco. Strona 6 z 6