Часто вижу как красиво начинают писать правила межсетевого экрана: тщательно для каждого ресурса (принтера, камеры, сервера, подсети, категории URL) прописывают доступы конкретным людям (знают про identity control) и конкретным приложениям (знают про application control) и затем все остальное запрещают - так именно и выглядит Zero Trust - разрешить только нужное и точно известное и остальное запретить. Но когда долистываю до правила номер 500, вдруг обнаруживаю правило permit any to any. То есть, очевидно, что первые 100 ресурсов нормально защищены как положено, а остальные 10000 - уже было либо лень, либо был выбран неудачный продукт, где сложно больше 500 правил писать, либо был какой-то аврал и временно разрешили всему остальному все, либо оставили на потом... и забыли.. И неважно какой у вас NGFW: Palo Alto Networks, Fortinet, Check Point... Важно была ли у вас цель настроить их правильно? )
В итоге менеджеры думают, что удачно потратили миллион долларов на самую лучшую защиту от лидера Gartner... а администраторы NGFW просто не успевают его настроить нормально - ведь на это реально нужно _несколько лет_ а администраторы за эти годы еще и поменялись.. и вот поэтому вот так вот все..
И да, есть те, кто понимает эти тонкости и начинаются покупки AlgoSec, SkyBox, Tuffin для проверки и оптимизации политик.. Запускаются утилиты под названием Best Practice Assessment, заказываются аудиты и пентесты и даже нанимают себе Red Team.. Но я уверен, что если прийти в вашу компанию, то правила выглядят у вас где-то также... никакого Zero Trust ) спорим? )
И да, есть те, кто понимает эти тонкости и начинаются покупки AlgoSec, SkyBox, Tuffin для проверки и оптимизации политик.. Запускаются утилиты под названием Best Practice Assessment, заказываются аудиты и пентесты и даже нанимают себе Red Team.. Но я уверен, что если прийти в вашу компанию, то правила выглядят у вас где-то также... никакого Zero Trust ) спорим? )
