ネットワークを保護するための8つのファイアウォールのベストプラクティス
ネットワークを保護するためのファイアウォール セキュリティ ベスト プラクティス ガイドを用意することで、会社のセキュリティ ポリシーの目標をセキュリティ関係者に伝え、業界規制への準拠を確保し、会社全体のセキュリティ体制を向上させることができます。
以下では、セキュリティ体制の強化に向けての第一歩として、いくつかのリソースと 8 つのファイアウォール セキュリティのベスト プラクティスについて詳しく説明します。
#1. ファイアウォールを強化し、適切に構成する
ほとんどのオールインワン ファイアウォール ソリューションのオペレーティング システムは、ベンダーによって強化されています。ソフトウェア ファイアウォール ソリューションを導入する場合は、まず OS にパッチが適用され、強化されていることを確認してください。
セキュリティ管理者は、強化された OS から始めるだけでなく、ファイアウォールが安全に構成されていることを確認する必要があります。ガイドは、 CIS ベンチマーク ネットワーク デバイスを発行する Center for Internet Security (CIS) などのベンダーやサードパーティから入手できます。また、 SANS ファイアウォール チェックリストも参照してください。
#2.ファイアウォールの展開を計画する
ファイアウォールは、ゼロトラスト セキュリティの原則を適用するための重要なツールです。マクロセグメント化されたネットワーク内のネットワーク境界を越えたインバウンドおよびアウトバウンドのアクセスを監視および制御します。これは、レイヤー 3 のルーティングされたファイアウォール デプロイメント (ファイアウォールが複数のネットワークを接続するゲートウェイとして機能する) とレイヤー 2 ブリッジのファイアウォール デプロイメント (ファイアウォールが単一のネットワーク内でデバイスを接続および分離する) の両方に当てはまります。
ファイアウォールを展開すると、ファイアウォールのネットワーク インターフェイスがこれらのネットワークまたはゾーンに接続されます。 これらのゾーンを使用して、ファイアウォール ポリシーを簡素化できます。たとえば、境界ファイア ウォールには、インターネットに接続された外部ゾーン、内部ネットワークに接続された 1 つ以上の内部インターフェイス、および場合によってはDMZ ネットワーク接続があります。 必要に応じてファイアウォール ポリシーをカスタマイズし、よりきめ細かな制御を追加できます。
ファイアウォールを管理する必要があります。重要な質問は、「ファイアウォールには専用の管理インターフェースも必要でしょうか?」です。Lights-out Management およびシリアル コンソール アクセスには、専用の安全なネットワークからのみアクセスできる必要があります。
最後に、1 つのファイアウォールは単一障害点 (SPOF) になります。高可用性 (HA) クラスターに 2 つ以上を展開すると、1 つに障害が発生してもセキュリティが継続されます。各クラスター メンバーのリソースを継続的に使用するより優れたオプションは、ハイパースケール ネットワーク セキュリティソリューションです。トラフィック負荷が季節的にピークを迎えるネットワークの場合も、この点を考慮する必要があります。
#3. ファイアウォールのセキュリティを確保する
ファイアウォールは組織のセキュリティ インフラストラクチャの重要なコンポーネントであり、悪用から保護する必要があります。ファイアウォールを保護するには、次の手順を実行します。
- telnet や SNMP などの安全でないプロトコルを無効にするか、安全な SNMP 構成を使用します。
- 構成とデータベースの定期的なバックアップをスケジュールします。
- システム変更の監査を有効にし、フォレンジックとレポートのために、安全な syslog または別の方法を使用して、ログを外部の安全な中央 SIEM サーバーまたはファイアウォール管理ソリューションに送信します。
- ファイアウォール ポリシーにステルス ルールを追加して、ファイアウォールをネットワーク スキャンから隠します。
- 特定のホストへの管理アクセスを制限します。
- ファイアウォールは脆弱性から免れることはできません。ベンダーに問い合わせて、既知の脆弱性とその脆弱性を修正するセキュリティ パッチがあるかどうかを確認します。
#4. ユーザーアカウントのセキュリティ保護
アカウント乗っ取りは、サイバー脅威の攻撃者がよく使用する手法です。ファイアウォール上のユーザー アカウントを保護するには、次の手順を実行します。
- デフォルトのアカウントとパスワードの名前または変更
- MFA を必須にし、強力なパスワード ポリシーを設定します (大文字と小文字、特殊文字、数字を含む複雑なパスワード、12 文字以上、パスワードの再利用を禁止)
- ファイアウォール管理者にはロールベースのアクセス制御 (RBAC) を使用します。ユーザーのアクセスニーズに合わせてアクセスを委任および制限します(例:監査人には読み取り専用アクセスのみを許可し、DevSecOps チームには専用のアクセス ロールとアカウントを作成します)
#5. 承認されたトラフィックのみのゾーンアクセスをロックダウンする
ファイアウォールの主な機能は、ネットワークのセグメント化を強制し、アクセスを監視することです。
ファイアウォールは、ネットワーク境界を越えた南北トラフィックを検査および制御できます。このマクロセグメンテーションのユースケースでは、ゾーンは外部、内部、DMZ、ゲスト Wi-Fi などの広範なグループになります。データセンター、人事、財務などの別の社内ネットワーク上のビジネス グループや、産業用制御システム (ICS)を使用する製造工場の生産現場の場合もあります。
仮想化されたプライベート クラウドまたはパブリック クラウドに導入されたファイアウォールは、インスタンスの起動時に動的に変化する個々のサーバーまたはアプリケーション間のトラフィックを検査できます。このマイクロセグメンテーションのユースケースでは、ゾーンは Web アプリやデータベースなどのアプリケーションによって定義される場合があります。仮想サーバーの機能はタグによって設定され、人間の介入なしにファイアウォール ポリシーで動的に使用されるため、手動による構成エラーの可能性が低減されます。
デプロイメントのマクロとミクロの両方で、ファイア ウォール ポリシー ルールを設定することでアクセスを制御します。ファイア ウォール ポリシー ルールは、トラフィックの送信元と宛先に基づいてアクセスを広範に定義します。 アプリケーションで使用されるサービスまたはポートも定義できます。たとえば、ポート 80 と 443 は Web トラフィックのデフォルト ポートです。Web サーバーでは、これらのポートへのアクセスのみを許可し、他のすべてのポートをブロックする必要があります。これは、許可されたトラフィックをホワイトリスト化できるケースです。
組織からインターネットへの出力トラフィックは、インターネット アクセスに必要なポートを特定することがほぼ不可能であるため、ホワイトリスト セキュリティ ポリシーではより問題が大きくなります。出力セキュリティ ポリシーのより一般的なアプローチはブラックリスト化です。ブラックリスト化では、既知の不正なトラフィックがブロックされ、それ以外のトラフィックは「すべて許可」ファイアウォール ポリシー ルールによって許可されます。
既知の悪質なサイトを検出するには、IP およびポート制御に加えて、次世代ファイアウォール (NGFW)で追加のセキュリティ機能を有効にできます。これらには、URL フィルタリングとアプリケーション制御が含まれます。たとえば、これを使用して Facebook へのアクセスを許可し、Facebook ゲームをブロックすることができます。
#6. ファイアウォールのポリシーと使用が標準に準拠していることを確認する
規制ではファイアウォールに対して特定の要件が定められています。すべてのセキュリティのベスト プラクティスはこれらの要件に準拠する必要があり、展開されたファイアウォールに追加のセキュリティ制御を追加することが必要になる場合があります。要件の例には、転送中のデータを暗号化するための仮想プライベート ネットワーク (VPN) の使用、既知のマルウェアを防ぐためのウイルス対策、ネットワークへの侵入の試みを検出するための侵入検知および防御システム (IDS/ IPS ) が含まれます。
たとえば、 PCI DSSでは、信頼できるゾーンと信頼できないゾーンの間にファイアウォール ゾーンベースの制御が必要です。これには、すべてのワイヤレス ネットワークとカード所有者データ環境間の DMZ と境界ファイアウォールの使用が含まれます。追加の PCI DSS 要件には次のようなものがあります。
- スプーフィング防止手段を使用して、偽造された送信元 IP アドレスがネットワークに侵入するのを検出し、ブロックします。たとえば、内部ネットワークの 1 つの送信元アドレスを持つ外部インターフェイス上の受信トラフィックをブロックします。
- ネットワーク アドレス変換 (NAT) およびプライベート ネットワークのルート広告の削除を使用して、プライベート IP アドレスとルーティング情報を権限のない第三者に開示しないでください。
- 半年ごとに、不要なルール、古いルール、または誤ったルールをクリーンアップし、すべてのルール セットで許可されたサービスとポートのみが許可されることを確認します。
- オープンなパブリックネットワークを介したカード所有者データの送信を暗号化します。
- 該当するベンダー提供のセキュリティ パッチをインストールします。リリース後 1 か月以内に重要なセキュリティ パッチをインストールします。(脅威の攻撃者が既知の脆弱性をいかに迅速に悪用するかを考えると、企業はパッチが利用可能になったときに更新するようにこれを変更する必要があるかもしれません。IPS シグネチャを自動的に更新する NGFW は、新たに発表された脆弱性からネットワーク全体を保護できます。
- 知る必要があるかどうかと職務の責任に応じてアクセスを制限するプロセスを導入する必要があります。
- ネットワーク リソースとカード所有者データへのすべてのアクセスを追跡および監視します。
- 時間同期テクノロジーを使用して、すべての重要なシステム クロックと時刻を同期します。
- セキュリティ システムとプロセスを定期的にテストします。
#7. ポリシーを検証しリスクを特定するためのテスト
セキュリティ ポリシーが大きい場合、新しい接続がどのように処理されるかを視覚化することが難しくなる可能性があります。パス分析を実行するためのツールが存在し、セキュリティ管理システム内にルールを検索して見つけるためのツールが存在する場合があります。
また、一部のセキュリティ管理システムでは、重複したオブジェクトが作成されると警告が表示されたり、別のオブジェクトを非表示にするルールを持つポリシーがインストールされなかったりします。未使用のオブジェクトや重複したオブジェクトを見つけるためにポリシーが設計どおりに機能することを確認するために、ポリシーを定期的にテストします。
ファイアウォール ポリシーは通常、上から下への順序で適用され、最もヒットしたルールを検査順序のさらに上に移動することで最適化できます。ファイアウォールのパフォーマンスを最適化するには、ポリシーを定期的に検査します。
最後に、定期的に侵入テストを実行し、組織のセキュリティを確保するためにファイアウォールに加えて必要となる可能性のある追加のセキュリティ対策のリスクを特定します。
#8. ソフトウェアまたはファームウェアとログを監査する
ソフトウェアとファームウェアが正しく最新のものであり、ログが正しく構成され動作していることを確認するには、定期的な監査が不可欠です。これらの監査のベストプラクティスには次のようなものがあります。
- セキュリティが侵害されないように、セキュリティ ポリシーを変更するための正式な変更管理計画を確立します。
- 送信元、宛先、またはポートに Any が設定されているルールは、セキュリティ ポリシーの穴となる可能性があります。可能であれば、これらを変更して、ルールの目的である特定のソース、宛先、またはサービスを追加します。
- セクションまたはレイヤーを作成してセキュリティ ポリシーに階層を追加し、確認を容易にします。
- セクションまたはレイヤーの最後に、レイヤーの意図に一致するクリーンアップ ルール (すべて許可またはすべて拒否など) を追加します。
- 各ルールの本来の目的を識別できるように、ルールにコメントと名前を追加します。
- ログ記録を有効にすると、ネットワーク フローをより適切に追跡し、フォレンジック調査とレポートの可視性を高めることができます。
- 監査ログとレポートを定期的に確認して、ファイアウォール ポリシーを変更したユーザーを確認します。
チェック・ポイントポリシー最適化の提言
チェック・ポイントは、チェック・ポイント NGFW の設定に役立つ多数のリソースを提供します。 チェック・ポイントファイアポリシーの予備的な説明については、ルールベースの構築とウォールウォールの最適化に関するこのサポート記事を参照してください。 また、チェック・ポイントが初めての方は、チェックメイトコミュニティ 初心者向けチェック・ポイントをご覧ください。
チェック・ポイント ソリューションをより適切に管理する方法をさらに詳しく知りたい場合は、無料の e ラーニング コースを受講してください。 NGFW またはセキュリティ管理のデモをリクエストすることもできます。
