Measuring the Holes in Swiss Cheese

Jeg læste den anden dag Avishai Wool's opfølgende undersøgelse omkring Trends in Firewall Configuration Errors, hvor han konkluderer at hoved observationerne fra hans undersøgelse i 2004 fortsat er gældende:

  • *Firewalls are (still) poorly configured*
  • *Rule set's complexity is (still) positively correlated with the number of detected configuration errors*

Den overordnede konklussion er klar "Complexity matters: Small is still beautiful". Men hvorfor får firewall regelsættet så lov at vokse til de ikke længere kan overskues af administrator' Og hvad kan vi gøre for, at de ikke når dette niveau - er det rigtige valg mindre virtuelle firewall's f.eks. via Cisco FWSM eller Check Point VSX'

/msh
(Undersøgelsen tager udgangspunkt i regelsæt fra 54 Check Point Firewall-1 og 30 Cisco PIX)

Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#6 Maciej Szeliga

Nu er det forretningen som bestemmer hvad de har brug for, man kan skrive tykke bøger om konsekvenser og risici men hvis det vurderes at at behovet er vigtigere end sikkerheden... Det skal så lige siges at jeg ikke slås med den slags problemer.

  • 0
  • 0
#8 Michael Mortensen

Som Solutions Architect i vores firma, så har jeg dels sympati og forståelse for @Maciej dilemma, men jeg er enig med @Mads, at vi med de tekniske kompetencer skal rådgive og foreslå løsninger som i så stort omfang som muligt, tilgodeser begge parters behov.

Det er vel kun ret og rimeligt, at man har en dialog frem for en envejs kommunikation?

  • 0
  • 0
#11 Lasse Makholm

Det koster ikke noget at lade det gamle lort ligge og flyde => det er ikke en prioritet at rydde det op... (Før ulykken indtræffer selvfølgelig...)

Forretningen vil til hver en tid prioritere de kortsigtede (at sætte nyt op) mål før de langsigtede (at holde orden i infrastrukturen)...

Det er i hvert fald min erfaring...

  • 0
  • 0
Log ind eller Opret konto for at kommentere