Firewall Assurance

Skybox Firewall Assurance 

Модуль Firewall Assurance (FA) предназначен для работы с межсетевыми экранами, и может функционировать как самостоятельно, так и в комбинации с другими модулями. Межсетевыми экранами для Firewall Assurance могут выступать как непосредственно межсетевые экраны, так и другие поддерживаемые сетевые устройства, использующие списки доступа (ACL). Skybox Security распознаёт наиболее полный список поставщиков межсетевых экранов и понимает сложные наборы правил даже для виртуальных и облачных межсетевых экранов, а также учитывает сигнатуры IPS. Модуль лицензируется по количеству межсетевых экранов.

Модуль отображает все межсетевые экраны в едином окне, осуществляет их постоянный мониторинг на соответствие политикам, оптимизирует правила межсетевых экранов, осуществляет непрерывный мониторинг настроек межсетевых экранов.

Основными возможностями модуля Firewall Assurance (FA) являются:

  1. Автоматический сбор конфигураций межсетевых экранов и непрерывный мониторинг настроек, включая отслеживание всех изменений;
  2. Оптимизация списков доступа межсетевых экранов:
    • выявление затененных, избыточных и дублирующихся правил;
    • выявление редко используемых правил и объектов;
    • формирование рекомендаций по оптимизации конфигураций.
  3. Контроль соответствия конфигураций межсетевых экранов заданным стандартам конфигурирования и лучшим практикам, включая локальные правила конфигурирования, а также указание причины несоответствия вплоть до конкретных правил на конкретных устройствах:
    • Выявление правил, содержащих any в 2 или 3 полях, в поле сервис и т.д.
    • Выявление настроек, противоречащих рекомендациям производителей с точки зрения безопасности;
    • Выявление правил, разрешающих передачу паролей в открытом виде и т.д.
  4. Создание политики сетевого доступа (зон безопасности) и автоматический контроль ее исполнения (встроены стандарты PCI DSS, NIST) на уровне зон безопасности межсетевых экранов с указанием причины несоответствия вплоть до конкретных правил на конкретных устройствах.