Przejdz do tresci
Avanet

Jak prawidłowo korzystać z Sophos Firewall Health Check

Sophos Firewall

Sophos Firewall Health Check to zintegrowana kontrola konfiguracji zapory. Pokazuje w Control Center, czy ważne ustawienia odpowiadają zalecanym standardom bezpieczeństwa i najlepszym praktykom. Jest to szczególnie przydatne dla administratorów, ponieważ pozwala na wykrycie ryzykownych konfiguracji, zanim staną się one problemem bezpieczeństwa lub operacyjnym.

Health Check został wprowadzony w Sophos Firewall v22. Funkcja ocenia konfiguracje w odniesieniu do najlepszych praktyk i standardów, takich jak CIS-Benchmarks. Wraz z SFOS 22.0 MR1 zaktualizowano również kontekst CIS.

Przewodnik wideo

Film pokazuje Health Check w Sophos Firewall i uzupełnia omówienie wyników w artykule.

Jaki artykuł o bezpieczeństwie jest odpowiedni?

Health Check to dobry punkt wyjścia, ale nie każde ustalenie zostanie w pełni rozwiązane w artykule o Health Check. Do praktycznej realizacji pomocne są te wprowadzenia:

SytuacjaLepsze wprowadzenie
Zbieranie, priorytetyzacja i dokumentowanie ustaleńTen artykuł
WebAdmin, SSH, User Portal, VPN Portal, DNS lub Ping są zbyt szeroko dostępneZabezpieczanie dostępu do Sophos Firewall: prawidłowa konfiguracja Device Access
Brak MFA dla administratorów, VPN Portal lub Remote AccessAktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access
XML API lub dostęp do automatyzacji jest zbyt otwartyZabezpieczanie dostępu do Sophos Firewall XML API
Reguły zapory są zbyt szerokie lub niejasneZrozumienie i prawidłowa konfiguracja reguł Sophos Firewall
IPS powinien być aktywowany lub sprawdzonyKonfiguracja i bezpieczne testowanie Sophos Firewall IPS
Inspekcja TLS powinna być wprowadzonaPrawidłowe wprowadzenie inspekcji TLS w Sophos Firewall
Ochrona sieci Web, kategorie lub natychmiastowe alerty są istotneWykorzystanie kategorii sieci Web i natychmiastowych alertów w Sophos Firewall
Ochrona DNS powinna być zarządzana przez Sophos CentralKonfiguracja Sophos DNS Protection z Sophos Firewall
Threat Feeds, NDR lub Active Threat Response powinny dostarczać ustaleńZarządzanie Sophos Firewall NDR i Active Threat Response
Zmiany konfiguracji muszą być śledzoneSprawdzanie dzienników ścieżki audytu Sophos Firewall

Ten podział zapobiega dwóm typowym błędom: ustalenia są traktowane jedynie jako komunikaty na pulpicie, bez ich technicznego rozwiązania, lub funkcje ochronne są aktywowane ogólnie, bez wyjaśnienia logowania, wyjątków i odpowiedzialności.

Do czego służy Health Check

Health Check nie jest klasycznym statusem systemu ani czujnikiem sprzętowym. Nie sprawdza, czy zasilacz jest uszkodzony lub czy SSD wkrótce się zepsuje. Do tego pasują inne kontrole operacyjne, na przykład sprawdzanie stanu zdrowia SSD lub monitorowanie HA i sprzętu.

Health Check odpowiada raczej na te pytania:

  • Czy dostęp administracyjny jest zbyt szeroko otwarty?
  • Czy MFA jest aktywowane dla krytycznych logowań?
  • Czy reguły zapory są zbyt otwarte?
  • Czy kopie zapasowe, poprawki, logowanie lub funkcje Central są odpowiednio przygotowane?
  • Czy konfiguracja odbiega od zalecanych standardów bezpieczeństwa?
  • Czy istnieją ustalenia, które powinny zostać rozwiązane przed audytem lub uruchomieniem?

Jest to zatem dobre narzędzie do wzmocnienia, przeglądu i kontroli zmian. Nie zastępuje jednak czystej architektury, dokumentacji reguł ani ręcznej oceny.

⚠️ Zielony Health Check nie oznacza automatycznie, że zapora jest bezpiecznie zaplanowana. Pokazuje, czy określone sprawdzalne ustawienia są odpowiednie. Projekt sieci, logika biznesowa, wyjątki, grupy użytkowników i procesy operacyjne muszą być nadal oceniane fachowo.

Nie myl wyniku z celem

Health Check jest pomocny, ale wynik nie powinien stać się celem samym w sobie. Niektóre punkty to podstawy bezpieczeństwa, na przykład MFA, poprawki, zasady haseł, ograniczony dostęp do WebAdmin, kopie zapasowe lub IPS. Inne punkty są bardziej zależne od ekosystemu Sophos, licencjonowania lub modelu operacyjnego.

Dlatego nie należy aktywować każdej rekomendacji tylko po to, aby wyświetlacz był zielony. Przykładem jest Login disclaimer: w środowiskach audytowych lub zgodności może być wymagane ostrzeżenie przy logowaniu. W wielu normalnych środowiskach operacyjnych generuje on jednak głównie dodatkowe kliknięcie przy każdym logowaniu i nie przynosi praktycznie żadnego technicznego zysku bezpieczeństwa. Jeśli tylko zwiększa wynik Health Check, jego wartość jest ograniczona.

Podobnie jest z funkcjami takimi jak DNS Protection, MDR threat feeds, NDR Essentials, Sophos X-Ops, Synchronized Application Control lub Sophos Central Reporting. Te funkcje mogą być sensowne, jeśli są licencjonowane, zrozumiane, monitorowane i rzeczywiście wykorzystywane w operacjach. Nie należy ich jednak włączać na ślepo tylko dlatego, że Health Check je zaleca. Kluczowe jest zawsze: czy działanie zmniejsza rzeczywiste ryzyko w tym środowisku i czy istnieje właściciel odpowiedzialny za operacje, wyjątki i fałszywe alarmy?

Jako zasada:

KategoriaOcena
Zarządzanie dostępem z Internetu, MFA, poprawki, kopie zapasowe, zasady haseł, IPSZazwyczaj prawdziwe podstawy bezpieczeństwa lub operacji. Te punkty powinny być traktowane bardzo poważnie.
Logowanie, raportowanie, powiadomienia, NTPWażne dla operacji i śledzenia. Konkretna ścieżka zależy jednak od modelu operacyjnego.
DNS Protection, NDR, MDR threat feeds, X-Ops, Synchronized SecuritySensowne, jeśli funkcja jest używana, licencjonowana, monitorowana i zintegrowana z procesami. Nie automatycznie lepsze tylko ze względu na wynik.
Login disclaimerZazwyczaj bardziej funkcja zgodności/ostrzeżenia niż techniczna środek ochronny. Aktywować tylko, jeśli jest naprawdę wymagane lub pożądane.

Otwieranie Health Check

Status Health Check pojawia się w Control center. Widok szczegółowy można znaleźć dodatkowo w menu głównym:

Firewall health check

Tam widoczna jest liczba sprawdzonych konfiguracji, zgodne punkty i niezgodne punkty. Sophos pokazuje niezgodne wpisy według stopnia ważności. Dane są aktualizowane, gdy zmienia się monitorowana konfiguracja. Dzięki temu Health Check nadaje się również do bezpośredniej kontroli po zmianach.

Podczas przeglądu nie należy notować tylko ogólnego statusu. Ważniejsze są konkretne ustalenia, kontekst ryzyka i planowane działanie. Pojedyncze krytyczne ustalenie dotyczące dostępności WebAdmin z WAN jest w operacjach ważniejsze niż kilka niskich ustaleń bez ekspozycji na Internet.

Przegląd 31 kontroli Health Check

Poniższa lista opiera się na angielskim widoku Health Check. Status nie jest celowo wymieniony, ponieważ różni się w zależności od zapory. Ważniejsze jest, która kontrola jest zamierzona i jak ją fachowo ocenić.

NrKontrolaModułStandardStopień ważnościOcena
1Synchronized Application Control powinno być aktywowane.Active threat responseRecommendedMediumSensowne w środowiskach Sophos Endpoint. W mieszanych lub Microsoft-Defender środowiskach najpierw sprawdzić, czy funkcja rzeczywiście dostarcza danych.
2NDR Essentials powinno być aktywowane i monitorować co najmniej jeden interfejs.Active threat responseRecommendedMediumTylko wartościowe, jeśli monitorowane interfejsy są sensownie wybrane i ustalenia są później analizowane.
3Sophos X-Ops powinno być aktywowane, Action Log and drop.Active threat responseCISHighIstotne dla bezpieczeństwa, jeśli Threat Feeds są aktywnie wykorzystywane. Fałszywe alarmy i logowanie muszą być sprawdzone.
4MDR threat feeds powinny być aktywowane, Action Log and drop.Active threat responseRecommendedHighTylko sensowne, jeśli MDR lub odpowiednie funkcje Threat-Feed są licencjonowane i operacyjnie zintegrowane.
5Reguła zapory powinna używać Synchronized Security Heartbeat.Active threat response and Advanced securityCISMediumDuża wartość dodana z Sophos Endpoint. Bez Sophos Endpoint nie traktować jako temat wyniku.
6Security Heartbeat powinno być aktywowane.Active threat response and Advanced securityCISHighWażne, jeśli używany jest Sophos Endpoint. W przeciwnym razie najpierw należy wyjaśnić projekt Endpoint.
7Login disclaimer powinno być aktywowane.Admin settingsCISMediumTemat zgodności. Technicznie mała ochrona, ale generuje dodatkowe kliknięcie przy logowaniu.
8Hotfix setting powinno być aktywowane.Admin settingsCISHighBardzo ważne. Poprawki powinny być aktywne w środowiskach produkcyjnych, o ile proces zmian na to pozwala.
9Nieaktywne sesje powinny być zakończone, a logowania po nieudanych próbach zablokowane.Admin settingsCISHighJasne wzmocnienie logowania. Szczególnie ważne przy eksponowanych portalach i dostępie administracyjnym.
10Złożoność haseł powinna być skonfigurowana dla użytkowników.Admin settingsCISHighSensowne, szczególnie dla lokalnych użytkowników i portali. Przy zewnętrznym IdP dodatkowo sprawdzić jego politykę haseł i MFA.
11Złożoność haseł powinna być skonfigurowana dla administratorów.Admin settingsCISHighPodstawowe wzmocnienie. Jeszcze ważniejsze są indywidualni administratorzy, MFA i ograniczony dostęp.
12DNS Protection powinno być skonfigurowane i aktywne.Advanced securityRecommendedMediumNie aktywować ogólnie. DNS Protection jest sensowne, jeśli polityki Central-DNS i raportowanie są rzeczywiście wykorzystywane.
13MFA powinno być aktywne dla logowań Remote Access VPN.AuthenticationCISHighBardzo ważne dla SSL VPN i IPsec Remote Access. Planować wdrożenie z administratorem zapasowym i użytkownikami testowymi.
14MFA powinno być aktywne dla WebAdmin Console i VPN Portal.AuthenticationCISHighBardzo ważne, szczególnie jeśli portale są dostępne z mniej kontrolowanych sieci.
15Połączenia z serwerami uwierzytelniania powinny być szyfrowane.Authentication serversCISMediumWażne przy połączeniach AD/LDAP/RADIUS. Unikać nieszyfrowanego uwierzytelniania.
16Kopie zapasowe powinny być planowane na zaporze lub w Sophos Central.Backup & restoreCISLowNiski stopień ważności, ale w razie potrzeby niezwykle ważne. Proces przywracania również należy przetestować.
17Uwierzytelnianie kluczem publicznym powinno być aktywowane dla SSH.Device accessRecommendedHighBardzo sensowne. Dodatkowo SSH powinno być dozwolone tylko z zaufanych sieci.
18User Portal nie powinien być dostępny z WAN.Device accessRecommendedHighW wielu środowiskach to właściwe. Jeśli dostęp z WAN jest konieczny, należy go mocno ograniczyć i używać MFA.
19WebAdmin Console nie powinno być dostępne z WAN.Device accessCISHighJeden z najważniejszych punktów. WebAdmin nigdy nie powinno być szeroko otwarte na Internet.
20MFA powinno być skonfigurowane dla domyślnego administratora.Device accessCISHighWażne, ale lepszy jest dodatkowo czysty proces administracyjny z osobistymi kontami administratorów.
21Powiadomienia e-mail powinny być skonfigurowane dla zdarzeń systemowych i bezpieczeństwa.Notification settingsCISLowWażne operacyjnie. Alternatywnie lub dodatkowo można zintegrować monitorowanie, Syslog, SIEM lub Central Alerts.
22Automatyczne aktualizacje wzorców powinny być aktywowane.Pattern updatesCISHighPodstawowa operacja. Bez aktualnych wzorców wiele funkcji ochronnych traci na wartości. W środowiskach Air-Gap potrzebny jest zamiast tego ręczny proces aktualizacji wzorców i licencji.
23Polityka sieci Web powinna być wybrana w regule zapory.Rules and PoliciesRecommendedMediumSensowne dla ruchu sieciowego użytkowników. Nie stosować ślepo do ruchu serwer-serwer lub specjalnego ruchu.
24Ochrona przed zerowym dniem powinna być wybrana w regule zapory.Rules and PoliciesCISHighSensowne dla odpowiednich ścieżek sieci Web i pobierania. Należy uwzględnić licencję, wydajność i fałszywe alarmy.
25IPS powinno być aktywowane, a polityka IPS powinna być wybrana w regule zapory.Rules and PoliciesCISHighBardzo ważny punkt ochrony. IPS musi być jednak odpowiednio wybrany i logowany dla każdej ścieżki ruchu.
26Polityka kontroli aplikacji powinna być wybrana w regule zapory.Rules and PoliciesCISMediumSensowne dla reguł internetowych klientów. Przy krytycznym ruchu najpierw przetestować.
27Reguła inspekcji SSL/TLS powinna używać akcji Decrypt.Rules and PoliciesCISHighNie aktywować ślepo. Inspekcja TLS wymaga dystrybucji CA, wyjątków, fazy pilotażowej i procesu rozwiązywania problemów.
28Reguła Allow nie powinna wszędzie używać Any w polach sieci i usług.Rules and PoliciesCISMediumBardzo ważne dla higieny reguł. Any może być świadomie potrzebne, ale musi być wtedy uzasadnione i logowane.
29Raportowanie Sophos Central powinno być aktywowane.Sophos centralRecommendedMediumPrzydatne dla raportowania i dłuższych analiz. Nie jest konieczne, jeśli Syslog/SIEM jest prawidłowo obsługiwany.
30Zapora powinna być zarejestrowana do zarządzania Sophos Central i zarządzanie Central powinno być aktywowane.Sophos centralRecommendedMediumPraktyczne dla centralnego zarządzania, kopii zapasowych i raportowania. Nie każda okolica chce lub potrzebuje zarządzania w chmurze.
31Serwer NTP powinien być skonfigurowany.TimeCISLowPodstawowe wymaganie. Bez poprawnego czasu cierpią dzienniki, certyfikaty, uwierzytelnianie i rozwiązywanie problemów.

Prawidłowe priorytetyzowanie ustaleń

Nie każde ustalenie ma w każdej okolicy takie samo znaczenie. Dobry przegląd sortuje wpisy nie tylko według technicznej ważności, ale także według ekspozycji i ryzyka operacyjnego.

Sprawdzona kolejność to:

  1. Sprawdzenie dostępu do zarządzania i portali eksponowanych na Internet.
  2. Sprawdzenie bezpieczeństwa MFA i logowania dla administratorów, VPN Portal, User Portal i Remote Access.
  3. Oczyszczenie reguł zapory zbyt szerokich źródeł, celów lub usług.
  4. Kontrola logowania, kopii zapasowych i poprawek.
  5. Sprawdzenie funkcji ochronnych dla każdej reguły, na przykład IPS, Web Policy, Application Control, TLS Inspection lub Zero-Day Protection.
  6. Ocena ustaleń Central, Reporting lub NDR pod kątem tego, czy funkcja jest rzeczywiście używana i obsługiwana w okolicy.

Kolejność jest pragmatyczna: najpierw rzeczy, które są bezpośrednio widoczne w Internecie lub pozwalają na dostęp do zapory. Następnie higiena reguł i funkcje ochronne. Następnie tematy operacyjne i ekosystemowe.

Typowe ustalenia i odpowiednie działania

WebAdmin, User Portal lub VPN Portal jest zbyt szeroko dostępny

Jeśli portale administracyjne lub użytkownika są dostępne zbyt szeroko z wielu stref, ryzyko związane ze skanami, próbami siłowymi i wypełnianiem poświadczeń wzrasta. Najważniejszy artykuł na ten temat to Zabezpieczanie dostępu do Sophos Firewall: prawidłowa konfiguracja Device Access.

Dla środowisk produkcyjnych należy sprawdzić:

  • Czy WebAdmin jest naprawdę potrzebny z WAN?
  • Czy istnieje Local Service ACL Exception Rule dla IP zarządzania lub sieci administratora?
  • Czy SSH jest dozwolone tylko z zaufanych sieci?
  • Czy User Portal i VPN Portal są dostępne tylko tam, gdzie są potrzebne?

Brak MFA lub nie jest konsekwentnie aktywowane

MFA powinno być co najmniej na dostępach administracyjnych i Remote Access. Jeśli Health Check pokazuje ustalenia MFA, nie należy ślepo przełączać wszystkich użytkowników jednocześnie. Lepsze jest kontrolowane wdrożenie z użytkownikiem testowym, administratorem zapasowym i czystym procesem tokenów.

Praktyczna instrukcja znajduje się w Aktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access.

Reguły zapory są zbyt otwarte

Bardzo szerokie reguły z Any przy źródle, celu lub usłudze często są historycznie rozwinięte. Nie każda szeroka reguła jest automatycznie błędna, ale każda powinna być uzasadniona.

Do oczyszczenia pomocne są te pytania:

  • Która strefa naprawdę może uzyskać dostęp do której strefy?
  • Czy sieci docelowe lub usługi można ograniczyć?
  • Czy logowanie jest aktywne, aby widoczne były trafienia?
  • Czy istnieją stare reguły testowe lub tymczasowe wyjątki?
  • Czy reguła może być podzielona na kilka bardziej zrozumiałych reguł?

Podstawy znajdują się w Zrozumienie i prawidłowa konfiguracja reguł Sophos Firewall. Jeśli nie jest jasne, która reguła obowiązuje, pomocne jest Testowanie reguł zapory za pomocą Log Viewer, Policy Test i Packet Capture.

Brak kopii zapasowych, poprawek i procesu aktualizacji

Health Check może wskazywać na brakujące kopie zapasowe lub tematy związane z aktualizacjami/poprawkami. Te punkty wydają się mniej spektakularne niż ekspozycja portalu, ale w razie potrzeby są kluczowe.

Przed większymi zmianami należy utworzyć kopię zapasową i wiedzieć, jak działa proces przywracania. Procedura jest opisana w Tworzenie lub przywracanie kopii zapasowej Sophos Firewall. Dla tematów związanych z oprogramowaniem układowym pasuje Aktualizacja oprogramowania układowego Sophos Firewall - przygotowanie i najlepsze praktyki.

Logowanie i raportowanie są niekompletne

Jeśli brakuje dzienników, operacje są ślepe. Health Check może dawać wskazówki dotyczące tematów związanych z logowaniem lub raportowaniem, ale ostateczna decyzja zależy od modelu operacyjnego.

Do lokalnej analizy są istotne Log Viewer, dzienniki usług i Packet Capture. Do dłuższego przechowywania potrzebne jest Central Firewall Reporting lub Syslog/SIEM. Jeśli nie chodzi o pojedyncze zdarzenia logowania, ale o przepływy ruchu, szczyty przepustowości lub podejrzane relacje komunikacyjne, dodatkowo pasuje Monitorowanie sFlow. Lokalne podstawy znajdują się w Rozwiązywanie problemów z Sophos Firewall: Usługi i dzienniki.

Funkcje ochronne nie są aktywne w regułach

Częstym punktem są reguły bez IPS, Web Policy, Application Control, TLS Inspection lub Zero-Day Protection. Nie należy aktywować wszystkiego ogólnie, ale zrozumieć ścieżkę ruchu.

Przykłady:

  • Ruch sieciowy użytkowników wymaga innych kontroli niż ruch serwer-serwer.
  • Inspekcja TLS musi być planowana, ponieważ może zakłócać aplikacje.
  • IPS i Application Control wymagają logowania i rutyny przeglądu.
  • Funkcje NDR lub Threat-Feed pomagają tylko wtedy, gdy ustalenia są później analizowane.

Dla inspekcji TLS pasuje Prawidłowe wprowadzenie inspekcji TLS w Sophos Firewall. Dla Threat Feeds pasuje Sophos Firewall Threat Feeds.

Świadome dokumentowanie nadpisów

Sophos Firewall pozwala na ręczne nadpisanie statusu poszczególnych kontroli. Może to być sensowne, jeśli rekomendacja w danym środowisku jest świadomie nie wdrażana.

Nadpisy nie powinny być jednak traktowane jako funkcja porządkowa. Jeśli punkt jest nadpisany, powinno być udokumentowane:

  • Dlaczego rekomendacja nie jest odpowiednia?
  • Kto zatwierdził decyzję?
  • Czy wyjątek jest trwały czy tylko tymczasowy?
  • Kiedy zostanie ponownie sprawdzony?
  • Czy istnieje środek kompensacyjny?

⚠️ Nadpisanie nie jest naprawą. Jest to świadoma akceptacja ryzyka lub udokumentowany wyjątek. Bez uzasadnienia Health Check staje się mniej wartościowy.

Czysta dokumentacja wyników

Przegląd Health Check powinien generować zrozumiały wynik. W przeciwnym razie widzi się tylko krótko pulpit, ale później nie wiadomo, jaka decyzja została podjęta i które punkty są jeszcze otwarte.

Dla małych środowisk często wystarcza prosta tabela:

PoleCel
DataKiedy sprawdzono Health Check?
Oprogramowanie układoweNa której wersji SFOS oceniano?
UstalenieJaki niezgodny punkt został zgłoszony?
RyzykoDlaczego punkt jest w tym środowisku istotny lub mniej istotny?
DziałanieCo zostanie zmienione, przetestowane lub świadomie zaakceptowane?
OdpowiedzialnyKto rozwiązuje punkt fachowo lub technicznie?
TerminDo kiedy działanie ma być wykonane lub ponownie ocenione?
DowódZrzut ekranu, bilet, ID zmiany lub wskazówka w dzienniku audytu

Dla produkcyjnych zapór dowód nie powinien składać się tylko z zrzutu ekranu. Jeśli konfiguracja została zmieniona, należy połączyć bilet zmiany, ścieżkę audytu, dotkniętą regułę zapory i wynik ponownej kontroli. Dla zmian w regułach, interfejsach, hostach i usługach szczególnie przydatne jest Sprawdzanie dzienników ścieżki audytu Sophos Firewall.

Ponowne sprawdzenie po zmianach

Po naprawie należy ponownie otworzyć Health Check i sprawdzić, czy ustalenie rzeczywiście zniknęło. Dodatkowo potrzebna jest techniczna kontrola funkcji, ponieważ sam zielony status nie dowodzi, że produkcyjny ruch nadal działa poprawnie.

Przykłady:

  • Po zmianie w Device access sprawdzić, czy dostęp administracyjny z przewidzianej sieci zarządzania nadal działa i nie jest już dostępny z niepożądanych sieci.
  • Po zmianach MFA zalogować się z użytkownikiem testowym i oddzielnie sprawdzić administratora zapasowego.
  • Po zmianach w regułach przetestować Log Viewer, Policy Test i dotknięte aplikacje.
  • Po zmianach w logowaniu lub raportowaniu sprawdzić, czy nowe zdarzenia są rzeczywiście widoczne lokalnie, w Sophos Central lub w Syslog.
  • Po nadpisaniu ustawić przypomnienie, aby wyjątek nie został trwale zapomniany.

Jeśli kilka ustaleń jest jednocześnie rozwiązywanych, należy podzielić zmiany na małe bloki. W przeciwnym razie przy późniejszym problemie nie będzie jasne, czy przyczyną była zmiana Device Access, MFA, reguł zapory, inspekcji TLS czy inna zmiana.

Wykorzystanie Health Check jako procesu operacyjnego

Health Check jest najskuteczniejszy, gdy jest regularnie i po ważnych zmianach wykonywany.

Sensowne momenty:

  • po pierwszej konfiguracji lub uruchomieniu,
  • przed i po większych zmianach w regułach,
  • przed aktualizacjami oprogramowania układowego,
  • po przywróceniu lub wymianie sprzętu,
  • po migracjach lub większych zmianach architektonicznych,
  • przed audytami,
  • kwartalnie jako przegląd bezpieczeństwa.

Dla samych zmian należy dodatkowo wykorzystać ścieżkę audytu. Artykuł Sprawdzanie dzienników ścieżki audytu Sophos Firewall wyjaśnia, jak analizować configuration-audit.log i śledzić zmiany konfiguracji.

Praktyczny przebieg przeglądu

Pragmatyczny przegląd Health Check przebiega w ten sposób:

  1. Otwórz Health Check w Control Center.
  2. Posortuj niezgodne ustalenia według stopnia ważności.
  3. Najpierw sprawdź usługi i dostępy administracyjne eksponowane na Internet.
  4. Rozwiąż tematy związane z MFA, hasłami i sesjami.
  5. Zidentyfikuj szerokie reguły zapory i zweryfikuj je za pomocą Log Viewer.
  6. Sprawdź kopie zapasowe, poprawki, logowanie i raportowanie.
  7. Oceń funkcje ochronne dla każdej reguły.
  8. Dokumentuj uzasadnione wyjątki zamiast nadpisywać je bez komentarza.
  9. Po zmianach ponownie sprawdź.
  10. Dokumentuj wynik z datą, osobą odpowiedzialną i otwartymi punktami.

Dla powtarzających się przeglądów często wystarcza prosta tabela z ustaleniem, ryzykiem, działaniem, odpowiedzialnym, statusem i przypomnieniem. Ważne jest, aby ustalenia nie były tylko oglądane, ale rozwiązywane lub świadomie akceptowane.

Ograniczenia

Health Check jest pomocny, ale ma wyraźne ograniczenia.

  • Nie zna pełnej logiki biznesowej środowiska.
  • Nie ocenia, czy reguła jest fachowo potrzebna.
  • Nie zastępuje segmentacji sieci i modelu stref.
  • Nie rozpoznaje automatycznie każdego ryzykownego przypadku specjalnego.
  • Nie zastępuje zewnętrznego audytu i ręcznej analizy reguł.
  • Nie mówi, czy alerty będą później również przetwarzane.

Dlatego należy traktować Health Check jako punkt wyjścia. Umożliwia on uchwycenie widocznych odchyleń, ale rzeczywista jakość bezpieczeństwa powstaje dzięki dobrej architekturze, czystym procesom i konsekwentnej pielęgnacji.

Lista kontrolna operacji

  • Wykonaj Health Check po uruchomieniu i po dużych zmianach.
  • Priorytetyzuj ustalenia według stopnia ważności i ekspozycji.
  • Sprawdź dostępność z WAN do WebAdmin, SSH, User Portal i VPN Portal.
  • Aktywuj MFA dla administratorów, portali i Remote Access.
  • Oczyść lub uzasadnij szerokie reguły zapory.
  • Włącz logowanie w ważnych regułach.
  • Sprawdź kopie zapasowe i proces przywracania.
  • Dokumentuj proces poprawek i oprogramowania układowego.
  • Ustaw nadpisy tylko z uzasadnieniem.
  • Regularnie dokumentuj wynik Health Check.

FAQ

Co sprawdza Sophos Firewall Health Check?

Health Check sprawdza wybrane konfiguracje zapory w odniesieniu do zalecanych ustawień, najlepszych praktyk i standardów, takich jak CIS-Benchmarks. Obejmuje to między innymi reguły zapory, MFA, złożoność haseł, dostęp do zarządzania i inne opcje bezpieczeństwa.

Czy zielony Health Check to pełny dowód bezpieczeństwa?

Nie. Zielony Health Check to dobry sygnał, ale nie zastępuje przeglądu architektury, analizy reguł, koncepcji kopii zapasowych ani ręcznego przeglądu bezpieczeństwa.

Jak często należy wykonywać Health Check?

Przynajmniej po większych zmianach, przed audytami i w stałym rytmie, na przykład kwartalnie. W krytycznych środowiskach miesięczny przegląd może być sensowny.

Czy należy nadpisywać ustalenia Health Check?

Tylko świadomie i z dokumentacją. Nadpisanie jest sensowne, jeśli rekomendacja w danym środowisku jest uzasadniona. Bez uzasadnienia nadpisanie osłabia wartość Health Check.

Co należy naprawić najpierw?

Najpierw należy sprawdzić ustalenia z ekspozycją na Internet, dostępem administracyjnym, MFA, zbyt otwartymi regułami, brakującymi kopiami zapasowymi i brakującym logowaniem. Następnie optymalizacje funkcji ochronnych i integracji ekosystemu.