Servers - Valor do firewall onboard

"Os servidores devem executar seus próprios firewalls?"

Adoro perguntas como essa!

Há, é claro, argumentos a favor e contra, mas a única resposta é o que o squillman faz alusão a ... outra pergunta.

As necessidades do firewall de qualquer computador estão diretamente relacionadas à topologia da rede circundante e ao uso pretendido.

Se você tiver servidores em uma rede formada por outros servidores, o principal trabalho é interagir com os outros servidores dessa rede, sendo que a totalidade deles é protegida por firewall da Internet como um todo (e qualquer outra redes internas apropriadas), então eu digo não. Há pouca necessidade de impor a sobrecarga de gerenciamento adicional de implementar, documentar e manter firewalls por host. Eu recomendaria um sistema de detecção de invasão de rede (NIDS) para que você possa monitorar o comportamento do host e, como sempre, fazer backups regulares e colocá-los offline (ou seja, ejetar as fitas), caso contrário, é apenas mais coisas para você lembrar de alterar como as necessidades de seus servidores são ajustadas.

Se você tiver um servidor que esteja isolado no lado "externo" do roteador, caso contrário, desprotegido da Internet ou que exija um posicionamento que não possa fazer uso de um dispositivo do tipo firewall baseado em hardware, então sim. Se, por qualquer motivo, o seu servidor web estiver sozinho por estar fora dos confins da rede interna, então sim, firewall aquele filhote, e faça um favor a si mesmo e faça-o negar-por-padrão. Se, por qualquer motivo, esse servidor tiver algum tipo de acesso privilegiado a servidores internos via VPN, rota estática ou placas de rede de hospedagem dupla, certifique-se de também fazer o firewall das conexões de saída. Há sempre a chance de que qualquer daemon que não seja root que você tenha esteja comprometido e inicie conexões de rede atacando recursos internos vulneráveis e confiáveis. Pare antes que comece.

Se você tiver uma área de trabalho do usuário, faça um firewall. Faça parte da sua imagem, use um software de firewall que ofereça suporte à administração do Active Directory (ou qualquer controle centralizado que você tenha) e permita especificamente os serviços de que você precisa. Seus usuários receberão malware. É inevitável e, se for suficientemente "mal", tentará atacar seus outros recursos. Certifique-se de ver os alarmes quando isso acontecer.

Tenho certeza de que perdi algumas situações, mas, em geral, a segurança de um firewall é um compromisso na capacidade de gerenciamento e na usabilidade. Às vezes vale a pena e às vezes não é.

IMO, se você tiver mais de um punhado de servidores, a execução de firewalls em hosts provavelmente será uma má ideia, porque você está se preparando para falhar. A menos que você tenha um gerenciamento muito robusto de alterações e configurações, você terá problemas com configurações incorretas e configurações obsoletas.

Você também está criando um problema de controles internos. Você quer que seus administradores de sistemas ou administradores de aplicativos tenham acesso root de controle de rede? Soa como problema para mim - esse papel pertence a administradores de rede ou administradores de firewall / segurança dedicados.

Eu poderia ver isso como apropriado se você estivesse executando servidores em um ambiente "hostil". Um servidor em um site do cliente, em uma rede de cores, etc.

A resposta, na verdade, é que depende das necessidades do seu ambiente. Eu pessoalmente não os uso em servidores, mas também tenho muitas outras coisas para proteger as coisas. Se não, então eu usaria. Simplesmente não existe uma regra rígida como você está pedindo.

Se você nos der mais algumas informações sobre seu ambiente, poderemos ajudar com alguns conselhos sobre o que pode fazer sentido para você.

Sim, eles devem independentemente do número de servidores. Além disso, se você usa servidores Windows - ative as comunicações IPSec entre servidores.

O ideal é que você também queira separar diferentes funções de servidor para diferentes VLANs também.

Como outros disseram efetivamente, depende do ambiente. Na minha opinião, depende se você pode garantir a segurança da rede a que os servidores estão conectados. Se a rede for apropriadamente protegida por firewall de qualquer outra rede e você puder garantir que a rede é segura (por exemplo, com dispositivos adicionais fora do seu controle), não ter um firewall de software está correto. Se você tiver um firewall de software nos servidores, certifique-se de documentar o que está fazendo, para seu próprio bem.