管理跨國防火牆的三大關鍵問題

全球化是今天大多數公司的新常态，但也帶來了一些嚴重問題，尤其是涉及到管理大範圍分布式網絡中的防火牆資産的時候。

總部設在美國的典型跨國公司，可能在全球數十個國家設有辦事處和資料中心。即便公司采取積極主動的結構化邏輯化方法實作網絡安全，每個資料中心都有防火牆保護，所有這些防火牆也必須能協同工作，讓網絡流量能在國際網絡和資料中心間安全傳輸。那該怎樣管理呢？有3個關鍵問題需要考慮。

問題1：時間問題

任何環境下，防火牆管理核心元素之一，都是配置，尤其是變更控制過程，即應用程式網絡連接配接更新或修改時更新防火牆規則。

然而，在全球性網絡中，分布多國的應用程式需要通信和共享資訊，這就讓問題變得更加複雜了。可以想像一個常見景象：一家公司在其全球網絡中部署了一個新應用，因而需要在多個國家實作防火牆政策修改。政策修改本身很容易實作，但問題來了——到底什麼時間點上幹這事兒呢？

很多大型企業，政策修改都被限制在特定變更控制視窗時間内，目的是為了緩解核心應用營運停機或配置錯誤的風險。是以，防火牆政策修改通常選擇在夜間或周末完成，避開高風險時段。在對于全球化公司，營運橫跨多個時區，高風險時段各國不同。而且，月曆上的高流量時段也各不相同，聖誕節前夕對西歐和美國零售商最為關鍵，春節則是亞洲零售商最為重視的階段。

是以，公司企業面臨取舍選擇。他們可以按網絡中最重要節點位置的友善，設定一個通用的變更控制視窗時間，然後希望其他地方設法配合。這是一種快速友善卻危險的方式。或者，他們可以在不同的國家設定不同的變更控制視窗，盡力協調零散的防火牆修改過程。因為合法流量在變更全部完成之前基本是被阻在半途的，這種做法不太可能在變更過程中途引起安全問題——但封鎖不同地點之間的互相通信明顯會造成嚴重的營運問題。該變更管理過程，要求公司網絡營運和應用程式部署團隊之間，要有細緻缜密的協同。

最後，時間問題沒有簡單的答案。公司需要衡量兩種方法的利弊，選擇最适合的途徑。

問題2：符合法律規定

在多個國家營運多個資料中心的另一個方面，就是多個司法管轄區問題。不同的國家在地區管理和資訊流動上适用的法律不同；比如說，瑞士，就要求銀行資訊不得流出瑞士國境，而澳洲政府，則不允許政府或聯邦資訊離境。

這些法律，對跨國企業資料中心管理有着重大技術性影響，無論是在實地還是在雲端。資訊必須依據當地監管要求進行分離、儲存和保護，通常會需要it團隊來處理這些事務。技術上講，所有這些必要的分割都可以遠端實作，甚至外包給服務提供商，但這依然是公司的一大負擔——尤其是在公司遷移到雲基礎設施的時候，因為他們會特别擔心法律合規的影響。

如果，最近的8100萬美元swift電彙欺詐案後，孟加拉央行決定正式起訴，那我們有可能真切看到法律合規問題的真實上演。他們該向哪個警方上訴？國際刑警組織能幫上忙嗎？即使他們查出了罪犯身份，誰來逮捕？誰來提請引渡？

這些問題也沒有唾手可得的答案。最終，公司企業需要自己擔負起了解每一個資料存儲傳輸國适用的資料保護法規的責任，而且還得将這些合規條文翻譯成合适的技術性、法律性合規相關動作供其it安全政策和業務部門參照執行。

問題3：還有誰？

當公司企業授權外部公司通路其網絡時，局面會變得更加複雜。這個時候，有必要強調，這些外部公司也是公司企業資訊安全和合規态勢的一部分。最小化此類外部連接配接的風險，依賴于實作審慎的網絡分段和采用額外控制措施，比如web應用防火牆、資料洩露預防、入侵檢測等。

進而，在某個時間點上，公司企業将不得不對外部連接配接做出調整，無論是因為自身或對方it團隊的既定維護工作，還是因為計劃外停機的結果。由于可能需要與公司外人員的協調和調整現有工作流，同時還要遵守合同性或服務水準協定(sla)責任，處理會影響到外部連接配接的變更，就比處理内部維護要複雜得多。作為該過程的一部分，公司企業需要確定他們的資訊系統允許it團隊識别外部連接配接，并提供合同相關技術資訊的通路，同時還要支援修改過的工作流。

最後，公司企業應該確定與第三方公司簽訂有覆寫所有外部連接配接相關的技術、業務和法律事務的合約。

要管理全球性網絡基礎設施，擁有防火牆管控全球網絡流量方式的完整實時可見性和控制力，比以往任何時候都來得重要，無論你是想最大化安全與合規，還是想最小化當機時間。

本文轉自d1net（轉載）