私は以前にpfsenseをメインゲートウェイ、ロードバランサー、トラフィックシェーピング、プロキシ、ファイアウォール、ウイルス/マルウェア保護、50以上のユーザーのオフィス全体のエンタープライズwifiソリューションとして使用しました。それでも、このソリューションを未熟で安全ではないと私たちのITインフラストラクチャについて監査したトップIT企業からの批判を受けました。私が相談したトップのセキュリティ専門家は、「すべてにpfsenseを使用することは品質が低く、これらのタスクすべてを効率的に処理できない可能性が高い」と私に言っています。
しかし、そのような主張をしたこれらの同じ会社がWannaCryなどのウイルスで攻撃されていますが、インフラストラクチャは問題なく維持されていました。
Pfsenseを選択した理由は、次の点にあります。
セットアップは、次のハードウェアで構成されています。
使用したサービス:
このファイアウォールは、セキュリティを非常に適切に処理し、ドロップアウトのないロードバランシング/トラフィックシェーピングを行いました。上記のすべてのサービスは、CPUに負担をかけずに実行され、同時にCPUを集中的に使用することが知られているMACアドレスルーティングを有効にしました。
これらの言及されたITコンサルタントの一部がフォーティネットやシスコなどの大規模プロバイダーと契約を結んでいるため、実際にはオープンソースファイアウォールの使用を妨げている記事を読んだことがあります。適切な構成を使用すれば、pfsenseは、おそらくもっと安全でなくても、商用製品と同じくらい安全であると確信しています。
質問:
他のIT企業によって言及されているように、このセットアップは本当に安全ではありませんか?そのようなセットアップを保護するためのベストプラクティスは何ですか?
オープンソースと商用ソリューションの品質は大きく異なります。 pfSenseが行うことを多かれ少なかれ行う商用のファイアウォールがあり、より多くを行うファイアウォールがあります。ファイアウォールのセキュリティ機能としてあなたが言及したものから、唯一のものは実際には「ClamAV」であり、SquidプロキシもRADIUS認証もそれ自体がセキュリティ機能ではありません。パスワードが脆弱で、認証がRADIUSを使用しているかどうかは問題ではありません。すべてのWebサイトに無制限にアクセスできる場合は、Squidを使用してもかまいません。
ClamAVは、多くの商用AVに比べて間違いなく弱いオプションです。たとえば、商用ソリューションは多くの場合、疑わしいファイルの動的コード分析を可能にするクラウドサービスによってサポートされているため、新しい脅威に迅速に対応できます。しかし、商用AVは100%のセキュリティも提供しません。境界ファイアウォールのAVのみにセキュリティを依存することは、最初から悪い考えです。
安全なセットアップでは、ファイアウォールを境界に配置するだけで、そのことを忘れることはありません。安全なセットアップの場合、最初に実際のリスクと脅威を分析し、次に、利用可能な時間とお金を使用してこれらをどのように最も軽減できるかを決定します。これには通常、ファイアウォールの使用だけでなく、エンドポイントのセキュリティも含まれ、ローカルネットワークをさらにセグメント化することもできます。場合によっては、無料のファイアウォールで十分な場合もありますが、商業用ファイアウォールの方が、より詳細なリスクへの対処、進行中の状況の可視化、新しい脅威への迅速な対応が可能なため、より優れています。ただし、繰り返しになりますが、品質、機能(および価格)は大きく異なるため、実際の利点は使用するファイアウォールによって異なります。
このファイアウォールは、セキュリティを非常に適切に処理し、ドロップアウトのないロードバランシング/トラフィックシェーピングを行いました。
ここで取り上げるのは主に可用性とパフォーマンスであり、実際のセキュリティではありません。この説明から、インストールがセキュリティの点で単純なネットワークケーブルよりも優れていることは明らかではありません。
大規模なセキュリティ企業は、このようなソリューションが製品の陳腐化を本当に恐れているのか、Microsoftのような商用製品でLinuxが使用されている世界で最も使用されているサーバーとファイアウォールのオペレーティングシステムを検討していますか?
あんまり。今日の商業企業は、オープンソフトウェアを自分自身で多く使用しています。たとえば、Microsoftは実際にはLinux自体の非常に大規模なユーザーであり、Azureだけではありません。オープンソースソフトウェアは商用ファイアウォールでよく使用され、セキュリティ企業もオープンソース自体に貢献しています。
また、オープンソースはすべてのニーズに魔法のように対処するわけではありません。Linuxを使用してファイアウォールを構築することはできますが(多くの商用ファイアウォールはLinuxをベースとしています)、より多くのことを行うソリューションを作成および維持するには多くの時間と専門知識が必要ですその後、基本的なニーズを満たすだけです。
しかし、そのような主張をしたこれらの同じ会社がWannaCryなどのウイルスで攻撃されていますが、インフラストラクチャは問題なく維持されていました。
このような 逸話的な証拠 は、セキュリティソリューションを比較するのにはかなり役に立ちません。それはあなたの主張をサポートする側面を選び、他のものを無視することに帰着します。 チェリーピッキング および 確認バイアス も参照してください。