Um firewall \u00e9 basicamente um software que gerencia conex\u00f5es entre redes diferentes (internas ou externas), e possui a habilidade de aceitar, rejeitar ou filtrar conex\u00f5es sob certos par\u00e2metros. Porque este \u00e9 um componente chave em qualquer organiza\u00e7\u00e3o, n\u00f3s podemos consider\u00e1-lo como se fosse a porta de nossa casa. Nossa casa seria mais segura se tiv\u00e9ssemos duas trancas e as portas fossem blindadas, n\u00e3o \u00e9 mesmo? Para um per\u00edmetro de seguran\u00e7a de rede, o conceito \u00e9 basicamente o mesmo.<\/p>\n
A ISO 27001<\/a> n\u00e3o define os detalhes t\u00e9cnicos, ent\u00e3o ela precise dos controles de seguran\u00e7a da ISO 27002 para reduzir riscos<\/a>\u00a0relacionados a perda de confidencialidade, integridade e disponibilidade. Uma organiza\u00e7\u00e3o deve realizar uma avalia\u00e7\u00e3o de riscos<\/a>\u00a0para identificar que tipo de prote\u00e7\u00e3o ela precisa, e definir suas pr\u00f3prias regras para mitigar estes riscos. \u00c9 importante saber como implementar os controles que est\u00e3o relacionados a firewalls, porque eles nos protegem de amea\u00e7as relacionadas a conex\u00f5es e redes, e podem assim nos ajudar a reduzir riscos.<\/p>\n Para ver diferen\u00e7as entre as normas, leia este artigo ISO 27001 vs. ISO 27002<\/a>.<\/p>\n Pol\u00edticas do firewall est\u00e3o relacionadas ao modo de opera\u00e7\u00e3o global do firewall, e muitos deles possuem duas pol\u00edticas de configura\u00e7\u00e3o b\u00e1sicas:<\/p>\n A primeira \u00e9 muito mais f\u00e1cil e mais confort\u00e1vel, mas mais perigosa porque tudo \u00e9 aceito por padr\u00e3o, enquanto que a segunda \u00e9 muito mais r\u00edgida e requer mais tempo de configura\u00e7\u00e3o, mas \u00e9 muito mais segura (seguran\u00e7a e conforto n\u00e3o s\u00e3o compat\u00edveis: mais seguran\u00e7a = mais desconforto, e menos seguran\u00e7a = mais conforto).<\/p>\n Finalmente, ambas as pol\u00edticas est\u00e3o relacionadas ao modo de opera\u00e7\u00e3o do firewall, mas voc\u00ea pode inclu\u00ed-lo como um documento (por exemple \u201cPol\u00edtica de Firewall\u201d) no Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) que \u00e9 estabelecido pela ISO 27001. Mesmo porque, a tecnologia \u00e9 uma parte importante do SGSI, e firewalls est\u00e3o relacionados aos controles de seguran\u00e7a<\/a>\u00a0do Anexo A da ISO 27001.<\/p>\n Outra op\u00e7\u00e3o importante ao configurar um firewall envolve seu modo de opera\u00e7\u00e3o. Existem duas escolhas b\u00e1sicas:<\/p>\n Estas op\u00e7\u00f5es est\u00e3o dispon\u00edveis em muitos firewalls, e ajudar\u00e3o voc\u00ea a saber as fun\u00e7\u00f5es do firewall e ter uma configura\u00e7\u00e3o apropriada. Do ponto de vista da ISO 27001, voc\u00ea precisa reduzir os riscos relacionados \u00e0 seguran\u00e7a da informa\u00e7\u00e3o, e existem muitos riscos relacionados a redes, assim voc\u00ea provavelmente precisar\u00e1 de um firewall (bem configurado) para reduzir todos estes riscos relacionados a redes.<\/p>\n Por outro lado, \u00e9 altamente recomendado sempre habilitar o registro de eventos (event logging), para manter a rastreabilidade no evento de um incidente (veja controle A.12.4.1 Registro de eventos<\/a>). Geralmente, o firewall permite a voc\u00ea configurar o n\u00edvel de detalhe do log de eventos, mas cuidado que quanto maior o detalhamento requer maior capacidade de armazenamento.<\/p>\n De volta a ISO 27001, a norma n\u00e3o tem controle que explicitamente indica a necessidade de se instalar um firewall na organiza\u00e7\u00e3o (o mais pr\u00f3ximo \u00e9 o A.13.1.2 Seguran\u00e7a dos servi\u00e7os de rede), mas ele parece muito \u00f3bvio \u2013 uma vez que firewalls vem por padr\u00e3o em qualquer sistema.<\/p>\n Quando voc\u00ea configure um firewall, voc\u00ea precisa incluir regras para cada conex\u00e3o, e quando voc\u00ea cria uma regra, os par\u00e2metros que geralmente tem que ser considerados s\u00e3o os seguintes:<\/p>\n Tamb\u00e9m \u00e9 importante notar que a ordem das regras \u00e9 muito importante: a primeira \u00e9 geralmente a de maior prioridade com rela\u00e7\u00e3o ao resto.<\/p>\n Tenha em mente que isto \u00e9 apenas informa\u00e7\u00e3o b\u00e1sica sobre a configura\u00e7\u00e3o de um firewall, e a ISO 27001 n\u00e3o especifica como configure-lo, mas novamente, \u00e9 importante que voc\u00ea tenha um conhecimento b\u00e1sico para configurar firewalls e reduzir os riscos que voc\u00ea identificou para a sua rede.<\/p>\n Assim, a pr\u00f3xima etapa \u00e9 desenvolver um procedimento que mostre como gerenciar o firewall. Embora n\u00e3o seja mandat\u00f3rio, \u00e9 recomendado para organiza\u00e7\u00f5es de m\u00e9dio ou grande porte. (Para aprender quais documentos s\u00e3o mandat\u00f3rios, veja Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>). Voc\u00ea pode nomear este procedimento \u201cPol\u00edtica do Firewall\u201d ou \u201cInstru\u00e7\u00e3o t\u00e9cnica do Firewall\u201d, e ele deveria incluir como configure-lo, incluindo as pol\u00edticas mencionadas acima, e tamb\u00e9m como configurar par\u00e2metros das conex\u00f5es: regras, modo de opera\u00e7\u00e3o, etc. (O firewall trabalhar\u00e1 baseado nela). Este procedimento ser\u00e1 muito \u00fatil para o pessoal de TI, mas tamb\u00e9m ajudar\u00e1 o SGSI, porque voc\u00ea pode us\u00e1-lo como uma instru\u00e7\u00e3o t\u00e9cnica.<\/p>\n Para terminar, sua principal conclus\u00e3o deveria ser que firewalls s\u00e3o muito importantes em qualquer organiza\u00e7\u00e3o, porque eles s\u00e3o a porta digital do seu neg\u00f3cio, e voc\u00ea precisa saber informa\u00e7\u00e3o b\u00e1sica sobre a configura\u00e7\u00e3o deles. Adicionalmente, firewalls ajudar\u00e3o voc\u00ea a implementar controles de seguran\u00e7a para reduzir riscos na ISO 27001, ent\u00e3o ambos (firewalls e ISO 27001) fazem uma boa equipe!<\/p>\n Leia o white paper<\/em>\u00a0Estudo de caso para datacenters ISO 27001<\/a>\u00a0se voc\u00ea quer ver como a ISO 27001 pode contribuir para a seguran\u00e7a de um data center no qual firewalls tem um papel significativo.<\/em><\/p>\nPol\u00edticas do firewall<\/h2>\n
\n
Modo de opera\u00e7\u00e3o e registro de evento<\/h2>\n
\n
Procedimentos e regras<\/h2>\n
\n