Meu consultor está certo?

Tenho sido o administrador de redes na minha empresa pelos últimos 7 anos. Sou o único administrador de rede, então usamos consultoria para aprovar grandes alterações de design/configuração, apenas como uma precaução caso seja auditado. Recentemente, compramos firewalls da Palo Alto Networks. Eles estão sendo usados apenas para proteger algumas redes mais novas, mas quero mudar isso. Tenho meu certificado PCNSE e já trabalhei com eles em outros empregos. Estou integrando-os na minha rede para lidar com todo o tráfego. Planejo usar VSYS para separar sistemas protegidos, DMZ, acesso à Internet e VPNs. Quando entramos na empresa, tínhamos 3 conjuntos de firewalls: um para VPNs site-a-site, um para proteger sistemas críticos e outro para tráfego de DMZ/Internet. Todo o roteamento interno é feito pelo switch central. Os firewalls PAN podem lidar com todo o tráfego agora e no crescimento dos próximos 10 anos.

Meu consultor não aprovaria isso, dizendo que é um passo atrás e que o roteamento e a camada três do tráfego de usuário deveria ser feito pelo switch central. Ele também não gosta da ideia de tudo estar separado via VSYS e acha que deveríamos ter outros firewalls físicos para separar o tráfego. Ele é um cara da Cisco e recomenda os firewalls Cisco Firepower. Discordo dele, e ele ficou bem com isso, mas não assina a aprovação. Agora meu gerente me questiona e vai seguir a recomendação do consultor.

O que você acha?

Edição 1: Mais explicações. Somos uma instituição financeira com 7 filiais, 150 usuários, 7 hosts ESXi, 100 VMs. Usamos um serviço em nuvem que fornece conectividade aos nossos usuários remotos e às 7 filiais. Esse serviço constrói um túnel para nosso par de VPN ASA, considerado um conector de serviço. As filiais e usuários remotos usam esse conector de serviço para acessar serviços na colocation. O tráfego de internet é direcionado para o provedor de nuvem. Equipamentos/servidores na colocation que precisam de acesso à internet são roteados fora pelo ASA de internet. Os ASA estão chegando ao fim da vida útil pelos nossos padrões. É por isso que quis migrar os ASA de VPN e internet para os PANs, usando diferentes VSYS e VRs para manter o tráfego isolado. Também quero mover qualquer roteamento feito nos PANs, pois o roteamento no nosso switch central é mínimo. Temos também 2 provedores de internet com BGP conectados a um par de roteadores Cisco. Os firewalls PAN controlariam o roteamento para os dispositivos na colocation além da conexão com a internet.

Edição 2: Quero acrescentar que os PANs fariam apenas roteamento interno e roteariam o tráfego de internet dos servidores protegidos na colocation. Assim, podemos inspecionar todo o tráfego. Temos um par de roteadores Cisco na frente do ASA de VPN e do ASA de internet. Esses roteadores lidam com BGP. Isso não mudaria. Só migraria os serviços de VPN e internet para dentro dos firewalls PAN.

Se eu entendi bem, ele está recomendando comprar um novo Cisco Firepower em vez de usar o hardware Palo Alto que já é capaz de suportar a carga.

Eu procuraria um novo consultor.

Tradução da fala do consultor: Eu não falo Palo Alto, não vendo Palo Alto, então eles não funcionam, e precisamos de Cisco — que, aliás, eu vendo. Engraçado como todo problema que o consultor toca sempre tem uma solução que justamente é o que ele vende.

Existe algum valor em ter firewalls diferentes na periferia e na rede interna. Marcas diferentes para proteger contra zero-days (mas não é necessário), principalmente para manter uma rede interna funcionando se seu perímetro for desativado (DDoS ou outros). Execute internet, DMZ, usuário e VPN no perímetro como VSYS.

Ninguém que não seja patrocinado de alguma forma pela Cisco sugeriria Firepower em vez de Palo Alto.

Acho que você precisa de uma terceira opinião. Como seu gerente pode obter uma visão objetiva?

Você não especifica que tipo de negócio é esse, qual a topologia da rede/infrastrutura, ou por que você está sozinho nesse trabalho.

Eles consultam você para saber o que a empresa precisa? Ou há alguém que decide o que deve ser mudado?

Que porra desse cara, firepower é uma porcaria.

Embora, geralmente, descarregar a maior parte da camada 3 no switch central seja a coisa sensata a fazer.

Firepower talvez seja o pior produto que Cisco já lançou. Recomendações de manter o firepower existente ou atualizar o ASA podem ser defendíveis. Qualquer pessoa que recomende trazer o Firepower para um ambiente onde já não está implementado é alguém que exagerou na poção de Cisco e não deve ser confiável.

Acho que ele talvez não entenda que um VSYS do Palo Alto 1 é um firewall completamente diferente de um VSYS do 2.

Não é incomum que profissionais mais antigos de roteamento/switch recomendem usar um switch para ‘core’ de commutações, se você realmente precisar de uma conexão de alta velocidade para suas redes, mas parece que essa não é uma necessidade real na sua configuração. O Palo Alto vai ser ótimo.

Já gerenciei redes muito mais movimentadas que a sua com Palo Alto 5020s e eles quase não foram sobrecarregados, passamos pela lógica de ‘os roteadores devem rotear e firewalls devem…’ (quase tão ruim quanto ouvir ‘ninguém nunca foi demitido por comprar Cisco’) — mas, sendo bastante experiente nessa área, posso dizer que o roteador do Palo Alto é ok. Bom, até mesmo, se você se adaptar à GUI e CLI, eles fazem um som estranho de fazer sentido. Trabalhar com eles tanto tempo fez com que eu achasse estranho não ter o comando ‘show runtime’ em um roteador, isso me assusta. A visibilidade do que o firewall está fazendo, tanto em termos de firewall quanto de roteamento, quase os torna valendo o custo extra. Quase, ainda acho que eles são exploradores de cochilo.

Não é que o consultor esteja errado (bem, errado sobre Firepower, ele obviamente está recebendo uma comissão por isso), apenas antiquado. A razão dele não gostar de VSYS é baseada em sentimento, não em critério objetivo.

Já passei por isso, teria uma conversa franca com seu gerente. Consultores são ruins, você fica com a falácia do custo irrecuperável, ‘pagamos esse cara, então deveríamos fazer o que ele diz, senão desperdiçamos o dinheiro…’ Tipo isso. O problema é que, se as coisas derem errado, você será o culpado por isso, porque todos lembram que você foi contra. Não estou brincando, pode ser sábio usar isso como uma oportunidade para procurar outro emprego. Eu… deveria ter, numa experiência recente, acabou bem para mim, mas teria me poupado de muita dor se tivesse desistido mais cedo e deixado o pessoal aprender as lições por si mesmo.

Diga que você está querendo migrar para um modelo de confiança zero e quer ter o máximo de inspeção, segmentação e aplicação de regras dentro da rede, por isso precisa inserir os firewalls entre esses segmentos.

Firewall pode fazer todo roteamento. Não compre firewalls Cisco.

Primeiro, quando você diz seu consultor, você realmente quer dizer um consultor técnico ou um consultor de pré-vendas? Existem grandes diferenças entre…

Depende do seu volume de tráfego, é bom usar VSYS ou instância de firewall para manipular o roteamento. Isso não faz diferença se for PAN, Cisco ou checkpoint…

De modo geral, o firewall pode ser usado como firewall principal para lidar com o tráfego interno E-W; pode ser usado como firewall de borda para o tráfego N-S. Pelo que você descreveu, sua infraestrutura não é grande e seu firewall é tecnicamente uma firewall de borda. Se a função do firewall for necessária para o tráfego interno E-W, você certamente pode configurar o firewall físico com uma VSYS dedicada para roteamento interno e segurança. Mas, novamente, você precisa dimensioná-lo adequadamente.

Deixe o roteamento para roteadores e a filtragem de tráfego para firewalls. Quanto à consolidação de três dispositivos em um só, essa é uma decisão de negócios.

Seu gerente deixou claro que não confia em você.

Faça o que ele manda enquanto procura um novo emprego.

Grande sinal de alerta alguém recomendando Firepower. O consultor provavelmente não tem muita experiência com PANs. Eu lembraria seu chefe que tenho meu PCNSE, então estou confortável com eles, e vejo valor na Palo Alto. Envie a ele diversos artigos que classificam firewalls Palo Alto melhor que Cisco e sugira que talvez contratar outro consultor seja uma boa ideia, considerando seu péssimo julgamento. Também recomendo manter a maior parte do roteamento fora do firewall.

Você pode explicar qual é o plano do consultor com esses firewalls Firepower?

Se ele não gosta de segmentação virtual com VSYS ou algo assim, presumo que ele queira separá-los fisicamente? Eu gostaria de ver o design alternativo, pois que o tráfego interno todo no switch central indica que tudo interno consegue se conectar a tudo mais? A menos que, mais uma vez, as redes não estejam fisicamente conectadas? Ou será que outro switch central será adicionado?

Apenas uma pergunta, qual o tamanho da organização e a quais conformidades vocês se submetem? (Pelo menos generalizando) Estamos falando de DOD, setor financeiro, saúde? E qual orçamento, e quantos recursos internos (2 hosts em HA, 6 hosts via SAN, 5 clusters, 3 datacenters em diferentes áreas geográficas)? Se você é uma loja de 20 pessoas com recursos profundos, então não precisaria de produtos de diferentes fornecedores, mas se for uma organização de 5000 pessoas, como você gerencia como o único administrador de rede?

Se você deseja, você pode usar todos esses dispositivos com base em recomendações de boas práticas de rede, mas pense bem se o que você quer realmente é necessário ou se é só por preferência pessoal, essa é uma decisão de negócio.

LOL, fazendo isso há anos. Seu consultor é tendencioso ou algo assim. Continue com seu plano. Fazer toda a camada 3 nos firewalls e separar muito mais (o tráfego entre os sistemas de Nível 0, 1 e 2 deve passar por um firewall) deveria ser padrão hoje.

Para o tamanho da sua rede, não há razão para usar isso em um par de firewalls ou alguns pares, se necessário. Essa discussão de usar roteadores para roteamento está ficando velha. Os firewalls de hoje são tão rápidos e capazes de manejar muito mais tráfego do que antigamente, que para a maioria das redes não há sentido ou benefícios reais em algo tão complexo. Você tem muito mais granularidade e segurança ao usar um firewall para segmentar a rede do que ao roteamento entre VLANs nos switches.

Palos são bons e parecem que você tem experiência com eles. Esqueça o Cisco, que é uma porcaria. Dê uma olhada nos FortiGates por comparação.

Sendo uma instituição financeira, não compartilhe seus firewalls internos e externos. Suas chances de algum problema que permita passar tráfego de fora para dentro são muito maiores (pense no risco), e a mitigação é fácil (compre dois Palo Alto). A marca dos equipamentos é uma questão de camadas OSI 8/9 (Política/Religião). O principal é limitar as possibilidades de falha que possam derrubar várias coisas ao mesmo tempo devido a um hardware defeituoso. Não perca seu núcleo/servidores por causa de uma falha no VPN. Não permita uma má configuração na DMZ que deixe qualquer tráfego potencialmente passar pelo firewall.

Se seus reguladores forem como os que enfrentei, faça uma avaliação de risco. Parte dessa avaliação é que seu consultor externo não gosta da solução proposta. Você não precisa aceitar o conselho do consultor, mas deve defender sua decisão, incluindo uma avaliação de risco que envolva ambas as soluções propostas, os riscos e os requisitos de negócio.

Qualquer consultor que recomende Firepower em vez de SonicWall, você deve ignorar.