Palomuurin perustehtävä on suojata yritystä sekä ulko- että sisäverkon uhkilta. Kyberrikollisuus on kasvanut räjähdysmäisesti, joten myös yrityspalomuurilta vaaditaan enemmän. Perinteinen verkkoyhteyksien suodatus ei enää riitä.
Moderni yrityksen palomuuripalvelu (NGFW, next generation firewall) tarjoaa näkyvyyttä, suojaa ja hallintaa koko organisaation verkkoon.
Tämän artikkelin luettuasi tiedät, mitä palomuuri tänä päivänä tarkoittaa. Pääset myös puntaroimaan omalle organisaatiolle sopivimpia vaihtoehtoja.
Tunne palomuurin tärkeimmät ominaisuudet
Nykyaikainen palomuuri muodostaa usein yrityksen tietoverkkoratkaisun ytimen, sillä sen avulla saadaan näkyvyys yrityksen koko verkkoliikenteeseen. Palomuuria hyödyntämällä voit:
- tarkastella yrityksen eri liiketoimintojen toimintaa verkossa
- tehdä sisäverkon segmentointia esimerkiksi tuotanto- ja toimistoverkon erottamista varten
- rajoittaa järjestelmäkohtaisia yhteyksiä
- seurata julkipilvestä käytettävien sovelluksien verkkoliikennettä.
Sen lisäksi, että palomuurin odotetaan tuovan lisää näkyvyyttä yrityksen verkon hallintaan, siltä vaaditaan tänä päivänä yhä enemmän erilaisia tietoturvaominaisuuksia. Nykyaikainen palomuuri tekee virustarkistuksen yrityksen verkon reunalla ennen kuin haittaohjelmat pääsevät päätelaitteille asti.
Lisäksi palomuuri pystyy tunnistamaan suurimman osan yrityksen verkkoon kohdistuvista hyökkäyksistä ja havaitsemaan yrityksen sisäverkon poikkeavuuksia. Palomuurin VPN-toiminnallisuudet mahdollistavat vuorostaan joustavan ja tietoturvallisen työskentelyn, sekä pääsyn yrityksen verkon palveluihin mistä tahansa, milloin tahansa.
Esimerkki vanhan ja uuden palomuurin eroista: Perinteinen palomuuri, joka sallii protokollatasolla liikennöinnin web-palvelimelle, ei ota kantaa siihen, onko liikenne verkkopalvelun toiminnalle haitallista vai ei. Kun palomuurissa otetaan käyttöön tunkeutumisen havainnoinnin ja estämisen ominaisuus, se pystyy tunnistamaan web-palvelimelle tehtäviä tunkeutumisyrityksiä ja estämään ne. Näin verkkopalvelu pysyy varmemmin saatavilla sen todellisille käyttäjille.
Lue myös: Tietoturva tämän päivän tietoliikenneverkoissa
Näin valitset sopivimman palomuurin yritykselle
Mitä vaatimuksia oman yrityksen palomuurille sitten kannattaisi asettaa? Lähes jokaisen organisaation tietoverkon arkkitehtuuri on uniikki. Siksi sopivan palomuuriratkaisun valinta lähtee liikkeelle yrityksen toimintaympäristön teknisten ja toiminnallisten vaatimusten tarkastelulla.
Jos yrityksessä on esimerkiksi paljon etätyöntekijöitä, voi palomuurin uusimisen yhteydessä olla järkevää ottaa käyttöön myös laajempi SASE-tietoturvaratkaisu. Se vahvistaa tietoturvaa useita eri teknologioita yhdistelemällä.
Valintaprosessiin kannattaa ottaa mukaan asiantunteva kumppani, jolla on kokemusta erilaisista suojauskeinoista. Lisäksi on hyvä miettiä etukäteen, millaisia tarpeita omassa organisaatiossa on yritystason palomuurille. Seuraavaksi pari näkökulmaa, joita ainakin kannattaa käydä läpi.
Virtuaalinen palomuuri vai fyysinen palomuurilaite omaan toimipisteeseen?
Palomuuri voidaan toteuttaa kumppanin infrastuktuuria hyödyntäen virtualisoituna palomuurina, asiakkaalle dedikoituna palomuuriklusterina tai asiakkaan tiloihin asennettavalla yhdellä tai useammalla laitteella.
Sopivan palomuuriratkaisun valinta perustuu ennen kaikkea asiakkaan verkkoliikenneprofiiliin:
MPLS-yritysverkko ja keskitetty palomuuri (fyysinen tai virtuaalinen)
Mikäli yrityksen käyttämät palvelut ja sovellukset sijaitsevat pääosin yhdessä tai useammassa konesalissa ja eri toimipisteet liikennöivät internettiin keskitetysti yhden toimisteen tai konesalin internetliittymän kautta, järkevin ratkaisu on usein kumppanin tuottama MPLS-yritysverkko ja keskitetty palomuuri.
Isoimmilla yrityksillä keskitetty palomuuri voi olla esimerkiksi fyysinen tai virtuaalinen palomuuriklusteri, pk-yrityksillä vuorostaan yhteistyökumppanin konesalissa oleva fyysinen tai virtuaalinen palomuuri, joka lohkaistaan kumppanin isommasta palomuurista.
Ohjelmisto-ohjautuva SD-WAN
Jos taas yrityksen käyttämät palvelut ovat pääosin tai täysin internetissä eli ovat ns. julkipilvi- ja SaaS-palveluita, joustavin ratkaisu voi olla ohjelmisto-ohjautuva SD-WAN.
SD-WAN-ratkaisussa jokaisen toimipisteen internetliittymässä on usein fyysisen laitteen avulla toteutettu palomuuri, joka suojaa verkon reunan sekä mahdollistaa toimipisteiden välisen yksityisen liikennöinnin SD-WAN-teknologialla.
SD-WANin etuna on, että loppukäyttäjän liikenne internetiin ei kierrä keskitetyn pisteen eli esimerkiksi tietyn toimipisteen kautta. Lisäksi ratkaisu yhdistää toimipisteet yritysverkkoon joustavasti, läpinäkyvästi ja tietoturvallisesti.
Lue myös: SD-WAN- ja MPLS-yritysverkkojen vahvuudet ja heikkoudet
Kannattaako yrityspalomuurin operointi ja valvonta ulkoistaa?
Tietoverkkoratkaisut hankitaan tänä päivänä yhä useammin ostopalveluna. Kokonaispalveluna hankitun palomuurin etuna on ennen kaikkea se, että laiteinvestoinneista, ohjelmistojen päivittämisestä sekä lisenssien uusimisesta ei tarvitse huolehtia itse, vaan kaiken hoitaa yhteistyökumppani.
Palomuurien hallinnointi saattaa viedä isoissa yrityksissä merkittävän osan joko yhden tai useamman it-työntekijän työajasta. Halutaanko heidän resurssejaan hyödyntää juuri tähän tarkoitukseen, vai olisiko järkevää vapauttaa it-tiimin työaikaa liiketoimintojen tukemiseen ja kehittämiseen?
Vaihtoehtona on ulkoistaa palomuurin operointi ja valvonta kumppanille, jonka keskitetty valvomo huolehtii palomuurin toiminnasta ja reagoi mahdollisiin uhkiin ja vikatilanteisiin ympäri vuorokauden. Mikäli verkon toimivuus on yrityksen liiketoiminnalle kriittistä, kumppani pystyy huolehtimaan mahdollisista viankorjaustarpeista toimistoajan ulkopuolella selvästi omaa henkilökuntaa joustavammin ja kustannustehokkaammin.
Vaikka palomuurin hallinnoinnin päävastuun siirtäisikin kumppanille, se ei tarkoita sitä, etteikö palomuuriin täytyisi päästä tekemään nopeita muutoksia, mikäli sellaisia tarpeita ilmaantuisi. Hyvässä ylläpitokumppanuudessa viestintä sujuu nopeasti ja mutkattomasti.
Suunnitteletko palomuurin hankintaa tai uusimista?
