Wielu przedsiębiorców po wdrożeniu Microsoft 365 (M365) zakłada, że temat bezpieczeństwa „został załatwiony”, bo poczta, pliki i współpraca działają w chmurze, a do tego jest MFA (uwierzytelnianie wieloskładnikowe). To logiczne podejście, ale tylko do pewnego momentu. Microsoft 365 zabezpiecza przede wszystkim to, co dzieje się w usługach Microsoftu, natomiast Twoja firma nadal ma fizyczną sieć, urządzenia i procesy, które żyją poza M365: drukarki, skanery, bramy VoIP (telefonia internetowa), monitoring, urządzenia IoT (Internet of Things), komputery, a czasem NAS (Network Attached Storage – sieciowy magazyn danych), serwer aplikacji albo lokalny system sprzedażowy. Firewall w małej firmie ma sens wtedy, gdy traktujesz go nie jako „dodatkowy wydatek na sprzęt”, tylko jako narzędzie do uporządkowania ryzyka, które i tak już istnieje w Twojej infrastrukturze, zwłaszcza gdy część zespołu pracuje zdalnie.
Czy firewall w małej firmie jest potrzebny, jeśli używasz Microsoft 365?
Jeśli Twoja firma działa w modelu „cloud-first”, a pracownicy korzystają głównie z poczty, Teams i SharePoint/OneDrive, możesz mieć wrażenie, że firewall w biurze przestaje być krytyczny. W praktyce jednak przedsiębiorcy rzadko funkcjonują w 100% w chmurze. Nawet przy pełnym Microsoft 365 (M365) w biurze nadal działa Wi-Fi, drukarki i urządzenia wielofunkcyjne, często też monitoring, kontrola dostępu, centrala telefoniczna, a nierzadko serwer plików lub NAS (Network Attached Storage) do kopii zapasowych. Każde z tych urządzeń ma własne panele administracyjne, konta, konfiguracje i aktualizacje, a część z nich bywa wdrażana „po drodze” przez różne osoby i wykonawców. Firewall nie jest „ochroną chmury”, tylko ochroną Twojej firmowej sieci i sposobem, żeby ograniczyć sytuacje, w których coś przypadkiem staje się dostępne z internetu albo dla niepowołanych osób wewnątrz sieci firmowej.
Co daje firewall w małej firmie? Realne korzyści dla przedsiębiorcy
Dla przedsiębiorcy najważniejsze są trzy efekty: mniej niespodzianek, mniej przestojów i mniejsze ryzyko, że pojedynczy błąd uderzy w całą firmę. Firewall w praktyce działa jak bramka, która pozwala uporządkować zasady dostępu: co wolno z internetu do biura, co wolno z biura do internetu i co wolno urządzeniom rozmawiać między sobą. W małej firmie różnica robi się widoczna, gdy pojawia się incydent typu phishing, niechciana instalacja, zainfekowany załącznik albo podpięty do sieci „prywatny” sprzęt. Bez sensownego podziału ruchu infekcja z jednego komputera może zacząć skanować sieć i próbować dobrać się do NAS, drukarek czy serwera kopii, a nawet jeśli nie dojdzie do wycieku, potrafi to zatrzymać pracę firmy przez zaszyfrowane udziały sieciowe lub sparaliżowane urządzenia. Firewall pozwala ograniczyć taki „efekt domina”, a dodatkowo daje widoczność: nietypowe połączenia, próby dostępu, anomalie w ruchu. Ta widoczność jest ważna, bo w MŚP problem nie polega na tym, że nikt nie ma zabezpieczeń, tylko na tym, że nikt nie wie, co się dzieje, dopóki nie przestanie działać poczta, drukowanie albo dostęp do plików.
Firewall a praca zdalna: gdzie jest sens, a gdzie najczęściej robi się „skrót”?
Praca zdalna zmieniła problem z „zabezpieczenia biura” na „zabezpieczenie dostępu”. Jeśli pracownicy logują się do Microsoft 365 z domu, to kluczowe jest, by to logowanie było wzmocnione MFA (uwierzytelnianie wieloskładnikowe) i sensownymi zasadami, jak na przykład ograniczaniem podejrzanych logowań czy wymuszaniem podstawowej higieny urządzeń.
Z perspektywy przedsiębiorcy często pojawia się jednak dodatkowa potrzeba: dostęp do zasobów lokalnych, takich jak drukarki, systemy działające tylko w biurze, archiwa, urządzenia specjalistyczne albo stacje robocze. Wtedy zaczynają się typowe „pokusy na skróty” — wystawienie zdalnego pulpitu do internetu, przekierowanie portów albo szybkie narzędzia zdalne bez kontroli. Firewall porządkuje to podejście, bo zamiast otwierać biuro na świat, buduje się bezpieczny tunel VPN (Virtual Private Network) lub model dostępu oparty o zasady, które da się rozliczyć i kontrolować. Dla firmy oznacza to mniej ryzyka i mniej chaosu, bo jasno widać, kto i skąd wchodzi, do czego ma dostęp i kiedy, a przy okazji spada liczba problemów „nie mogę się połączyć”, wynikających z przypadkowych konfiguracji u różnych osób.
Router z firewallem vs UTM / NGFW
Wiele małych firm działa na routerze od operatora albo prostym urządzeniu „soho”, które w ustawieniach ma słowo „firewall”. I często to działa dopóki firma jest bardzo mała, ryzyka są niskie, a sieć nie robi się mieszanką sprzętu prywatnego, IoT, gości i urządzeń firmowych. Problem polega na tym, że prosty router zwykle daje tylko podstawową filtrację NAT (Network Address Translation – translacja adresów sieciowych), a w momencie, gdy chcesz zrobić coś sensownie: osobną sieć dla gości, separację monitoringu, bezpieczny zdalny dostęp VPN (Virtual Private Network), raporty albo blokady według polityk, zaczyna brakować narzędzi.
UTM (Unified Threat Management – zintegrowane zarządzanie zagrożeniami) i NGFW (Next-Generation Firewall – firewall nowej generacji) to podejście „w jednym miejscu”, gdzie oprócz podstawowego firewalla masz też elementy lepszej kontroli: zarządzanie regułami, segmentację, wygodniejsze logowanie zdarzeń, często funkcje typu IDS/IPS (Intrusion Detection/Prevention System – system wykrywania/zapobiegania włamaniom) oraz mechanizmy ograniczania ryzyka na poziomie ruchu sieciowego. Z punktu widzenia przedsiębiorcy nie chodzi o to, by kupować „najmocniejsze” urządzenie, tylko takie, które pozwoli zbudować prostą i przewidywalną architekturę bez sztuczek i bez dorabiania protez.
Jaki firewall do małej firmy? Kryteria, które mają znaczenie w praktyce
Najczęstszy błąd zakupowy w MŚP to wybór „po cenie”, bez powiązania z realnym scenariuszem pracy. Zanim wybierzesz urządzenie, warto myśleć jak właściciel firmy: ile osób pracuje na co dzień, ile jest urządzeń w sieci, czy masz Wi-Fi dla gości, czy są zasoby lokalne wymagające dostępu zdalnego, czy planujesz segmentację, czy priorytetem jest stabilność internetu, a także czy masz wymagania audytowe (na przykład w relacji z większymi klientami).
Dobry firewall w małej firmie powinien dać przede wszystkim stabilny VPN, możliwość tworzenia kilku sieci o różnych zasadach dostępu, sensowne logowanie zdarzeń oraz zarządzanie, które nie kończy się tym, że jedyna osoba „od IT” boi się cokolwiek dotknąć. Jeśli rozwiązanie wymaga skomplikowanej obsługi, to w praktyce nikt nie będzie go utrzymywał, aktualizował i przeglądał alertów, a wtedy nawet najlepsza funkcjonalność nie przekłada się na realne bezpieczeństwo i ciągłość działania.
Segmentacja sieci w biurze: dlaczego to często największy zwrot z inwestycji?
Jeżeli jest jedna rzecz, która daje w MŚP największy zwrot z wdrożenia firewalla, to jest nią segmentacja. Małe firmy bardzo często mają jedną, płaską sieć: każdy komputer, drukarka, telewizor w sali konferencyjnej i rejestrator kamer widzą się nawzajem. To wygodne, dopóki nie pojawi się problem, bo wtedy problem rozlewa się po całej firmie.
Segmentacja pozwala wprowadzić proste granice: goście dostają internet, ale nie widzą zasobów firmowych; monitoring działa, ale nie ma sensu, by miał dostęp do komputerów pracowników; urządzenia IoT nie powinny móc komunikować się z wrażliwymi zasobami; komputery pracowników widzą tylko to, co jest im potrzebne. Dobrze zaprojektowana segmentacja nie utrudnia codziennej pracy, a potrafi dramatycznie zmniejszyć skutki incydentu. W praktyce bywa różnicą między pojedynczym laptopem do reinstalacji a tygodniowym paraliżem firmy, szczególnie gdy w grę wchodzi ransomware.
Ile kosztuje firewall? Patrz biznesowo, nie „sprzętowo”
Koszt firewalla w MŚP warto policzyć tak, jak liczy się koszt samochodu służbowego: nie tylko „cena zakupu”, ale całe użytkowanie w czasie. Samo urządzenie to w praktyce dopiero początek, bo firewall zaczyna przynosić wartość dopiero wtedy, gdy jest poprawnie wdrożony, dobrze opisany i regularnie utrzymywany. W przeciwnym razie firma ma w szafie sprzęt, który „kiedyś ktoś ustawił”, a w krytycznym momencie nikt nie ma pewności, czy zasady są aktualne, czy VPN zadziała, i czy po zmianie operatora internetu nic się nie rozjechało.
Pierwszym elementem jest koszt pozyskania rozwiązania, czyli zakup urządzenia lub model abonamentowy. Dla przedsiębiorcy ważne jest, że w przypadku wielu rozwiązań płaci się nie tylko za „pudełko”, ale też za licencje i aktualizacje bezpieczeństwa. Bez tego firewall staje się z czasem coraz mniej skuteczny, bo część ochrony opiera się na aktualnych sygnaturach i mechanizmach wykrywania. W praktyce oznacza to, że najtańszy zakup na starcie bywa najdroższy po dwóch latach, bo urządzenie nie ma wsparcia, nie dostaje poprawek, a firma zaczyna odkładać wymianę „bo działa”, aż do momentu awarii albo incydentu.
Drugim elementem jest koszt wdrożenia i konfiguracji, czyli praca, która realnie buduje bezpieczeństwo. W MŚP największą wartość daje zwykle segmentacja, bo pozwala odseparować sieć gościnną, IoT i monitoring od sieci firmowej. Do tego dochodzi konfiguracja VPN, ustawienie zasad dostępu, polityki wychodzące (jakie usługi są dopuszczalne) oraz sensowne logowanie zdarzeń. To wszystko wymaga uzgodnień biznesowych, bo polityki w sieci są wprost odbiciem procesów firmy. Jeśli księgowość drukuje na drukarce w innym segmencie, jeśli magazyn pracuje na osobnym systemie, jeśli są podwykonawcy z dostępem zdalnym firewall musi to odzwierciedlać, a nie „domyślnie przepuszczać wszystko”, bo wtedy segmentacja nie ma znaczenia.
Trzecim elementem jest utrzymanie, czyli to, co najczęściej jest niedoszacowane. W firmie zmiany są naturalne: dochodzą nowi pracownicy i nowe urządzenia, pojawiają się telefony i laptopy do pracy zdalnej, czasem dochodzi druga lokalizacja albo zmienia się operator internetu. Każda z takich zmian potrafi wpływać na działanie VPN, przekierowania, zasady dostępu i bezpieczeństwo Wi-Fi. Jeśli nikt tego nie aktualizuje, firewall zamienia się w „czarną skrzynkę”: działa, ale nikt nie jest pewien, czy działa dobrze. Z perspektywy przedsiębiorcy to jest dokładnie ten moment, w którym koszt ryzyka rośnie — bo problem najczęściej wychodzi nie w spokojny wtorek, tylko w poniedziałek rano, gdy zdalnie nie da się wejść do systemu, albo gdy przestaje działać internet „po zmianie łącza”, albo gdy atakujący wykorzystuje stary wyjątek w regułach, o którym nikt już nie pamięta.
W utrzymaniu jest jeszcze jeden obszar, który ma realny wpływ na koszty: monitoring i reakcja. Firewall może generować informacje o nietypowych połączeniach, próbach skanowania, anomaliach w ruchu. Jeśli nikt nie zagląda do logów albo alerty są źle ustawione, firma dowie się o incydencie dopiero wtedy, gdy „coś nie działa”. Dobrze ustawiony monitoring nie oznacza korporacyjnego SOC (Security Operations Center), ale minimum: zbieranie logów, sensowną retencję, proste alerty i procedurę, co robimy, gdy coś wygląda podejrzanie. W MŚP to często różnica między szybkim odcięciem jednego urządzenia a wielodniowym problemem.
Dlatego w praktyce najbardziej biznesowe podejście do kosztu firewalla to porównanie go z kosztem przestoju. Przestój nie jest tylko „nie działa internet”. To również brak dostępu do systemów, opóźnione wystawianie faktur, wstrzymana obsługa klienta, przesunięte dostawy, chaos komunikacyjny i konieczność gaszenia pożaru przez osoby, które powinny wykonywać swoją pracę. Jeśli firma stoi pół dnia, to koszt liczy się w roboczogodzinach, w utraconych szansach sprzedażowych, w opóźnieniach i w reputacji. Do tego dochodzą koszty „po incydencie”: odtworzenie danych, reinstalacje, przywracanie dostępu, często konsultacje prawne i komunikacja z klientami, jeśli doszło do wycieku. Wiele firm dopiero po takim zdarzeniu widzi, że „oszczędność” na wdrożeniu i utrzymaniu była pozorna, bo jedna awaria potrafi pokryć koszt porządnej konfiguracji na lata.
Na końcu jest jeszcze aspekt przewidywalności finansowej, który przedsiębiorcy zwykle cenią najbardziej. Gdybyśmy chcieli potraktować firewall jako „biznes” to tylko taki, który ma jasny model utrzymania: wiadomo, kto odpowiada za aktualizacje, zmiany, dokumentację, testy VPN oraz okresowy przegląd reguł. Taki model nie musi być rozbudowany, ale powinien istnieć, bo bez niego firma w naturalny sposób dryfuje do stanu „działa, nie ruszaj”, aż do pierwszego kryzysu. W Kompanii Informatycznej właśnie to porządkujemy najczęściej: nie tylko dobór urządzenia, ale proces utrzymania, który sprawia, że bezpieczeństwo nie jest jednorazowym projektem, tylko przewidywalnym elementem prowadzenia firmy.
Najczęstsze błędy w MŚP i minimalny standard wdrożenia
W małych firmach problemy z bezpieczeństwem rzadko biorą się ze złych intencji. Najczęściej to efekt tempa pracy i „gaszenia bieżączki”, kiedy IT ma po prostu nie przeszkadzać: ma działać internet, drukarka, zdalny dostęp i program księgowy. W takim trybie bardzo łatwo wpaść w schemat szybkich, doraźnych decyzji, które w danym momencie rozwiązują kłopot, ale po kilku miesiącach stają się tykającą bombą. Co ważne, te decyzje zwykle nie wyglądają groźnie, bo na początku firma jest mała, ludzi jest kilkunastu, a infrastruktura prosta. Dopiero gdy firma urośnie, dochodzą nowe urządzenia i nowe potrzeby, okazuje się, że „tymczasowe” ustawienia stały się stałym elementem środowiska.
Pierwszy klasyczny scenariusz zaczyna się od zdalnej pracy albo potrzeby szybkiego dostępu do zasobów w biurze. Ktoś nie może pobrać pliku, ktoś potrzebuje programu, który działa tylko na komputerze w firmie, albo trzeba „pilnie wejść” na serwer. Najłatwiejszy skrót to wystawić usługę do internetu: zdalny pulpit, panel administracyjny urządzenia, port do aplikacji. W praktyce wygląda to niewinnie: „otworzymy na chwilę, bo trzeba dokończyć temat”, „później to zamkniemy”, „przecież nikt nie trafi”. Problem polega na tym, że takie „chwilowe” wyjątki mają ogromną tendencję do zostawania na stałe. Po miesiącu nikt już nie pamięta, że port jest otwarty, po pół roku zmienia się osoba odpowiedzialna za IT, a po roku firma ma kilka usług wystawionych na świat i żaden zespół nie ma pełnego obrazu, co i dlaczego działa w ten sposób. Dla atakujących to idealna sytuacja, bo automatyczne skanery internetu polują właśnie na takie ekspozycje, a potem próbują logowań, znanych podatności i prostych błędów konfiguracyjnych.
Drugi, równie częsty schemat dotyczy „organizacji” sieci. Na początku wszyscy są w jednej lokalizacji i wszyscy muszą mieć dostęp do drukarki, więc sieć jest jedna: prosta i wygodna. Z czasem dochodzi monitoring, rejestrator, system alarmowy, telewizor w sali konferencyjnej, urządzenia IoT, a bywa, że też NAS albo serwer kopii. Do tego dochodzi prywatny telefon pracownika podpięty do Wi-Fi, laptop podwykonawcy, czasem sieć dla gości. I nadal wszystko jest w jednej, wspólnej przestrzeni, bo „tak działało od zawsze”. W efekcie firma buduje środowisko, w którym jeden słabszy element, np. urządzenie IoT z rzadkimi aktualizacjami albo rejestrator monitoringu znajduje się w tej samej sieci co komputery pracowników i zasoby firmowe. To nie jest abstrakcyjne ryzyko: jeżeli dojdzie do infekcji na jednym komputerze albo ktoś zdobędzie dostęp do jednego urządzenia, ma znacznie prostszą drogę, by poruszać się dalej po całej infrastrukturze. Brak segmentacji nie tylko zwiększa ryzyko incydentu, ale też utrudnia diagnostykę i powoduje chaos operacyjny, bo awaria jednego elementu potrafi wpływać na inne.
Trzeci obszar, który często „pęka” w MŚP, to spójność podejścia do dostępu zdalnego i uprawnień. Gdy firma rośnie, pojawiają się różne sposoby łączenia się z biurem: ktoś korzysta z VPN, ktoś ma narzędzie do zdalnego pulpitu, ktoś łączy się przez panel routera, a ktoś ma jeszcze inny „awaryjny” sposób. Do tego dochodzą uprawnienia, które nadawano w pośpiechu: jedna osoba ma dostęp „do wszystkiego”, bo kiedyś była jedyną osobą ogarniającą temat, a zewnętrzny wykonawca ma konto, które miało działać przez dwa tygodnie, ale działa do dziś. To nie musi oznaczać, że ktoś nadużyje dostępu. Wystarczy, że te dane logowania gdzieś wyciekną, albo że konto zostanie przejęte phishingiem, a firma nawet nie będzie wiedziała, że w środowisku istnieje „wejście”, którego nikt nie kontroluje. Z perspektywy przedsiębiorcy problemem nie jest sama technologia, tylko brak procesu: kto ma dostęp, po co, na jak długo i kto to weryfikuje.
Dlatego minimalne, zdroworozsądkowe wdrożenie firewalla w małej firmie zaczyna się od uporządkowania architektury, a nie od dokładania „fajnych funkcji”. Najpierw porządkuje się sieci tak, żeby goście i urządzenia IoT nie były w tej samej przestrzeni co komputery firmowe, a monitoring i urządzenia pomocnicze miały dokładnie taki dostęp, jaki jest im potrzebny i ani o krok więcej. Następnie zamyka się niepotrzebne ekspozycje do internetu, czyli usuwa doraźne wyjątki i buduje jeden, kontrolowany sposób dostępu zdalnego, najczęściej oparty o VPN i jasne zasady uprawnień. Równolegle warto włączyć logi w taki sposób, żeby w razie problemu dało się odtworzyć historię zdarzeń: kto się łączył, skąd, do czego, oraz czy pojawiały się nietypowe próby dostępu. Ten fundament zwykle daje największy zwrot, bo zmniejsza liczbę „niespodzianek” i sprawia, że środowisko jest przewidywalne: łatwiej je utrzymać, łatwiej rozwijać i łatwiej zdiagnozować, gdy coś pójdzie nie tak. Dopiero na takim uporządkowanym szkielecie ma sens dokładanie kolejnych elementów ochrony, bo wtedy nie są one plastrem na chaos, tylko wzmacniają dobrze ułożony system.
Podsumowując: jeśli korzystasz z Microsoft 365, firewall nie jest po to, żeby „chronić M365”. Jest po to, żeby chronić Twoją firmową sieć, urządzenia i dostęp do zasobów, a przede wszystkim ograniczyć skutki błędów i incydentów, które w MŚP zdarzają się nie dlatego, że ktoś jest nierozsądny, tylko dlatego, że firma rośnie, pojawiają się nowe potrzeby, a infrastruktura bywa dokładana etapami. Dobrze dobrany i utrzymany firewall to mniej przestojów, lepsza kontrola pracy zdalnej oraz większa odporność na incydenty, w tym na ransomware, szczególnie wtedy, gdy jest połączony z sensowną polityką urządzeń końcowych, na przykład EDR (Endpoint Detection and Response – wykrywanie i reagowanie na zagrożenia na stacjach końcowych).
Na Twoją prośbę przygotujemy krótką analizę Twojej sieci pod kątem tego, czy firewall w ogóle jest potrzebny, a jeśli tak, to w jakiej skali. W Kompanii Informatycznej dobieramy rozwiązania tak, żeby pasowały do realnych procesów firmy i były utrzymywalne, a nie tylko „dobrze wyglądały w specyfikacji”. Skontaktuj się z nami >>>
Q&A
Czy mała firma potrzebuje firewalla, jeśli używa Microsoft 365?
W wielu przypadkach tak, bo Microsoft 365 zabezpiecza przede wszystkim usługi w chmurze (poczta, pliki, logowanie), natomiast nie „pilnuje” tego, co dzieje się w sieci biura. A w biurze nadal są urządzenia i zasoby lokalne: drukarki, monitoring, systemy sal konferencyjnych, urządzenia IoT , czasem NAS i Wi-Fi dla gości. Firewall pomaga ograniczyć ryzyko przypadkowego wystawienia usług do internetu, uporządkować ruch w sieci i zmniejszyć skutki incydentu, gdy problem zacznie się na jednym komputerze.
Czy firewall ma sens, gdy firma pracuje zdalnie lub hybrydowo?
Tak, bo praca zdalna to przede wszystkim kwestia bezpiecznego dostępu. Nawet jeśli zdalnie korzysta się głównie z M365, często pojawia się potrzeba dostępu do zasobów lokalnych (drukowanie, aplikacje działające w biurze, archiwa, urządzenia specjalistyczne). Firewall pozwala zbudować kontrolowany dostęp przez VPN zamiast „skrótów” typu wystawiony zdalny pulpit albo przekierowane porty. Daje też widoczność: kto się łączy, skąd i do czego, co w razie problemów skraca czas diagnozy i ogranicza przestoje.
Czy Windows Defender Firewall (zapora w Windows) wystarczy w firmie?
Nie jako jedyne rozwiązanie, bo Windows Defender Firewall chroni pojedyncze urządzenie, ale nie zarządza ruchem całej sieci firmowej. Nie rozdzieli sieci gościnnej od firmowej, nie zapewni spójnego VPN, nie skontroluje ruchu między segmentami i nie da jednolitego obrazu tego, co dzieje się „na brzegu” sieci. W firmie to właśnie spójność zasad i segmentacja robią największą różnicę, a do tego potrzebny jest firewall sieciowy.
Czy router od operatora „z firewallem” wystarczy dla małej firmy?
Czasem wystarcza na start, ale zwykle przestaje być adekwatny, gdy firma rośnie albo pojawiają się realne potrzeby: Wi-Fi dla gości, monitoring, separacja IoT, bezpieczny dostęp zdalny, raportowanie i utrzymanie polityk. Router operatora zwykle daje podstawową filtrację i NAT, ale ma ograniczone możliwości segmentacji i kontroli. Wtedy sensowniejszy bywa UTM lub NGFW, bo pozwalają utrzymać porządek i zasady bez „rzeźbienia”.
Co to jest UTM i NGFW?
UTM (Unified Threat Management – zintegrowane zarządzanie zagrożeniami) to podejście, w którym jedno urządzenie łączy firewall i dodatkowe funkcje ochronne oraz zarządzania ruchem. NGFW (Next-Generation Firewall – firewall nowej generacji) idzie krok dalej w kontroli aplikacji, inspekcji ruchu i politykach bezpieczeństwa. Dla przedsiębiorcy najważniejsze jest to, że takie rozwiązania ułatwiają wdrożenie segmentacji, VPN i kontroli dostępu, a także dają lepszą widoczność zdarzeń niż prosty router.
Czy firewall chroni przed phishingiem?
Nie wprost, bo phishing to głównie problem tożsamości i zachowania użytkownika, a nie samej sieci. Przed phishingiem najlepiej chronią MFA (uwierzytelnianie wieloskładnikowe), szkolenia i zabezpieczenia poczty oraz tożsamości w M365. Firewall natomiast ogranicza skutki „drugiego kroku”, gdy po phishingu na urządzeniu pojawia się złośliwe oprogramowanie albo ktoś próbuje wykorzystać dostęp do sieci. Innymi słowy: phishing zatrzymuje się wcześniej w warstwie tożsamości, ale firewall pomaga, gdy atak przechodzi w etap poruszania się po sieci.
Czy firewall chroni przed ransomware?
Może znacząco ograniczyć skutki, ale nie jest jedyną ochroną. Ransomware często zaczyna się od zainfekowanego komputera, a potem próbuje „rozlać się” po sieci na udziały, NAS i serwery. Firewall, jeśli jest połączony z segmentacją, może ograniczyć komunikację między urządzeniami i utrudnić lateral movement (przemieszczanie się atakującego w sieci). Najlepszy efekt daje połączenie firewalla z EDR (Endpoint Detection and Response – wykrywanie i reagowanie na zagrożenia na stacjach końcowych) oraz sensownym backupem.
Co jest ważniejsze: firewall czy EDR?
To dwa różne poziomy ochrony. EDR chroni komputery i potrafi szybko wykrywać podejrzane zachowania na urządzeniu, a firewall zarządza ruchem sieciowym i ogranicza rozchodzenie się problemu w infrastrukturze. Najczęściej najlepszym podejściem jest połączenie obu elementów w rozsądnej skali: EDR na urządzeniach pracowników i firewall z segmentacją w biurze.
Kiedy firewall w małej firmie może nie mieć sensu?
W sytuacji, gdy firma faktycznie nie ma zasobów lokalnych, nie trzyma niczego w biurze poza dostępem do internetu, nie ma urządzeń wymagających separacji, a wszyscy pracują na zarządzanych urządzeniach z dobrą polityką tożsamości i bezpieczeństwa w M365. Nawet wtedy zwykle pozostaje temat sieci gościnnej, IoT lub monitoringu, które potrafią „wrócić” szybciej, niż się wydaje. W praktyce firewall najczęściej ma sens, tylko jego skala i złożoność powinny być dopasowane do realnych potrzeb, a nie do „topowej specyfikacji”.
Jakie są najczęstsze błędy przy wdrożeniu firewalla w MŚP?
Najczęściej problemem nie jest brak urządzenia, tylko brak porządku. Typowe błędy to pozostawione otwarte porty „na chwilę”, brak segmentacji, niespójny VPN oraz dostępy, których nikt nie przegląda po zmianach w zespole lub u dostawców. Do tego dochodzi brak aktualizacji i brak logów albo logi, których nikt nie sprawdza. W efekcie firewall jest, ale działa jak drogi router, bez realnego wpływu na ryzyko.
Ile kosztuje firewall dla małej firmy?
Koszt zależy od liczby użytkowników, liczby lokalizacji, potrzeb VPN i segmentacji oraz tego, czy w grę wchodzi UTM lub NGFW. W praktyce koszt trzeba liczyć nie tylko jako sprzęt, ale jako całość: wdrożenie, konfigurację zasad, dokumentację i utrzymanie (aktualizacje, zmiany, monitoring). Dla przedsiębiorcy sensownym punktem odniesienia jest koszt jednego przestoju lub jednego incydentu, bo to one zwykle generują największe straty.
Jak sprawdzić, czy obecny firewall jest dobrze skonfigurowany?
Najbardziej praktyczna metoda to szybki przegląd architektury i zasad: czy jest osobna sieć gościnna, czy IoT i monitoring są odseparowane, czy nie ma niepotrzebnych przekierowań portów, czy VPN jest jedyną drogą dostępu do zasobów lokalnych oraz czy logi są włączone i dają się sensownie przejrzeć. Jeśli odpowiedzi są niepewne lub „kiedyś było ustawione”, to zwykle oznacza, że warto zrobić krótki audyt konfiguracji i uporządkować zasady, zanim pojawi się realny problem.
Bibliografia:
- Cheswick, W. R.; Bellovin, S. M.; Rubin, A. D. *Firewalls and Internet Security: Repelling the Wily Hacker*. Addison-Wesley Professional, 2003.
- Zwicky, E. D.; Cooper, S.; Chapman, D. B. *Building Internet Firewalls*. 2nd ed. O’Reilly, 2000.
- Stallings, W. *Network Security Essentials: Applications and Standards*. 6th ed. Pearson, 2021.
- Kaufman, C.; Perlman, R.; Speciner, M. *Network Security: Private Communications in a Public World*. 2nd ed. Pearson Education, 2002.
- Anderson, R. *Security Engineering: A Guide to Building Dependable Distributed Systems*. 3rd ed. John Wiley & Sons, 2020.
- Kurose, J. F.; Ross, K. W. *Computer Networking: A Top-Down Approach*. 8th ed. Pearson, 2021.