Управление сетевой инфраструктурой отнимает значительную часть рабочего времени сетевых инженеров и специалистов по информационной безопасности, которым необходимо следить за правильностью настройки правил доступа. В статье рассмотрено решение AlgoSec Fireflow, предназначенное для автоматизации этой задачи.
2. Возможности AlgoSec Fireflow
3. Работа с заявками и правилами в AlgoSec Fireflow
4. Управление жизненным циклом правил в AlgoSec FireFlow
5. Аудит и контроль изменений в AlgoSec FireFlow
6. Преимущества использования AlgoSec FireFlow
Введение
Управление сетевой инфраструктурой — это сложная задача для IT-службы и повышенный источник риска для информационной безопасности. Задача еще больше усложняется, если в сети используются продукты различных производителей, выполняющие разные задачи. Кроме необходимости обладать знаниями о настройке различных устройств, специалистам IT-службы нужно четко представлять себе схему сети и поддерживать правила распределения трафика и правила доступа в актуальном состоянии. В сетях любых размеров изменение правил межсетевых экранов — рутинная задача, отнимающая силы и время практически ежедневно. При этом службе ИБ приходится постоянно вручную отслеживать правильность настройки сетевых устройств, чтобы не допустить нарушение правил доступа и действующих политик безопасности.
Для решения подобных проблем и автоматизации управления сетевыми устройствами компания AlgoSec разработала специальный продукт — AlgoSec Fireflow. Он является частью AlgoSec Security Management Suite и расширяет функциональность базового продукта AlgoSec Firewall Analyzer, подробный обзор которого уже публиковался на нашем сайте. AlgoSec Fireflow включает в себя все функциональные возможности из AlgoSec Firewall Analyzer — анализ действующих правил настройки сетевого оборудования, мониторинг внесения изменений в правила, анализ рисков и оценку оптимальности правил. К тому же AlgoSec Fireflow позволяет автоматизировать процедуры внесения изменений в настройки сетевого оборудования и правила межсетевых экранов.
Возможности AlgoSec Fireflow
AlgoSec Fireflow занимает центральное место в линейке продуктов AlgoSec Security Management Suite. Он расширяет базовые возможности Firewall Analyzer и предоставляет инструменты для автоматизации управления настройками сетевого оборудования и правилами межсетевых экранов.
Рисунок 1. Схема продуктов, входящих в AlgoSec Security Management Suite
По сравнению с Firewall Analyzer, AlgoSec Fireflow дает дополнительные возможности:
- AlgoSec Fireflow позволяет переводить процессы работы с политиками и правилами межсетевых экранов в систему заявок. Пользователи получают возможность создавать заявки для внесения изменений в правила работы сетевого оборудования. Сетевые инженеры обрабатывают их и вносят требуемые изменения в настройки. А специалисты по ИБ получают механизмы для согласования всех изменений и проверки влияния изменений на защищенность инфраструктуры.
- Все заявки в AlgoSec Fireflow создаются в соответствии с рабочими процессами. В продукт встроен ряд стандартных рабочих процессов — простой запрос на изменение правил доступа, запрос с согласованием у ответственных лиц, запрос на удаление правил и другие. Также поддерживается создание пользовательских рабочих процессов, а для их управления реализован визуальный редактор с возможностью расстановки этапов работы по заявкам и дополнительных действий.
- Автоматизированное управление правилами на сетевом оборудовании AlgoSec Fireflow может работать в двух режимах — с полным доступом к сетевому оборудованию и возможностью автоматизированного обновления настроек и правил доступа или же в режиме «только чтение» с ручным управлением правилами. В первом режиме специалистам не требуется дополнительное обучение для работы с сетевым оборудованием любых производителей, которые поддерживаются в продукте AlgoSec Fireflow. При этом значительно увеличивается время, затрачиваемое на внесение изменений. В ручном режиме работы AlgoSec Fireflow позволяет контролировать внесенные изменения и их соответствие требованиям заявки, по которой работает сетевой инженер.
- В процессе обработки заявок и подготовке к внесению изменений в политики межсетевых экранов AlgoSec Fireflow производит анализ рисков, основываясь на различных рекомендациях и требованиях регуляторов (включая PCI-DSS, HIPAA, SOX). Если AlgoSec Fireflow обнаруживает риски, он предупреждает о них специалиста и позволяет приостановить работу по изменению настроек для проведения дополнительного анализа.
- Система заявок на внесение изменений в политики межсетевых экранов AlgoSec Fireflow поддерживает возможность установки срока действия правил. При истечении установленного срока можно инициировать процесс пересмотра заявки — поддерживается отправка специальных сообщений инициаторам заявки и другим задействованным участникам, чтобы они могли оценить необходимость продления срока жизни правил. В дальнейшем правила можно удалить или внести в них изменения.
- Fireflow предоставляет специалистам по ИБ и аудиторам полный доступ к истории всех изменений правил и к информации о текущих действующих политиках безопасности. По каждой заявке доступна история изменений — от момента ее создания до реальных изменений в сетевом оборудовании и закрытия заявки. Поддерживается гибкая система отчетов, отображение графической карты сети и расширенный поиск по множеству параметров.
Работа с заявками и правилами в AlgoSec Fireflow
Задачи бизнеса постоянно меняются, вместе с ними меняются и уровни доступа для пользователей, поэтому создание новых правил — частая работа для сетевого инженера. Аналогичной по функциональности является задача по изменению коммутации серверов между собой и внешними сетями.
Рисунок 2. Создание новой заявки в AlgoSec FireFlow
Две основные сложности, которые возникают при решении этой задачи, — необходимость ручного изменения правил доступа и отсутствие контроля по правильности изменений. Сетевому инженеру необходимо обладать навыками работы с сетевым оборудованием разных производителей и моделей, при этом желательно не ошибиться и выполнить все действия верно. Осуществить это бывает сложно, если объем настроенных правил и политик слишком большой. Кроме того, при ручной работе специалисты чаще всего просто дописывают новое правило и не проверяют, подпадает ли оно под действие одного из уже существующих и не блокируется ли иным правилом с более высоким приоритетом. В результате, если дублирующих правил множество, замедляется работа сетевого оборудования или ошибочно не предоставляется доступ. На анализ причин при этом тратится очень много времени.
Рисунок 3. Использование подставляемых значений при создании заявки в AlgoSec FireFlow
Также в процессе изменения правил часто теряется важная для безопасности составляющая — разрешение и согласование изменений у руководителя сотрудника, который запросил изменения, и у офицера безопасности. Злоумышленники, при компрометации компьютера пользователя, могут запросить от его имени лишние права доступа, и сетевой инженер часто предоставляет такие права без согласований и уведомлений ответственных лиц.
С помощью AlgoSec Fireflow добавление новых политик формализуется в системе заявок — в ней процессы согласования и отслеживания заявки поддерживаются на всех этапах работы. При этом общение между участниками процесса сведено к минимуму: пользователь формализует свою просьбу в удобном веб-интерфейсе с множеством подсказок и шаблонов, а после получает уведомления об изменениях в заявке по электронной почте. Ответственные лица, при необходимости согласований, также получают информацию по почте и подтверждают свое решение в том же веб-интерфейсе. Вся авторизация выполняется с помощью безопасных протоколов, поэтому риск компрометации учетных записей в AlgoSec Fireflow сведен к минимуму.
Сетевой инженер получает информацию о новых заявках только после всех согласований, когда можно переходить непосредственно к работе. Для каждой заявки реализованы различные статусы и шаги по ее исполнению, подробная настройка этапов обработки заявки осуществляется с помощью механизма рабочих процессов.
Рисунок 4. Редактор рабочего процесса для заявок в AlgoSec FireFlow
В общем случае заявка проходит через следующие этапы:
- На первом этапе создается план выполнения заявки — оценивается влияние текущих правил доступа на заявку, оценивается необходимость внесения изменений и составляется список затрагиваемых устройств и настраиваемых правил. Иногда заявки реализуются уже на данном этапе — если выясняется, что необходимые разрешающие правила уже созданы или подпадают под более общие правила межсетевых экранов.
При наличии запрещающих правил доступа, мешающих реализации заявки, инженер может посмотреть, какие именно правила доступа затрагивают планируемые изменения, и выбрать дальнейший план действий.
Рисунок 5. Этап планирования выполнения заявки в AlgoSec FireFlow
- После подготовки плана изменений наступает следующий этап — подтверждение изменений перед внесением. На этом этапе AlgoSec Fireflow производит оценку планируемых изменений и выдает таблицу обнаруженных потенциальных рисков. Для дальнейшей обработки заявки инженер может принять обнаруженные риски и продолжить работу или отказать пользователю с соответствующим уведомлением.
Рисунок 6. Этап подтверждения заявки в AlgoSec FireFlow
- Следующий этап — применение правил. AlgoSec Fireflow отображает те правила, которые должны быть созданы на межсетевых экранах. В автоматизированном режиме изменения вносятся автоматически и отображается результат операции.
Рисунок 7. Этап применения правил по заявке в AlgoSec FireFlow
- Затем следует этап проверки примененных правил. AlgoSec FireFlow ожидает завершение действий по внесению изменений и проверяет правильность изменений с помощью специальных алгоритмов. При обнаружении ошибок отображаются подробные советы по исправлению.
Рисунок 8. Этап проверки примененных по заявке правил в AlgoSec FireFlow
После проверки и подтверждения внесения изменений заявка переходит в статус решенной и все задействованные участники (инициатор заявки, согласовывающие лица и т. д.) получают уведомление о предоставлении доступа.
Управление жизненным циклом правил в AlgoSec FireFlow
В большинстве инфраструктур стандартные инструкции не предусматривают жизненного цикла правил и после создания нового разрешения на доступ про правило забывают. Из-за этого в сетевой инфраструктуре за годы накапливаются сотни и тысячи неиспользуемых правил, замедляющих работу сетевого оборудования и создающих угрозу безопасности информации. Поэтому поиск и проверка актуальности настроенных политик — важная задача, решить которую без AlgoSec FireFlow практически невозможно из-за сложности процесса и объема необходимой работы по выяснению истории создания правил и их текущей актуальности.
Рисунок 9. Актуализация устаревшего правила в AlgoSec FireFlow
По прошествии определенного времени для заявки может быть инициирован процесс проверки актуальности, в ходе которого всех участников оповещают и просят подтвердить необходимость дальнейшего наличия доступа. При отсутствии потребности в доступе инженер инициирует удаление правил, повторно проходя этапы по подготовке изменений, оценке рисков, применению правил и проверке изменений.
Рисунок 10. Отправка запроса ответственным лицам на актуализацию правила в AlgoSec FireFlow
Аудит и контроль изменений в AlgoSec FireFlow
Еще одна важная задача, которая решается с помощью AlgoSec FireFlow, — это контроль политик межсетевого экрана со стороны офицера безопасности. Часто забывается, что специалист по информационной безопасности должен следить не только за защищенностью рабочих мест и внешнего периметра сетевой инфраструктуры, но и за всеми политиками сетевого оборудования. При этом зачастую специалист по ИБ не обладает необходимыми навыками для самостоятельной работы напрямую с сетевым оборудованием, поэтому использование AlgoSec FireFlow является идеальным инструментом для решения данной задачи.
Рисунок 11. Поиск изменений в правилах в AlgoSec FireFlow
В AlgoSec FireFlow возможен просмотр всех заявок и подробное отображение истории изменения заявки и связанных с ней правил межсетевого экрана. Поддерживается гибкий поиск заявок по различным критериям, а также поиск по правилам и сетевому оборудованию с отображением заявок, по которым производились изменения. Офицер безопасности в любой момент может выяснить, кто инициировал запрос на изменения, кто его согласовывал и кто применял изменения непосредственно на сетевом оборудовании.
Рисунок 12. Просмотр истории изменений заявки в AlgoSec FireFlow
В случае проведения аудита на соответствие инфраструктуры требованиям различных регуляторов, в AlgoSec FireFlow средствами AlgoSec Firewall Analyzer можно подготовить отчет по рискам и выполнениям данных требований. Это значительно упрощает аудит и снижает его стоимость.
Рисунок 13. Отчет по выполнению требований регуляторов в AlgoSec Firewall Analyzer, построенный из AlgoSec FireFlow
Преимущества использования AlgoSec FireFlow
Управление политиками и правилами сетевого оборудования с помощью AlgoSec FireFlow имеет ряд важных преимуществ перед ручным выполнением аналогичных действий:
- Значительно повышается скорость выполнения заявки и снижается загруженность сетевых инженеров. Это позволяет сократить число обслуживающего персонала в текущих инфраструктурах или перераспределить нагрузку на специалистов для сокращения расходов в смежных областях работы — контроле доступа, обслуживании рабочих мест и серверов и т. д.
- Снижается число входящих запросов при использовании анализа текущих правил доступа. По статистике, более 25% запросов не требуют изменения правил доступа, так как необходимый доступ уже предоставлен. Эта особенность также позволяет снизить нагрузку на специалистов, не требуя от них перепроверки уже настроенных правил.
- Сокращаются расходы на обучение специалистов и поиск сотрудников с необходимыми знаниями. С помощью AlgoSec FireFlow отпадает необходимость в глубоких знаниях сетевого оборудования различных вендоров. Продукт можно настроить для автоматизированного применения правил, а в случае необходимости ручной настройки, в интерфейсе AlgoSec FireFlow отображаются точные правила для применения и советы по исправлению проблем.
- Сокращается время проведения аудитов, и снижаются сопутствующие расходы — это достигается за счет механизмов оценки рисков и готовых отчетов под различные требования регуляторов.
- Снижаются риски, связанные с информационной безопасностью, — за счет того, что офицерам безопасности предоставляются гибкие инструменты мониторинга, а также с помощью контроля над жизненным циклом правил доступа.
По приблизительным оценкам, окупаемость инвестиций (ROI) для AlgoSec FireFlow при наличии в инфраструктуре 20 межсетевых экранов, 30 заявок на изменение правил в неделю и зарплате сетевого инженера в 90 000 рублей составляет примерно 4 млн рублей экономии в год.
Рисунок 14. Расчет оценки окупаемости инвестиций (ROI) для AlgoSec FireFlow на сайте AlgoSec
Выводы
AlgoSec FireFlow — продукт, позволяющий полностью структурировать и автоматизировать работу с сетевым оборудованием в инфраструктуре большинства компаний. За счет поддержки большого числа сетевого оборудования и реализации всех процессов работы с правилами доступа продукт значительно сокращает расходы на обслуживание сетевой инфраструктуры и поддержку правил межсетевых экранов в актуальном состоянии.
Благодаря удобному интерфейсу, широким функциональным возможностям и различным встроенным механизмам AlgoSec FireFlow может быть внедрен в любую инфраструктуру без длительного процесса адаптации пользователей и сетевых инженеров, а автоматизированные механизмы внесения изменений и сопровождения заявки позволяют значительно сократить время обработки заявок и ускорить реализацию новых и существующих бизнес-процессов.
С точки зрения информационной безопасности AlgoSec FireFlow является хорошим средством для отслеживания всех изменений в политиках сетевого доступа: инструменты по анализу рисков позволяют избежать нарушений требований регуляторов, а подробные отчеты — сократить время и стоимость аудитов. Кроме того, AlgoSec FireFlow позволяет наладить процесс согласования всех изменений в правилах доступа до их применения и отслеживать устаревшие правила доступа, которые могут представлять опасность с точки зрения безопасности инфраструктуры.
