Новый виток эволюции в управлении сетевой безопасностью

От ручного управления к автоматизации

Межсетевые экраны и IPS появились не вчера – этим технологиям уже десятки лет. За это время ИT-инфраструктура отечественных компаний обросла гроздьями всевозможных межсетевых экранов, фильтрующих роутеров и коммутаторов, в конфигурации которых десятки раз в день вносятся изменения. Зачастую используются продукты разных производителей. Например, сеть построена на Cisco, межсетевые экраны Check Point и есть какой-нибудь сегмент (филиал, дочерняя компания), защищенный Juniper, потому что так сложилось исторически.

Некоторые продукты эксплуатируются так долго, что пережили несколько смен команд ИT и ИБ, каждая из которых сформировала в настройках устройств свой "культурный слой", внося изменения поверх предыдущего, не разбираясь в наследии предшественников. Что можно понять: проанализировать и осознать конфигурации в тысячи строк, к тому же разных форматов, – задача если и не невозможная, то крайне трудоемкая. С точки зрения ИБ это кошмар наяву: избыточные, забытые или неиспользуемые разрешающие правила – сложно обнаруживаемые бреши в безопасности. Конечно, проводятся аудиты сетевой безопасности, но, во-первых, это ручной анализ со всеми вытекающими проблемами в части затрат и эффективности, а во-вторых, оперативность обнаружения невелика (периодичность аудитов обычно 2 раза в год).

Другой распространенный вариант – использовать сканеры безопасности, но по итогам сканирования можно сделать лишь косвенные выводы; это борьба со следствием, а не с причиной возникновения проблем. И потребность перехода от ручного анализа и управления сетевой безопасностью к централизованным автоматизированным инструментам для отечественных компаний актуальна уже сейчас (несмотря на то, что обычно прогнозы Gartner на нашем рынке становятся актуальны с задержкой на 1–3 года).

На нашем рынке представлено порядка 5 решений, работающих с этими проблемами. К числу наиболее технически зрелых можно отнести Tufin Orchestration Suite и AlgoSec Security Management Suite. Они имеют схожие подходы, архитектуру и функционал, отличающийся лишь в деталях. Для обоих решений характерна модульная архитектура: по 3 модуля – SecureTrack, SecureChange, SecureApp у Tufin и Firewall Analyzer, FireFlow и BusinessFlow у AlgoSec.

Управление изменениями и анализ соответствия

Базовый модуль (Tufin Secure-Track и AlgoSec Firewall Analyzer) – основная неотъемлемая часть решений – предназначен непосредственно для сбора и анализа конфигураций устройств сетевой безопасности всех основных производителей: Cisco, Check Point, Juniper, Palo Alto, Fortinet, McAfee, Stonesoft, VMware и др.

Для сбора конфигураций осуществляются подключения к конечным устройствам, запуск на них определенных команд или скачивание непосредственно конфигурационных файлов. Подключение может быть настроено периодическое или как реакция на получение определенного syslog-сообщения или SNMP-trap. Необходимо отметить, что решение "понимает" собранные конфигурации, т.е. разбирает их на логические элементы: правила роутинга, NAT, межсетевого экранирования, объекты доступа и др. Интерпретация конфигураций разных производителей в универсальные логические структуры дает решениям данного класса расширенные аналитические возможности. Кроме того, глубокое "понимание" настроек позволяет соотнести между собой сведения об интерфейсах и таблицах маршрутизации разных устройств и автоматически составить карту топологии сети. Эта карта – удобный интерактивный инструмент анализа проблем прохода трафика по сети: задаем начальную и конечную точку, протокол – получаем визуализацию прохождения трафика с указанием всех промежуточных устройств, правил маршрутизации и межсетевого экранирования, по которым такой трафик пройдет (или точку, в которой он будет заблокирован).

Наиболее естественная функция базового модуля – управление изменениями: ведется архив всех версий конфигураций на устройстве, фиксируется, кто, когда и на основании чего внес изменение, возможна привязка к номеру заявки из встроенной или внешней системы. Так как конфигурации загружаются непосредственно с конечных устройств, то фиксируются изменения, сделанные любым способом (и с помощью консолей управления, и с помощью прямых терминальных подключений и т.п.). Это существенно затрудняет сомнительные манипуляции сетевых администраторов. Естественно, в решении предусмотрен функционал сравнения разных версий конфигураций, здесь это осуществляется путем сопоставления пары конфигураций "лицом к лицу" и выделением изменений цветом.

Но главная ценность подобных решений – не функционал по управлению изменениями (в том или ином виде присутствующий в вендорских системах управления), а функционал по анализу соответствия конфигураций. В решениях присутствуют встроенные наборы политик PCI DSS, ISO, наборы лучших практик, базирующихся на общих рекомендациях по ИБ и рекомендациях производителей конечных устройств. И самое главное – поддерживаются гибко настраиваемые политики сетевого доступа. Что это дает? То, что теперь политику сетевого доступа и матрицу, существовавшие ранее только на бумаге (в качестве представления специалистов ИБ о некоторой идеальной ситуации), можно перенести в автоматизированную систему и отслеживать вносимые на устройства изменения на соответствие этой политике в режиме Real Time.

Допустим, у сотрудников call-центра из сети A не должно быть доступа к сети банкоматов D. Система автоматически определит промежуточные межсетевые экраны (а также маршрутизаторы, коммутаторы с ACL) AB, BC и CD, через которые трафик идет из сети A в сеть D, и все изменения конфигураций на них будут проверяться на соответствие политике автоматически. Или, наоборот, доступ из сети банкоматов к сети процессинга должен быть всегда по определенным протоколам (т.к. это высококритичный сервис), об изменениях правил межсетевого экранирования, перекрывающих его, будут оповещаться все ответственные сотрудники.

К вопросу о предотвращении

Предыдущий пример демонстрирует решение с точки зрения быстрой реакции на инцидент, но доступность сервиса все равно нарушается. Да, это так. Базовый модуль решений – реактивный инструмент. Для того чтобы обнаруживать потенциальные угрозы еще до применения изменений на конечном оборудовании, предназначен второй модуль (SecureChange у Tufin и FireFlow у AlgoSec). Этот модуль позволяет автоматизировать рабочий процесс на всех его этапах: формирование задачи, ее согласование, проектирование решения, внесение изменения, верификация. В результате получаем тикет-систему с удобными инструментами работы на каждом этапе. Например, на стадии согласования сотрудник ИБ может запустить автоматическую проверку соответствия планируемых изменений настроенной политике ИБ и на основании этих данных принимать решение о согласовании или отказе. На этапе проектирования сотрудник получает рекомендации, каким способом лучше изменение выполнять: на каком устройстве, какое правило добавить/изменить, – более того, могут быть сформированы конкретные команды в терминах конечных устройств. А можно настроить систему и на автоматическое применение согласованных изменений.

Подход со стороны приложений

Третий модуль в решениях (SecureApp и BusinessFlow) предназначен для менеджеров корпоративных приложений. Модуль позволяет абстрагироваться от сетевых устройств и задать сетевые требования для распределенных приложений. Например, определяем сегмент пользователей приложения, сервер приложения, сервер БД, сервер реплики БД, задаем, по каким протоколам эти компоненты между собой общаются, и называем эту конструкцию "интернет-магазин". Далее одним кликом формируем заявку на предоставление необходимого доступа. В дальнейшем все изменения конфигураций сетевых устройств будут проверяться на предмет нарушения доступности приложения. Когда настанет момент вывести приложение из эксплуатации, все связанные с ним настройки сетевых устройств можно будет удалить парой кликов мыши. Это удобно.

*** Наш опыт показывает, что первоначальные результаты от использования аналитических инструментов заказчик получает уже на этапе предварительной демонстрации продуктов: обнаруживается длинный список перекрывающихся правил, ни к чему не привязанных объектов, становятся очевидными пути оптимизации конфигураций, позволяющие снизить загрузку устройств. Например, в одной компании на корневом маршрутизаторе было обнаружено правило, обрабатывающее 80% трафика, при этом оно располагалось на 37-й позиции. То есть 4 из 5 сетевых пакетов проходили почти через 40 фильтров "вхолостую". Перераспределение порядка правил позволило роутеру "вздохнуть". Подобная оптимизация позволяет продлить жизненный цикл сетевых устройств более чем на 20%.