Сетевые инженеры и сотрудники ИБ в силу своих обязанностей должны минимизировать возможность проникновения в инфраструктуру. Основными способами является сегментация сети и ведение правил межсетевого экрана, минимизирующие возможные доступы. Выполняя эту задачу, можно делать все вручную. А можно использовать Firewall management (альтернативное название - NSPM - Network Security Policy Management) приложение, преимущества и варианты внедрения которого немного раскрываются в данной статье.
Если создание новых Access Control List (ACL) приводит к путанице и уже нет понимания, какое правило зачем было внесено, то пора наводить порядок, даже, скорее уже поздно. А если есть желание усилить меры ИБ или не хочется краснеть перед аудитором, то тут уже совсем сложно обойтись без какой-то документации. Но при этом очень хочется минимизировать время на ее формирование. Еще лучше вести документацию в одном месте и интегрировать информацию из нее в регулярные контроли.
Вопросы о том, есть ли у нас карта сети и какие информационные потоки у нас используются обычно вгоняют сетевого инженера в грусть. Хочется иметь готовый ответ на данный вопрос, так как все равно в итоге приходится тратить время на рассказ о том, как сейчас все устроено.
Открыты ли все сетевые правила для нашего резервного контура - совсем тяжелый и очень сложно проверяемый вопрос. Поэтому большинство сетевых инженеров ответят «Да», надеясь на удачу и на то, что резервный контур еще долго будет находиться в состоянии резерва. Понятно, что точно проверяет только тестирование, но желательно минимизировать потенциальное количество инцидентов до его организации и иметь возможность проверки доступности всех необходимых задокументированных потоков.
Если надо переместить сервер и поменять его IP адрес, то хочется заранее знать, какие правила надо открыть для нового IP. Тут тоже нужна документация. И было бы здорово выполнить предварительную проверку, что на сети все открыто до смены адреса, а не после. И еще лучше, когда максимум проверок выполняется сам, на основе информации о требуемых информационных потоках и о конфигурации сети.
Очень хорошо причины, по которым возникает желание как-то организовать управление сетью описаны в статье.
Что нам может помочь?
Итак, что мы получим, если воспользуемся приложением Firewall Management системой, что можно ожидать от данной автоматизации?
Сбор информации о конфигурации с сетевых устройств, фиксация выявленных изменений в конфигурации устройств. Возможен как онлайн сбор данных, так и ручная загрузка конфигурационного файла или настройка регулярной отправки конфигурации на TFTP сервер.
Сетевые настройки всех устройств будут доступны в единой среде поиска и просмотра.
Появляется карта сети.
Есть карточки сетевых устройств, на которых можно посмотреть базовые настройки всех интерфейсов в одном приложении.
Сетевые объекты можно прокомментировать, указав какое-то дополнительное описание. Это особенно важно для некоторых управляемых коммутаторов, в которых нет возможности указывать комментарии для указываемых в правилах IP адресах. Да и на маршрутизаторах, обычно можно назвать (прокомментировать) группу адресов, а чтобы дать название каждому IP отдельно надо заводить его как отдельный объект, что не всегда удобно.
Появляется возможность сквозного анализа по цепочке сетевых устройств, что надо исправить, чтобы трафик от одного сервера доходил до другого по заданному порту.
Все IP адреса сетевых устройств ��обраны в одно место, имеем IPAM по сетевым устройствам.
Firewall Management (или Security Policy Management или Network Security Management) – фиксация всех сетевых правил. Анализ по критичным потокам, что они доступны только с указанными ограничениями, а все остальное закрыто. Решение - сначала все выстроить только для критичных информационных потоков, а потом уже для всех остальных - позволяет начать контролировать наиболее критичные ресурсы. Хочется всего и сразу, но обычно сложно собрать полную информацию обо всех информационных потоках всех приложений и приходится действовать по шагам от максимально приоритетного к менее приоритетному.
Анализ, что все информационные потоки дойдут до целевого получателя.
Можно посмотреть, какие сетевые политики затеняются вышестоящими и никогда не выполняются.
По устройствам, объединенным в кластер, визуализируется разница в настройке интерфейсов с совпадающими номерами. Это позволяет минимизировать риск операционной ошибки при настройках кластера.
По всем политикам, выполняющим DNAT, проверяется, что трафик дойдет до целевого устройства. Если трафик будет блокироваться каким-то сетевым устройством, расположенным по маршруту до конечного устройства, причина блокировки будет подсвечена.
Если на разных сетевых устройствах задублирован IP адрес или сети заведены с разной маской, то о проблеме будет сообщено.
Используя некоторые приложения получаем возможность заведения карточек приложений и информационных потоков. Как ни печально, это достаточно большой труд внести информацию по используемым приложениям. На первом этапе можно ограничиться только критичными сервисами, сетевую доступность и наличие резерва по которым хочется контролировать. Зато после внесения информации получаем контроль, что сетевых ограничений нет как для основного контура приложения, так и для резервного. Есть проверка, что все нужные сервисы зарезервированы. Ну и существенно упрощается смена ВЛАНа или IP адреса сервера, на котором работает приложение. Поменяв адрес, будет выполнена проверка и показано, что на сети надо открыть после изменения.
Какие есть российские решения?
Использование российских решений сейчас оправдано, так как они ориентированы на российские межсетевые экраны и быстрее адаптируются под обновление версий российских устройств. С��йчас ситуация динамично меняется и уже есть несколько российских решений, которые позволяют в той или иной степени автоматизировать решение описанной выше задачи. В настоящее время скорее встает вопрос выбора ПО с учетом его функциональности и бюджета.
Информация о решениях Firewall management, которую я смог найти в интернете, я сгруппировал в таблице ниже:
Решение | Функциональные особенности | Стоимость |
Аудит лога изменений конфигураций, внесение изменений в настройки устройств, есть воркфлоу внесения изменений, возможность быстрой изоляции сегмента сети | На сайте нет информации | |
Сравнение конфигураций, ведение процесса изменений, достижимость целей атаки | Минимальная стоимость от 500 тыс. | |
Комплаенс профили, моделирование профилей атак | На сайте нет информации | |
Ведение карточек информационных сервисов и их информационных потоков, ДЕМО версия опубликована в интернете, IPMA с интеграцией в Netbox. | Лицензия бесплатная, платная техническая поддержка. | |
Контроль доступности ключевых сервисов, ведение шаблонов правил | На сайте нет информации |
Кому все это надо
Обычно за стабильную работу приложений отвечают системные / сетевые инженеры и сотрудники ИБ. Ну и их руководители. Выполнив все настройки эти люди будут себя спокойней чувствовать в части стабильности и защищенности работы.
Запуск и внедрение любого инструмента — это некоторые трудозатраты. При внедрении Firewall Management решения трудозатраты позволят получить Ваше спокойствие, как в отсутствии сейчас проблем в сетевых настройкам, так и в том, что после изменения конфигурации все, что нужно, будет продолжать работать.
Сейчас в большинстве организаций уже есть отдельный персонал, отвечающий за информационную безопасность. Задача по контролю за доступом к критичным ресурсам при внедрении Firewall management решения будет автоматизирована. У сотрудника ИБ упрощается процедура контроля. Ему надо сформулировать, что контролируем, а далее все идет само.
У сетевого инженера тоже отпадает необходимость делать регулярные ревизии, что все контроли, акцентированные со стороны ИБ, на месте и работают после последних изменений. Освобождается время от сверок правил, проводимых сетевым инженером и сотрудником ИБ.
А точно ли стоит тратить усилия?
Сегментация сети и сетевые ограничения являются, наверное, самой действенной мерой в информационной безопасности. Сегментация позволяет отфильтровать нежелательный сетевой трафик и предотвратить доступ к внутренним ресурсам. Так как сегментация и сетевые правила четко ограничивают возможные сетевые взаимодействия то, когда у Вас на сети открыт минимум, то вероятность проникновения минимальна. Это существенно надежнее, чем использование IDS или SIEM или WAF, которые реагировать могут не так быстро и которые злоумышленник может обойти, подготовив сетевой пакет по-другому. Сегментацию сети и сетевые правила нельзя обойти, они работают жестко, это их основой плюс. Минимизация открытых сетевых взаимодействий позволяет существенно уменьшить вероятность ИБ инцидентов.
А для минимизации сетевых взаимодействий хочешь или нет надо вести описание, фиксирующие все необходимые потоки. Поэтому для качественной организации сетевого сегментирования, являющегося основным средством информационной защиты, необходимо или в экселе или в какой-то системе вести учет информационных потоков. Как ни печально, для качественного выполнения работы надо тратить дополнительные усилия.
Облако или локальная версия
Учитывая, что информация о сетевых устройствах является очень чувствительной, использование облачной версии Firewall Management приложения возможно, но точно будет насторожено воспринято со стороны ИБ. Поэтому основным вариантом использования надо считать установку приложение локально, обычно это допускается приложением.
