Оптимизация и контроль правил безопасности в физических сетях и средах виртуализации

Tufin Orchestration Suite (TOS) от израильской компании Tufin - одна из ведущих в мире систем класса Unified Firewalls Management. Это комплексное решение для администрирования задач сетевой безопасности позволяет осуществлять мониторинг, оперативно фиксировать изменения, выполнять качественный анализ правил защиты в межсетевых экранах и устройствах маршрутизации и коммутации. Помимо этого, система обеспечивает автоматическое управление корректировкой правил брандмауэров, а также централизованное администрирование подключений сервисов. TOS гарантирует высокую степень анализа защищенности доступов, как и соответствие внутренним и внешним нормативам по безопасности.

Необходимость в подобных решениях связана с тем, что сети продолжают усложняться, требуя постоянной модернизации. Отвечающие за безопасность сотрудники должны учитывать эту модернизацию, как и потребности деловой активности: структурировать группы пользователей приложений, переносить данные в ЦОД, решать вопросы организации подключений, подготавливать объекты к проверкам и так далее. Кроме того, необходимо разрабатывать и реализовывать такие задачи в сфере IT, как виртуализация, переход на «облачные» технологии и SDN.

Пакет Tufin Orchestration Suite построен по модульному принципу и включает три компонента: базовый SecureTrack, еще один – SecureChange представляет возможности для эффективной автоматизации бизнес-процессов предоставления доступа, а третий - SecureApp -используется для обеспечения непрерывной сетевой доступности приложений 24X7 и оперативного перемещения ресурсов (серверов и приложений) предоставляемых клиентам сервисов между разными участками сети.

Одним из главных преимуществ TOS является предоставление специалистам ИТ и ИБ уже в базовой версии единой консоли управления политиками безопасности для всех сетевых брандмауэров, маршрутизаторов, коммутаторов и т.п., включая подсистемы защиты облачных сред, от Palo Alto, Juniper, Cisco, Fortinet, McAfee, BlueCoat, Stonesoft, Checkpoint, F5 и других. Также поддерживаются программно-определяемые ЦОД (SDDC) и ведущие облачные платформы. Решение позволяет контролировать и администрировать правила безопасности всех указанных платформ с единой консоли.

TOS охватывает всю структуру, отслеживая все изменения в политиках доступов, обеспечивая точное и оперативное представление о сетевой безопасности. Кроме того, решение предоставляет рекомендации по оптимизации правил, а также расширенную функциональность для работы с рисками. 

С помощью Tufin Orchestration Suite организации могут добиться постоянного соответствия корпоративным нормам и регулирующим стандартам, таким как PCI DSS, HIPAA и др. TOS позволяет определять зоны PCI и соответствующих ресурсов, мгновенно генерировать отчеты о соответствии правил доступа брандмауэров заданным требованиям. Помимо этого, при необходимости, Tufin обеспечивает возможность создания исключений из проверки, а также рассчитывает информацию о соответствии по факту изменения правил доступов.

Tufin Orchestration Suite предоставляет широкие возможности для осуществления контроля и оценки правил безопасности в физических сетях и средах виртуализации. Так автоматический журнал регистрации событий и настраиваемые бизнес-процессы в системе от Tufin позволяют поддерживать соответствие основополагающим стандартам, таким как ITIL, COBIT и ISO 27001. Tufin проверяет все запросы доступа и корректировки правил безопасности на соответствие задаваемым политикам — как до выдачи разрешения на внесение изменений, так и после внесения. В окне Compliance отображается текущее состояние контролируемых систем по соответствию. Здесь же можно создать настраиваемые отчеты, что значительно сокращает время подготовки к проверкам.

Сегодня значительное число компаний широко используют частные, общедоступные и смешанные виртуализованные и «облачные» структуры. Специалистам в области безопасности требуется сформировать правильные процедуры и методы работы, гарантирующие защиту информационных ресурсов в таких средах от современных угроз. Решение Tufin Orchestration Suite позволяет администрировать локальные брандмауэры «стандартного» типа решения защиты следующего поколения (NGFW), а также встроенные средства обеспечения безопасности систем виртуализации сетевых сред, в том числе VMware NSX, AWS и OpenStack. Использование решения от Tufin позволяет автоматизировать и обеспечить достаточно высокий уровень безопасности структуры доступа благодаря механизмам централизованного управления, подсистемам анализа рисков и средствам оценки соответствия.

Целый ряд из числа крупных инцидентов по взлому произошли в результате начальных ошибок конфигурации сетевых средств, которые позволяли выполнить дальнейшее распознавание инфраструктуры и провести атаку на ресурсы. Тщательно сегментированная сеть позволяет избежать использования ряда «лазеек» путем изоляции и выделенной защиты сервисов. Для дополнительного и тщательного контроля рекомендуется создание микросегментов сети, выделенных зон ресурсов. Для учета и контроля внутренней логики разделения сети и обеспечения безопасности доступов в микросегментах – решение Tufin предоставляет функцию Unified Security Policy. С ее помощью можно контролировать логический сетевой доступ, например, между системами разработчиков, бухгалтерии, техподдержки и внешними сетями. Решение по обновляемой топологии сети само определит, какие правила на каких устройствах не соответствуют задаваемой схеме микросегментов. Таким образом – решение контролирует доступы между отдельными наборами ресурсов в подразделах внутренней сети, сокращая площадь поверхности потенциальных атак.

Сетевая инфраструктура во многих компаниях, зачастую, образуется в результате целого ряда этапов расширения и модернизации, слияния ресурсов и их распределения. Для всеобъемлющего контроля специалисты по безопасности должны иметь четкое представление о текущей топологии и структуре логического доступа. Tufin Orchestration Suite автоматически составляет и обновляет топологическую схему всех подключенных устройств, формируя модель для точного планирования и внедрения изменений доступов, а также для оценки рисков. Функция карты сети поддерживает анализ всех стандартных технологий маршрутизации (статическая и динамическая), а также технологий VRF, MPLS, NAT, IPsec и др. Автоматически обновляемая интерактивная карта позволяет просматривать и анализировать доступы в сети любого уровня сложности, экспортируя данные в форматах PDF, PNG и Visio.

Специалисты по работе с сетевым оборудованием тратят значительную часть рабочего времени на внесение изменений в действующие политики (ACL) устройств защиты сети. Обычно за неделю вносятся несколько десятков (а то и более) изменений в структуру доступа. Решение Tufin Orchestration Suite сокращает время внесения изменений за счет полной автоматизации данного процесса. Сетевые инженеры и архитекторы приложений могут подавать запросы на коррективы в доступе через простой веб-интерфейс решения, предоставляя системе задачи по оценке риска и точному составлению правил на всех сетевых устройствах по пути запроса. При автоматическом внесении изменений Tufin использует карту топологии сети и определяет релевантные устройства. Затем решение анализирует актуальные правила брандмауэров и определяет степень необходимых изменений. Если необходимость в создании нового правила есть - оно находит оптимальное место размещения правила в ACL, принимая во внимание уже существующие правила и логику обработки политик на устройствах того или иного производителя. После внесения всех изменений Tufin Orchestration Suite мгновенно сверяет результат с первоначальным запросом и автоматически его документирует.

Приложения — «сердце» современной сетевой структуры. По мере развития и наполнения их реальными данными - их важность только возрастает. Как современной компании гарантировать доступность к критичным бизнес-приложениям в любое время? Tufin Orchestration Suite позволяет обеспечивать автоматическую защиту доступов как между компонентами распределенных приложений, так и доступов изнутри/снаружи к ним. Эту функцию можно назвать «охраной доступов приложений». Решение Tufin Orchestration Suite анализирует изменения в доступах, не позволяя нарушать взаимосвязи между ключевыми приложениями и их пользователями или мгновенно оповещая о нарушении доступов приложений по факту некорректного изменения. При этом отображается информация о том, какая учетная запись, на каком устройстве создала несоответствующее изменение. Оперативные оповещения могут получать как ИТ-специалисты, так и сотрудники службы информационной безопасности.

Пакет Tufin Orchestration Suite работает в комплексе с ведущими системами ITSM: BMC Remedy, ServiceNow, CA Service Desk и HP Service Manager. Интеграция выполняется на уровне Web-API, причем у вендора есть отдельное подразделение (не относящееся к Professional Service), которое специализируется на данных задачах. Это позволяет вносить необходимую техническую, аналитическую и контекстную составляющую в структуру заявок, созданную имеющимися системами IT Service Management и Ticketing. Применение структуры RESTful API Tufin позволяет вносить более расширенные и глубокие интегративные изменения и дополнения.

В конкурирующих решениях лицензии предоставляются для оборудования конкретного производителя. Решение Tufin TOS оперирует мультивендорными лицензиями, что позволяет, в случае смены оборудования, не обращаться к производителю решения за конвертацией лицензий (с возможной доплатой). Достаточно просто перенести в GUI действующую лицензию от устройства одного производителя на устройство другого производителя. При использовании модуля бизнес-процессов SecureChange, если требуется распределенная и разветвленная логика обработки заявок доступа, нет необходимости тратить время на работу со сценариями («скриптами»), занимаясь трудозатратным программированием. Гибкость любого уровня в отношении конфигурации бизнес процессов доступна из GUI. Есть возможность получать обновления правил конфигурации устройств сетевой защиты в реальном времени, не только по централизованному опросу от модуля решения.

Официальный дистрибьютор Tufin Software Technologies Ltd. в Украине - компания NWU
Украина, 02002, Киев,
ул. Евгения Сверстюка, 11Ж
Тел: +380 44 3590131
e-mail: [email protected]
web: https://www.nwu.com.ua

Статья публикуется на правах рекламы