A Tufin Orchestration Suite-et (TOS) már nem kell bemutatni, érdemes viszont néhány szót szólni azokról az extra kiegészítőkről, amikkel alaposan felturbózható az amúgy is jól teljesítő megoldás..
Bevezetésképpen ejtenénk pár szót magáról a TOS-ról ismétlésként, illetve ismerkedés gyanánt azok számára, akik esetleg nem ismerik a szoftvert.
A Tufin Orchestration Suite egy három modulból – SecureTrack, SecureChange és SecureApp – felépülő, átfogó szabályrendszer-kezelő megoldás.
- A SecureTrack segítségével betekintést nyerhetünk a tűzfalainkon, hálózati eszközeinken lévő szabályrendszerekbe, konfigurációkba, és nyomon követhetjük az ezekben bekövetkező változásokat, valamint kézhez kapjuk az eszközeinket és a köztük lévő kapcsolatokat ábrázoló topológia térképet is.
- A SecureChange modul a házirendek módosításában nyújt nagy segítséget. Tulajdonképpen egy ticketing rendszer, amellyel megterveztethetjük, hogy egy új igény felmerülésekor mely tűzfalakon milyen módosítást kell ahhoz végrehajtani, hogy a kívánt kapcsolat létrejöhessen. De abban is nagy segítséget nyújt, ha a meglévő szabályrendszert szeretnénk felülvizsgálni vagy karbantartani.
- A SecureApp modul pedig az alkalmazásaink működéséhez szükséges kapcsolatok rendelkezésre állását támogatja. Nyomon követi, hogy az alkalmazás elemei és felhasználói, illetve adminisztrátorai közötti kommunikáció átjut-e a köztes tűzfalakon és hálózati eszközökön.
A TOS három modulja biztosítja, hogy a szabályrendszerünk „tiszta” legyen akár vegyes gyártói eszközökből felépített hálózat esetében is, ne legyenek felesleges policy-k, csak az, amire tényleg szükség van. Mindezt úgy, hogy az üzemeltetés közben elvégzett módosítások dokumentálva legyenek és csak olyan módosítások lépjenek életbe, amelyek jóvá lettek hagyva.
Kiegészítő eszközök a TOS használatához
Az ismétlés után nézzük meg részletesebben, milyen további eszközök állnak rendelkezésünkre, amelyek kiegészítik és kiterjesztik a Tufin képességeit! Az első, a Tufin Marketplace-en fellelhető alkalmazás, amelybe belekukkantunk, a
- SecureTrack Reporting Essentials (STRE). Ezzel a kiegészítővel könnyen értelmezhető riportokat generálhatunk a SecureTrack által összegyűjtött adatokból. Persze ez nem azt jelenti, hogy a SecureTrack enélkül nem tud riportokat készíteni. Maga az alapmegoldás is számos riportsablont tartalmaz, így például, ha egy monitorozott eszköz konfigurációjában változás történik, akkor arról nemcsak a Dashboardon keresztül értesülhetünk, hanem az új revízió érkezésével párhuzamosan generálódhat egy riport is, amit akár ki is küld a rendszer a beállított személyeknek. De készíthetünk riportot a lejárt vagy valamennyi időn belül lejáró szabályainkról is. Aztán készülhet riport a legtöbbet használt vagy legkevésbé használt szabályainkról/objektumainkról. A SecureTrack Reporting Essentials pedig olyan új riportsablonokat tartalmaz, amelyek magában a SecureTrackben nincsenek benne. Például a kiegészítő segítségével készíthetünk „Shadowed Rules” riportot is, amely összegyűjti azokat a szabályokat, amelyek nem kezelnek forgalmat, ugyanis a sorban valahol előttük már van olyan másik szabály, amelyre illeszkedik a forgalom.
- A Tufin Vulnerability Mitigation App (VMA) kulcsrakész integrációt biztosít a Tufin SecureTrack és a széles körben elterjedt sérülékenység-menedzsment alkalmazások – Rapid7 Nexpose, Rapid7 InsightVM, Tenable vagy Qualys – között. A sérülékenység-vizsgáló alkalmazástól kapott sebezhetőségi adatokat a SecureTrack össze tudja vetni a szabályrendszert leíró információkkal, így gyakorlatilag láthatóvá válik, hogy a hálózatunkban fellelhető sérülékeny eszközök elérését melyik tűzfalszabályok teszik lehetővé. Itt már csak annyi a feladatunk (ha a folyamat nem automatizált), hogy a SecureChange segítségével kezdeményezzük az érintett szabályok kiiktatását vagy módosítását. Legalábbis arra az időre, amíg magát a sérülékenységet nem küszöböljük ki.
ábra 1 Hogyan működik a VMA app?
- A Vulnerability-based Change Automation (VCA) app szorosan kapcsolódi kaz előző alkalmazáshoz. Ez a Marketplace alkalmazás a SecureChange modult integrálja third party sérülékenység-vizsgáló eszközökkel. A sérülékenység-menedzsmenttől kapott információk felhasználásával az új tűzfal-szabályok létrehozása előtt értesülhetünk arról, ha a szabály olyan forrás vagy cél entitást tartalmaz, amely sebezhető. A SecureChange integráció pedig biztosítja, hogy a SecureChange folyamatokban lévő biztonsági ellenőrzésekkel automatizálni tudjuk a tűzfal-szabályok megnyitása közben elvégzendő kockázat jóváhagyási folyamatot. Ezenkívül a VCA segítségével az érintett SecureChange „Access Request” típusú ticketekhez HMTL-jelentéseket hozhatunk létre, amelyek részletes leírást adnak a ticketben szereplő eszközök észlelt sebezhetőségeiről.
ábra 2 Hogyan működik a VCA app?
- A Security Policy Builder (SPB) alkalmazás a vállalati access hálózat szegmentációs keretrendszerének a kiépítésében és telepítésében segít. A SecureTrackben eddig is rendelkezésünkre álltak a Unified Security Policy (USP) mátrixok, amelyeket arra tudunk felhasználni, hogy „megmondjuk” a SecureTrack számára, milyen forgalmakat szeretnénk engedélyezni a hálózatunk egyes logikai egységei (zónái) között. A mátrixokban – több mátrixot is használhatunk – definiálni tudjuk, hogy egy-egy zónapár között melyek azok a forgalmak (például ssh, telnet, icmp stb.), amelyek engedélyezettnek vagy tiltottnak számítanak. A SecureTrack ezeknek az ismereteknek a birtokában folyamatosan vizsgálni tudja a szabályrendszerünket, hogy a meglévő szabályaink eleget tesznek-e ezeknek az elvárásoknak. Vagy esetleg vannak-e olyan rule-ok, amelyek nem kívánt forgalmat is lehetővé tesznek a két zóna között. Ilyen mátrixokat természetesen eddig is tudtunk használni, csak az előállításuk volt nehezebb, ugyanis nekünk kellett „kitalálni”, hogyan is kellene a hálózatunknak működnie, hogy az megfeleljen a saját belső elvárásainknak, illetve azoknak a követelményeknek, amelyeket a ránk vonatkozó előírások támasztanak velünk szemben. Majd ezt az információt a SecureTrackkel is meg kellett osztanunk, a régebbi verziókban csv-fájl segítségével, az új verzióban pedig már grafikus módon. A Security Policy Builder alkalmazás segítségével ezekkel szemben már arra is van lehetőségünk, hogy az alkalmazás elemezze a kiválasztott zónára vonatkozó szabályainkat és automatikusan létrehozza az USP mátrixot. A mátrixok rendszeres felülvizsgálatára is szükség van – ebben szintén segítséget nyújt az SPB –, mivel változhatnak az elvárásaink és a ránk vonatkozó szabályzások is, melyeket a szabályrendszerben is követnünk kell, így ha a mátrix up-to-date, akkor könnyen megtaláljuk, mely szabályokon kell még csiszolnunk, hogy a teljes szabályrendszer is tökéletes legyen.
Reméljük, hogy ebből a pár kiragadott és bemutatott kiegészítő alkalmazásból is kitűnik, hogy egy amúgy is jól működő alkalmazáshoz mennyi plusz funkciót lehet adni, melyek segítenek még emberközelibbé tenni egy alapból is könnyen használható megoldást. De ez csak a jéghegy csúcsa!
A blogbejegyzés az IT Business cikkének átdolgozott változata.