Редакция журнала "Информационная безопасность", 29/12/23
Межсетевые экраны играют важнейшую роль в обеспечении безопасности сетей. Они фильтруют трафик, блокируют вредоносные атаки и обеспечивают контроль доступа пользователей сети к ресурсам. Однако управление работой парка межсетевых экранов от разных производителей и его оптимизация могут стать сложной задачей. Разные интерфейсы взаимодействия, специфичные параметры конфигурации каждого из вендоров и отсутствие возможности своевременного выявления аномалий в правилах МЭ могут создавать трудности для эффективного обеспечения постоянной доступности и безопасности сети организации.
"НОТА КУПОЛ. Управление" представляет из себя единый мультивендорный центр контроля, управления и оптимизации работы сетевых устройств, имеющих функции создания и применения политик безопасности. Ключевые функции системы – это мониторинг состояния доступности устройств, контроль и управление политиками/правилами на всех установленных в сети предприятия межсетевых экранах, UTM, NGFW российских и зарубежных вендоров. Но главный функционал – анализ политик/правил межсетевых экранов, находящихся в сети компании: контроль изменений политик, выявление "теневых", "избыточных", "обобщенных" и других аномалий в правилах, снижающих общую безопасность и пропускную способность сети организации.
Контроль, управление и оптимизация работы межсетевых экранов
"НОТА КУПОЛ. Управление" позволяет централизованно мониторить состояние доступности, контролировать и управлять политиками/правилами всех межсетевых экранов организации, а также оптимизировать их работу из единого центра.
В разделе "Устройства" пользователю предоставляется информация обо всех подключенных к системе МЭ, UTM и NGFW.
Для подключения нового устройства обязательно указывается логин и пароль его локального пользователя, имеющего права на чтение и/или управление политиками МЭ, конфигурациями устройства, настройками экспорта журнала и др. Таким образом, пользователь имеет возможность определить, в каком контексте система будет позволять своим пользователям взаимодействовать с добавленным устройством: осуществлять только функции контроля и анализа или также вносить какиелибо изменения в его настройки.
"НОТА КУПОЛ. Управление" автоматически мониторит состояния доступности подключенных устройств и бэкапирует себе их актуальные конфигурации. Это позволяет пользователю в случае недоступности одного из устройств незамедлительно увидеть это и своевременно исправить ситуацию (см. рис. 1).. Если же устройство полностью вышло из строя, то "НОТА КУПОЛ. Управление" позволяет пользователю быстро перенести его актуальную конфигурацию на замещающее устройство и таким образом оперативно восстановить работу сети организации и обеспечить необходимый уровень безопасности (см. рис. 2).
Рис. .1. Мониторинг состояния доступности подключенных устройств в «КУПОЛ. Управление»
Рис 2. Перенос конфигурации устройства
Система предоставляет пользователям единый интерфейс для взаимодействия со всеми подключенными межсетевыми экранами различных вендоров, что упрощает контроль и управление их политиками/правилами безопасности. К примеру, если пользователю на конечном устройстве предоставлены права на управление политиками МЭ, то и в интерфейсе "НОТА КУПОЛ. Управление" он сможет совершать с политиками те же действия, которые доступны и на самом устройстве: просматривать, редактировать, изменять порядок, удалять, включать/выключать и т.д. (см. рис. 3).. Все внесенные изменения автоматически применятся на конечном устройстве.
Рис. 3. Просмотр списка правил МЭ
Использование "НОТА КУПОЛ. Управление" снижает сложность интеграции различных межсетевых экранов в корпоративную инфраструктуру. Пользователи теперь могут работать не в нескольких интерфейсах, разработанных разными вендорами, а в едином интерфейсе, что, безусловно, упрощает обучение и повышает эффективность работы персонала. Централизованная платформа позволяет автоматизировать рутинные задачи, такие как контроль изменений политик/правил МЭ, их анализ и оптимизацию. Это снижает влияние человеческого фактора, повышает эффективность и уменьшает риск возможных ошибок, отрицательно влияющих на безопасность.
Анализ политик межсетевых экранов
Ключевой функционал "НОТА КУПОЛ. Управление" – это подсистема анализа политик/правил МЭ, UTM и NGFW, находящаяся в разделе "Анализ политик". Она позволяет проанализировать правила на подключенных устройствах таким образом, чтобы выявить некорректно применяемые, отрицательно влияющие на безопасность, несрабатываемые, а также снижающие скорость обработки МЭ проходящего трафика. Своевременное выявление и изменение таких правил позволит повысить безопасность и пропускную способность сети, тем самым снизив затраты организации на закупку более производительных устройств межсетевых экранов.
В подразделе "Сводка" система автоматически распределяет политики/правила выбранного устройства по категориям, которые позволяют быстро выявить правила, потенциально отрицательно влияющие на безопасность сети, к примеру такие, как "разрешенные ANY-ANY правила" и "правила, разрешающие трафик любого сервиса без ограничений" (см. рис. 4).
Рис. 4. Просмотр сводки по политикам
Схожим образом в подразделе "Оптимизация" система автоматически выявляет на выбранном устройстве такие аномалии политик/правил, как "теневые", "избыточные", "обобщающие", "коррелированные" и "группируемые" политики, а также выдает рекомендации по их исправлению и оптимизации (см. рис. 5).
Рис. 5. Просмотр выявленных аномалий в правилах МЭ
Типичная аномалия – большое количество правил, которое негативно влияет на производительность устройства. Зачастую она сопровождается дублированием политик фильтрации трафика. Система формирует список аномалий для последующего анализа – пересмотр и уменьшение количества правил позволяет оптимизировать работу устройства и повысить скорость его работы.
Еще один пример – "теневые" аномалии. Они возникают, когда правила с более высоким приоритетом "затеняют" менее приоритетные правила, не допуская их срабатывания. Исключение таких случаев поможет более прозрачному управлению политикой фильтрации.
Следующий пример – отличие нескольких правил только в одном параметре, например в категории "источник назначения". В большинстве случаев такие правила можно безболезненно объединить в одно, о чем системой выдается соответствующая рекомендация. Это позволяет оптимизировать работу межсетевого экрана и повысить скорость обработки им трафика (см. рис. 6).
Рис. 6. Рекомендация по объединению правил в одно
На основании анализа логов, собранных с подключенных устройств, система позволяет указать период времени и выявить политики/правила, которые ни разу не сработали. В процессе такого анализа пользователь может принять решение об удалении или изменении найденных правил в силу потери ими актуальности. Это опять же позволяет повысить скорость обработки МЭ трафика за счет сокращения общего количества правил (см. рис. 7).
Рис. 7. Выявление неиспользуемых правил
Во всех подразделах "Анализ политик" пользователю доступна возможность выгрузки XLSX-отчета по каждому из видов анализа для дальнейшей работы (см. рис. 8) .
Рис. 8. Отчет о результате анализа политик
Дашборды
Главной страницей при входе в "НОТА КУПОЛ. Управление" является "Рабочий стол", на котором представлены все созданные пользователем дашборды с необходимыми виджетами.
В "НОТА КУПОЛ. Управление" можно удобно добавить на один дашборд несколько виджетов, чтобы каждый из них отображал информацию только по тем устройствам, которые наиболее интересны пользователю для мониторинга. Например, если из ста установленных в сети устройств пользователь фактически контролирует или управляет только четырьмя, то в таком случае на дашборд стоит вывести виджеты с необходимой информацией только по ним, чтобы отслеживать их состояние и какие-либо изменения в настройках. Виджеты гибко настраиваются, и пользователь может создать неограниченное количество дашбордов под свои бизнес-потребности (см. рис. 9).
Рис. 9. Рабочий стол с информационными виджетами
Администрирование
"НОТА КУПОЛ. Управление" имеет гибкие возможности активации лицензий и получения обновлений как в онлайн-, так и в офлайн-режиме. Это позволяет облегчить процесс ее внедрения и поддержания актуальности используемой версии, а также обеспечить работоспособность системы как в закрытом контуре заказчика (без доступа в Интернет), так и в открытом (см. рис. 10).
Рис. 10. Настройка системы
Администратор системы имеет возможность управлять пользователями системы и их правами доступа. Помимо этого, реализована возможность подключения к каталогам пользователей Microsoft Active Directory и Astra Linux Directory, что позволяет предоставить пользователям с них доступ в систему (см. рис. 11).
Рис. 11. Управление доступом пользователей
По умолчанию поддерживаются две базовые роли пользователей:
- роль администратора, которая подразумевает полное управление продуктом, то есть доступ во все разделы и интерфейсы;
- роль оператора, который имеет доступ ко всем разделам, за исключением раздела "Администратор".
В "НОТА КУПОЛ. Управление" есть возможность задания парольной политики для локальных пользователей, позволяющая настроить требования к сложности пароля, срок его действия и количество неуспешных попыток авторизации до временной и полной блокировки пользователя.
Рис. 12. Настройка парольной политики системы
Записи журналов обо всех действиях пользователей и событий системы доступны администратору приложения в подразделе "Журналы" (см. рис. 13). Имеется возможность фильтрации событий по пользователям или типам сообщений за различные периоды времени, что позволяет администратору более точно выявлять нелегитимные действия. Доступен также экспорт журнала в формате CSV или XLSX загрузки файла в SIEM и дальнейшего анализа событий.
Рис. 13. Журнал действий пользователей приложения
Что в планах?
В версии 1.0 поддерживается контроль, управление и анализ политик/правил межсетевых экранов Check Point и UserGate. В ближайших релизах разработчики запланировали поддержку и других вендоров межсетевых экранов, в частности Cisco ASA, Cisco FirePower, "Континент" (разработчик "Код Безопасности"), Fortigate, Infotecs VipNet, Ideco NGFW и др.
Добавится и новая функциональность:
- построение динамической карты сети, которая позволит максимально полно отразить инфраструктуру компании и строить маршруты прохождения трафика из пункта А в пункт Б для проверки корректности примененных политик/правил на конечных устройствах;
- появится мониторинг изменений конфигураций устройств, их бэкапирование, раскатка и сравнение между собой;
- добавится возможность выявления уязвимостей и некорректных настроек на подключенных устройствах, выдача рекомендации по их устранению;
- расширятся возможности в разделе "Анализ политик": будут выявляться неиспользуемые и неназначенные объекты, формироваться рекомендации по переопределению правил, будет анализироваться влияние создаваемого правила до его применения и др.;
- добавится возможность более гибкого управления правами доступа пользователей системы, в частности появится разграничение прав на просмотр и/или редактирование правил межсетевых экранов, экспорт отчетов и другие функциональные возможности системы.
Заключение
"НОТА КУПОЛ. Управление" – разработка российского вендора программного обеспечения НОТА (входит в Холдинг Т1). Решение позволяет существенно облегчить работу специалистам информационной безопасности и сетевым инженерам в администрировании всех межсетевых экранов различных вендоров, установленных в инфраструктуре организации, за счет возможности работы с ними из единого веб-интерфейса. Функционал анализа политик позволяет оптимизировать правила МЭ на устройствах таким образом, чтобы повысить скорость обработки проходящего через МЭ трафика и качество защищенности сети компании в целом.
Создаваемое ПО ориентировано на корпоративный сегмент рынка – средний и крупный частный бизнес, а также на государственные организации. Система входит в реестр российского ПО.
НОТА
115280, Москва, ул. Ленинская Слобода, 19
Тел.: +7 (495) 981-9292
E-mail: info@nota.tech
www.nota.tech
Реклама ООО "Т1 Инновации". ИНН 9718107268. ERID 2SDnjdK8GrL
