Управление правилами межсетевых экранов: от хаоса к гармонии
Мария Кудрявцева, 04/07/25
Цель ухода от иностранного оборудования в критически важных инфраструктурах остается приоритетной для многих российских компаний. Однако несмотря на динамичное развитие отечественных технологий, миграция на них все еще остается сложным процессом, который включает в себя планирование, оценку существующих конфигураций, бюджетирование, обучение персонала, тестирование и поэтапное развертывание.
Автор: Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис”
Сейчас многие компании находятся на этапе одновременной реализации двух процессов:
- Перенос части инфраструктуры на отечественные устройства, главной трудностью которого является осуществление перехода с минимальными потерями.
- 2. Поддержка иностранных устройств, не имеющих сопоставимой замены, – как правило, это самое высоконагруженное оборудование на ответственных участках.
Путь переноса правил и замены межсетевых экранов (МЭ) может быть весьма тернистым. Каждый МЭ имеет свою логику, синтаксис и алгоритмы настройки.
Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.
Для автоматизации процесса миграции стоит использовать специализированное ПО, например разработанный компанией "Газинформсервис" комплекс Efros Defence Operations (Efros DefOps) [1].
В первую очередь, необходимо уменьшить объем переносимых правил – это наиболее разумный первый шаг в процессе миграции, который облегчит работу администратора.
Это важно, потому что:
- объем правил не всегда соизмерим с производительностью нового МЭ;
- новый МЭ может не принимать дублирующие правила, и тогда процесс миграции останавливается, фиксируя ошибку.
В платформе Efros DefOps за работу со списками правил (ACL) отвечает функциональный модуль Firewall Assurance. В нем реализована возможность выявления неиспользуемых, теневых и избыточных правил.
В системе из коробки настроены отчеты, в которых показываются обнаруженные дублирующие и неиспользуемые правила. Они выявляются с помощью механизма сравнения "каждый к каждому", то есть правило сравнивается с каждым последующим. Удаление избыточных правил уменьшает их общее количество и снижает нагрузку на МЭ.
По завершении переноса обновленного ACL на новый МЭ можно проверить корректность миграции с помощью Efros DefOps.
После подключения нового МЭ к Efros DefOps программный комплекс формирует отчет по политикам, настроенным на этом МЭ. В отчете отображаются перенесенные правила. В системе можно удобно настроить фильтрацию (по имени, порту, протоколу), что дает возможность поиска правил по заданным параметрам.
Помимо избыточности можно проверить правила нового устройства на соответствие политике взаимодействия зон в сети. Зона – это определенный сетевой сегмент, который может включать в себя как отдельный ip-адрес, так и подсеть. Конструктор стандартов в Efros DefOps позволяет создавать требования по запрету или разрешению на взаимодействие таких зон с учетом определенных протоколов и портов.
Рис. 1. Структура программного комплекса Efros DefOps
В случае обнаружения правила, несоответствующего стандарту, в отчете отобразится номер правила и политика, где настроено данное правило.
При написании стандартов в комплексе возможно учитывать не только ограничение взаимодействия зон, но и прочие требования безопасности к используемым протоколам, портам, действиям, источникам и назначениям.
Так, например, можно создать проверку на отсутствие доступа из пула адресов критичного сегмента сети (поле "Источник/Source") по всем портам, где в поле назначения присутствует Any. Проще говоря, выявить правила, в которых в поле назначения указан любой хост.
Такой анализ позволяет не только проверять корректность миграции, но и проводить регулярный аудит конфигураций МЭ на наличие небезопасных правил.
Рис. 2. Создание стандарта безопасности для сегмента сети. Конструктор стандартов
Функциональность модуля Firewall Assurance позволяет экономить время миграции и минимизирует ошибки, связанные с ручным переносом политик безопасности.
В дальнейшем, при внесении изменений в списки правил, мы рекомендуем автоматизировать процесс проверки обновленного списка на соответствие требованиям к зонированию сети. Для этого в комплексе Efros DefOps есть решение – подсистема Change Manager. Не менее значима задача по контролю и защите тех устройств, которые пока не представляется возможным заменить из-за отсутствия сопоставимых отечественных решений. Мы стараемся поддерживать ключевых ушедших иностранных вендоров, заботясь о своих заказчиках. Одним из таких продуктов является высоконагруженная система NSX от VMware, оптимизация работы которой требует высоких компетенций как от администратора самой системы, так и от наложенных средств защиты.
Возможности Efros DefOps по контролю NSX повторяют, а по ряду параметров даже превосходят возможности иностранных аналогов.
Взаимодействие Efros DefOps с NSX происходит через API. После добавления NSX в комплекс строится список вложенных объектов: vCenter, гипервизоры ESXi, виртуальные машины, DSwitch и Distributed Port Group, для которых формируются ACL. При этом политики и правила распределяются с учетом параметра Applied To, что в последствии позволяет с высокой точностью выявить правила, которые можно оптимизировать.
Информация из логических групп отображается с учетом вложенности. Учитываются такие логические группы, как ip-сеты, порт-группы, группы безопасности. Для удобства просмотра политики правил возможна фильтрация их по какому-либо критерию, например по ip-адресу или имени группы.
Рис. 3. Настройка распределения нагрузки для NSX в Efros DefOps
В комплексе реализована возможность ограничить количество запрашиваемых объектов в одном запросе и возможность ограничить количество запросов в минуту, а также использовать обе настройки одновременно. Это позволяет распределять нагрузку как на сам NSX, так и на Efros DefOps с учетом особенностей каждой отдельной системы NSX.
В текущем году будет добавлена функциональная возможность по отображению NSX на карте сети, что позволит пользователю моделировать прохождение трафика между виртуальной машиной, работающей под управлением гипервизора ESXi, и любым другим объектом инфраструктуры. Построение маршрута включает все особенности прохождения трафика внутри гипервизора ESXi с учетом сетевых адаптеров на виртуальных машинах, режимов работы Distributed Port Group, настроек Uplink. В процессе моделирования учитывается достижимость заданной конечной точки в соответствии с правилами ACL, установленными для определенной виртуальной машины или порт-группы.
NSX может иметь сложную архитектуру, использующую виртуализированную сеть, где существуют разные уровни и сегменты со своими политиками. Виртуализированная среда часто меняется, добавляются или удаляются гостевые машины и приложения, что влечет за собой постоянные изменения в ACL.
NSX – это один из примеров критичных элементов ИТ-инфраструктуры, характерный для корпоративных заказчиков и для обслуживания, оптимизации которого необходимы надежные автоматизированные средства.
Efros DefOps не ограничивается возможностями контроля и оптимизации NSX, он совместим с более чем 50 линейками российских и зарубежных МЭ, маршрутизаторов, коммутаторов и т.п. "Газинформсервис" стремится сделать Efros DefOps важным инструментом для компаний, стремящихся повысить уровень управления и безопасности своей сетевой инфраструктуры.
Поддержка пользователей, упрощение их работы на ответственных участках с сохранением доступности желаемых сервисов, возможность использовать новые технологии с учетом тенденций импортозамещения – ключевые задачи команды Efros DefOps, которая уже более 10 лет работает с проблематикой анализа безопасности ИТ-сети.