valentint - Fotolia
Automatisierung verbessert Firewall-Migration und Sicherheit
Die Firewall-Migration ist ein überzeugender Anwendungsfall für Automatisierung. Der Migrationsprozess wird kürzer, ungenutzte Regeln beseitigt und die Netzwerksicherheit erhöht.
Viele Unternehmen bleiben bei demselben Firewall-Anbieter, weil die Migration der Konfiguration von einem Anbieter zum anderen eine entmutigende Aufgabe sein kann. Automatisierung kann den Prozess beschleunigen und es Unternehmen ermöglichen, ungenutzte Regeln zu entfernen und einen langwierigen, fehleranfälligen Prozess in eine kürzere und zuverlässige Migration zu verwandeln, die die allgemeine Netzwerksicherheit verbessert.
In diesem Artikel beschreiben wir ein Beispiel dafür, wie NetCraftsmen einem Kunden bei der Umstellung von einem Firewall-Anbieter auf einen anderen mit Automatisierung geholfen hat. Die genauen Firewall-Modelle sind unwichtig, aber die Anzahl der Firewalls war viel größer, als wir manuell bewältigen wollten.
Was soll migriert werden?
Übernehmen Sie bei der Firewall-Migration alle Objekte und Regeln oder versuchen Sie, die Regelsätze nach und nach zu bereinigen? Wenn Sie Änderungen vornehmen, ist die Wahrscheinlichkeit groß, dass Sie Fehler machen, die zu Anwendungsfehlern oder unzureichender Sicherheit führen, weil Sie zu viel beziehungsweise zu wenig blockieren.
Der am wenigsten störende Mechanismus besteht darin, Regeln aus der Konfiguration eines Anbieters in die Konfiguration eines anderen Anbieters zu konvertieren und dabei einige einfache Heuristiken anzuwenden, um verwaiste Objekte zu identifizieren.
Der manuelle Prozess
In unserem Beispiel arbeitete sich das Einsatzteam vor Ort langsam durch einen manuellen Konvertierungsprozess. Die Quell-Firewall-Regeln funktionierten mit dem IP-Tupel: Quellport, Quelladresse, Zielport, Zieladresse und Protokoll-ID. Sie kümmerten sich nicht um die Eingangsschnittstelle oder die Ausgangsschnittstelle.
Für die Ziel-Firewall musste man jedoch die Eingangs- und Ausgangsschnittstelle angeben, was die Konvertierung von Firewall-Regeln erheblich erschwerte. Das Ergebnis war ein langwieriger Prozess. Glücklicherweise wurden bei der manuellen Arbeit des Implementierungsteams die Schritte eines wiederholbaren Prozesses identifiziert, was uns veranlasste, einen Automatisierungsansatz zu untersuchen.
Migrieren der Firewall-Konfigurationen
Der erste Schritt für den Automatisierungsprozess bestand darin, die Objekte, Regeln und Schnittstelleninformationen aus der Quell-Firewall zu extrahieren. Wir entschieden uns, die extrahierten Informationen in Excel-Tabellen zu importieren, damit die Datenelemente anhand der Tabellenspalten identifiziert werden konnten. Obwohl die Konvertierung in Excel ein manueller Prozess war, mussten wir ihn nur einmal durchführen und waren relativ schnell fertig.
Wir haben das Konvertierungssystem in Python geschrieben und dabei die Excel-Manipulationsbibliothek OpenPyXL verwendet. Das Ergebnis war eine Reihe von Skripten, die drei Hauptschritte implementierten, von denen jeder einen Teil der Konvertierung durchführte:
- Durchlaufen aller Objekte - Host, Netzwerk, Dienst oder Gruppe - und Zuordnen jedes einzelnen zu einer IP-Adresse oder einem Adressbereich. Dazu gehörten mehrere Skripte, eines für jeden Objekttyp.
- Für jedes Objekt- und IP-Adressenpaar sollte die zugehörige Firewall-Schnittstelle ermittelt werden.
- Analyse jeder Sicherheitsrichtlinie, bestimmen ihrer Richtung und konvertieren in das Zielformat der Firewall-Konfiguration.
Ein erheblicher Aufwand wurde für die Behandlung von Ausnahmen betrieben. Wir erklärten alle Objekte, denen keine Schnittstellen zugeordnet waren, zu toten Objekten und schrieben ihre Informationen in eine separate Datei. In anderen Fällen enthielten die Quell-Firewall-Objekte Verweise auf Objekte, die eigentlich mehrere Objekte sein sollten. In diesen Fällen erstellten wir neue Objekte oder schrieben die Objektinformationen in die Datei für tote Objekte.
Große Automatisierungserfolge
Die Skripte waren ein großer Gewinn. Das Verhältnis zwischen manuellem Aufwand und der Ausführung des Skripts lag leicht bei 20:1. Aber auch mit der Automatisierung mussten wir die resultierende Konfiguration in der Ziel-Firewall validieren, um sicherzustellen, dass sie das tat, was sie tun sollte. So mussten wir beispielsweise bei den ersten Konvertierungen Fehler feststellen, bei denen ein Objekt in mehrere Objekte zerlegt werden musste. Diese Fehler traten immer seltener auf, je mehr wir sie entdeckten und Änderungen in die Skripte aufnahmen, um sie automatisch zu behandeln. Wir verfügen jetzt über das Wissen und das Basissystem, um die Firewall-Migration für die verbleibenden Firewalls des Kunden zu rationalisieren.
Der zweite Gewinn war die Verbesserung der allgemeinen Netzwerksicherheit. Die neuen Firewall-Regeln identifizierten Eingangs- und Ausgangsschnittstellen, was die Sicherheit verbesserte. Die Beseitigung Hunderter toter Objekte machte die neuen Firewalls effizienter. Schließlich wurden die Regeln durch die Aufteilung inkompatibler Objekte in separate Objekte und Regeln erheblich vereinfacht. Das Sicherheitsteam musste nun weniger Objekte verwalten, und die verbliebenen Objekte waren konsistenter und verwendeten einfachere Regeln.