Une migration des règles de firewall entre deux constructeurs différents peut se révéler fastidieux. Si vous avez déjà réalisé un tel projet, vous avez probablement gardé un gout amer de cette expérience. Selon vos compétences vous avez sûrement opté pour l’une des deux méthodes suivantes: Soit vous avez utilisé la méthode dite « bourrin » consistant à recopier les règles et objets les uns après les autres, pendant des heures ou des jours tout en priant pour faire le moins d’erreurs possible. Soit vous avez mis en application vos connaissances en code et vous avez écrit un super script pour automatiser la migration de vos règles. Sauf que… lorsque le script est terminé, vous constatez qu’il manque des règles des objets avec de nombreuses erreurs. Bref il ne vous reste plus qu’à comparer pendant des heures les règles entre vos deux firewalls. Vous le savez probablement déjà mais il n’existe pas d’outil magique permettant de migrer vos règles et objets d’un firewall à un autre facilement et sans erreur. En effet, les firewalls ne possèdent pas tous les mêmes champs et, au final, les migrations deviennent très vite compliquées. Mais nous Nomios nous avons la solution à ce problème Nomios est partenaire avec Tufin. Comme vous ne connaissez pas tous la solution Tufin , je vais vous en toucher deux mots. Tufin est composé de 3 solutions :
- SecureTrack permet de centraliser l’administration de vos firewalls, optimiser vos règles, comparer les changements, faire de l’analyse des risques, audit, compliance…
- SecureChange permet d’obtenir un workflow adapté à votre environnement pour automatiser certains processus et garantir la légitimité de vos changements.
- SecureApp pour obtenir une vue applicative de vos règles de firewalls, et monitorer vos applications
Revenons à notre problématique de migration des règles de firewall et intéressons-nous à la fonctionnalité APG (Automatic Policy Generator) de SecureTrack. APG permet dans un premier temps d’effectuer une analyse approfondie du trafic réseau. Dans un second temps, cela vous proposera d’affiner votre politique de sécurité en proposant des nouvelles règles à implémenter tout en assurant la continuité de l’activité. Pour être plus clair, voici un exemple. Vous allez configurer APG pour qu’il analyse le trafic entrant dans une règle dite trop permissive de votre firewall.
Après l’analyse du trafic, APG vous proposera une politique plus affinée comme l’exemple suivant.
Bon À ce moment précis vous avez compris le fonctionnement d’APG. Mais comment APG peut nous aider à migrer nos règles de firewall ? Prenons un second exemple. Votre firewall actuel est un Linux avec Iptables et possède vos règles de sécurité. Placez votre nouveau firewall en coupure juste derrière votre pare-feu Linux et ajoutez-lui une règle très permissive comme ci-dessous.
Pour finir, configurez Tufin APG pour qu’il analyse le trafic traversant la règle (ANY, ANY, ANY, Accept) du nouveau firewall pendant plusieurs semaines. Pendant l’analyse, les flux venant d’internet seront filtrés par le parefeu Linux puis traverseront le nouveau firewall via la règle ANY, ANY, ANY, ACCEPT. A la fin de l’analyse, APG vous proposera les règles à implémenter sur le nouveau firewall.
Vous avez compris le fonctionnement d’APG et vous savez maintenant comment faire des migrations facilement et simplement de vos politiques de sécurité. Sachez que nous proposons des licences de Tufin SecureTrack pour une durée de 60 jours. Cette licence est vendue par firewall, mais peut être déplacée d’un firewall à un autre pendant l’audit. Nous intégrons cette licence lors des audits Firewalls chez nos clients. Evidemment toute l’équipe Nomios reste à votre disposition pour toute complément d’information sur APG ou sur la solution Tufin en générale.
