27 novembre 2014

Une migration des règles de firewall entre deux constructeurs différents peut se révéler fastidieux. Si vous avez déjà réalisé un tel projet,  vous avez probablement gardé un gout amer de cette expérience.

Selon vos compétences vous avez sûrement opté pour l’une des deux méthodes suivantes:
Soit vous avez utilisé la méthode dite « bourrin » consistant à recopier les règles et objets les uns après les autres, pendant des heures ou des jours tout en priant  pour faire le moins d’erreurs possible.

Soit vous avez mis en application vos  connaissances en code et vous avez écrit un super script pour automatiser la migration de vos règles.

Sauf que… lorsque le script est terminé, vous constatez qu’il manque  des règles  des objets  avec de nombreuses erreurs. Bref il ne vous reste plus qu’à comparer pendant des heures les règles entre vos deux firewalls.

Vous le savez probablement déjà mais il n’existe pas  d’outil magique permettant de migrer vos règles  et objets d’un firewall à un autre facilement et sans erreur. En effet, les firewalls ne possèdent pas tous les mêmes champs et, au final, les migrations deviennent très vite compliquées.

Mais nous  Nomios nous avons la solution à ce problème

Nomios est partenaire avec Tufin.
Comme vous ne connaissez pas tous la solution Tufin , je vais vous en toucher deux mots.

Tufin est composé de 3 solutions :

  • SecureTrack permet de centraliser l’administration de vos firewalls, optimiser vos règles, comparer les changements, faire de l’analyse des risques, audit, compliance…
  • SecureChange permet d’obtenir un workflow adapté à votre environnement pour automatiser certains processus et garantir la légitimité de vos  changements.
  • SecureApp pour obtenir  une vue applicative de vos règles de firewalls, et monitorer vos applications

Revenons à notre problématique de migration des règles de firewall et  intéressons-nous à la fonctionnalité APG (Automatic Policy Generator) de SecureTrack.

APG permet dans un premier temps d’effectuer une analyse approfondie du trafic réseau. Dans un second temps, cela vous proposera d’affiner votre politique de sécurité  en proposant des nouvelles règles à implémenter tout en assurant la continuité de l’activité.
Pour être plus clair, voici un exemple.
Vous allez configurer APG pour qu’il analyse le trafic entrant dans une règle dite trop permissive de votre firewall.

Policy-palo

 

Après l’analyse du trafic, APG vous proposera une politique plus affinée comme l’exemple suivant.

apg

 

Bon À ce moment précis vous avez compris le fonctionnement d’APG. Mais comment APG peut  nous aider à migrer nos règles de firewall ?

Prenons un second exemple.
Votre firewall actuel est un Linux avec Iptables et possède vos règles de sécurité.
Placez votre nouveau firewall en coupure juste derrière votre pare-feu Linux et ajoutez-lui une règle très permissive comme ci-dessous.

policy-pa2

Pour finir, configurez Tufin APG pour qu’il analyse le trafic traversant la règle (ANY, ANY, ANY, Accept) du nouveau firewall pendant plusieurs semaines.
Pendant l’analyse, les flux venant d’internet seront filtrés par le parefeu Linux puis traverseront le nouveau firewall via la règle ANY, ANY, ANY, ACCEPT.
A la fin de l’analyse, APG  vous proposera les règles à implémenter sur le nouveau firewall.

archi-apg

 

Vous avez compris le fonctionnement d’APG et vous savez maintenant comment faire des migrations facilement et simplement de vos politiques de sécurité.
Sachez que nous proposons des licences de Tufin SecureTrack pour une durée de 60 jours.
Cette licence est vendue par firewall, mais peut être déplacée d’un firewall à un autre pendant l’audit.
Nous intégrons cette licence lors des audits Firewalls chez nos clients.

 

Evidemment toute l’équipe Nomios reste à votre disposition pour toute complément d’information sur APG ou sur la solution Tufin en générale.

Partager :

Auteurs