Обзор MIST Insight 1.17, российской системы управления политиками безопасности сети

1. Введение
2. Архитектура MIST Insight 1.17
3. Лицензирование MIST Insight 1.17
4. Системные требования MIST Insight 1.17
5. Функциональные возможности MIST Insight 1.17
6. Сценарии использования MIST Insight 1.17
   1. 6.1. Доступ к системе
   2. 6.2. Главная страница
   3. 6.3. Моделирование сетевой инфраструктуры
      1. 6.3.1. Группы
      2. 6.3.2. Сбор данных
      3. 6.3.3. Формирование карточки устройства
      4. 6.3.4. Сетевые устройства
      5. 6.3.5. Карточка устройства
      6. 6.3.6. Карта сети
      7. 6.3.7. Контроль изменений
   4. 6.4. Управление политиками безопасности
      1. 6.4.1. Политики конфигурирования
      2. 6.4.2. Политики доступа
      3. 6.4.3. Оптимизация правил доступа
   5. 6.5. Ролевая модель
7. Выводы

Введение

Сеть служит краеугольным камнем ИТ-инфраструктуры каждой компании, поэтому контроль и анализ сетевой среды становятся ключевыми аспектами обеспечения безопасности. Современные сетевые экосистемы, состоящие из множества устройств различных производителей, — это тысячи правил доступа и политик безопасности, которые постоянно меняются. Такой расклад создаёт серьёзные трудности для администраторов, поскольку ручное обновление топологии сети и отслеживание всех изменений в настоящем времени становятся практически невозможными задачами.

В условиях быстро меняющегося бизнеса организации стараются адаптировать свои инфраструктуры к новым требованиям, не нанося ущерба репутации и безопасности. Более того, некоторые компании обязаны следовать строгим стандартам, таким как приказы ФСТЭК России № 17 и 21, а также требования PCI DSS.

В этом контексте системы класса управления политиками безопасности сети (Network Security Policy Management, NSPM)  представляют собой надёжный инструмент, позволяющие эффективно справиться с  упомянутыми проблемы. Одним из отечественных решений такого класса является  система MIST Insight, которая  значительно упрощает процессы управления сетевой безопасностью, внедряя автоматизацию для контроля сети и обеспечивая полную прозрачность всех её компонентов. Это позволяет специалистам по сетевой безопасности оперативно реагировать на любые изменения и инциденты. Будучи основанным на современном микросервисном подходе, MIST Insight обеспечивает как вертикальное масштабирование, так и горизонтальное, что делает его гибким инструментом в руках пользователей.

Архитектура MIST Insight 1.17

В зависимости от потребностей организации MIST Insight поставляется в форме программного обеспечения или в виде преднастроенного образа виртуальной машины.

Архитектурно система оформлена как совокупность микросервисов, реализовывающих конкретные функции. Взаимодействие осуществляется через брокер сообщений с использованием механизма RabbitMQ и синхронных вызовов HTTP REST. Для хранения данных используется реляционная СУБД PostgreSQL.

Подключение к системе осуществляется через веб-консоль в браузере. Для взаимодействия с сетевыми устройствами и внешними системами применяются протоколы SSH, Telnet и HTTPS. В рамках распределённых сетей предусмотрено развёртывание дополнительных шлюзов сбора с сервисом интеграции.

Рисунок 1. Структурная схема

Лицензирование MIST Insight 1.17

Лицензия на систему предоставляется в формате подписки с ограниченным сроком использования. Учитываются количество объектов, подлежащих анализу, и выбор функциональных модулей:

• Network Insight — инструмент для мониторинга и всестороннего анализа сетевой инфраструктуры;
• Firewall Insight — решения для оптимизации и оценки правил доступа;
• Threat Insight — возможности по анализу потенциальных угроз сетевой безопасности;
• Change Insight — управление изменениями в правилах доступа с учётом услуг технической поддержки.

Данная модель предоставляет возможность варьировать лицензии в зависимости от специфики использования системы.

Системные требования MIST Insight 1.17

Развёртывание MIST Insight рекомендуется выполнять на операционных системах Astra Linux или CentOS, учитывая при этом обязательные требования к аппаратному обеспечению.

Минимальная конфигурация системы может состоять из одного сервера приложений или из двух серверов (приложений и БД) для развёртывания всех компонентов.

Таблица 1. Требования к инфраструктуре при минимальной конфигурации

Этот вариант конфигурации подойдёт для пилотного тестирования или небольших инсталляций. При развёртывании системы в промышленной среде и анализе большого объёма данных необходимо выполнить подбор конфигурации аппаратного обеспечения, учитывая особенности конкретного проекта.

Функциональные возможности MIST Insight 1.17

Система MIST Insight предназначена для анализа и мониторинга настроек сетевого оборудования в корпоративных телекоммуникационных сетях. С её помощью можно выполнять ряд ключевых задач:

• моделирование сетевой инфраструктуры и визуализация топологии сети с возможностью адаптивной группировки карт по географическим локациям или сегментам сети;
• анализ доступных маршрутов трафика с учётом актуальных параметров сетевого оборудования, включая правила маршрутизации, NAT и ACL;
• контроль соответствия конфигураций сетевого оборудования установленным в организации политикам и стандартам, а также рекомендациям производителей;
• анализ изменений в конфигурациях сетевого оборудования для выявления несанкционированных или нежелательных изменений;
• оптимизация правил сетевого доступа и анализ использования правил и объектов;
• мониторинг соответствия настроек сети установленным политикам сегментирования.

В MIST Insight возможна интеграция со службой каталогов. Это позволяет автоматизировать процесс назначения ролей и управления пользователями, обеспечивая синхронизацию данных между MIST Insight и существующими системами наподобие Active Directory. Кроме того, можно настроить интеграцию с почтовым сервером для отправки уведомлений и с сервером Syslog для централизованного сбора и хранения лог-файлов.

Сценарии использования MIST Insight 1.17

Основные направления использования MIST Insight охватывают такие сценарии, как моделирование сетевой инфраструктуры и управление политиками безопасности. Эти функции позволяют эффективно управлять сетевой инфраструктурой, обеспечивать её безопасность и оптимизировать производительность.

Доступ к системе

Рекомендуется использовать для доступа к системе браузер Google Chrome версии 108 или выше. Информацию для входа в систему, включая логин, пароль и URL-адрес, предоставляет администратор системы.

Рисунок 2. Окно авторизации в MIST Insight

Главная страница

Главная страница MIST Insight содержит дашборды и виджеты, которые пользователи могут настроить самостоятельно в зависимости от их нужд. Виджеты строятся после подключения сетевых устройств на основе сформированных отчётов. В процессе добавления виджета доступен его предпросмотр.

Рисунок 3. Создание виджета в MIST Insight

Моделирование сетевой инфраструктуры

Благодаря моделированию обеспечивается наличие всегда актуальной карты сети, независимо от частоты изменений в конфигурациях сетевых устройств. В процессе моделирования фиксируются все изменения параметров оборудования, что значительно сокращает затраты ресурсов на мониторинг и управление процессами.

Группы

Первым шагом в процессе моделирования сети является сбор конфигурационных данных. Для этого предварительно нужно организовать иерархию своей системы. Структура групп доступна для навигации через левую панель, где можно увидеть их полное содержание и вложенные иерархические сущности в таблицах «Объекты» и «Подгруппы» соответственно. Группа «Локация» является системной и автоматически включает в себя все добавляемые сетевые устройства.

Рисунок 4. Группы в MIST Insight

Объединение объектов упрощает дальнейшее применение настроенных политик конфигурирования к конкретным группам, а также способствует созданию более понятной и структурированной карты сети.

Рисунок 5. Группы на карте сети в MIST Insight

Сбор данных

Для интеграции сетевых устройств необходимо создавать задачи по их подключению, которые можно запускать как вручную, так и по заранее установленному расписанию. В процессе создания задачи пользователь указывает такие параметры, как тип устройства, производитель и версия ОС. Сбор данных может быть выполнен онлайн или офлайн.

Рекомендуемый способ подключения устройств — в онлайн-режиме через указанный IP-адрес или диапазон адресов с применением поддерживаемых устройством протоколов, таких как SSH, Telnet или SNMP v3, а также через API. Дополнительно учитываются специфические характеристики конкретных сетевых сущностей:

• «Континент 4» — поле выбора версии протокола gostTLS;
• Check Point — загрузка списка шлюзов из системы управления Smart Console, за которой следует подключение к каждому шлюзу для извлечения правил маршрутизации;
• SNMP — поля ввода ключа привилегий, протоколов привилегий и аутентификации.

Рисунок 6. Создание задачи на подключение устройства онлайн-методом в MIST Insight

Офлайн-метод добавления устройств — это загрузка файлов конфигураций из указанной пользователем директории. Чтобы загрузить неподдерживаемые устройства, необходимо создать файл настроек в формате JSON и разместить его в заранее определённой папке.

Рисунок 7. Создание задания на подключение в офлайн-режиме в MIST Insight

Формирование карточки устройства

На вкладке «Общая информация» в разделе «Сетевое оборудование» выводится сводный перечень всего подключённого сетевого оборудования с возможностью просмотра детализированной карточки каждого из устройств. Эти карточки имеют унифицированный формат, вне зависимости от типа или производителя устройства, и содержат вкладки с ключевыми параметрами и настройками, влияющими на конфигурацию сети и её топологию. В частности, в карточке можно найти данные о:

• имени устройства (hostname);
• IP-адресе;
• списке и типах сетевых интерфейсов;
• правилах маршрутизации;
• правилах трансляции адресов (NAT);
• правилах доступа (ACL);
• настройках VPN.

Такой подход позволяет оперативно получать информацию о базовых настройках различных сетевых устройств из одного окна, исключая необходимость индивидуального подключения к каждому устройству.

После запуска задачи система отображает её текущее состояние. В случае возникновения статуса «Ошибка» или «Отказ» возможна последующая проверка причин с помощью журнала, связанного с данной задачей.

Рисунок 8. Журнал задачи устройства в MIST Insight

Для каждой задачи предусмотрена возможность установить параметры проверки устройства с заданной регулярностью: каждый час, ежедневно, еженедельно или с индивидуальным интервалом повторения.

Рисунок 9. Настройка задачи подключения устройства в MIST Insight

На сегодняшний день система поддерживает платформы следующих производителей:

• Cisco (IOS/XE, ASA, NX-OS);
• Eltex ESR;
• Juniper (MX/SRX);
• UserGate;
• Check Point;
• Huawei (AR, USG);
• «Код Безопасности»;
• Palo Alto Networks;
• Fortinet.

Кроме того, вендор готов к подключению новых устройств для расширения функциональности системы и постоянно работает над пополнением списка парсеров.

Сетевые устройства

Раздел «Объекты инфраструктуры» предоставляет полную информацию обо всех зарегистрированных элементах инфраструктуры. В подразделе «Сетевые устройства» можно выявить ошибки валидации, сопутствующие каждому устройству, а также принять необходимые меры для их устранения. Для удобства работы предусмотрена возможность фильтрации оборудования по различным критериям, включая тип устройства и производителя.

Рисунок 10. Состояние сетевых устройств, подключённых к MIST Insight

Карточка устройства

При нажатии на устройство открывается детализированная карточка, оформленная в унифицированном формате для всех объектов инфраструктуры. На вкладке «Общая информация» предоставляются ключевые данные о выбранном объекте, включая его наименование, тип, ОС, группу и другие характеристики. Здесь также отображаются выявленные нарушения в конфигурационных политиках, IP-адрес устройства и текущие задачи, связанные с подключением и настройкой последнего.

Система предоставляет возможность сравнивать различные версии конфигурации, акцентируя внимание на внесённых изменениях, что упрощает процесс контроля за инфраструктурой.

Рисунок 11. Сравнение конфигураций разных версий устройства в MIST Insight

Также карточка устройства содержит и иную информацию о его настройках, включая следующие разделы:

• «Сетевые интерфейсы» (представлены все активные и неактивные интерфейсы, их состояние и тип подключения);
• «Маршрутизация» (правила и политики маршрутизации);
• «Правила доступа» (информация о текущих правилах безопасности, регулирующих доступ к устройству);
• «Правила трансляции»;
• «Сети»;
• «Правила туннелирования» (настройка VPN-туннелей);
• «Сетевые объекты»;
• «История» (изменения параметров конфигурации);
• «Ошибки валидации» (демонстрация неуспешных попыток связи правил маршрутизации с интерфейсами и других ошибок);
• «Уязвимости» (перечень уязвимостей выбранного устройства на базе NIST NVD и БДУ ФСТЭК России).

Вся информация о подключённых устройствах, их интерфейсах, уровнях доступа, настройках трансляции, сетевых объектах, туннелировании и маршрутизации доступна на вкладке «Обзор модели» в разделе «Отчёты». Для более детального анализа можно использовать определённые фильтры. Например, выбор шаблона фильтра «Permit ANY ANY» поможет выявить уязвимые места в сетевой инфраструктуре организации.

Рисунок 12. Обзор правил доступа в MIST Insight

После загрузки сетевых устройств на вкладке «Сети» автоматически создаётся список всех сетей, включающий в себя подсети и туннели. Для ручного моделирования внешних сегментов также предусмотрены внешние и транспортные сети. 

При добавлении внешней сети, например интернета, указываются интерфейсы, которые подключены к этой сети, выбирается режим ввода «Any» (для выбранной сети), исключаются приватные адреса и формируется облако. Если сетевое окружение изменяется, адреса будут автоматически пересчитываться, обновляя карту сети в соответствии с новыми данными.

Транспортная сеть функционирует как виртуальная связь, обеспечивая взаимодействие между подсетями, в которых отсутствуют физические сетевые устройства.

Общая информация о состоянии модели сети представлена на вкладке «Валидация модели сети» и позволяет выявить основные проблемы целостности модели данных. Валидация может быть запущена как вручную, так и по установленному расписанию. Выявленные потенциальные проблемы не являются блокирующим фактором для функционирования системы и указывают на возможные ошибки при сборе устройств и моделировании сети, которые могут быть связаны как с особенностями настройки сетевого оборудования, так и с некорректной обработкой конфигурационного файла.

Рисунок 13. Валидация модели сети в MIST Insight

По конкретным потенциальным проблемам составляются отчёты, которые классифицируются в зависимости от их вида. Например, отчёт под названием «Валидация подсетей» помогает обнаружить ситуации, когда происходит наложение адресов различных подсетей, что может привести к конфликтам и нарушению работы сети.

Рисунок 14. Валидация подсетей в MIST Insight

Карта сети

На основе актуальных данных о конфигурациях формируется динамическая карта, которая доступна на вкладке «Моделирование сети» в разделе «Визуализация сети». Она создаётся автоматически и обновляется в ответ на изменения конфигураций сетевого оборудования. Элементы карты интерактивны, при нажатии на них пользователь может получить информацию об устройстве и перейти к его карточке.

Рисунок 15. Карта сети в MIST Insight

В режиме просмотра трассировки можно выбрать маршруты и указать интересующие нас сервисы или приложения. Более детальное изучение доступно на отдельной вкладке «Трассировка», где данные представлены в табличном формате. Для проверки маршрута достаточно ввести следующие параметры: источник, назначение, протокол.

Список приложений показывает названия приложений и ассоциированные с ними порты, что позволяет проверять доступ как на устройствах класса NGFW, так и на тех, которые не поддерживают контроль приложений. Отключив опции «Не продолжать анализ заблокированных маршрутов» и «Только приоритетное правило маршрутизации», можно исследовать все возможные пути прохождения трафика, даже если к ним нет доступа.

Рисунок 16. Информация по маршруту в MIST Insight

Версия модели сети представляет собой совокупность параметров всех сетевых устройств на конкретный момент. Обновление карты может выполняться как по заранее установленному расписанию, так и в ответ на определённые события, в случае если настроена функция отправки лог-файлов с поддерживаемых устройств.

На вкладке «Общая информация» в разделе «Версионирование» можно ознакомиться с уже существующими версиями модели сети. Также можно задавать параметры для формирования новых версий, исследовать детальные характеристики каждой из них и проводить сравнение конфигураций, чтобы выявить изменения.

Контроль изменений

Раздел «Контроль изменений» позволяет отслеживать и фиксировать новые версии модели сети. В этом разделе детально отображаются как общее количество сетевого оборудования, так и число изменённых элементов. При просмотре обновлённых объектов можно сравнивать конфигурации старых и новых версий.

Рисунок 17. Отображение изменений в конфигурациях

Вкладка «Анализ по событиям» показывает список сетевых устройств, предварительно настроенных на передачу своих журналов. Каждый раз, когда система обнаруживает изменения, отражённые в этих логах, она автоматически создаёт новую версию, интегрируя актуальные данные и обеспечивая тем самым полное представление о сетевых изменениях.

Для более детального изучения конфигураций отдельных устройств или анализа событий за определённый период можно обратиться к разделу «Отчёты».

Рисунок 18. Изменение конфигураций выбранного устройства в MIST Insight

Управление политиками безопасности

В рамках управления политиками безопасности MIST Insight предоставляет возможность автоматизировать рутинные задачи, такие как проверка настроек сетевых устройств и правил сегментации сети на соответствие установленным требованиям. Дополнительно система позволяет выявлять неэффективные и редко используемые правила, что способствует оптимизации сетевой инфраструктуры.

Политики конфигурирования

Аудит конфигураций сетевого оборудования осуществляется в разделе «Управление политиками» на вкладке «Политики конфигурирования». Этот процесс позволяет обнаруживать отклонения от требуемых стандартов и установленных политик. Для проверки соответствия конфигураций загруженных устройств проводится сравнение их параметров с заранее определёнными политиками конфигурирования.

Пользователю предоставлен доступ к набору предустановленных политик, также есть возможность создавать собственные или импортировать их в формате JSON. Все политики группируются, что исключает создание новых политик вне заданных групп. По умолчанию предустановленные политики находятся в системной группе, благодаря чему обеспечивается удобный доступ к основным стандартам конфигурации.

Рисунок 19. Перечень политик конфигурирования в MIST Insight

Политика конфигурирования включает в себя набор проверок, реализованных в виде регулярных выражений или скриптов на языках Python и Groovy. Процесс анализа строится на сопоставлении строк из конфигурационного файла с заданными регулярными выражениями или условиями, прописанными в скриптах.

Можно изменять, копировать и удалять политики конфигурирования по своему усмотрению. Для каждой политики предусмотрена информация о выявленных нарушениях и устройствах, на которых были обнаружены эти нарушения.

Рисунок 20. Нарушение конфигурации устройства в MIST Insight

Дополнительную информацию о соответствии политик можно найти в разделе «Отчёты», где доступны настраиваемые фильтры. Здесь можно выгружать созданные отчёты в различных форматах, включая CSV, DOCX, XLSX и HTML.

Рисунок 21. Отчёт о соответствии политикам конфигурирования всех устройств в MIST Insight

Система предоставляет возможность настройки уведомлений, которые могут быть реализованы в формате Push или отправлены на электронную почту.

Политики доступа

Политики доступа служат для определения зон безопасности и установления правил взаимодействия между этими зонами. Автоматическая проверка доступа осуществляется с помощью запросов на трассировку, что позволяет выявлять нарушения, касающиеся установленных правил. Для удобства управления политиками доступ упорядочен в группы — предустановленные или созданные самостоятельно.

Предустановленные группы, такие как NIST и PCI DSS, автоматически входят в состав системы и отображаются в списке «Политики и проверки доступа».

Рисунок 22. Политики доступа в MIST Insight

В условиях динамически изменяющейся сети существует возможность определения зон безопасности не только на основе подсетей, но и по конкретным сетевым интерфейсам.

Рисунок 23. Возможность выбора зон по интерфейсам в MIST Insight

Состояние политик доступа может иметь матричный вид, что облегчает восприятие и анализ информации.

Рисунок 24. Матричный вид политик доступа в MIST Insight

Соответствие политикам доступа также отображается в разделе «Отчёты», который предоставляет детализированную информацию о выполнении установленных правил и конфигураций.

Рисунок 25. Соответствие политикам доступа в MIST Insight

Оптимизация правил доступа

Оптимизация правил межсетевого экранирования позволяет удалять или объединять ненужные элементы. Сокращение числа правил упрощает работу с конфигурацией и повышает производительность оборудования при обработке сетевого трафика.

Выделены следующие типы правил, которые могут быть оптимизированы:

• затенённое правило — никогда не будет срабатывать, поскольку его условия полностью перекрываются более приоритетными правилами в цепочке;
• избыточное правило — дублируется менее приоритетным правилом с таким же действием;
• консолидируемое правило — почти совпадает с аналогичными, за исключением какого-либо одного поля;
• немаршрутизируемое правило — не имеет маршрута на устройстве и, таким образом, не может быть активировано.

Рисунок 26. Оптимизация правил доступа в MIST Insight

При выборе правила открывается окно, содержащее подробную информацию о доступных вариантах оптимизации. Рядом с каждым типом отображается количество правил, которые способствуют возникновению данной неоптимальности. Для немаршрутизируемых правил дополнительная информация не предоставляется.

Рисунок 27. Избыточное правило в MIST Insight

На вкладке «Использование правил и объектов» можно обнаружить неиспользуемые или редко применяемые правила и объекты доступа. Для этого необходимо предварительно настроить сбор логов с межсетевых экранов. Анализ этих логов позволяет рассчитывать статистику использования правил и объектов за выбранный период. Также можно загрузить и изучить события из предыдущих периодов для более глубокого анализа.

Рисунок 28. Статистика использования правил и объектов в MIST Insight

Ролевая модель

Ролевая модель в MIST Insight включает в себя четыре предустановленные роли: «Администратор», «Оператор», «Аудитор» и «Сетевой администратор», а также позволяет создавать дополнительные роли с назначением прав доступа к каждому разделу интерфейса.

Рисунок 29. Ролевая модель в MIST Insight

Выводы

MIST Insight представляет собой инструмент, который может быть полезен как ИТ-, так и ИБ-специалистам. Работникам ИТ-отделов система предоставляет возможности управления политиками конфигурирования, в том числе для их оптимизации. С помощью MIST Insight специалисты могут выявлять неиспользуемые и избыточные правила, что значительно упрощает процесс управления политиками сетевых устройств. С точки зрения безопасности, MIST Insight позволяет эффективно контролировать работу сетевой инфраструктуры из единой консоли, что значительно упрощает управление и мониторинг без необходимости получения доступа ко всем отдельным устройствам. Кроме того, данные в системе представлены в унифицированном формате, что делает их более доступными и понятными для анализа.

На данный момент система активно развивается, внедряются новые функции по визуализации векторов атак, включая поддержку сигнатур IPS, и автоматизации изменений правил доступа. Это позволит более детально анализировать угрозы и улучшить общую защиту сетевой инфраструктуры, делая её более устойчивой ко внешним атакам и внутренним уязвимостям.

Достоинства:

• Гибкое масштабирование (как по вертикали, так и по горизонтали) для адаптации под любые объёмы нагрузки.
• Динамическая карта сети для визуализации строения и состояния сетевой инфраструктуры.
• Совместимость с отечественными сетевыми устройствами.
• Создание и разметка сегментов сети в соответствии со стандартами безопасности PCI DSS и NIST.
• Подробная история изменений конфигураций устройств для отслеживания последствий предыдущих настроек.
• Автоматическая проверка сетевых устройств на соответствие установленным политикам конфигурирования в целях минимизации рисков неправильной настройки.
• Обнаружение уязвимостей сетевых устройств на основе актуальных баз данных, таких как БДУ ФСТЭК России и NIST NVD.
• Автоматизированный анализ оптимальности правил доступа для выявления неэффективных или избыточных настроек и их последующей корректировки.

Недостатки:

• Отсутствует функция визуализации векторов атак (в разработке).
• Нет функции управления изменениями правил доступа (в разработке).
• Продукт не сертифицирован в системе ФСТЭК России.
• Отсутствуют рекомендации по устранению выявленных уязвимостей.