AlgoSec – компания, специализирующаяся на разработке средств управления политиками сетевых устройств. Линейка продуктов Algosec Security Management Suite представлена средствами автоматизированного мониторинга, аудита и конфигурирования различного сетевого оборудования, в первую очередь, маршрутизаторами и управляемыми коммутаторами.
В данном обзоре будет подробно рассмотрен продукт Algosec BusinessFlow, являющийся завершением логической цепочки продуктов Algosec и представляющий взаимодействие между бизнес-приложениями и управлением сетевыми устройствами в Algosec FireFlow.
2. Управление сетевыми политиками при помощи Algosec BusinessFlow
Введение
Любая компания, активно использующая и развивающая свою IT-инфраструктуру, рано или поздно сталкивается с проблемами управления сетевой инфраструктурой. Постоянное появление новых компонентов сети, таких как межсетевые экраны (МСЭ), средства построения виртуальных частных сетей (VPN), маршрутизаторы (роутеры) и связанные с ними устройства, значительно затрудняют обеспечение сетевой безопасности и увеличивают время на обработку запроса на изменение политик и настроек.
Но межсетевые экраны эффективны лишь тогда, когда их политики безопасности правильно настроены. От политик же, в свою очередь, есть толк лишь в том случае, если они эффективно управляются. А теперь представьте себе, что в организации имеются сотни территориально распределенных межсетевых экранов, причем разных производителей. Количество правил превышает пару тысяч. Представили?
На помощь для решения проблем управления сложными мультивендорными инфраструктурами приходят специализированные продукты – Algosec Firewall Analyzer для анализа текущих политик и настроек сетевых устройств и Algosec FireFlow для создания системы заявок на изменение правил доступа и автоматизированного изменения политик устройств. Но бизнесу требуется более совершенный механизм управления сетевой связностью, в котором операции проводятся не на уровне сетевых адресов и параметров соединений, а на уровне бизнес-приложений и сервисов.
Корпоративные приложения являются важнейшей и основной частью бизнес-процессов в организациях, их управлением и управлением сетевой инфраструктурой в большинстве своем занимаются разные подразделениями, между которыми неизбежно возникают проблемы во взаимодействии при внесении изменений в настройки бизнес-приложений или сетевые настройки и политики ИБ, а крупным компаниям необходима операционная гибкость при изменениях в среде ИТ и непременная доступности корпоративных приложений для пользователей. При этом специалисты, занятые в обслуживании бизнес-приложений зачастую далеки от тематики сетевых технологий.
Кроме того, существует целый ряд крупных игроков на IT-рынке, предоставляющих свои информационные ресурсы и дата-центры для заказчиков. Данным компаниям также требуется предоставить своим пользователям простые и понятные механизмы для изменения сетевых настроек.
Заполнить брешь между корпоративными приложениями и управлением сетевым оборудованием может продукт Algosec BusinessFlow, предназначенный для настройки сетевых связей между бизнес-приложениями и сетевыми сервисами без необходимости понимания схемы сети, точных сетевых адресов и используемых протоколов.
Управление сетевыми политиками при помощи Algosec BusinessFlow
Algosec BusinessFlow позволяет автоматизировать управление политиками безопасности сетевых устройств без необходимости понимания их работы и знаний об особенностях сети и протоколов работы, а также установить взаимосвязь между требуемыми уровнями сетевой безопасности и обеспечением непрерывности функционирования и доступности бизнес-приложений.
Algosec BusinessFlow осуществляет управление требованиям доступа на уровне приложений и осуществляет:
- обнаружение, сопоставление и поддержку требований сетевого доступа приложений на протяжении всего их жизненного цикла;
- перевод требований доступа к приложениям в заявки в Algosec FireFlow на изменения правил фильтрации для МСЭ и других сетевых устройств;
- безопасный вывод приложений из эксплуатации (удаление невостребованных приложений и сетевых объектов).
В Algosec BusinessFlow управление производится не на уровне IP-адресов и TCP/UDP-портов, а на уровне бизнес-приложений и сетевых объектов, что существенно упрощает процедуры оптимизации политик безопасности, управления изменениями, вносимыми в политику и ее анализ. Задача Algosec BusinessFlow – обеспечение правильности настроек сетевой инфраструктуры организации и доступность всех необходимых корпоративных приложений, таких как та же 1С бухгалтерия, кадровые программы и других корпоративных приложений. При этом для каждого приложения можно настроить круг ответственных лиц, которые получают прямой доступ к интерфейсу Algosec BusinessFlow и работают со своими задачами без привлечения помощи специалистов.
Algosec BusinesFlow является частью комплекса Algosec Security Management Suite и тесно взаимодействует с Algosec Firewall Analyzer, который уже обозревался на нашем сайте, для выполнения анализа действующих политик безопасности, и Algosec FireFlow для оперативной обработки изменений в требованиях подключения приложений и передачи соответствующих запросов на изменения.
Algosec BusinessFlow позволяет обеспечить быструю настройку связей бизнес-приложений и поддерживать схему потоков данных в актуальном состоянии, а так же обеспечивает связь между подразделениями, ответственными за эксплуатацию бизнес-приложений, службами ИБ и ИТ, путём трансляции высокоуровневых требований бизнес-приложений на язык точных настроек сетевого оборудования. А благодаря наличию сервиса проверки времени выполнения заявки (SLA) в Algosec FireFlow время реагирования ИТ-специалистов строго регламентируется, как и приоритет одних изменений перед другими.
Algosec BusinessFlow предоставляет широкие возможности по созданию отчетов для различных подразделений компании (руководства, администраторов безопасности, аудиторов), что добавляет прозрачность процессам поддержки бизнес-приложений и облегчает аудит и проверку политик МСЭ на соответствие требованиям регуляторов, международных, ведомственных и отраслевых стандартов.
С помощью интеграции Algosec BusinessFlow с Algosec Firewall Analyzer в интерфейсе Algosec BusinessFlow осуществляется проверка влияния изменений в сети (топологии, маршрутизации, миграции серверов) на бизнес-приложения с возможностью генерации запросов на изменение политик МСЭ через Algosec FireFlow для восстановления доступности приложений.
Важной функцией Algosec BusinessFlow является возможность ведения полного жизненного цикла приложений – планирование, создание, изменение и безопасное отключения сетевого доступа при выводе утративших актуальность бизнес-приложений из эксплуатации, без рисков снизить уровень безопасности остальной сети и утратить доступности или повредить работоспособности других бизнес-приложений.
Дополнительно Algosec BusinessFlow предлагает возможность интеграции со сканерами уязвимости Nessus и QualysGuard, позволяя проверять степень рисков, связанных с применяемыми настройками связей бизнес-приложений.
Рисунок 1. Настройка сканеров уязвимости в параметрах Algosec BusinessFlow
Работа с Algosec BusinessFlow
Algosec BusinessFlow не требует отдельной установки, так как является частью Algosec Security Management Suite, описание процесса установки и первоначальной настройки приведено в нашем предыдущем обзоре. Дополнительно необходимо провести первоначальную настройку продукта, при которой указываются данные для доступа во внутреннюю СУБД и параметры для взаимодействия с Algosec FireFlow и Algosec Firewall Analyzer.
Рисунок 2. Первичная настройка Algosec BusinessFlow
После активации Algosec BusinessFlow в общем веб-интерфейсе становится активным вход в управление данным продуктом. Основное меню работы содержит пункты для управления следующими категориями:
- Бизнес-приложения – непосредственная работа с бизнес-приложениями, их связями и состояниями, статусами, параметрами и связями с другими объектами.
- Сетевые объекты – управление сетевыми службами, которые задаются с помощью IP-адресов.
- Контактные лица – управление пользователями, отвечающими за бизнес-приложения.
На основной рабочей области стартового экрана располагаются информативные графики, сообщающие о состоянии бизнес-приложений, их изменениях, статусах жизненного цикла и связности.
Для начала, рассмотрим возможности по управлению сетевыми объектами и контактными лицами, так как эти элементы активно используются в настройке бизнес-приложений. Раздел управления сетевыми объектами предназначен, в первую очередь, для сетевых инженеров и ИТ-специалистов, чтобы предоставить владельцам бизнес-приложений возможность настраивать потоки информации для бизнес-приложений выбирая из списка преопределенных объектов, а не вводя их сетевые адреса.
Сетевые объекты
Рисунок 3. Управление сетевым объектом в Algosec BusinessFlow
Сетевые объекты могут задаваться по одиночному IP-адресу или как диапазон адресов. Кроме того, возможно создание составных объектов, включающих в себя любое количество одиночных сетевых объектов. При редактировании составного объекта или при удалении одиночного объекта, добавленного в составной, всегда выводятся соответствующие предупреждения, что снижает шанс ошибочных действий.
К каждому сетевому объекту можно добавить комментарии – описание, местоположение и тип операционной системы. Стоит также отметить, что во всех текстовых полях (название объекта, комментарии и т.д.) корректно сохраняется и отображается текст на русском языке.
Сетевые объекты могут добавляться как администраторами, так и владельцами бизнес-приложений, кроме того добавление сетевых объектов доступно и из интерфейса настройки потоков информации бизнес-приложений без прерывания рабочего процесса.
Рисунок 4. Добавление сетевого объекта через всплывающее окно в интерфейсе редактирования потоков информации бизнес-приложений в AlgoSec BusinessFlow
Контактные лица
Управление контактными лицами осуществляется из раздела «Contacts», для каждого пользователя можно задать его имя, адрес электронной почты, должность, отдел и внутренний номер. Вся задаваемая информация используется только для информации – контактные лица не связаны с аккаунтами системы. Для добавления учетной записи пользователя, с которой можно войти в систему и производить какие-либо действия, необходимо перейти в интерфейс Algosec FireFlow и добавить пользователя там.
Рисунок 5. Добавление контактного лица в AlgosecBusinessFlow
В дальнейшем, при управлении бизнес-приложениями контактные лица привязываются к определенным приложениям и данную информацию можно использовать для быстрой связи с нужным сотрудником, например, при плановых технических работах с оборудованием во время которых могут наблюдаться кратковременные перерывы в работе сервисов.
При работе с бизнес-приложениями контактному лицу можно задать одну из следующих ролей:
- Владелец бизнес-приложения;
- Основной технический специалист;
- Дополнительный технический специалист;
- Специалист по общим вопросам.
Рисунок 6. Связь контактного лица с бизнес-приложением в AlgosecBusinessFlow
Бизнес-приложения
Рассмотрим основной функционал Algosec BusinessFlow – работа с бизнес-приложениями. При добавлении нового приложения указывается его наименование, направление бизнеса, структурное подразделение и физическое местоположение. Перечень дополнительных полей, включая предустановленные (кроме наименования), настраивается в параметрах Algosec BusinessFlow и может быть дополнен или изменен. Во всех полях поддерживается ввод текста на русском языке.
Рисунок 7. Добавление бизнес-приложения в Algosec BusinessFlow
После добавления приложения оно появляется в общем списке в левой части рабочего окна. Поддерживается поле для поиска приложения по названию. Управление доступом пользователей, заданных в Algosec FireFlow, к бизнес-приложениям осуществляется из раздела «Application Permissions», который доступен в общих настройках продукта. Для каждого приложения можно задать неограниченное число пользователей и присвоить им права на полный доступ или доступ только для чтения.
Рисунок 8. Управление доступом к бизнес-приложениям в Algosec BusinessFlow
Рисунок 9. Добавление доступа пользователю FireFlow в Algosec BusinessFlow
В общем интерфейсе обзора бизнес-приложения отображается полная информация о статусе приложения, его владельцах, мета-данных и информация о параметрах – количество заданных потоков информации, число заблокированных на сетевом оборудовании потоков информации, количество запросов на изменение настроек бизнес-приложения и перечень контактных лиц.
Рисунок 10. Общий вид бизнес-приложения в AlgosecBusinessFlow
Непосредственно управление бизнес-приложениями и его связность с сетевыми объектами производится в системе с помощью раздела «Flows» – потоков данных, которые необходимы для корректной работы приложения.
Управляющий бизнес-приложением, перейдя в описание потоков и имея представление о работе приложения, должен описать какие потоки необходимы для работы, при этом не обладая знаниями о внутренней топологии сети. То есть для настройки работы приложения не потребуются знания о том, какие МСЭ, маршрутизаторы и другое оборудование находится в сети, а просто выполняется настройка в интерфейсе Algosec BusinessFlow.
Редактор потоков информации открывается по нажатию кнопки «Edit Flows», далее для каждого из элементов потока задается название, выбирается объект-источник, объект назначения и сетевые службы, которые используются для передачи информации. Дополнительно к каждому потоку может быть добавлен комментарий. Поддерживается добавление набора элементов в каждом из разделов – источнике, получателе и сетевой службе. Таким образом один поток может описывать широкий набор требований по связности бизнес-приложения.
Рисунок 11. Интерфейс редактирования потоков информации бизнес-приложений в Algosec BusinessFlow
После сохранения измененного набора потоков Algosec BusinessFlow отображает информацию о выполненных изменениях и предлагает отправить новую схему потоков на согласование. При этом состояние бизнес-приложения переключается на «Черновик» до утверждения новой схемы.
Рисунок 12. Просмотр изменения в потоках и применение новых настроек в AlgosecBusinessFlow
Цветовая индикация каждого потока показывает управляющему бизнес-приложением какие из потоков уже настроены, а какие еще блокируются на сетевом оборудовании. В тот момент, когда пользователь создает или изменяет потоки работы приложения в системе создается запрос на изменение «Change requests». Все созданные заявки перенаправляются в Algosec FireFlow, где сетевой инженер видит конкретику по адресам и сетевым портам, вместо логических названий из Algosec BusinessFlow.
Аналогичная цветовая индикация действует и на более высоком уровне – Algosec BusinessFlow позволяет постоянно проверять доступность приложений на уровне сети. В левой части интерфейса приложения помечаются зеленым цветом разрешенные потоки трафика и красным – запрещенные. Проверка осуществляется на основе настроенных потоков информации – если какой-либо из сетевых потоков не будет работать из-за неверных настроек на сетевых устройствах, система оптативно отобразит это. Таким образом мы получаем еще один уровень контроля, дополняющий стандартную систему мониторинга. При этом проверка настроек межсетевых экранов осуществляется через интеграцию с Algosec Firewall Analyzer.
Еще одним удобным инструментом контроля является интеграция с результатами работы сканеров уязвимостей («Vulnerability Assessment»), которая позволяет администратору получить общую оценку уровня безопасности конкретного приложения, и наглядно показывает какие именно из используемых сервисом серверов не безопасны. В «Vulnerability Assessment» администратор может посмотреть какие именно уязвимости на каждом узле могут повлиять на работу и оценить статус безопасности своих приложений и соответственно устранить уязвимости путем настроек, установки обновлений, закрытия лишних сервисов и так далее.
Рисунок 13. Анализ уязвимости бизнес-приложений в AlgosecBusinessFlow
Для бизнес-приложений, которые были выведены из эксплуатации Algosec BusinessFlow предоставляет механизм безопасного отключения сетевого доступа. Для этого в интерфейсе используется опция «Decommission». В ответ на запрос пользователя система Algosec BusinessFlow запускает анализ влияния отключаемого приложения на другие бизнес-приложения и проверяет все зависимости. Часть потоков информации может быть сохранена, если они задействованы в других приложениях, которые продолжают свою работы. Ситуация, при которой при удалении приложения нарушается работа других процессов, исключена.
Данный механизм проверки зависимостей в Algosec BusinessFlow реализован и в виде отдельной функции анализа влияния («Impact Analysis»), которая так же может применяться при плановых технических работах с оборудованием.
Выводы
Algosec BusinessFlow позволяет производить управление не на уровне сетевых адресов и параметров соединений, от тематики которых зачастую далеки занятые в обслуживании бизнес-приложений специалисты, а на уровне непосредственно самих бизнес-приложений и сервисов. Тем самым, Algosec BusinessFlow является отличным решением неизбежно возникающих проблем во взаимодействии различных подразделений при внесении изменений в настройки бизнес-приложений или сетевые настройки и политики ИБ, добавляя организациям операционной гибкости при изменениях в среде ИТ.
Algosec BusinessFlow тесно интегрирован с другими продуктами линейки Algosec Security Management Suite – Algosec Firewall Analyzer, для проверки влияния изменений в сети на бизнес-приложения, и Algosec FireFlow, для возможности генерации запросов на изменение политик МСЭ для восстановления доступности приложений, и является завершением логической цепочки продуктов Algosec, представляя взаимодействие между бизнес-приложениями и управлением сетевыми устройствами в Algosec FireFlow.
В Algosec BusinessFlow реализована возможность ведения полного жизненного цикла бизнес-приложений – планирование, создание, изменение и безопасное отключения сетевого доступа при выводе утративших актуальность бизнес-приложений из эксплуатации, без рисков снизить уровень безопасности остальной сети и утратить доступности или повредить работоспособности других бизнес-приложений.
Algosec BusinessFlow предоставляет дополнительные уровни контроля – анализ уязвимости бизнес-приложений и проверку зависимостей, которые отлично дополнят стандартную систему мониторинга.
