Обзор НОТА КУПОЛ. Управление 1.0, центра управления межсетевыми экранами

1. Введение
2. Функциональные возможности «НОТА КУПОЛ. Управление»
3. Архитектура «НОТА КУПОЛ. Управление»
4. Системные требования «НОТА КУПОЛ. Управление»
5. Сценарии использования «НОТА КУПОЛ.Управление»
   1. 5.1. Мониторинг состояния всех подключённых межсетевых экранов
   2. 5.2. Управление политиками межсетевого экрана
   3. 5.3. Анализ политик подключённых устройств
      1. 5.3.1. Сводка
      2. 5.3.2. Оптимизация
      3. 5.3.3. Очистка
   4. 5.4. Рабочий стол
   5. 5.5. Администрирование приложения
      1. 5.5.1. Доступ
      2. 5.5.2. Парольная политика
      3. 5.5.3. Журналы
      4. 5.5.4. Система
6. Выводы

Введение

Ни для кого не секрет, что управление безопасностью и администрирование межсетевых экранов — трудоёмкая задача для специалистов по информационной безопасности и сетевых инженеров, особенно в компаниях со средними и крупными распределёнными инфраструктурами, наполненными устройствами от разных производителей МЭ, UTM, NGFW, каждое из которых установлено для решения своих задач в том или ином сегменте сети.

Необходимость контроля за правильностью настроек всех межсетевых экранов и корректностью применяемых на них политик / правил отнимает много времени у специалистов по ИБ и сетевых инженеров. Кроме того, им затруднительно своевременно выявлять различного рода аномалии в политиках / правилах МЭ, которые потенциально могут снижать пропускную способность устройств межсетевого экранирования и уровень защищённости сети в целом.

Продукт «НОТА КУПОЛ. Управление» предназначен для решения этих проблем путём объединения в одном интерфейсе возможностей контроля, администрирования и оптимизации работы межсетевых экранов, UTM и NGFW различных производителей.

«НОТА КУПОЛ. Управление» версии 1.0 решает следующие задачи:

• Ускорение настройки правил на межсетевых экранах, UTM, NGFW российских и зарубежных вендоров благодаря единому интерфейсу взаимодействия с ними.
• Отслеживание состояния доступности всех подключённых устройств МЭ и создание резервных копий их конфигураций.
• Быстрое восстановление и перенос конфигурации при сбое в работе подключённого устройства.
• Ускорение ввода в эксплуатацию замещающего или нового оборудования.
• Контроль изменений и управление политиками МЭ.
• Анализ и оптимизация политик безопасности во всей ИТ-инфраструктуре компании, как следствие — повышение качества её защищённости и уменьшение затрат на закупку нового оборудования МЭ.
• Ролевое разграничение прав доступа пользователей к функциональным возможностям взаимодействия с подключёнными устройствами МЭ.

Функциональные возможности «НОТА КУПОЛ. Управление»

Перечень основных функциональных возможностей «НОТА КУПОЛ.Управление» достаточно обширный:

• подключение и мониторинг состояния доступности подключенных устройств МЭ, NGFW, UTM российских и зарубежных вендоров;
• централизованный мониторинг и управление политиками МЭ на всех подключенных устройствах;
• контроль изменений и управление конфигурациями подключенных устройств;
• клонирование конфигураций устройств на другие подключенные устройства выбранного вендора;
• анализ политик МЭ, обнаружение «теневых», «дублирующих» и «излишних» политик в контексте сети предприятия;
• формирование рекомендаций по оптимизации политик МЭ;
• формирование отчетных данных в формате XLSX;
• авторизация пользователей с использованием доменных учетных записей (AD и ALD);
• ролевая модель управления доступом пользователей системы;
• управление парольной политикой пользователей системы;
• журналирование действий пользователей и системы;
• онлайн и офлайн активация лицензии системы;
• онлайн и офлайн обновление системы.

Архитектура «НОТА КУПОЛ. Управление»

Приложение имеет клиент-серверную архитектуру, работает через веб-интерфейс. Разработано на базе Django и React. Серверная часть устанавливается локально.

Рисунок 1. Архитектура «НОТА КУПОЛ. Управление»

Системные требования «НОТА КУПОЛ. Управление»

Системные требования к устройству для развёртывания продукта:

• четырёхъядерный процессор;
• 50 ГБ свободной памяти на жёстком диске;
• 8 ГБ оперативной памяти;
• ОС Astra Linux 1.7 SE.

В обозреваемой версии 1.0 продукт совместим с межсетевыми экранами UserGate NGFW и Check Point NGFW.

Сценарии использования «НОТА КУПОЛ.Управление»

Мониторинг состояния всех подключённых межсетевых экранов

В приложении в разделе «Список устройств» пользователю предоставлена возможность подключения межсетевых экранов, UTM и NGFW к «НОТА КУПОЛ. Управление» для дальнейшего взаимодействия в контексте функциональных возможностей продукта. Для подключения нового устройства необходимо указать его IP-адрес, а также учётные данные пользователя, которому предоставлены необходимые права для взаимодействия со внешними решениями.

Рисунок 2. Добавление нового устройства в «НОТА КУПОЛ. Управление»

Важно отметить, что доступные функции приложения для конкретного устройства сильно зависят от настроек прав пользователя, по учётным данным которого «НОТА КУПОЛ. Управление» осуществляет взаимодействие с устройством МЭ. К примеру, если на устройстве UserGate пользователю даны права только на чтение политик МЭ, то и в интерфейсе «НОТА КУПОЛ. Управление» будет иметься только возможность их просмотра, без функций для управления ими. Впрочем, в таком случае будет доступна функциональность по мониторингу статуса доступности устройства и анализу его политик.

В этом же разделе предоставлена возможность отслеживать состояние доступности подключённых межсетевых экранов, что позволяет своевременно выявить проблемы в их работе. Например, в списке устройств в случае неполадки будет видно, какие из них больше не доступны для взаимодействия.

Рисунок 3. Мониторинг состояния доступности подключённых устройств в «НОТА КУПОЛ. Управление»

Ещё в этом разделе реализована возможность переноса конфигурации с выбранного устройства на одно или несколько других подключённых, что позволяет гораздо быстрее вводить в эксплуатацию новые устройства в процессе масштабирования сети, а также оперативно восстанавливать её работоспособность и безопасность при вводе в эксплуатацию нового устройства МЭ вместо вышедшего из строя.

Рисунок 4. Перенос конфигурации устройства

Управление политиками межсетевого экрана

Для того чтобы из раздела «Список устройств» перейти к просмотру политик МЭ и управлению ими, достаточно выбрать нужное устройство и щёлкнуть по его названию. На открывшейся странице будет представлен весь список правил МЭ, имеющихся сейчас на выбранном устройстве.

Доступны следующие функции управления правилами МЭ: изменение их порядка, удаление, включение / выключение, создание новых правил и редактирование имеющихся.

Все внесённые изменения автоматически применяются на конечном устройстве МЭ.

Рисунок 5. Просмотр списка правил МЭ

При редактировании правила у пользователя есть возможность изменить все его параметры аналогично тому, как это реализовано в интерфейсе конкретного МЭ. При сохранении изменений они автоматически будут применены на конечном устройстве.

Рисунок 6. Редактирование правила МЭ через интерфейс «НОТА КУПОЛ. Управление»

Анализ политик подключённых устройств

В процессе эксплуатации межсетевых экранов неизбежно появляются разные правила, которые реализовывают один и тот же сценарий фильтрации трафика, какие-то старые правила перекрываются новыми, а некоторые и вовсе могут нарушать базовые требования по безопасности инфраструктуры компании. При этом каждое новое правило создаёт дополнительную нагрузку на устройство МЭ, из-за чего снижается его пропускная способность. Контролировать же всё это вручную — зачастую непосильная задача для специалистов по ИБ или сетевых инженеров, особенно средней или крупной компании, так как это требует больших затрат времени сначала на поиск таких правил, а потом — и на их анализ. Для более быстрого и качественного решения этих задач в приложении «НОТА КУПОЛ. Управление» в разделе «Анализ политик» реализованы функции, позволяющие проанализировать по различным критериям политики МЭ подключённых устройств, после чего принять соответствующие меры по устранению каких-либо аномалий в них.

Сводка

В подразделе «Сводка» пользователь может выбрать устройство МЭ, после чего посмотреть, сколько правил (и какие именно) относятся к каждой из категорий анализа. К примеру, это позволяет быстро выявить все правила вида «разрешено любое взаимодействие» (allow any — any), которых в принципе не должно быть на устройствах в инфраструктуре компании из-за их негативного влияния на её безопасность.

В приложении доступно распределение правил по следующим категориям: запрещающие / разрешающие, входящие / исходящие, отключённые, с отключённым логированием, разрешающие любое взаимодействие, разрешающие трафик любого сервиса без ограничений, двунаправленные.

Рисунок 7. Просмотр сводки по политикам устройства в «НОТА КУПОЛ. Управление»

Здесь также предусмотрена функциональность формирования и экспорта XLSX-отчёта по выбранной категории анализа политик для выбранного устройства МЭ.

Рисунок 8. Пример отчёта с результатами анализа политик

Оптимизация

В подразделе «Оптимизация» пользователь может посмотреть результаты выявления аномалий в существующих правилах на выбранном устройстве для их дальнейшей оптимизации и, как следствие, повышения пропускной способности МЭ и качества защиты сети.

Рисунок 9. Просмотр выявленных аномалий в правилах МЭ

«НОТА КУПОЛ. Управление» умеет выявлять следующие виды аномалий в правилах:

• Теневые — правила, которые не выполняются в силу наличия вышестоящих правил с обратным действием, из-за чего несут потенциальную угрозу безопасности.
• Избыточные — правила, которые дублируют друг друга (удаление лишнего правила не повлияет на политику безопасности компании).
• Обобщённые — когда первое правило соответствует всем пакетам, которым может соответствовать второе, но не наоборот.
• Коррелированные — правила с разным действием, первое из которых соответствует некоторым пакетам, подпадающим под второе, и наоборот.
• Группируемые — когда действия обоих правил одинаковы, но различается любой компонент источника, назначения или службы. В таком случае приложение выдаст рекомендацию по объединению этих двух правил в одно.

Рисунок 10. Рекомендация по объединению правил в одно

В приложении по щелчку на описании аномалии можно посмотреть более подробные сведения о том, что она собой представляет, а также экспортировать только её или сразу всю категорию в виде XLSX-отчёта.

Стоит заметить, что решение по устранению аномалий остаётся на усмотрение пользователя обслуживающего конкретный МЭ, т. е. «НОТА КУПОЛ. Управление» на текущий момент не имеет возможности автоматического исправления выявленных аномалий.

Очистка

В подразделе «Очистка» реализованы функции выявления правил МЭ, которые ни разу не сработали за рассматриваемый промежуток времени. Выявление таких правил осуществляется приложением на основании журналов, получаемых им с конечных устройств. Решение о том, оставить правила на устройстве или удалить их, опять же остаётся на усмотрение пользователя обслуживающего этот МЭ.

Доступна также функциональность формирования и экспорта XLSX-отчёта с результатами выявления неиспользованных правил МЭ.

Рисунок 11. Выявление неиспользованных правил

Рабочий стол

На вкладке «Рабочий стол» пользователю доступна возможность создания собственных персонализированных панелей мониторинга (дашбордов) и добавления на них виджетов, позволяющих просматривать информацию только по тем устройствам, которые находятся в его зоне ответственности.

В «НОТА КУПОЛ. Управление» доступны следующие возможности взаимодействия с рабочим столом:

• Создание нескольких дашбордов и изменение их порядка.
• Добавление нескольких настраиваемых виджетов одного типа на дашборд.
• Тонкая настройка информации, отображаемой в каждом виджете.
• Гибкое изменение размеров и расположения каждого из добавленных виджетов.
• Обновление показываемой информации как в одном виджете, так и сразу во всех добавленных на дашборд.

Рисунок 12. Рабочий стол с информационными виджетами

Администрирование приложения

Управление приложением доступно только пользователям с ролью «Администратор».

Доступ

В подразделе «Доступ» администратор имеет возможность добавлять новых пользователей приложения и управлять их правами доступа. Ему доступны следующие функциональные возможности:

• Добавление серверов авторизации пользователей Microsoft Active Directory (AD) и Astra Linux Directory, предоставление доступа в «НОТА КУПОЛ. Управление» пользователям с этих серверов.
• Создание локальных пользователей приложения.
• Назначение пользователям роли «Администратор» или «Оператор».
• Временная блокировка доступа пользователей в систему.

Рисунок 13. Управление доступом пользователей в «НОТА КУПОЛ. Управление»

Парольная политика

В «НОТА КУПОЛ. Управление» предусмотрена возможность настройки парольной политики для защиты от несанкционированного доступа. В подразделе «Парольная политика» администратор может задать следующие требования для всех пользователей приложения:

• Требования к паролю: количество знаков, обязательность наличия букв нижнего и верхнего регистров, цифр и спецсимволов.
• Срок действия пароля: количество дней, а также интервал заблаговременного оповещения о необходимости сменить пароль.
• Требования к авторизации: количество неудачных попыток до полной и временной блокировки, а также продолжительность последней.

Рисунок 14. Настройка парольной политики «НОТА КУПОЛ. Управление»

Журналы

Записи обо всех действиях пользователей «НОТА КУПОЛ. Управление» и системы доступны администратору приложения в подразделе «Журналы». Здесь реализована возможность фильтрации событий по пользователям или типам сообщений за различные интервалы времени, а также их экспорта в формат CSV или XLSX.

Рисунок 15. Журнал действий пользователей приложения

Журналы событий позволяют администратору приложения оперативно выявлять нелегитимные изменения и принимать соответствующие меры по их нейтрализации.

Система

«НОТА КУПОЛ. Управление» может быть развёрнуто в открытом или закрытом контуре компании, поэтому в подразделе «Система» предусмотрена возможность обновления приложения онлайн и офлайн, а также активации и продления лицензии.

Рисунок 16. Настройки системы «НОТА КУПОЛ. Управление»

Благодаря журналу событий можно оперативно отреагировать на изменения в настройках устройств и получить разъяснения от пользователя.

Выводы

Приложение «НОТА КУПОЛ. Управление» позволяет существенно облегчить работу специалистов по информационной безопасности и сетевых инженеров в части администрирования и контроля всех межсетевых экранов, установленных в инфраструктуре компании и филиалов, за счёт возможности работы с ними из единого веб-интерфейса. Наличие функций по анализу политик позволяет получить рекомендации по оптимизации правил МЭ на конечных устройствах таким образом, чтобы повысить пропускную способность и качество защищённости сети компании в целом.

В настоящее время команда «НОТА КУПОЛ. Управление» активно работает над расширением перечня поддерживаемых межсетевых экранов, UTM и NGFW российских и зарубежных вендоров.

К концу этого года также планируется добавить новые виды анализа политик подключённых устройств, а также реализовать возможность управления настройками резервного копирования их конфигураций, функциональность гибкого управления правами доступа пользователей и интеграцию «НОТА КУПОЛ. Управление» с системами управления событиями (SIEM).

На 2024 год запланирована функциональность построения динамической карты сети, подключения маршрутизаторов и коммутаторов, мониторинга и сравнения изменений в конфигурациях подключённых устройств с их последующим восстановлением, а также настройки аудита конфигураций по различным критериям.

Достоинства:

• Централизованный контроль и управление сразу несколькими устройствами МЭ различных вендоров.
• Отслеживание состояния доступности всех подключённых устройств МЭ и создание резервных копий их конфигураций.
• Быстрое восстановление и перенос конфигурации при сбое в работе подключённого устройства МЭ, а также ускорение ввода в эксплуатацию замещающего или нового оборудования.
• Обнаружение «теневых», «избыточных», «обобщённых» аномалий в правилах подключённых устройств МЭ.
• Анализ и оптимизация политик МЭ во всей ИТ-инфраструктуре компании, как следствие — повышение качества её защищённости, увеличение пропускной способности устройств и уменьшение затрат на закупку дополнительных МЭ.
• Формирование отчётов по результатам анализа политик.
• Возможность установки на сертифицированную ОС Astra Linux 1.7.
• Наличие веб-интерфейса.

Недостатки:

• На момент написания обзора была реализована поддержка только устройств UserGate NGFW и Check Point NGFW.
• Нет возможности автоматического исправления выявленных аномалий или удаления неиспользуемых правил, найденных в результате анализа.