Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl

Plan wystąpienia Wprowadzenie Zarządzanie zmian w systemie bezpieczeństwa – rozwiązanie Check Point SmartWorkflow Optymalizacja i „uszczelnianie” firewall – rozwiązanie Tufin SecureTrack Podsumowanie

Zarządzanie procesem weryfikacji, akceptacji i wprowadzania zmian konfiguracji zabezpieczeń Administrator zabezpieczeń Wnioski o dokonanie zmian polityki zabezpieczeń Inspektor bezpieczeństwa Decydent Administrator z prawami akceptacji polityki

SmartWorkflow Sesja SmartWorkflow umożliwia wydzielenie i utworzenie zestawu określonych zmian w konfiguracji zabezpieczeń jako jednej operacji zarządzania.

SmartWorkflow Informacje na temat zawartości sesji SmartWorkflow (m.in. lista dokonanych zmian) dostępne są w panelu Session Information

SmartWorkflow

1. Otwarcie nowej sesji Administrator w konsoli SmartDashboard tworzy nową sesję SmartWorkflow Kolejne zmiany w konfiguracji zabezpieczeń dodawane są do kontekstu określonej sesji SmartWorkflow

2. Zmiana konfiguracji zabezpieczeń Modyfikacje konfiguracji (reguł, obiektów) są wizualizowane w konsoli SmartDashboard

3. Analiza wprowadzanych zmian Zmiany mogą być analizowane „krok po kroku”

3. Analiza wprowadzanych zmian Przed wysłaniem sesji SmartWorkflow do akceptacji administratorzy mogą wygenerować i przejrzeć raport nt. wszystkich dokonanych zmian

3. Analiza wprowadzanych zmian Zmiany reguł polityki zabezpieczeń prezentowane są w odniesieniu do aktualnie zainstalowanej polityki

4. Przedstawienie sesji do akceptacji Sesja SmartWorkflow przekazywana jest do akceptacji

5. Analiza wprowadzanych zmian (inspektor) Raport SmartWorkflow jest przekazywany w formacie HTML i może być przeanalizowany bez konsoli SmartDashboard

6. Akceptacja lub odrzucenie sesji Akceptację sesji może dokonywać tylko administrator o odpowiednich uprawnieniach

7. Instalacja nowej polityki zabezpieczeń Po dokonaniu akceptacji sesji SmartWorkflow administratorzy mogą zainstalować zmodyfikowaną politykę zabezpieczeń Jeżeli polityka bezpieczeństwa na to pozwala w sytuacjach wyjątkowych administratorzy mogą zmieniać konfigurację zabezpieczeń bez akceptacji

8. Audyt działań administratorów Zmiany konfiguracji zabezpieczeń w ramach sesji SmartWorkflow są rejestrowane w Audit Log

8. Audyt działań administratorów Analiza zmian konfiguracji w Audit Log możliwa jest w kontekście wskazanych obiektów

8. Audyt działań administratorów Analiza zmian konfiguracji w Audit Log możliwa jest w kontekście wskazanych reguł

8. Audyt działań administratorów Konfiguracje mogą być wzajemnie porównywane i analizowane

Optymalizacja i utrzymanie „szczelności” polityki zabezpieczeń firewall Administrator zabezpieczeń Partner Inspektor bezpieczeństwa Bazy danych Zabezpieczenia firewall posiadają wiele skomplikowanych reguł, których liczba z czasem zwiększa się. Internet Serwery aplikacji Klient W średnich i dużych firmach zmiany konfiguracji zabezpieczeń dokonywane są każdego dnia przez różnych administratorów Serwery sieciowe Błędy mogą spowodować utratę ciągłości działania biznesu oraz doprowadzić do naruszeń bezpieczeństwa zasobów IT Hacker

Optymalizacja i utrzymanie „szczelności” polityki zabezpieczeń firewall Najlepszy firewall nie naprawi błędu w polityce Błędy w polityce często otwierają możliwości naruszeń bezpieczeństwa Po dłuższym czasie polityki są trudne do zrozumienia Przyjęte polityki i procedury firmowe nie są przestrzegane Tufin SecureTrack Firewall Operations Management

Tufin SecureTrack Firewall Operations Management Optymalizacja i „uszczelnianie” polityk zabezpieczeń Symulacja działania polityk zabezpieczeń Egzekwowanie dobrych praktyk i standardów korporacji

Optymalizacja i „uszczelnianie” polityk zabezpieczeń Najczęściej używane – można przesunąć na początek bazy w celu poprawy wydajności Rzadziej używane – można przenieść na koniec w celu poprawy wydajności Nieużywane obiekty mogą być usunięte z reguł w celu zmniejszenia podatności Nie używane reguły – można usunąć z bazy

Symulacja działania polityk zabezpieczeń Analizator sprawdza zbiory reguł biorąc pod uwagę adresy – źródłowy i docelowy oraz usługi. Wynikiem jest lista reguł, która przepuszcza dany schemat ruchu. Analiza może być przeprowadzona dla starych (nieużywanych) baz w celu wykonania analizy po-włamaniowej.

Egzekwowanie dobrych praktyk i standardów korporacji Czy reguły wbudowane są włączone? Czy każda reguła ma opis? Czy obiekty nazywane są zgodnie z konwencją? Czy Anti-spoofing jest włączony na każdym interfejsie? Czy firewalle są odpowiednio chronione? Czy jest reguła „cleanup”? Oraz wiele innych – ponad 50 różnych testów.

Podsumowanie Check Point i partnerzy OPSEC dostarczają narzędzia wspomagające administratorów w zakresie zarządzania zmianami w systemie bezpieczeństwa: SmartWorkflow - zarządzanie procesem weryfikacji, akceptacji oraz wprowadzania zmian polityki i konfiguracji zabezpieczeń. SecureTrack – optymalizacja reguł polityki zabezpieczeń i „uszczelnianie” firewall.

Pytania ? 27