Обзор «НОТА КУПОЛ. Управление» 1.0 – единого мультивендорного центра управления МЭ и NGFW

С каждым днем увеличивается количество устройств, существующих в корпоративной сети передачи данных, включая коммутаторы, маршрутизаторы и межсетевые экраны (МЭ) различных производителей. Управление такой сетью становится сложной задачей, требующей внимания и умения работать со всеми этими устройствами.

Одна из основных сложностей управления такой сетью заключается в большом количестве устройств, которые нужно контролировать и обслуживать. Во-первых, администраторы по информационной безопасности (ИБ) должны отслеживать все изменения конфигураций сетевых средств защиты – вдруг вчера на пограничном шлюзе были изменены правила, и теперь вся сеть компании доступна снаружи?
Во-вторых, правила нуждаются в регулярном пересмотре и оптимизации, чтобы не замедлялась обработка соединений на межсетевом экране. Легко это проделать вручную, когда и устройств, и правил мало. Но вряд ли кому-то под силу регулярно отсматривать десятки тысяч правил, неизбежно возникающих в крупных инфраструктурах, и проверять, как в их контекст встраиваются новые правила.

Ещё одна сложность – различия между устройствами разных производителей. Каждый производитель создает свой собственный интерфейс, логику построения политик проверки сетевых пакетов и логику работы таких проверок. Например, в одном межсетевом экране соединение, не подходящее ни под какое правило, будет пропущено, а в другом — заблокировано. И администраторам приходится держать в голове эти различия при внесении изменений.

Для решения этих проблем создаются специальные средства централизованного управления, которые помогают упростить и автоматизировать процессы настройки и мониторинга сети. В этом обзоре рассматривается один из таких продуктов – «НОТА КУПОЛ. Управление» 1.0 от компании НОТА, часть экосистемы продуктов НОТА КУПОЛ.

Цель использования «КУПОЛ.Управления» в том, чтобы в одном веб-интерфейсе управлять всеми имеющимися в организации межсетевыми экранами, при этом получая дополнительную аналитику по ним. Что же конкретно имеется в виду? Рассмотрим ниже.

Возможности «НОТА КУПОЛ. Управление» 1.0

• Единая консоль для мониторинга и управления состоянием подключенных межсетевых экранов, контроль и управление конфигурациями

Must-have-функция для любого средства централизованного управления. После добавления в консоль «НОТА КУПОЛ. Управление» у устройства отображается его статус (подключен, выключен или на перезагрузке) и актуальный mgmt-IP. Из этой же консоли можно отправить команду на перезагрузку МЭ. Из контекстного меню устройства также можно перейти в его непосредственный веб-интерфейс управления.

Чтобы иметь возможность добавить новый межсетевой экран, на нем нужно создать пользователя с административными правами и разрешениями на подключение по API. На момент написания обзора «НОТА КУПОЛ. Управление» поддерживал добавление устройств Usergate и CheckPoint, но уже до конца 2023 года разработчики планируют добавить поддержку Cisco ASA, Cisco Firepower и АПКШ «Континент».

Еще единая консоль «НОТА КУПОЛ. Управление» позволяет осуществлять резервное копирование конфигурации межсетевого экрана. Потом эту конфигурацию можно раскатить на тот же МЭ или на другое устройство – это значительно ускорит перенастройку и ввод в эксплуатацию.

• Управление политиками и правилами безопасности МЭ, СОВ, AppControl, URL-фильтрации

После добавления устройства в интерфейсе «НОТА КУПОЛ. Управление» становятся доступны политики, правила и слои правил (для CheckPoint). Можно создавать, отключать, удалять и изменять правила, в том числе их порядок.

Настройка правил соответствует типу устройства. Например, при редактировании правила на CheckPoint можно выбрать правила различных блейдов, а на Usergate указать зоны источника/назначений или выбрать запуск кастомного сценария при срабатывании правила. В целом синтаксис правил стандартный для NGFW:

• действия (разрешить/отбросить/запустить кастомный сценарий);
• источник и назначение, в том числе сетевой диапазон или группа устройств (правда, пока нельзя посмотреть содержимое группы, только использовать существующие);
• страна источника или назначения по GeoIP;
• приложение/протокол;
• пользователи, для которых применяется правило;
• шифровать ли соединение с помощью VPN;
• логирование пакета, подпадающего под правило.

• Анализ и оптимизация политик на всех устройствах

При настройке межсетевого экрана, установленного в сколько-нибудь сложной сетевой инфраструктуре, возникает большое количество правил. Они постепенно меняются, теряя первоначальный смысл. Некоторые правила, наоборот, уже давно устарели и не нужны. Какой-то администратор ИБ создаёт тестовое правило и забывает его удалить. Помочь разобраться в этой путанице призвана одна из функций «НОТА КУПОЛ. Управление» – анализ политик.

Правила, созданные на устройствах, автоматически распределяются по нескольким категориям, требующим внимания – например, ANY to ANY или правила без журналирования соединений. Администратор «НОТА КУПОЛ. Управление» просматривает эти правила и при необходимости редактирует, отключает или удаляет опасные.

Результаты анализа можно выгрузить в xls-таблицу.

В дополнение к этому «НОТА КУПОЛ. Управление» проводит анализ правил в контексте их взаимодействия, влияющего на производительность: какие правила дублируют или затеняют другие, какие можно выключить, чтобы при прохождении пакета через МЭ уменьшить затраты ресурсов и тем самым увеличить его пропускную способность.

«НОТА КУПОЛ. Управление» при необходимости может собирать журналы управляемых устройств для их отдельного хранения. И, исходя из логов устройств, могут быть выявлены правила, по которым в заданный промежуток времени не было прохождения пакетов. Соответственно, если какое-то правило долго не использовалось, имеет смысл проанализировать его и при необходимости отредактировать/удалить.

• Дашборды и визуализация

Для удобства работы со сводной информацией «НОТА КУПОЛ. Управление» предлагает настраиваемые дашборды. Пользователь выбирает расположение, размер и наполнение виджетов: можно вывести результаты анализа политик в различных разрезах по всем подключенным межсетевым экранам или же отобразить это только по необходимым устройствам.

• Администрирование «НОТА КУПОЛ. Управление»

Для управления доступом к такой важной системе используются настраиваемые политики паролей пользователей «НОТА КУПОЛ. Управление», ведётся журналирование действий пользователей с возможностью экспортировать журнал. Пользователи могут быть не только локальные – «НОТА КУПОЛ. Управление» работает с аутентификацией доменов Active directory и Astra Linux Directory (ALD).

Архитектура и лицензирование

Архитектура «НОТА КУПОЛ. Управление» не требует значительных вычислительных мощностей: используется один сервер, на котором работают и сервисы, и база данных, и веб-интерфейс.
Требования к серверу:

Процессор	от 4 ядер
Жесткий диск	50 ГБ
ОЗУ	8 Гб
ОС	Astra Linux 1.7 SE или Osnova Linux Onyx 2.0

Установка ПО производится из пакетов, предоставляемых производителем.

Лицензирование «НОТА КУПОЛ. Управление» тоже достаточно простое и состоит из двух компонентов:

• основная лицензия на само ПО;
• дополнительные лицензии на управляемые устройства.

Обновления лицензии и ПО могут проводиться как через Интернет напрямую, так и через файлы (для обновления в закрытом контуре).

«НОТА КУПОЛ. Управление» внесен в реестр отечественного ПО Минцифры России (запись №19629 от 17.10.2023).

Roadmap

В ближайшие планы развития продукта входит, во-первых, расширение списка поддерживаемых устройств – добавление наиболее востребованных среди заказчиков «НОТА КУПОЛ. Управление» (в частности, Cisco, Huawei, Fortigate, ViPNet, Континент, Ideco), а также поддержка сетевых устройств (коммутаторы и маршрутизаторы).

Добавятся и функции контроля конфигураций (отслеживание изменений, копирование политик, анализ политик на соответствие best practice вендоров).

В-третьих, разработчики планируют расширять возможности анализа правил:

• новые категории опасных и неоптимизированных правил;
• выявление неиспользуемых объектов, заведенных на устройстве;
• рекомендации по переопределению порядка правил на основе частоты их срабатывания;
• предиктивное выявление аномалий, которые может вызвать новое правило, до применения политики на конечном устройстве.

Дополнительные будущие функции:

• построение динамической карты сети с возможностью построения пути прохождения трафика;
• формирование пользовательских отчетов;
• кластеризация системы;
• поддержка двухфакторной аутентификации пользователей «НОТА КУПОЛ. Управление».

Кроме того, идет процесс получения сертификата ФСТЭК России.

Заключение

«НОТА КУПОЛ. Управление» облегчит работу специалистам ИБ, указывая на узкие или проблемные места в текущих настройках политик и правил на устройствах в сети компании. Не нужно работать с множеством разных платформ управления – результаты анализа этих проблемных мест отображаются в единой консоли.

При этом, кстати, будет удобнее вводить в курс нового администратора – достаточно создать одну учетную запись новому сотруднику и ознакомить его с интерфейсом. Конечно, это не отменит необходимости в специалистах по устройствам конкретного вендора, но им будет гораздо легче управлять незнакомой железкой.

В целом «НОТА КУПОЛ. Управление» представляет собой эффективное решение для централизованного контроля и управления межсетевыми экранами. Оно помогает справиться с основными сложностями мультивендорного ИБ-ландшафта, обеспечивая более эффективное и безопасное функционирование всей IT-инфраструктуры.

Реклама. Рекламодатель: ООО «Т1 ИННОВАЦИИ».