Change Management

Firewall-Regeln und -Konfiguration automatisch steuern

| Autor / Redakteur: Jürgen Haekel / Stephan Augsten

Nur keine Lücke ist keine Lücke

Laufende Änderungen an der Firewall-Konfiguration sind heute ein Routineprozedere, bleibt doch kaum eine Firewall über längere Zeit statisch. Eine korrekte Durchführung erfordert jedoch jedes Mal eine Vielzahl von Schritten. Jeder Change Request bedarf zunächst der Genehmigung des Information Security-Team. Erst dann kann das Network Operations Team die Änderung planen, testen und umsetzen.

Es ist nicht ganz unproblematisch, dabei alle Folgen einer Änderung korrekt vorherzusehen und sicherzugehen, dass exakt umgesetzt wird, was nötig ist. Ebenso muss sichergestellt werden, dass vormals unberührte Prozesse nicht durch die Umstellung beeinträchtigt werden.

Je mehr unterschiedliche Firewalls zusammenwirken, desto langwieriger gestaltet sich die Testphase. Erst nach Durchlaufen dieser Prozedur wird das Update nutzbar. Tools wie SecureTrack und SecureChange von Tufin sorgen durch vereinfachtes Change Management für eine beschleunigte Umsetzung von Änderungen und helfen dabei, potentielle Sicherheitslücken zu erkennen und zu vermeiden.

Ist beispielsweise die Erweiterung einer physischen oder virtuellen Serverfarm geplant, kann nun das Information Security-Team in Echtzeit nachverfolgen, welche Art von Netzwerkverkehr auf welchem Weg dorthin gelangt. Ein präziser Überblick über die aktuelle Situation und die Auswirkung der im Change Request angeforderten Änderungen vereinfacht auch die Entscheidung über Annahme oder Ablehnung des Requests und beschleunigt somit den gesamten Ablauf. Insbesondere bei Migrationsprojekten, wo üblicherweise eine Vielzahl von Veränderungen gebündelt nötig werden, ist der Zeitvorteil von entscheidender Bedeutung.

Auch die Objektverwaltung verläuft unter Verwendung von Firewall-Analysetools effizienter und übersichtlicher. Auch ein 'Covern' neuer Regeln durch bereits bestehende kann mit Hilfe von SecureTrack leicht erkannt werden. Eine umfassende Analyse ermöglicht dem Operations Team einen schnellen Einblick, welche Firewalls und wie viele Firewalls einer Konfigurationsänderung bedürfen - ob beispielsweise Cisco, Juniper, Check Point, Palo Alto oder Fortinet. Im Anschluss wird die Implementierung automatisiert abgewickelt.

Ergänzendes zum Thema
 
Security-Insider hat nachgefragt: „Gibt man mit Automatisierung nicht zu viel Kontrolle aus der Hand?“

Offline-Testverfahren und laufend aktuelle Audits

Veränderungen in der Security-Lösung können bei manueller Administration für gewöhnlich erst im laufenden Betrieb eingehend geprüft werden. Bei einer automatisierten Lösung sind Offline-Tests jedoch möglich. Darüber hinaus liefert die Offline-Analyse dem Information Security-Team den nötigen Aufschluss darüber, ob tatsächlich genau der genehmigte Request umgesetzt wurde.

Nicht nur Dokumentation und Change Management profitieren von einer stärkeren Automatisierung, auch die Überprüfung der durchgeführten Änderungen kann durch regelmäßige automatisierte Audits der Firewall-Umgebung ergänzt werden. Mit jeder Installation einer neuen Policy wird automatisch ein vollständiger Report generiert. Die erfolgten Änderungen und der darüber erreichte Ist-Zustand fließen darin ein.

Sämtliche relevanten Informationen aus den erfolgten Analyseläufen werden gespeichert, so dass ein vollständiger Audit Trail der kompletten Netzwerk-Infrastruktur entsteht. Damit hilft das System nicht nur bei der Erfüllung von Unternehmens-internen Compliance-Anforderungen sondern auch direkten Vorgaben wie SOX oder PCI-DSS 3.0 sowie durch manuelle Anpassungen Basel II, HIPAA oder ISO 27001.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43391931 / Security-Devices und -Tools)