Security-Tools – Tufin Securechange Workflow 4.5

Vier-Augen-Prinzip bei Erstellung von Firewall-Regeln

12.03.2009 | Autor / Redakteur: Johann Baumeister / Stephan Augsten

Im Security-Lifecycle einer Firewall ergeben sich zahlreiche Regeländerungen.
Im Security-Lifecycle einer Firewall ergeben sich zahlreiche Regeländerungen.

Firewalls weisen umfangreiche Regelsätze auf. Diese sind ständigen Änderungen unterworfen. Um dabei nicht den Überblick zu verlieren, liefert Tufin mit Securechange Workflow ein passendes Werkzeug zur Überwachung der Änderungen. Was dieses leistet haben wir untersucht.

Firewalls sind neben den Virenscannern die am meisten eingesetzten Sicherheitstools. Ihre Bestimmung erhalten die Firewalls durch die passenden Regeln. Eine Firewall-Regel kann eine gewünschte Kommunikation explizit erlauben oder verbieten.

In größeren Szenarien können diese Regelsätze sehr umfangreich werden. Die dabei involvierten Objekte erreicht leicht die 1000er-Grenze. Ein Objekt solch einer Firewall-Regel ist beispielsweise ein Benutzer, eine Organisationseinheit, ein Rechner mit seiner IP-Adresse, eine Applikation, ein Prozess oder ein Netzwerksegment.

Da sich solche Objekte – wie etwa die Unternehmensstrukturen mit ihren Mitarbeitern – beständig ändern, müssen auch die Regeln laufend angepasst werden. Hinzu kommt, dass die Verwaltung einer verteilten Firewall-Infrastruktur oft auch nur verteilt erfolgen kann.

Die Kommunikation zwischen zwei Objekten muss mitunter jedoch mehrere Firewalls nacheinander passieren. Hierbei fällt es schwer, einen genauen Überblick darüber zu haben, was nun letztendlich erlaubt oder verboten ist. Um dabei noch den Überblick zu bewahren, werden häufig grafische Hilfsmittel eingesetzt.

Hilfreich sind auch Werkzeuge, die eine Emulation der Auswirkungen der Firewall-Regeln ermöglichen. So kann der Administrator noch vor der Durchführung von Änderungen sehen, was die geplante Änderung bewirkt. Sind diese Auswirkungen nicht wie gewünscht, so wird die Regel eben kurzerhand verworfen oder wieder geändert.

Workflow-basierte Regelerstellung

Für die gesamte Verwaltung von Firewall-Regeln liefert Tufin mit Securechange Workflow ein Toolset, das die Regelerstellung vereinfachen soll. Securechange Workflow ist dabei auf SecureTrack von Tufin abgestimmt. SecureTrack wiederum dient der operativen Verwaltung der Firewalls.

Securechange Workflow widmet sich der übergreifenden Steuerung und Kontrolle dieser Änderungen. Dies beginnt bei der Anforderung einer Änderung an einer Firewall-Regel, schließt die Risikoanalyse ein und kümmert sich schließlich um die letztendliche Implementierung der Regel. Parallel dazu werden diese Änderungen in einem Security Audit festgehalten.

Im Kern handelt es sich bei Securechange Workflow um ein Werkzeug, das die Änderungen an den Firewall-Regeln einem formalisierten Prozess unterzieht. Jede an einer Firewall erstellte oder geänderte Regel muss dabei in einem mehrstufigen Prozess mehrere Personen oder Gruppen durchlaufen.

Die Grundlage dazu stellt ein Rollenmodell dar. An diese Rollen werden dann die Aufgaben gebunden. Die Rollen sind frei zu definieren. Ebenso der Workflow. So kann beispielsweise eine Person eine Anforderung (einen Request) für eine Regel definieren.

Ein Beispiel hierfür ist die die Anforderung für einen Internet-Zugang eines Benutzers auf seine Mails im Unternehmen. Diese Person, die diese Anforderung definiert, muss nicht unbedingt mit den Details der involvierten Firewalls vertraut sein.

Seite 2: Umsetzung einer angeforderten Regel

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020031 / Firewalls)