Suchen

Security-Tools – Tufin Securechange Workflow 4.5 Vier-Augen-Prinzip bei Erstellung von Firewall-Regeln

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Firewalls weisen umfangreiche Regelsätze auf. Diese sind ständigen Änderungen unterworfen. Um dabei nicht den Überblick zu verlieren, liefert Tufin mit Securechange Workflow ein passendes Werkzeug zur Überwachung der Änderungen. Was dieses leistet haben wir untersucht.

Firma zum Thema

Im Security-Lifecycle einer Firewall ergeben sich zahlreiche Regeländerungen.
Im Security-Lifecycle einer Firewall ergeben sich zahlreiche Regeländerungen.
( Archiv: Vogel Business Media )

Firewalls sind neben den Virenscannern die am meisten eingesetzten Sicherheitstools. Ihre Bestimmung erhalten die Firewalls durch die passenden Regeln. Eine Firewall-Regel kann eine gewünschte Kommunikation explizit erlauben oder verbieten.

In größeren Szenarien können diese Regelsätze sehr umfangreich werden. Die dabei involvierten Objekte erreicht leicht die 1000er-Grenze. Ein Objekt solch einer Firewall-Regel ist beispielsweise ein Benutzer, eine Organisationseinheit, ein Rechner mit seiner IP-Adresse, eine Applikation, ein Prozess oder ein Netzwerksegment.

Bildergalerie

Da sich solche Objekte – wie etwa die Unternehmensstrukturen mit ihren Mitarbeitern – beständig ändern, müssen auch die Regeln laufend angepasst werden. Hinzu kommt, dass die Verwaltung einer verteilten Firewall-Infrastruktur oft auch nur verteilt erfolgen kann.

Die Kommunikation zwischen zwei Objekten muss mitunter jedoch mehrere Firewalls nacheinander passieren. Hierbei fällt es schwer, einen genauen Überblick darüber zu haben, was nun letztendlich erlaubt oder verboten ist. Um dabei noch den Überblick zu bewahren, werden häufig grafische Hilfsmittel eingesetzt.

Hilfreich sind auch Werkzeuge, die eine Emulation der Auswirkungen der Firewall-Regeln ermöglichen. So kann der Administrator noch vor der Durchführung von Änderungen sehen, was die geplante Änderung bewirkt. Sind diese Auswirkungen nicht wie gewünscht, so wird die Regel eben kurzerhand verworfen oder wieder geändert.

Workflow-basierte Regelerstellung

Für die gesamte Verwaltung von Firewall-Regeln liefert Tufin mit Securechange Workflow ein Toolset, das die Regelerstellung vereinfachen soll. Securechange Workflow ist dabei auf SecureTrack von Tufin abgestimmt. SecureTrack wiederum dient der operativen Verwaltung der Firewalls.

Securechange Workflow widmet sich der übergreifenden Steuerung und Kontrolle dieser Änderungen. Dies beginnt bei der Anforderung einer Änderung an einer Firewall-Regel, schließt die Risikoanalyse ein und kümmert sich schließlich um die letztendliche Implementierung der Regel. Parallel dazu werden diese Änderungen in einem Security Audit festgehalten.

Im Kern handelt es sich bei Securechange Workflow um ein Werkzeug, das die Änderungen an den Firewall-Regeln einem formalisierten Prozess unterzieht. Jede an einer Firewall erstellte oder geänderte Regel muss dabei in einem mehrstufigen Prozess mehrere Personen oder Gruppen durchlaufen.

Die Grundlage dazu stellt ein Rollenmodell dar. An diese Rollen werden dann die Aufgaben gebunden. Die Rollen sind frei zu definieren. Ebenso der Workflow. So kann beispielsweise eine Person eine Anforderung (einen Request) für eine Regel definieren.

Ein Beispiel hierfür ist die die Anforderung für einen Internet-Zugang eines Benutzers auf seine Mails im Unternehmen. Diese Person, die diese Anforderung definiert, muss nicht unbedingt mit den Details der involvierten Firewalls vertraut sein.

Seite 2: Umsetzung einer angeforderten Regel

Umsetzung einer angeforderten Regel

Welche Firewalls und Serversystem davon im Detail betroffen sind, muss die anfordernde Person nicht kennen. Sie formuliert nur die Anforderung. In einem nachgeschalteten Schritt wird diese Anforderung an eine weitere Person oder Gruppe geschleust. Diese kümmert sich dann um die eigentliche Umsetzung.

In der Terminologie der Firewall-Regeln gesprochen handelt es sich bei einer Regel immer um eine Kommunikation von einer Quelle zu einem Ziel. Als Kommunikationstechnik kommt ein bestimmtes Protokoll zum Einsatz.

Neben diesen grundlegenden Aspekten weisen die Firewall-Regeln natürlich noch weitere Parameter, wie die Zeit oder Angaben zur Protokollierung auf. Im Kern beruhen sie aber auf dem Quelle-Ziel-Prinzip.

Auf das Beispiel mit dem Mailzugang gemünzt würde es etwa heißen, der Benutzer A darf über das Protokoll http mit dem Mailserver B kommunizieren. Diese Umsetzung der mehr hochsprachlichen Formulierung in die Details der Firewall wird durch Securechange Workflow unterstützt. Dabei wird auch der Workflow der Regel definiert: Wer definiert die Anforderungen und wer setzt später diese in Firewall-Regeln um.

Die drei Schritte einer Regel: Anforderung, Review, Implementierung

Sind die Regeln erstellt, so wird oder kann diese zur Prüfung an eine weitere nachgeschaltete Stelle geschleust werden. Dieser Mitarbeiter wiederum prüft die Auswirkungen der neuen Regel auf den gesamten Regelsatz hin.

Der „Prüfer“ kann sich dazu auch weitere Informationen einholen. Reichen diese Angaben nicht aus, so kann er die Regel zurückweisen. Wenn alles passt und keine Komplikationen zu erwarten sind, so wird er die Regel zur Implementierung freigeben.

Die schlussendliche Umsetzung der in Securechange Workflow definierten Regeln passiert dann aber weiterhin in SecureTrack. Hierzu weist Securechange Workflow eine Schnittstelle auf.

Fazit

Tufin sieht als Zielgruppe von Securechange Workflow all die Unternehmen, die eine Vielzahl von Firewalls effektiv und sicher administrieren wollen. Durch den integrierten Workflow sorgt das Tool für die Einhaltung von Sicherheitsrichtlinien im Unternehmen. Änderungen an diesen Richtlinien werden auf mögliche Verstöße hin überprüft.

Eingeschlossen ist ferner ein mehrstufiger Prozess der auch die Compliance-Vorschriften beachtet. Das Konzept und der Ablauf sind natürlich nur dann wirklich sinnvoll, wenn tatsächlich mehrere Rollen und eine definierter Workflow existieren. In kleineren Szenearien aber wird Securechange Workflow seine Vorzüge eher nicht ausspielen können.

(ID:2020031)