Sergey Nivens - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Automatización mejora la migración de firewall y la seguridad de la red

La migración de firewall es un caso de uso de automatización convincente, ya que los scripts de automatización pueden acortar el proceso de migración, eliminar las reglas no utilizadas y reforzar la seguridad general de la red.

Muchas organizaciones siguen con el mismo proveedor de firewall porque migrar la configuración de un proveedor a otro puede ser una tarea desalentadora. La automatización puede acelerar el proceso, permitiendo a las organizaciones eliminar las reglas no utilizadas y convertir un proceso tedioso y propenso a errores en una migración más corta y confiable que mejore la seguridad general de la red.

Este artículo describe un ejemplo de cuando en NetCraftsmen ayudamos a uno de nuestros clientes a hacer la transición de un proveedor de firewall a otro mediante la automatización. Los modelos exactos de firewall no son importantes, pero la cantidad de firewalls fue mucho mayor de lo que queríamos manejar manualmente.

¿Qué migrar?

Cuando se trata de la migración del firewall: ¿Migra todos los objetos y reglas, o intenta limpiar los conjuntos de reglas a medida que avanza? Si realiza cambios, existe una alta probabilidad de que cometa errores que provoquen fallas en la aplicación o seguridad insuficiente, donde bloquea demasiado o no bloquea lo suficiente, respectivamente.

El mecanismo menos disruptivo implica convertir las reglas de la configuración de un proveedor a la configuración de otro proveedor mientras se aplican algunas heurísticas simples para identificar objetos huérfanos.

El proceso manual

En nuestro ejemplo, el equipo de implementación en el sitio estaba trabajando lentamente a través de un proceso de conversión manual. Las reglas del firewall de origen funcionan en la tupla de IP: puerto de origen, dirección de origen, puerto de destino, dirección de destino e ID de protocolo. No les importaba la interfaz de entrada o la interfaz de salida.

Sin embargo, el firewall de destino necesitaba especificar las interfaces de entrada y salida, lo que complica enormemente la tarea de convertir las reglas del firewall. El resultado fue un proceso tedioso. Afortunadamente, el trabajo manual del equipo de implementación identificó los pasos de un proceso repetible, lo que nos llevó a investigar un enfoque de automatización.

Migrar las configuraciones del firewall

El primer paso para el proceso de automatización fue extraer los objetos, las reglas y la información de la interfaz del firewall de origen. Decidimos importar la información extraída en hojas de cálculo de Excel para que los elementos de datos pudieran identificarse por columna de la hoja de cálculo. Si bien la conversión a Excel fue un proceso manual, solo necesitábamos hacerlo una vez y terminamos relativamente rápido.

Escribimos el sistema de conversión en Python, usando la biblioteca de manipulación OpenPyXL Excel. El resultado fue una serie de scripts que implementaron tres pasos principales, cada uno de los cuales realizó una parte de la conversión:

  1. Revise todos los objetos (host, red, servicio o grupo) y asocie cada uno a una dirección IP o rango de direcciones. Esto incluía múltiples scripts, uno para cada tipo de objeto.
  2. Para cada objeto y par de direcciones IP, determine su interfaz de firewall asociada.
  3. Analice cada política de seguridad, determine su dirección y conviértala al formato de configuración del firewall de destino.

Se hizo un gran esfuerzo para manejar las excepciones. Declaramos cualquier objeto que no tenía interfaces asociadas con ellos como objetos muertos y escribimos su información en un archivo separado. En otros casos, los objetos del firewall de origen incluían referencias a lo que deberían haber sido múltiples objetos. Manejamos estos creando nuevos objetos o escribiendo la información del objeto en el archivo de objetos muertos.

La gran automatización gana

Los guiones fueron una gran victoria. Fue fácilmente una relación de 20 a 1 de esfuerzo manual versus ejecutar el script. Sin embargo, incluso con la automatización, tuvimos que validar la configuración resultante en el firewall de destino para asegurarnos de que estaba haciendo lo que se suponía que debía hacer. Por ejemplo, identificamos fallas en las primeras conversiones en las que un objeto tenía que dividirse en varios objetos. Estas fallas se volvieron menos frecuentes a medida que las encontramos e incorporamos cambios en los scripts para manejarlas automáticamente. Ahora tenemos el conocimiento y el sistema básico para optimizar la migración del firewall para los firewalls restantes del cliente.

La segunda victoria fue la mejora en la seguridad general de la red. Las nuevas reglas de firewall identificaron las interfaces de entrada y salida, mejoraron la seguridad y eliminaron cientos de objetos muertos que hicieron que los nuevos firewalls fueran más eficientes. Finalmente, la separación de objetos incompatibles en objetos y reglas separados simplificó enormemente las reglas. El equipo de seguridad ahora tiene menos objetos para administrar, y los objetos restantes son más consistentes y usan reglas más simples.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close