Управляем сетевым доступом быстрее и эффективнее. Расширение возможностей централизованного управления доступом за счёт интеграции с корпоративной инфраструктурой

Управляем сетевым доступом быстрее и эффективнее. Расширение возможностей централизованного управления доступом за счёт интеграции с корпоративной инфраструктурой

В современных организациях ИТ-инфраструктура является одним из столпов, поддерживающих реализацию бизнес-процессов. И скорость выполнения операций по управлению и адаптации конфигурации сетевых устройств к потребностям ИТ-систем оказывает существенное влияние на эффективность работы пользователей.

Например, новому сотруднику из-за ручного процесса выполнения изменений сетевой доступ к необходимым ИТ-ресурсам предоставляется две недели. В итоге, человек всё это время получает зарплату, не делая ничего. Или сотруднику, являющемуся ключевым по проекту, доступ к необходимым ИТ-системам предоставили на неделю позже из-за того, что изменение политик доступа на промежуточных устройствах происходило вручную. Вследствие чего сотрудник не смог выполнить работы вовремя, что повлекло за собой сдвиг сроков проекта, выход за рамки бюджета и т. д.

НЕЗАМЕНИМЫЕ ЕСТЬ

В условиях роста ИТ-инфраструктуры и её изменений предоставление сетевого доступа, особенно в сетях с низким уровнем документирования или при отсутствии такового, становится всё более трудоёмкой задачей, зачастую завязанной на малое количество людей, а иногда и на одного человека. Такие люди становятся неким «центром компетенции», и при их уходе из организации без передачи знаний об устройстве ИТ-инфраструктуры может возникнуть проблема с управлением ИТ-инфраструктурой, что приведёт к замедлению или прекращению процессов функционирования бизнеса.

Пример. На моей памяти был случай, когда у одного заказчика весь ИТ-отдел уволился в один день. Карт сети, сервисов не было. Очень быстро эта организация сдала позиции в своём сегменте рынка из-за невозможности выполнять прежний объём заказов. И это далеко не единичный случай.

Избежать таких ситуаций, а также помочь абстрагироваться от уровня ручной конфигурации, позволяют системы для централизованного управления сетевым доступом от таких производителей, как Algosec, Tufin, Skybox, Firemon. Стоит отметить, что при интеграции с другими корпоративными ИТ-системами, эффект от их внедрения многократно возрастает.

Конечно, существуют открытые так называемые «open source» решения, предлагающие именно автоматизацию управления конфигурациями, в частности управление сетевыми устройствами, например, Nornir, Ansible, Puppet, Chef, Salt. Но они предлагают лишь часть того, что есть в системах для централизованного управления сетевым доступом и не являются их полноценными аналогами. Но несмотря на то, что открытые решения бесплатны, стоимость их владения далеко не нулевая.

А ЧТО ПРО ПРОЦЕССЫ?

На определённом уровне зрелости организации возникает необходимость в формализации процесса управления сетевым доступом. Системы для централизованного управления сетевым доступом можно встраивать в эти процессы, оптимизируя их, делая процессы более гибкими и адаптивными для последующих изменений.

Если процессы, затрагивающие управление сетевым доступом, отсутствуют или находятся на стадии разработки, системы для централизованного управления сетевым доступом могут стать одной из базовых составляющих таких процессов за счёт возможностей по:

• интеграции с корпоративной инфраструктурой;
• настройке ролевых моделей согласно процессу управления сетевым доступом;
• настройке этапности обработки запросов на сетевой доступ согласно процессу;
• оценке рисков по запрашиваемым доступам (с возможностью использования своих профилей риска);
• и других возможностей.

Более подробно об основных возможностях систем для централизованного управления сетевым доступом ранее говорилось в статьях моих коллег [1]. В данной статье мы сфокусируемся на возможностях интеграции систем для централизованного управления сетевым доступом с корпоративной ИТ-инфраструктурой.

ЗАЧЕМ ЭТО НУЖНО?

Обмен информацией между ИТ-системами и системами для централизованного управления сетевым доступом даёт максимально полную картину происходящего в ИТ-инфраструктуре, что позволяет более оперативно реагировать на изменения в ней.

Настраиваемое поведение систем для централизованного управления сетевым доступом на основе данных, получаемых от интегрируемых ИТ-систем, дает возможность автоматизировать часть работы сотрудников, позволяя сосредоточиться на более важных для бизнеса задачах.

Пример. До интеграции системы для централизованного управления сетевым доступом и тикет-системы запросы на сетевой доступ обрабатывались вручную в обеих системах. После интеграции через API-вызовы в системе для централизованного управления сетевым доступом запросы создаются, закрываются, изменяют статус автоматически, после получения соответствующих API-вызовов со стороны тикет-системы, что разгружает сотрудников, позволяя не дублировать действия, тем самым снижая трудозатраты.

Подход к управлению ИТ-инфраструктурой с ориентацией на бизнес-приложения в системах для централизованного управления сетевым доступом реализован, например, в модуле AppViz системы ASMS производителя Algosec или SecureApp системы Tuffin OS производителя Tuffin. Интеграция с этими модулями позволяет абстрагироваться и перейти от уровня ручной конфигурации сетевых устройств к управлению доступом на уровне бизнес-приложений, что снимет с сотрудников часть работы, связанной с поиском устройств, где необходимо корректировать правила и вручную изменять правила сетевого доступа.

Пример. После интеграции с IDM-системой при запросе пользователем доступа к бизнес-приложению, в системе для централизованного управления сетевым доступом создаётся запрос для открытия доступа после получения API-вызова от IDM-системы.

ДОБАВИМ КОНКРЕТИКИ

Интеграция с SIEM/SOAR/IRP. Системы централизованного управления сетевым доступом содержат в себе информацию, которая после определённой фильтрации в SIEM/SOAR/IRP может дать не только дополнительные триггеры для увеличения вариативности действий при инцидентах ИБ, увеличить прозрачность того, что происходит в инфраструктуре, но и может повысить уровень автоматизации реагирования на инциденты ИБ (рис. 1).

Рисунок 1. Интеграция с SIEM/SOAR/IRP

Описание:

• Информирование SOC о запросах на открытие/изменение/закрытие доступов к business-critical ресурсам до исполнения таких запросов;
• Отслеживание изменения конфигурации сетевых устройств на предмет соответствия заявленным доступам: например, если изначальный доступ был расширен/сужен/закрыт после выполнения запроса на сетевой доступ;
• Проверка доступа к/от скомпрометированному хосту или сегменту.

Результат:

• Проактивная реакция на попытку получения «опасных» сетевых доступов;
• Возможность автоматической блокировки доступа к/из скомпрометированных сегментов инфраструктуры.

Интеграция со сканерами уязвимостей. Сопоставление информации об уязвимостях на хостах с базой политик МСЭ позволяет определять потенциальные вектора атак (рис. 2).

Рисунок 2. Интеграция со сканерами уязвимостей

Описание:

• Импорт данных об уязвимостях хостов;
• Визуализация уязвимостей и правил, разрешающих их эксплуатацию.

Результат:

• Повышение уровня защищённости ИТ-инфраструктуры за счёт оценки рисков открытия сетевого доступа с учётом информации об уязвимостях хостов;
• Повышение уровня защищённости ИТ-инфраструктуры за счёт учёта уязвимостей хостов при аудите безопасностей правил сетевой безопасности.

Интеграция с тикет-системами. Интеграции такого типа не только уменьшают время на операционные задачи в рамках управления сетевым доступом, что позволяет выделять освободившееся время на более приоритетные задачи, но и дают импульс для оптимизации процессов по управлению сетевым доступом (рис. 3).

Рисунок 3. Интеграция с тикет–системами

Описание:

• Облегчение приведения фактического процесса управления сетевым доступом к регламентному за счёт возможности определения шагов и действий на стадиях обработки запроса на сетевой доступ и назначения ролей для выполнения действий согласно процессу управления запросами на сетевой доступ;
• Настраиваемые уведомления как в сторону заинтересованных лиц, так и в сторону смежных ИТ-систем, с использованием как почты, так и web API;
• Возможность отправлять API-вызовы в зависимости от состояния запроса на сетевой доступ, например: автоматическое изменение статуса в одной ИТ-системе в зависимости от статуса в другой;
• Облегчение создания запроса за счёт автоматического считывания файлов, содержащих описание сетевых доступов (под необходимый шаблон заполнения) и обнаружения ошибок в них.

Результат:

• Оптимизация времени выполнения запроса на сетевой доступ за счёт централизации управления сетевыми устройствами в части политик сетевой безопасности. Например, если вручную определение маршрута запрашиваемого доступа, устройств на нём и определения того, где именно и какие изменения необходимо внести для предоставления доступа затрачивалось 4 часа, то с использованием систем централизованного управления сетевым доступом этот процесс может занять несколько минут (в зависимости от количества устройств, правил и некоторых других факторов), так как эти данные уже хранятся в системе;
• Снижение времени создания запроса на сетевой доступ за счёт автоматического парсинга форм заявок с необходимыми доступами (к примеру, в Algosecпарсер можно доработать под существующие в организации формы — ​обычно это шаблоны Excel или Word);
• Приведение фактического процесса управления сетевым доступом к регламентному за счёт гибкости настройки шаблонов и рабочего процесса запросов в системах класса Algosec/Tufin/Skybox/Firemon.

Интеграция с платформами бизнес-аналитики. Интеграция с платформами бизнес-аналитики может дать более детальную статистику по работам, связанным с представлением сетевого доступа, что позволяет выделять, например, наиболее трудозатратные запросы для последующей оптимизации по работам такого типа.

Описание:

Передача информации о времени выполнения работ по заданному расписанию/фильтру.

Результат:

Получение статистики по заданным параметрам, например, среднее время выполнения запроса с категоризацией по исполнителям, среднее время нахождения в конкретном статусе и т. д., что может помочь с оценкой трудозатрат, например, для расчёта KPI.

Интеграция с IDM. Интеграция систем для централизованного управления сетевым доступом с IDM-системами предоставляет более мощный инструментарий, чем при использовании этих систем по отдельности. Интеграции такого рода позволяют контролировать жизненный цикл предоставляемого доступа и обогатить обработку запросов в IDM информацией о сетевом доступе:

• Проверка наличия;
• Создание запросов на предоставление;
• Продление;
• Закрытие.

Данный список далеко не исчерпывающий, возможны более сложные сценарии, эффект от которых будет более ощутимым для бизнеса организации.

***

Системы для централизованного управления сетевым доступом как отдельные элементы ИТ-инфраструктуры предоставляют эффективный инструментарий для управления сетевым доступом, но при интеграции с корпоративными сервисами польза от использования каждой системы увеличивается за счёт расширения возможностей и обмена информацией между интегрируемыми системами, что даёт ощутимый эффект от таких взаимодействий.

[1] «Что? Где? Куда?» (BIS Journal №2 (33)/2019); «Куда? Кому? Как?» (BIS Journal №3 (34)/2019); «ГОСТ оправдывает средства?! Управление сетевыми устройствами и подсистемами сетевой защиты» (BIS Journal №2 (37)/2020)