Los cinco pilares para controlar las ACL y reglas del

Anuncio
ARTÍCULO TÉCNICO
Los cinco pilares para controlar
las ACL y reglas del cortafuegos
Resumen
Los principales expertos en redes y seguridad del mundo se enfrentan al mismo
desafío: intentar controlar el complejo y largo proceso de gestionar los cambios de
reglas y ACL para los dispositivos de seguridad de red. Los equipos de TI se encuentran
divididos entre tratar de cumplir con los objetivos comerciales de una instalación sin
inconvenientes de los nuevos servicios y aplicaciones y, al mismo tiempo, poder hacerlo
con presupuestos y personal de TI limitados. Los procesos anteriores que se utilizaron
durante la década pasada están comenzando a ocasionar un gran cuello de botella que
lentifica la implementación de los SLA. El poder de la automatización de la red puede ser
un factor clave para sortear la brecha entre los objetivos deseados y la realidad de la TI.
El escenario
Los días en que un solo cortafuegos era la última línea de defensa de la Internet han
quedado atrás.
En lugar de “abrir un orificio” en un solo cortafuegos, los requisitos actuales suelen
incluir una enorme cantidad de dispositivos de seguridad (cortafuegos además de
enrutadores y conmutadores integrados) de varios proveedores que requieren una
serie de cambios de reglas y ACL solamente para responder a una sola solicitud de
servicio nueva.
Hace años, los equipos de redes y seguridad recibían algunas pocas solicitudes por
mes que se implementaban en algunos dispositivos. En el mundo dinámico de hoy,
hay varios puñados de solicitudes diarias o semanales que deben implementarse
en una cantidad cada vez mayor de dispositivos. Si no se suma personal o recursos,
algo se romperá o habrá cada vez más demoras.
Los desafíos
La implementación del acceso para ACL y reglas se está convirtiendo en una perfecta
tormenta de complejidad e inconvenientes para los equipos de redes y seguridad.
Prácticamente para cada equipo de TI hay una explosión masiva en la cantidad
de solicitudes de servicios y aplicaciones adicionales con la implementación
de opciones dinámicas nuevas. Como se mencionó, comúnmente, cada uno de
estos cambios afecta a varios dispositivos que se suman al esfuerzo necesario
y al riesgo de configuraciones incorrectas.
No obstante, en el entorno económico actual, el presupuesto y el personal para TI no
han podido seguirle el ritmo a la nueva afluencia de requisitos. Así que ahora, una
persona tiene que decidir cuál de sus tantas exigencias tiene prioridad y suele ocurrir
que la modificación de las ACL no encabeza la lista ya que hay otras prioridades
más urgentes.
Uno de los más grandes desafíos a los que se enfrentan los equipos de TI es
mantener los procesos anteriores que se desarrollaron hace años o décadas cuando
el entorno ha cambiado tan rápidamente. Por lo tanto, si bien el acceso a las CLI, los
scripts personalizados o la utilización de herramientas específicas de cada proveedor
han dado resultado en un mundo menos dinámico, estos procesos abrumadores se
convierten en el mayor cuello de botella a la hora de trabajar con los dispositivos de
seguridad de red de la actualidad.
1
ARTÍCULO TÉCNICO
Los cinco pilares para controlar las ACL y
reglas del cortafuegos
Comúnmente, el ingeniero o arquitecto de red sénior más experimentado y
mejor capacitado debe encargarse de estos cambios repetitivos y rutinarios.
Es necesaria esta idoneidad porque cada proveedor tiene comandos complejos y
una sintaxis única para hacer la misma acción. El personal subalterno suele pasar
por alto diferencias pequeñas pero clave que tienen un impacto negativo sobre la
disponibilidad. Si bien el personal sénior puede ocuparse de las tareas repetitivas,
por lo general, es necesario que se encarguen de otras iniciativas críticas para
la empresa.
Los impactos
La combinación de los tres desafíos principales generan tres impactos importantes:
prolongación de los SLA, uso ineficiente de los recursos y estandarización
o requisitos de cumplimiento.
Prolongación de los SLA: para la mayoría de las organizaciones, hay una diferencia
principal entre los SLA de implementación a los cuales se apunta y los resultados
reales. Mientras que un objetivo típico puede ser poder implementar un servicio
nuevo en algunas horas o en un día, la realidad es que la mayor parte de los
cambios se miden en días o semanas debido a la gran cantidad de pasos y procesos
manuales.
Uso ineficiente de los recursos: tradicionalmente, los cambios se hacen en forma
manual a través del acceso a las CLI o los scripts. El administrador de redes sénior
crea el cambio de configuración planificado, revisa miles de líneas de código y
espera que el nuevo cambio no impacte negativamente en otro aspecto. Pero con
la explosión en la cantidad de solicitudes, esto se convierte en un punto único de
falla ya que las demandas aumentan pero el personal disponible no. Incluso el mejor
personal de redes comete errores simples que suelen consumir mucho tiempo y que
son costosos de reparar.
Estandarización o requisitos de cumplimiento: a medida que la seguridad se
convierte más en una preocupación, las mejores prácticas internas y las exigencias
de cumplimiento externas necesitan más atención. Los equipos de TI se ven forzados
a demostrar que se siguieron los controles adecuados además de las políticas
de configuraciones. Si alguna vez es necesario hacer una auditoría, esto suele
implicar que varias personas deben pasar días o semanas revisando manualmente
cada dispositivo, línea por línea, para demostrar su éxito. Estos procesos manuales
normalmente se miden tanto en la cantidad de personal como en la cantidad de días
o semanas que lleva completarlos. Esto, a su vez, se suma al ciclo recurrente de
requisitos diarios que siguen creciendo.
2
El ejemplo
La mejor forma de analizar los inconvenientes de los procesos anteriores es pensar
acerca de los pasos que son necesarios para hacer un solo cambio para permitir el
acceso a través de los cortafuegos y los dispositivos de seguridad.
1
El personal de redes debe tener una total comprensión de cada dispositivo que
está conectado a la red además de comprender las diferencias si se implementan
varios proveedores.
2
Debido a que prácticamente cada ruta de servicio tendrá varios dispositivos,
el personal debe decidir qué dispositivos se verán afectados y estos deberán
cambiarse.
3
El administrador de redes debe determinar cuál es la configuración adecuada
con la sintaxis correcta del proveedor para permitir (o denegar) el acceso para
este cambio. Además, también deberá verificar si el nuevo cambio no afectará
negativamente los servicios ya existentes.
4
La nueva ACL o regla debe compararse con los estándares para verificar que no
haya infracciones de políticas o cumplimiento.
5
La solicitud de cambio se abre y suele implementarse manualmente a través de
CLI, un script personalizado o una herramienta suministrada por el proveedor.
6
Se debe verificar y reconfirmar que todo está funcionando bien y controlar
manualmente si hay reglas superpuestas, no utilizadas o duplicadas.
Flujo normal de procesos para la implementación manual de los cambios de ACL y reglas.
Por lo general, cada uno de estos pasos tiene una puerta y una posible entrega,
así que es fácil ver por qué el tiempo para implementar un cambio puede salirse de
las manos. Cabe destacar que estos pasos deben seguirse para cada uno de los
cambios, entonces, el efecto multiplicador pone en evidencia cómo el personal puede
sobrecargarse de inmediato.
La opción
El personal más experimentado ve cuál es el riesgo de seguir los mismos procesos
anteriores cuando las cosas se han vuelto tan dinámicas. Por esto, la mayoría de las
organizaciones suelen tener tres rutas posibles:
3
1
Incorporar personal para responder a las crecientes necesidades
2
Permitir que el SLA de abastecimiento se prolongue
3
Probar algo diferente
ARTÍCULO TÉCNICO
Los cinco pilares para controlar las ACL y
reglas del cortafuegos
Para la mayoría de las organizaciones, es físicamente imposible contratar suficiente
personal para responder a las crecientes demandas. Por el contrario, la mayoría
de los ejecutivos no aceptarán una respuesta de “Necesitamos una semana para
implementar un servicio nuevo”. Esto requiere que el equipo de redes pruebe algo
diferente o que, en última instancia, no logre su objetivo.
El poder de la automatización de red
La automatización de redes es una gran forma de actualizar los procesos anteriores
para lidiar mejor con los requisitos dinámicos de la actualidad.
El poder de la automatización no radica en pulsar un botón mágico y que todo esté
hecho para usted. Radica en reducir la cantidad de tiempo y esfuerzo necesarios
para hacer cambios efectivos y, al mismo tiempo, mantener el control de sus
dispositivos y su infraestructura. Por ejemplo, es aprovechar el análisis de velocidad
de una máquina para filtrar entre miles de líneas de códigos en lugar de revisar
lentamente cada línea, una por una, una y otra vez.
Los cinco pilares de la automatización de los dispositivos de seguridad
Muchos equipos de TI han comenzado a ver el poder de la automatización y han
desarrollado iniciativas en diferentes frentes utilizando diversas herramientas y
procesos. Si bien es preferible tener algo de automatización antes que nada, el
enfoque desarticulado no ofrece todos los posibles beneficios.
El Infoblox Security Device Controller se ha desarrollado para ayudar a los equipos
de redes y seguridad a controlar los cambios de ACL y reglas para los dispositivos
de seguridad de redes. El Security Device Controller ofrece cinco pilares clave de
automatización, todo dentro de una plataforma unificada.
1)
Descubrimiento automatizado: sabe exactamente qué hay en la red y de qué
manera todo está conectado para visualizar qué cambios son necesarios.
Descubrimiento completo de red con un poderoso mapa de topología para visualizar la ruta.
4
2)
Idoneidad integrada: encuentra reglas no utilizadas, superpuestas o duplicadas
de manera rápida y fácil, para varios proveedores, lo que permite limpiar y
reparar rápidamente configuraciones deficientes.
La inteligencia integrada brinda vistas detalladas de ACL y reglas y detecta las reglas no utilizadas,
superpuestas y duplicadas fuera de la caja.
3)
Búsqueda potente: puede encontrar criterios específicos en cuestión de
segundos, de manera que los equipos no tienen que buscar manualmente
dispositivo por dispositivo y regla por regla.
Criterios de búsqueda personalizables para uno o varios dispositivos
de varios proveedores utilizando una interfaz gráfica de usuario legible por humanos.
5
ARTÍCULO TÉCNICO
Los cinco pilares para controlar las ACL y
reglas del cortafuegos
4)
Alertas personalizadas: permite saber cuándo los servicios de la lista blanca
no pueden conectarse y cuándo los servicios de la lista negra están en riesgo.
Cree alertas para listas negras y listas blancas para alertar
sobre problemas de acceso permitido o denegado.
5)
Implementación de cambios reales para varios proveedores: reduce la
cantidad de tiempo y esfuerzo manual necesarios para hacer los cambios.
Implemente cambios en la misma plataforma y vea la sintaxis propia del proveedor y mantenga al mismo tiempo los
derechos de acceso basados en usuarios y los controles de procesamiento de cambios.
6
La conclusión
Si todo marcha a la perfección para su equipo de TI y la implementación de las
políticas de acceso cumple o supera los objetivos, considérese parte de una
población muy, muy pequeña. Para la mayoría de las organizaciones, la simple carga
de trabajo está causando muchos problemas.
La automatización puede ayudarle a controlar su red. De esta manera, en lugar de
tardar días o semanas en hacer un cambio en un cortafuegos como en la actualidad,
puede tener una implementación más precisa y más rápida. La automatización
permite a la red seguirle el ritmo a los crecientes requisitos de manera segura y
eficaz.
Infoblox es el líder de la automatización y puede ayudarle a controlar su red. Para
saber cómo aprovechar la automatización para reducir el tiempo de implementación,
mejorar la eficiencia del personal y mantener una red segura, visite www.infoblox.com
7
ARTÍCULO TÉCNICO
Los cinco pilares para controlar las ACL y
reglas del cortafuegos
US CORPORATE
HEADQUARTERS:
+1.408.986.4000
EMEA HEADQUARTERS:
SPAIN/PORTUGAL:
+32.3.259.04.30
[email protected]
[email protected]
www.infoblox.es
+1.866.463.6256
(toll-free, U.S. and Canada)
[email protected]
www.infoblox.com
© 2013 Infoblox Inc. All rights reserved. infoblox-whitepaper-APT-Malware-March-2013
MEXICO/LATIN AMERICA:
[email protected]
www.infoblox.es
Descargar