Post on 17-Mar-2020
5 eindeutige Anzeichen für die
Automatisierung von
Network Security Operations
Christian Giebner | Presales Engineer CEE
2
Windmühle
500-900 AD
3
Mechanische Uhr
500-900 AD 1335
4
Fertigungsstrasse
500-900 AD 1335 1913
5
Computer
1913 1943500-900 AD 1335
6
Zero-Touch Automatisierung
1943 FUTURE1913500-900 AD 1335
7
Gelegentlich sind die Zeichen nicht eindeutig . . .
8
Agenda
• Die fünf Anzeichen
• Security Policy Automatisierung
• Aller Anfang … Anwendungsbeispiele
• Vorteile von Security Policy Automatisierung
• Die Tufin Lösung
9
Change Prozesse sind langsam und von Hand1
• Es ist schwierig Änderungen zeitnah
umzusetzen
• Das Tagesgeschäft bindet viele Ressourcen
• Fokussierung auf wichtige Projekte nicht
möglich
• Mitarbeiter sind knapp. Neueinstellungen
gestalten sich schwierig
• Es treten häufig Konfigurationsfehler auf
10
Cloud First und Dev Ops Initiativen2
• Fehlende Sichtbarkeit auf Cloud Workloads
• Das Netzwerk ist nicht in der Lage sich
schnell an neue Anforderungen
anzupassen
• Änderungen an der Infrastruktur
entsprechen oft nicht den
Sicherheitsrichtlinien
11
Business is Hopping Around You3
• Das Business erfordert mehr Flexibilität,
doch es gibt Sorge wegen
Sicherheitsvorfällen
• Operation Teams arbeiten ineffizient und
verpassen wichtige SLAs
• Der Wettbewerb macht es besser – mehr
Releases in kürzerer Zeit
• Es gibt ein Shadow-IT Problem
12
Das Loch wird immer tiefer4
• Unterschiedliche Abteilungen fordern regelmäßig
Änderungen an
• Das Regelwerk ist Chaos
• Shadow Regeln
• Redundante Regeln
• Ungenutzte Regeln
• Zu weit gefasste Regeln
• Es fehlt die Zuversicht mit Sicherheitsbedrohungen
gut umgehen zu können
• 20% der Changes müssen wiederholt werden
13
Compliance nicht belegbar5
• Relevante Compliance Standards werden nicht
eingehalten
• Audit nicht bestanden
• Strafzahlung
• Die Analyse und Planung von komplexen
Konfigurationsänderungen übersteigt die
Möglichkeiten des Menschen
• Man kann nicht messen, was man nicht sehen
kann
14
Der Bedarf: Ein reales Beispiel
• Keine Übersicht in der Netzwerkinfrastruktur
• Unterschiedliche Hersteller / Outsource Partner
• Mehrere Quellen der “Wahrheit”
• Fehlersuche komplex
• 3 Outsourcing Partner, die gleichzeitig, mit Hilfe von Telefonkonferenzen versuchen dem Fehler auf die Spur zu kommen
• Mangelhafte technische Bewertung von Changes
• Manuelle Bewertung durch die technischen Mitarbeiter
• Keine Überprüfung des Change, keineVerantwortlichkeiten
• Antragsteller muss Umsetzung prüfen
Problem erkannt:
600 Anfragen/Changes modelliert
und bewertet während 2017/2018
• 18% (108) wurden abgelehnt als
“Nicht benötigt”
• 13% (65) benötigten
Nachbesserungen weil nur ein Teil
umgesetzt wurde.
• 8% (38) bestehen die
Implementationsprüfung nicht
15
• Kultureller Widerstand/Angst
• Fehlende Übersicht
• Aufgabe ist schwierig und komplex
• “Haben es mit Scripten versucht und sind gescheitert”
• “Wissen nicht, wie wir beginnen sollen”
Warum automatisieren wir nicht?
Security Policy Automatisierung
17
Unternehmensnetzwerke sind fragmentiert
HETEROGEN
HYBRID
DYNAMISCH
Public Cloud
Private Cloud
Microservices/
Containers
Firewalls
Routers
18
Fragmentierte Infrastruktur - Fragmentierte Prozesse
Unterschiedliche
Teams betreuen
unterschiedliche
Teile des
Netzwerks
19
Das Netz der Zukunft: Hoch komplex und maximal fragmentiert
20
Tipps für die Automatisierung
Breite Unterstützung des Projekts
Klein anfangen und durch Erfolge wachsen
Erfolgskriterien definieren
Steuern der Erwartungshaltung
Fokus auf die Security Policy
1
2
3
4
5
Security benötigt einezentral gesteuere
Unternehmenspolicy
21
Visibility
Network Security Policy Management
Agil aber riskant
Sicher aber langsam
SICHERHEIT
BUSINESS AGILITÄT
Sicher und Agil
Zero-TouchAutomation
Cleanup
Application Driven Automation
Analysis & Design
Anwendungsbeispiele
23
Anwendungsfall 1: Group Modification
Szenario
• Häufige Änderungen an User- und Firewall-Gruppen die schlecht dokumentiert sind
• Manuelle Change-Prozesse auf Firewalls unterschiedlicher Hersteller
Problem: Manuelle Prozesse
• Sehr lange Umsetzungszeiten
• Erhöhter Wartungsaufwand
• Führt zu menschlichen Fehlern
Automatisierte Group Modification per Workflow um Gruppen
einfach, präzise und effizient zu verwalten
24
Group Modification
Erstellen Sie neue Gruppen oder Ändern sie bestehende Gruppen in einem Group
Modification Ticket in SecureChange
1 Designen und Provisionieren Sie Changes automatisch mit Hilfe des SecureChange
Designer tool auf Palo Alto, Cisco ASA, Fortinet und Check Point
2
Für Ihre Audits: Spezielle Reports und vollständige Ticket History
25
Anwendungsfall 2: Rule Decommissioning
Szenario
• Security Policies ändern sich im Laufe der Zeit. Dies führt zu überlappenden,
deaktivierten Regeln oder Regeln ohne Treffer.
Problem: Manuelle Prozesse
• Schlecht gewartete Regelbasis
• Ungenutzte Regeln vergößern die Angriffsfläche
• Erhöht den Aufwand bei der Firewallwartung
• Appliance Performance, je nach Hersteller
Automatisiertes Rule Decommissioning mit vollständiger Dokumentation
26
Rule Decommissioning
Identifizieren Sie veraltete & risikante Regeln im Policy Browser. Fügen Sie diese Regeln
zu einem Ticket hinzu
1 Wählen Sie eine Aktion und den Workflow aus um ein neues Ticket in SecureChange
aufzugeben
2 Designen und Provisionieren Sie Changes automatisch mit Hilfe des SecureChange
Designer tool für Palo Alto, Cisco ASA, Fortinet und Check Point
3 Für Ihre Audits: Spezielle Reports und vollständige Ticket History4
27
Anwendungsfall 3: Server Decommissioning
Szenario
• Ungenutzte Server / IP Adressen werden nicht aus der Umgebung entfernt
Problem
• Ungenutzte Einträge in den Firewallregeln, senken die Sicherheit und erhöhen den
Wartungsaufwand
• IT Teams können die Auswirkungen vom Entfernen eines Objekts in komplexen
Umgebungen nur schwer bewerten
Automatisiertes Server Decommissioning um ungenutzte Objekte zu identifizieren
• Automatische Berechnung und Analyse von Folgen von Änderungen
• Dekommissionierung von Servern und automatische Aktualisierung der Security Policy
28
Server Decommissioning
Erstellen Sie ein neues Server Decommission Ticket und führen Sie eine Impact
Analyse durch um zu verstehen wo der Server genutzt wird
1 Designen und Provisionieren Sie Changes automatisch mit Hilfe des SecureChange
Designer tool auf Palo Alto, Cisco ASA, Fortinet und Check Point
2
Vorteile von Security Policy Automatisierung
30
Fachkräftemangelund Automatisierung
73%
Source: Life and Times of Security Professionals, ESG and ISAA, Nov 2017
Der Befragten stimmten zu:
Security-Automatisierung hat einen
positiven Effekte auf die Arbeit von
Cybersecurity Experten.
ZEIT FEHLER
31
Compliance
• Compliance ist ein starker Treiber für die
Automatisierung von Security Policy Changes in
Enterprise Unternehmen
• Compliance-Anforderungen werden mit
automatisierten und dokumentierten Security Policy
Changes sichergestellt
ZEIT RISIKO
COMPLIANCE
32
Verringern der Fehlerhäufigkeit
Vorteile der Automatisierung von
Sicherheitsprozessen:
• Höhere Effizienz der Aufgaben
• Ausführung und Umsetzung beschleunigt sich
• Reduzierung der menschlichen Fehler
• Der Prozess wird sicherer
RISK SPEED
Die Tufin Lösung
34
Umsetzung Ihrer Sicherheitsrichtlinie – Überall
TRADITIONALNETWORKS
PRIVATECLOUD
PUBLICCLOUD MICROSERVICES
SECURITY POLICY
Ein Kontinuum vom Macro zum Mikro
35
Umfassendes Produkt Portfolio
AP
Is
Networks Public CloudPrivate CloudFirewalls & NGFWs
Infrastructure Abstraction
Scripting & Automation
3rd Party
IT ServiceManagement
Application Connectivity Automation
Network Change Automation
Security & ComplianceSecureTrack ™
SecureChange ™
SecureApp ™
Clo
ud
AP
Is
Containers
& Microservices
Source control
CI/CD
3rd Party
Enterprise Applications
36
Tufin Mehrwerte
Steigern von Agilität und Sicherheit mitSecurity Policy Orchestration
Verringern der Komplexität bei der
Verwaltung von hybriden und
fragmentierten Netzwerken
Implementierung von Changes in
Minuten, statt Tagen
Durchgängige Compliance durch zentrale
Sicherheitsstandards
37
Zurück zur Story: die Ergebnisse
Entfernt: Ergebnisse
• Sichtbarkeit und Tracking
• 365 Tage ungenutzte Regeln –
1372 von 2119
• 30 Tage ungenutzte Regeln –
1544 von 2119
389 Network Objects
2000+redundante Regeln auf den
Firewalls
152 Security rules
6 Services
20,135 Device Configurations
• Regeln entfernen ohne
Auswirkungen auf den Betrieb
• Reduzierung der Angriffsfläche
• Verbesserung des Service
38
• Das Netzwerk wird immer komplexer und
fragmentierter
- Traditionelle Netzwerke, private cloud, public cloud, container
- Multi-vendor Technologien
- Verteilte Teams
• Das Netzwerk der Zukunft wird
software-defined und automatisiert sein
• Netzwerksicherheit in großen Unternehmen
kann mit einer zentralen
Sicherheitsrichtlinie verwaltet werden
Lessons learned
Lesen Sie den ESG Report von Jon Oltsik:
Network Security Operations
Transformation: Embracing Automation,
Cloud Computing and DevOps
www.tufin.com
Christian Giebner
Presales Engineer CEE+49 152 26854054
christian.giebner@tufin.com