ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos Resumen Los principales expertos en redes y seguridad del mundo se enfrentan al mismo desafío: intentar controlar el complejo y largo proceso de gestionar los cambios de reglas y ACL para los dispositivos de seguridad de red. Los equipos de TI se encuentran divididos entre tratar de cumplir con los objetivos comerciales de una instalación sin inconvenientes de los nuevos servicios y aplicaciones y, al mismo tiempo, poder hacerlo con presupuestos y personal de TI limitados. Los procesos anteriores que se utilizaron durante la década pasada están comenzando a ocasionar un gran cuello de botella que lentifica la implementación de los SLA. El poder de la automatización de la red puede ser un factor clave para sortear la brecha entre los objetivos deseados y la realidad de la TI. El escenario Los días en que un solo cortafuegos era la última línea de defensa de la Internet han quedado atrás. En lugar de “abrir un orificio” en un solo cortafuegos, los requisitos actuales suelen incluir una enorme cantidad de dispositivos de seguridad (cortafuegos además de enrutadores y conmutadores integrados) de varios proveedores que requieren una serie de cambios de reglas y ACL solamente para responder a una sola solicitud de servicio nueva. Hace años, los equipos de redes y seguridad recibían algunas pocas solicitudes por mes que se implementaban en algunos dispositivos. En el mundo dinámico de hoy, hay varios puñados de solicitudes diarias o semanales que deben implementarse en una cantidad cada vez mayor de dispositivos. Si no se suma personal o recursos, algo se romperá o habrá cada vez más demoras. Los desafíos La implementación del acceso para ACL y reglas se está convirtiendo en una perfecta tormenta de complejidad e inconvenientes para los equipos de redes y seguridad. Prácticamente para cada equipo de TI hay una explosión masiva en la cantidad de solicitudes de servicios y aplicaciones adicionales con la implementación de opciones dinámicas nuevas. Como se mencionó, comúnmente, cada uno de estos cambios afecta a varios dispositivos que se suman al esfuerzo necesario y al riesgo de configuraciones incorrectas. No obstante, en el entorno económico actual, el presupuesto y el personal para TI no han podido seguirle el ritmo a la nueva afluencia de requisitos. Así que ahora, una persona tiene que decidir cuál de sus tantas exigencias tiene prioridad y suele ocurrir que la modificación de las ACL no encabeza la lista ya que hay otras prioridades más urgentes. Uno de los más grandes desafíos a los que se enfrentan los equipos de TI es mantener los procesos anteriores que se desarrollaron hace años o décadas cuando el entorno ha cambiado tan rápidamente. Por lo tanto, si bien el acceso a las CLI, los scripts personalizados o la utilización de herramientas específicas de cada proveedor han dado resultado en un mundo menos dinámico, estos procesos abrumadores se convierten en el mayor cuello de botella a la hora de trabajar con los dispositivos de seguridad de red de la actualidad. 1 ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos Comúnmente, el ingeniero o arquitecto de red sénior más experimentado y mejor capacitado debe encargarse de estos cambios repetitivos y rutinarios. Es necesaria esta idoneidad porque cada proveedor tiene comandos complejos y una sintaxis única para hacer la misma acción. El personal subalterno suele pasar por alto diferencias pequeñas pero clave que tienen un impacto negativo sobre la disponibilidad. Si bien el personal sénior puede ocuparse de las tareas repetitivas, por lo general, es necesario que se encarguen de otras iniciativas críticas para la empresa. Los impactos La combinación de los tres desafíos principales generan tres impactos importantes: prolongación de los SLA, uso ineficiente de los recursos y estandarización o requisitos de cumplimiento. Prolongación de los SLA: para la mayoría de las organizaciones, hay una diferencia principal entre los SLA de implementación a los cuales se apunta y los resultados reales. Mientras que un objetivo típico puede ser poder implementar un servicio nuevo en algunas horas o en un día, la realidad es que la mayor parte de los cambios se miden en días o semanas debido a la gran cantidad de pasos y procesos manuales. Uso ineficiente de los recursos: tradicionalmente, los cambios se hacen en forma manual a través del acceso a las CLI o los scripts. El administrador de redes sénior crea el cambio de configuración planificado, revisa miles de líneas de código y espera que el nuevo cambio no impacte negativamente en otro aspecto. Pero con la explosión en la cantidad de solicitudes, esto se convierte en un punto único de falla ya que las demandas aumentan pero el personal disponible no. Incluso el mejor personal de redes comete errores simples que suelen consumir mucho tiempo y que son costosos de reparar. Estandarización o requisitos de cumplimiento: a medida que la seguridad se convierte más en una preocupación, las mejores prácticas internas y las exigencias de cumplimiento externas necesitan más atención. Los equipos de TI se ven forzados a demostrar que se siguieron los controles adecuados además de las políticas de configuraciones. Si alguna vez es necesario hacer una auditoría, esto suele implicar que varias personas deben pasar días o semanas revisando manualmente cada dispositivo, línea por línea, para demostrar su éxito. Estos procesos manuales normalmente se miden tanto en la cantidad de personal como en la cantidad de días o semanas que lleva completarlos. Esto, a su vez, se suma al ciclo recurrente de requisitos diarios que siguen creciendo. 2 El ejemplo La mejor forma de analizar los inconvenientes de los procesos anteriores es pensar acerca de los pasos que son necesarios para hacer un solo cambio para permitir el acceso a través de los cortafuegos y los dispositivos de seguridad. 1 El personal de redes debe tener una total comprensión de cada dispositivo que está conectado a la red además de comprender las diferencias si se implementan varios proveedores. 2 Debido a que prácticamente cada ruta de servicio tendrá varios dispositivos, el personal debe decidir qué dispositivos se verán afectados y estos deberán cambiarse. 3 El administrador de redes debe determinar cuál es la configuración adecuada con la sintaxis correcta del proveedor para permitir (o denegar) el acceso para este cambio. Además, también deberá verificar si el nuevo cambio no afectará negativamente los servicios ya existentes. 4 La nueva ACL o regla debe compararse con los estándares para verificar que no haya infracciones de políticas o cumplimiento. 5 La solicitud de cambio se abre y suele implementarse manualmente a través de CLI, un script personalizado o una herramienta suministrada por el proveedor. 6 Se debe verificar y reconfirmar que todo está funcionando bien y controlar manualmente si hay reglas superpuestas, no utilizadas o duplicadas. Flujo normal de procesos para la implementación manual de los cambios de ACL y reglas. Por lo general, cada uno de estos pasos tiene una puerta y una posible entrega, así que es fácil ver por qué el tiempo para implementar un cambio puede salirse de las manos. Cabe destacar que estos pasos deben seguirse para cada uno de los cambios, entonces, el efecto multiplicador pone en evidencia cómo el personal puede sobrecargarse de inmediato. La opción El personal más experimentado ve cuál es el riesgo de seguir los mismos procesos anteriores cuando las cosas se han vuelto tan dinámicas. Por esto, la mayoría de las organizaciones suelen tener tres rutas posibles: 3 1 Incorporar personal para responder a las crecientes necesidades 2 Permitir que el SLA de abastecimiento se prolongue 3 Probar algo diferente ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos Para la mayoría de las organizaciones, es físicamente imposible contratar suficiente personal para responder a las crecientes demandas. Por el contrario, la mayoría de los ejecutivos no aceptarán una respuesta de “Necesitamos una semana para implementar un servicio nuevo”. Esto requiere que el equipo de redes pruebe algo diferente o que, en última instancia, no logre su objetivo. El poder de la automatización de red La automatización de redes es una gran forma de actualizar los procesos anteriores para lidiar mejor con los requisitos dinámicos de la actualidad. El poder de la automatización no radica en pulsar un botón mágico y que todo esté hecho para usted. Radica en reducir la cantidad de tiempo y esfuerzo necesarios para hacer cambios efectivos y, al mismo tiempo, mantener el control de sus dispositivos y su infraestructura. Por ejemplo, es aprovechar el análisis de velocidad de una máquina para filtrar entre miles de líneas de códigos en lugar de revisar lentamente cada línea, una por una, una y otra vez. Los cinco pilares de la automatización de los dispositivos de seguridad Muchos equipos de TI han comenzado a ver el poder de la automatización y han desarrollado iniciativas en diferentes frentes utilizando diversas herramientas y procesos. Si bien es preferible tener algo de automatización antes que nada, el enfoque desarticulado no ofrece todos los posibles beneficios. El Infoblox Security Device Controller se ha desarrollado para ayudar a los equipos de redes y seguridad a controlar los cambios de ACL y reglas para los dispositivos de seguridad de redes. El Security Device Controller ofrece cinco pilares clave de automatización, todo dentro de una plataforma unificada. 1) Descubrimiento automatizado: sabe exactamente qué hay en la red y de qué manera todo está conectado para visualizar qué cambios son necesarios. Descubrimiento completo de red con un poderoso mapa de topología para visualizar la ruta. 4 2) Idoneidad integrada: encuentra reglas no utilizadas, superpuestas o duplicadas de manera rápida y fácil, para varios proveedores, lo que permite limpiar y reparar rápidamente configuraciones deficientes. La inteligencia integrada brinda vistas detalladas de ACL y reglas y detecta las reglas no utilizadas, superpuestas y duplicadas fuera de la caja. 3) Búsqueda potente: puede encontrar criterios específicos en cuestión de segundos, de manera que los equipos no tienen que buscar manualmente dispositivo por dispositivo y regla por regla. Criterios de búsqueda personalizables para uno o varios dispositivos de varios proveedores utilizando una interfaz gráfica de usuario legible por humanos. 5 ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos 4) Alertas personalizadas: permite saber cuándo los servicios de la lista blanca no pueden conectarse y cuándo los servicios de la lista negra están en riesgo. Cree alertas para listas negras y listas blancas para alertar sobre problemas de acceso permitido o denegado. 5) Implementación de cambios reales para varios proveedores: reduce la cantidad de tiempo y esfuerzo manual necesarios para hacer los cambios. Implemente cambios en la misma plataforma y vea la sintaxis propia del proveedor y mantenga al mismo tiempo los derechos de acceso basados en usuarios y los controles de procesamiento de cambios. 6 La conclusión Si todo marcha a la perfección para su equipo de TI y la implementación de las políticas de acceso cumple o supera los objetivos, considérese parte de una población muy, muy pequeña. Para la mayoría de las organizaciones, la simple carga de trabajo está causando muchos problemas. La automatización puede ayudarle a controlar su red. De esta manera, en lugar de tardar días o semanas en hacer un cambio en un cortafuegos como en la actualidad, puede tener una implementación más precisa y más rápida. La automatización permite a la red seguirle el ritmo a los crecientes requisitos de manera segura y eficaz. Infoblox es el líder de la automatización y puede ayudarle a controlar su red. Para saber cómo aprovechar la automatización para reducir el tiempo de implementación, mejorar la eficiencia del personal y mantener una red segura, visite www.infoblox.com 7 ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos US CORPORATE HEADQUARTERS: +1.408.986.4000 EMEA HEADQUARTERS: SPAIN/PORTUGAL: +32.3.259.04.30 sales-spain@infoblox.com info-emea@infoblox.com www.infoblox.es +1.866.463.6256 (toll-free, U.S. and Canada) info@infoblox.com www.infoblox.com © 2013 Infoblox Inc. All rights reserved. infoblox-whitepaper-APT-Malware-March-2013 MEXICO/LATIN AMERICA: Sales-latinamerica@infoblox.com www.infoblox.es