5 eindeutige Anzeichen für die

Automatisierung von

Network Security Operations

Christian Giebner | Presales Engineer CEE

2

Windmühle

500-900 AD

3

Mechanische Uhr

500-900 AD 1335

4

Fertigungsstrasse

500-900 AD 1335 1913

5

Computer

1913 1943500-900 AD 1335

6

Zero-Touch Automatisierung

1943 FUTURE1913500-900 AD 1335

7

Gelegentlich sind die Zeichen nicht eindeutig . . .

8

Agenda

• Die fünf Anzeichen

• Security Policy Automatisierung

• Aller Anfang … Anwendungsbeispiele

• Vorteile von Security Policy Automatisierung

• Die Tufin Lösung

9

Change Prozesse sind langsam und von Hand1

• Es ist schwierig Änderungen zeitnah

umzusetzen

• Das Tagesgeschäft bindet viele Ressourcen

• Fokussierung auf wichtige Projekte nicht

möglich

• Mitarbeiter sind knapp. Neueinstellungen

gestalten sich schwierig

• Es treten häufig Konfigurationsfehler auf

10

Cloud First und Dev Ops Initiativen2

• Fehlende Sichtbarkeit auf Cloud Workloads

• Das Netzwerk ist nicht in der Lage sich

schnell an neue Anforderungen

anzupassen

• Änderungen an der Infrastruktur

entsprechen oft nicht den

Sicherheitsrichtlinien

11

Business is Hopping Around You3

• Das Business erfordert mehr Flexibilität,

doch es gibt Sorge wegen

Sicherheitsvorfällen

• Operation Teams arbeiten ineffizient und

verpassen wichtige SLAs

• Der Wettbewerb macht es besser – mehr

Releases in kürzerer Zeit

• Es gibt ein Shadow-IT Problem

12

Das Loch wird immer tiefer4

• Unterschiedliche Abteilungen fordern regelmäßig

Änderungen an

• Das Regelwerk ist Chaos

• Shadow Regeln

• Redundante Regeln

• Ungenutzte Regeln

• Zu weit gefasste Regeln

• Es fehlt die Zuversicht mit Sicherheitsbedrohungen

gut umgehen zu können

• 20% der Changes müssen wiederholt werden

13

Compliance nicht belegbar5

• Relevante Compliance Standards werden nicht

eingehalten

• Audit nicht bestanden

• Strafzahlung

• Die Analyse und Planung von komplexen

Konfigurationsänderungen übersteigt die

Möglichkeiten des Menschen

• Man kann nicht messen, was man nicht sehen

kann

14

Der Bedarf: Ein reales Beispiel

• Keine Übersicht in der Netzwerkinfrastruktur

• Unterschiedliche Hersteller / Outsource Partner

• Mehrere Quellen der “Wahrheit”

• Fehlersuche komplex

• 3 Outsourcing Partner, die gleichzeitig, mit Hilfe von Telefonkonferenzen versuchen dem Fehler auf die Spur zu kommen

• Mangelhafte technische Bewertung von Changes

• Manuelle Bewertung durch die technischen Mitarbeiter

• Keine Überprüfung des Change, keineVerantwortlichkeiten

• Antragsteller muss Umsetzung prüfen

Problem erkannt:

600 Anfragen/Changes modelliert

und bewertet während 2017/2018

• 18% (108) wurden abgelehnt als

“Nicht benötigt”

• 13% (65) benötigten

Nachbesserungen weil nur ein Teil

umgesetzt wurde.

• 8% (38) bestehen die

Implementationsprüfung nicht

15

• Kultureller Widerstand/Angst

• Fehlende Übersicht

• Aufgabe ist schwierig und komplex

• “Haben es mit Scripten versucht und sind gescheitert”

• “Wissen nicht, wie wir beginnen sollen”

Warum automatisieren wir nicht?

Security Policy Automatisierung

17

Unternehmensnetzwerke sind fragmentiert

HETEROGEN

HYBRID

DYNAMISCH

Public Cloud

Private Cloud

Microservices/

Containers

Firewalls

Routers

18

Fragmentierte Infrastruktur - Fragmentierte Prozesse

Unterschiedliche

Teams betreuen

unterschiedliche

Teile des

Netzwerks

19

Das Netz der Zukunft: Hoch komplex und maximal fragmentiert

20

Tipps für die Automatisierung

Breite Unterstützung des Projekts

Klein anfangen und durch Erfolge wachsen

Erfolgskriterien definieren

Steuern der Erwartungshaltung

Fokus auf die Security Policy

1

2

3

4

5

Security benötigt einezentral gesteuere

Unternehmenspolicy

21

Visibility

Network Security Policy Management

Agil aber riskant

Sicher aber langsam

SICHERHEIT

BUSINESS AGILITÄT

Sicher und Agil

Zero-TouchAutomation

Cleanup

Application Driven Automation

Analysis & Design

Anwendungsbeispiele

23

Anwendungsfall 1: Group Modification

Szenario

• Häufige Änderungen an User- und Firewall-Gruppen die schlecht dokumentiert sind

• Manuelle Change-Prozesse auf Firewalls unterschiedlicher Hersteller

Problem: Manuelle Prozesse

• Sehr lange Umsetzungszeiten

• Erhöhter Wartungsaufwand

• Führt zu menschlichen Fehlern

Automatisierte Group Modification per Workflow um Gruppen

einfach, präzise und effizient zu verwalten

24

Group Modification

Erstellen Sie neue Gruppen oder Ändern sie bestehende Gruppen in einem Group

Modification Ticket in SecureChange

1 Designen und Provisionieren Sie Changes automatisch mit Hilfe des SecureChange

Designer tool auf Palo Alto, Cisco ASA, Fortinet und Check Point

2

Für Ihre Audits: Spezielle Reports und vollständige Ticket History

25

Anwendungsfall 2: Rule Decommissioning

Szenario

• Security Policies ändern sich im Laufe der Zeit. Dies führt zu überlappenden,

deaktivierten Regeln oder Regeln ohne Treffer.

Problem: Manuelle Prozesse

• Schlecht gewartete Regelbasis

• Ungenutzte Regeln vergößern die Angriffsfläche

• Erhöht den Aufwand bei der Firewallwartung

• Appliance Performance, je nach Hersteller

Automatisiertes Rule Decommissioning mit vollständiger Dokumentation

26

Rule Decommissioning

Identifizieren Sie veraltete & risikante Regeln im Policy Browser. Fügen Sie diese Regeln

zu einem Ticket hinzu

1 Wählen Sie eine Aktion und den Workflow aus um ein neues Ticket in SecureChange

aufzugeben

2 Designen und Provisionieren Sie Changes automatisch mit Hilfe des SecureChange

Designer tool für Palo Alto, Cisco ASA, Fortinet und Check Point

3 Für Ihre Audits: Spezielle Reports und vollständige Ticket History4

27

Anwendungsfall 3: Server Decommissioning

Szenario

• Ungenutzte Server / IP Adressen werden nicht aus der Umgebung entfernt

Problem

• Ungenutzte Einträge in den Firewallregeln, senken die Sicherheit und erhöhen den

Wartungsaufwand

• IT Teams können die Auswirkungen vom Entfernen eines Objekts in komplexen

Umgebungen nur schwer bewerten

Automatisiertes Server Decommissioning um ungenutzte Objekte zu identifizieren

• Automatische Berechnung und Analyse von Folgen von Änderungen

• Dekommissionierung von Servern und automatische Aktualisierung der Security Policy

28

Server Decommissioning

Erstellen Sie ein neues Server Decommission Ticket und führen Sie eine Impact

Analyse durch um zu verstehen wo der Server genutzt wird

1 Designen und Provisionieren Sie Changes automatisch mit Hilfe des SecureChange

Designer tool auf Palo Alto, Cisco ASA, Fortinet und Check Point

2

Vorteile von Security Policy Automatisierung

30

Fachkräftemangelund Automatisierung

73%

Source: Life and Times of Security Professionals, ESG and ISAA, Nov 2017

Der Befragten stimmten zu:

Security-Automatisierung hat einen

positiven Effekte auf die Arbeit von

Cybersecurity Experten.

ZEIT FEHLER

31

Compliance

• Compliance ist ein starker Treiber für die

Automatisierung von Security Policy Changes in

Enterprise Unternehmen

• Compliance-Anforderungen werden mit

automatisierten und dokumentierten Security Policy

Changes sichergestellt

ZEIT RISIKO

COMPLIANCE

32

Verringern der Fehlerhäufigkeit

Vorteile der Automatisierung von

Sicherheitsprozessen:

• Höhere Effizienz der Aufgaben

• Ausführung und Umsetzung beschleunigt sich

• Reduzierung der menschlichen Fehler

• Der Prozess wird sicherer

RISK SPEED

Die Tufin Lösung

34

Umsetzung Ihrer Sicherheitsrichtlinie – Überall

TRADITIONALNETWORKS

PRIVATECLOUD

PUBLICCLOUD MICROSERVICES

SECURITY POLICY

Ein Kontinuum vom Macro zum Mikro

35

Umfassendes Produkt Portfolio

AP

Is

Networks Public CloudPrivate CloudFirewalls & NGFWs

Infrastructure Abstraction

Scripting & Automation

3rd Party

IT ServiceManagement

Application Connectivity Automation

Network Change Automation

Security & ComplianceSecureTrack ™

SecureChange ™

SecureApp ™

Clo

ud

AP

Is

Containers

& Microservices

Source control

CI/CD

3rd Party

Enterprise Applications

36

Tufin Mehrwerte

Steigern von Agilität und Sicherheit mitSecurity Policy Orchestration

Verringern der Komplexität bei der

Verwaltung von hybriden und

fragmentierten Netzwerken

Implementierung von Changes in

Minuten, statt Tagen

Durchgängige Compliance durch zentrale

Sicherheitsstandards

37

Zurück zur Story: die Ergebnisse

Entfernt: Ergebnisse

• Sichtbarkeit und Tracking

• 365 Tage ungenutzte Regeln –

1372 von 2119

• 30 Tage ungenutzte Regeln –

1544 von 2119

389 Network Objects

2000+redundante Regeln auf den

Firewalls

152 Security rules

6 Services

20,135 Device Configurations

• Regeln entfernen ohne

Auswirkungen auf den Betrieb

• Reduzierung der Angriffsfläche

• Verbesserung des Service

38

• Das Netzwerk wird immer komplexer und

fragmentierter

- Traditionelle Netzwerke, private cloud, public cloud, container

- Multi-vendor Technologien

- Verteilte Teams

• Das Netzwerk der Zukunft wird

software-defined und automatisiert sein

• Netzwerksicherheit in großen Unternehmen

kann mit einer zentralen

Sicherheitsrichtlinie verwaltet werden

Lessons learned

Lesen Sie den ESG Report von Jon Oltsik:

Network Security Operations

Transformation: Embracing Automation,

Cloud Computing and DevOps

www.tufin.com

Christian Giebner

Presales Engineer CEE+49 152 26854054

christian.giebner@tufin.com