Журнал "Information Security/ Информационная безопасность" #2, 2025

Цель ухода от иностранного оборудо- вания в критически важных инфраструк- турах остается приоритетной для многих российских компаний. Однако несмотря на динамичное развитие отечественных технологий, миграция на них все еще остается сложным процессом, который включает в себя планирование, оценку существующих конфигураций, бюджети- рование, обучение персонала, тестиро- вание и поэтапное развертывание. Сейчас многие компании находятся на этапе одновременной реализации двух процессов: 1. Перенос части инфраструктуры на отечественные устройства, главной труд- ностью которого является осуществление перехода с минимальными потерями. 2. Поддержка иностранных устройств, не имеющих сопоставимой замены, – как правило, это самое высоконагру- женное оборудование на ответственных участках. Путь переноса правил и замены меж- сетевых экранов (МЭ) может быть весьма тернистым. Каждый МЭ имеет свою логи- ку, синтаксис и алгоритмы настройки. Процесс настройки нового МЭ, вклю- чая перенос правил, отнимает время, ресурсы и несет высокие риски, обуслов- ленные человеческим фактором, – ошиб- ка, связанная с некорректным перено- сом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен. Для автоматизации процесса миграции стоит использовать специализированное ПО, например разработанный компанией "Газинформсервис" комплекс Efros Defence Operations (Efros DefOps). В первую очередь, необходимо умень- шить объем переносимых правил – это наиболее разумный первый шаг в про- цессе миграции, который облегчит рабо- ту администратора. Это важно, потому что: l объем правил не всегда соизмерим с производительностью нового МЭ; l новый МЭ может не принимать дубли- рующие правила, и тогда процесс мигра- ции останавливается, фиксируя ошибку. В платформе Efros DefOps за работу со списками правил (ACL) отвечает функциональный модуль Firewall Assu- rance. В нем реализована возможность выявления неиспользуемых, теневых и избыточных правил. В системе из коробки настроены отчеты, в которых показываются обна- руженные дублирующие и неисполь- зуемые правила. Они выявляются с помощью механизма сравнения "каж- дый к каждому", то есть правило сравнивается с каждым последующим. Удаление избыточных правил умень- шает их общее количество и снижает нагрузку на МЭ. По завершении переноса обновлен- ного ACL на новый МЭ можно проверить корректность миграции с помощью Efros DefOps. После подключения нового МЭ к Efros DefOps программный комплекс формирует отчет по политикам, настроенным на этом МЭ. В отчете отображаются перенесенные правила. В системе можно удобно настроить фильтрацию (по имени, порту, протоколу), что дает возможность поиска правил по заданным параметрам. Помимо избыточности можно прове- рить правила нового устройства на соот- ветствие политике взаимодействия зон в сети. Зона – это определенный сетевой сегмент, который может включать в себя как отдельный ip-адрес, так и под- сеть. Конструктор стандартов в Efros DefOps позволяет создавать требования по запрету или разрешению на взаимо- действие таких зон с учетом определен- ных протоколов и портов. В случае обнаружения правила, несо- ответствующего стандарту, в отчете ото- бразится номер правила и политика, где настроено данное правило. При написании стандартов в комплек- се возможно учитывать не только ограничение взаимодействия зон, но и прочие требования безопасности к используемым протоколам, портам, действиям, источникам и назначениям. Так, например, можно создать про- верку на отсутствие доступа из пула адресов критичного сегмента сети (поле "Источник/Source") по всем портам, где в поле назначения присутствует Any. Проще говоря, выявить правила, в кото- рых в поле назначения указан любой хост. 18 • СПЕЦПРОЕКТ Управление правилами межсетевых экранов: от хаоса к гармонии а протяжении нескольких лет не теряет актуальности задача по импортозамещению сетевого оборудования, которая является стратегической для обеспечения устойчивого развития и безопасности бизнеса. Н Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис” Рис. 1. Структура программного комплекса Efros DefOps Фото: Газинформсервис