Сетевая безопасность в облаке, или Как автоматизировать развертывание виртуальных NGFW

• Какие проблемы бывают с on-premise
• Почему облако
• Как автоматизация упрощает развертывание в облаке
• Как мы используем API для настройки NGFW
• Резюмируем

Какие проблемы бывают с on-premise

Как правило, вендоры межсетевых экранов (NGFW) дают выбрать платформу для своих решений — это позволяет организациям разместить NGFW в облаке. Такой вариант особенно подходит тем, кто уже размещает свою инфраструктуру в облаке или тем, кто только задумывается об этом.

Преимущество виртуального NGFW в облаке по большей части схоже с любым другим решением. Приобретая программно-аппаратный комплекс (ПАК), обычно приходится платить и за ПАК, и за лицензию. При возникновении проблем во время эксплуатации заменить оборудование будет сложно, особенно если эта проблема будет связана с физическими компонентами ПАК. Бизнесу придется отправить оборудование на замену или ремонт производителю, оставив систему функционировать на время без него или без одного из компонентов, если же решение было в кластере. Если из строя же выйдет межсетевой экран, кратно вырастут риски остановки ключевых бизнес-процессов. А при запросе на увеличение производительности устройства компании придется вновь тратить деньги на закупку более мощного ПАК.

В статье инженер направления сетевой безопасности Алексей Ломакин рассказывает, как облако решает перечисленные проблемы с межсетевыми экранами и как прокачать их развертывание с помощью автоматизации.

Почему облако

В облаке можно легко увеличить производительность межсетевого экрана — достаточно сменить тип и выделить больше ресурсов виртуальной машине. Гибкое масштабирование уменьшает время простоя — компании не придется снова покупать оборудование, переносить конфигурации и производить переключение. Для виртуального NGFW в облаке, как правило, нужно только докупить лицензию для виртуального решения, в случае если оно лицензируется по используемым ядрам.

Также в облаке для виртуального межсетевого экрана проще делать резервные копии благодаря инструментам облака, поэтому при возникновении проблем можно довольно оперативно развернуть решение из последней сохраненной копии. При возникновении проблемы с самим экраном, на время восстановительных работ можно быстро развернуть временный экземпляр МСЭ, и это тоже сократит время простоя системы без защиты.

Ключевое преимущество виртуального NGFW в облаке — экономия бюджета. Компании не придется платить сразу за оборудование, а только за лицензию и использование вычислительных мощностей облака. OPEX-модель особенно актуальна для малого и среднего бизнеса, а также для тех компаний, кто хочет снизить затраты при краткосрочном планировании. Также развертывание NGFW в облаке происходит проще, удобнее и быстрее, а с использованием внутренних инструментов автоматизации можно развернуть межсетевой экран, пока в кружке заваривается чай.

Как автоматизация упрощает развертывание в облаке

При внедрении межсетевого экрана в «железном» исполнении на площадке приходится тратить время на монтаж и коммутацию. Автоматизировать эти действия нельзя, а иногда из-за особенностей габаритов стойки монтаж может затянуться надолго — как это было в нашей недавней командировке. В облаке же монтаж заменяется созданием экземпляра, а коммутация происходит за счет создания и подключения интерфейсов к экземпляру. Мало того, что эти действия требуют куда меньше времени, их можно и автоматизировать.

Обычно для автоматизированного развертывания виртуального NGFW в облаке используется Terraform (Tofu) — инструмент для создания инфраструктуры в облаке на основе заданных параметров. Особенность в том, что сначала необходимо написать манифест — файл конфигурации, который описывает инфраструктуру и необходимые параметры с помощью декларативного языка конфигурации (HCL). Подготовка одного такого манифеста занимает больше времени, чем развертывание межсетевого экрана вручную, но на дистанции в несколько проектов затрачиваемое время на написание манифеста окупается. Манифест может быть универсальным для нескольких МСЭ, у которых схож принцип разворачивания. Terraform позволяет развернуть не только МСЭ, но и всю инфраструктуру в облаке — но об этом в другой раз.

Как мы используем API для настройки NGFW

После развертывания межсетевого экрана с помощью Terraform можно автоматизировать его настройку, например, с помощью API. Чаще всего основное время при настройке межсетевого экрана занимает перенос или создание политик. При этом сами объекты для политик обычно легко можно распределить и сгруппировать по столбцам в Excel. Дальше уже остается написать скрипт, который забирает данные из таблицы и через API переносит их на NGFW. Такой принцип подходит не только для политик, также можно перенести, например, объекты или маршруты — об этом рассказывали на Хабр.

Использование API позволяет настраивать межсетевой экран как в облаке, так и на площадке клиента. Например, в одном проекте перед нами стояла задача перенести около 100 маршрутов на четыре кластера по два NGFW в каждом. От идеи прописывать вручную маршруты отказались сразу же — для каждого кластера маршруты немного отличались, поэтому при таком сценарии нам бы пришлось прописывать все правила на каждом шлюзе. Заниматься рутинной задачей и прописывать суммарно порядка 800 маршрутов не хотелось, поэтому написали простой скрипт: он считывал столбец из файла с прописанными маршрутами и с помощью API межсетевого экрана добавлял все необходимые маршруты, указывая также шлюз и названия для каждого из них.

Благодаря нему наша команда существенно сократила время выполнения задачи, минимизировала ошибки в конфигурации и оперативно ввела NGFW в опытную эксплуатацию. Теперь, когда нужно прописать сразу множество маршрутов, мы используем этот скрипт — не только в облаке, но и на площадках клиентов.

Также еще есть Ansible — инструмент для автоматизации настройки и развертывания, который подходит для различных СЗИ, в том числе для некоторых NGFW. Но межсетевых экранов, которые позволяют его использовать, не так много. Зачастую это связано тем, что не у всех NGFW в качестве операционной системы используется Linux — она же используется и для Ansible. Также мало у кого из производителей есть документация по использованию инструмента с их решением. Из-за чего иногда проще и быстрее написать простые скрипты для API для каких-то рутинных задач, например, для создания персональных учетных записей или настройки одного и того же параметра на большом количестве шлюзов. В основном Ansible используют коллеги из команды по защите инфраструктуры. Наша команда инженеров сетевой безопасности сейчас параллельно изучает возможности этого инструмента для одного из зарубежных производителей NGFW, чтобы после развертывания в облаке можно было сразу автоматизировано настроить необходимую базовую конфигурацию, допивая свой чай.

Резюмируем

Само размещение межсетевого экрана в облаке — уже отличный способ для бизнеса снизить затраты и время на развертывание защиты. Однако наша команда знает способ, как это сделать еще быстрее — всё благодаря различным инструментам автоматизации. Вместе с K2 Cloud активно занимаемся автоматизацией, чтобы внедрение СЗИ происходило быстрее и эффективнее для наших клиентов.