Tự động hóa chính sách tường lửa để tiếp tục di chuyển nhanh hơn

Tự động hóa chính sách tường lửa để tiếp tục di chuyển nhanh hơn

May 27, 2020 | vietsunshine

Sử dụng tự động hóa để đến nơi chúng ta muốn đến nhanh nhất và an toàn nhất có thể.

Để hỗ trợ cho thế giới công nghệ ngày càng phát triển, hệ thống mạng cần phải có mặt khắp nơi, đáp ứng và thích ứng để đảm bảo nó sẵn sàng trong tương lai. Những phát triển mới trong công nghệ thông tin đang chuyển đổi một cách triệt để quá trình tự động hóa. Tường lửa là yếu tố quan trọng của bảo mật mạng doanh nghiệp. Nói một cách đơn giản, chính sách tường lửa cho phép các thiết bị gửi lưu lượng truy cập đến hoặc nhận lưu lượng truy cập từ máy tính, internet, ứng dụng hoặc người dùng một cách an toàn. Quản lý dựa trên chính sách bảo mật đã phát triển từ các mô hình bảo mật đầu tiên có niên đại từ cuối năm 1960 cho đến tận ngày nay, các khuôn khổ, ngôn ngữ và công cụ phức tạp hơn.

Là một trong những nhà khai thác đường bộ lớn nhất thế giới, Transurban vận hành 18 con đường ở Úc và Bắc Mỹ với một số dự án lớn dự kiến sẽ được hoàn thành trong 5 năm tới. Trên khắp các mạng lưới đường bộ của chúng tôi ở Sydney, Melbourne và Brisbane, có hơn 700 km cáp quang kết nối hơn 100.000 thiết bị công nghệ và 18 hệ thống an toàn. Hoạt động của chúng tôi luôn được bật – kiểm soát 24 giờ ngày, 7 ngày một tuần, 365 ngày một năm. Điều này đòi hỏi một mạng có thể đáp ứng một cách đáng tin cậy các yêu cầu phát triển một cách nhất quán trong khi thích ứng với các công nghệ mới như IoT (Internet of Things) và CAV (Connected Automated Vehicles). Để vận hành các mạng phức tạp và thay đổi, Network Services team của Transurban đã triển khai tự động hóa không chỉ mang lại phản hồi nhanh hơn mà còn cung cấp kết quả nhất quán.

Thách thức: Tự động hóa tường lửa trong một môi trường phức tạp có tính sẵn sàng cao

Để đảm bảo tốc độ hoạt động của mạng đáp ứng nhu cầu đổi mới kinh doanh, nhóm đã thực hiện tự động hóa chính sách tường lửa để tăng tốc thay đổi mạng và tăng độ chính xác và hiệu quả tập trung vào:

  •  Với mạng lưới lớn các thiết bị chuyển mạch, bộ định tuyến và tường lửa đa nhà cung cấp trên CNTT (Công nghệ thông tin) và OT (Công nghệ hoạt động), xử lý thủ công các chính sách tường lửa không phải là một lựa chọn khả thi để đáp ứng nhu cầu kinh doanh ngày càng tăng của chúng tôi.
  • Mỗi thay đổi chính sách tường lửa mất từ 5 đến 7 ngày để thực hiện. Phân tích rủi ro của từng yêu cầu mất thời gian và tác động đến lịch trình dự án.
  • Nút thắt khác trong quá trình xử lý các thay đổi là xác định thủ công các tường lửa mục tiêu đã chặn kết nối và sau đó thiết kế một thay đổi sẽ mở ra quyền truy cập được yêu cầu.

Chúng tôi cần tăng hiệu quả và độ chính xác hoạt động theo cách tự động để giảm thời gian thực hiện các thay đổi.

Cấu trúc liên kết mạng chính xác là điều cần thiết cho sự tự động hóa đáng tin cậy

Transurban hợp tác với Tufin và chọn Tufin Orchestration Suite™ để tự đồng hóa quá trình thay đổi mạng từ khi đệ trình đến khi thực hiện. Chúng tôi đã bắt đầu bằng cách triển khai một chính sách cơ bản đại diện cho những gì có thể nói chuyện với những gì và ai có thể nói chuyện với ai trên các mạng khác nhau.

Bước tiếp theo của chúng tôi là đưa thông tin định tuyến vào Tufin và hiển thị bản đồ cấu trúc liên kết chính xác của mạng. Bản đồ cấu trúc liên kết cho phép phân tích nhanh chóng và dễ dàng lưu lượng truy cập mạng trước khi thay đổi được thực hiện cùng với việc xác định tường lửa cần được định cấu hình lại. Chúng tôi có thể tự động hóa bước này, tiết kiệm nhiều thời gian hơn cho các đội bằng cách không chỉ tìm đúng tường lửa, mà bằng cách đóng các yêu cầu truy cập đã được triển khai và không yêu cầu xử lý thêm.

Thiết kế, thực hiện và xác minh

Các bước tiếp theo liên quan đến việc thiết kế và thực hiện thay đổi trên các tường lửa khác nhau. Tufin SecureChange cung cấp thiết kế và cung cấp tự động cho tường lửa Palo Alto Networks và Check Point từ bảng điều khiển trung tâm, với tài liệu thống nhất và toàn diện về người thực hiện các thay đổi, khi nào và tại sao (biện minh). Xác minh tự động đã được thực hiện để đảm bảo rằng thay đổi được thực hiện phù hợp với yêu cầu truy cập ban đầu. Xác minh đã giúp loại bỏ lỗi và cấu hình sai và tăng sự hài lòng của khách hàng.

Bước cuối cùng: Self service

Tự động hóa chính sách tường lửa để tiếp tục di chuyển nhanh hơn_2

Tại thời điểm này, chúng tôi đã quyết định tự động hóa việc gửi yêu cầu thay đổi từ ServiceNow, dịch vụ tự phục vụ (self-service) của nhân viên nội bộ của chúng tôi.

  • Vì chúng tôi đã tích hợp với ServiceNow, chúng tôi đã giảm thời gian và nỗ lực giảm các yêu cầu thay đổi điển hình. Các thay đổi mạng hiện được định tuyến đến SecureChange để xử lý với thông báo quay lại ServiceNow và người gửi.
  • Xác minh tự động nâng cao khả năng phát hiện lỗi và cấu hình sai.

Chúng tôi đã đạt được một quy trình tự động để thực hiện các thay đổi tường lửa từ đầu đến cuối: từ đệ trình đến thực hiện và xác minh.

Với thời gian chu kỳ cho một yêu cầu thay đổi thông thường giảm xuống vài giờ, Transurban có thể cải thiện khả năng hiển thị, nhanh nhẹn và hiệu quả của mạng, nhưng cũng duy trì kiểm soát và bảo mật. Transurban không chỉ được hưởng lợi từ các quy trình thay đổi nhanh nhẹn và linh hoạt hơn, mà còn làm giảm các quy trình dễ bị lỗi và có khả năng lỗi cho phép nhân viên của chúng tôi tập trung vào các hoạt động chiến lược và có giá trị hơn.

Tự động hóa chính sách tường lửa để tiếp tục di chuyển nhanh hơn_3

Giống như các con đường của chúng tôi, tự động hóa đã cho phép chúng tôi đến nơi chúng tôi muốn đến nhanh nhất và an toàn nhất có thể.

Lược dịch theo bài viết “Firewall Policy Automation to Keep Moving Faster” của Kunal Mahida, Head of Network Services của Transurban.

VietSunshine là nhà phân phối của Tufin tại Việt Nam, liên hệ với chúng tôi để được tư vấn, hỗ trợ tốt nhất.

Xem thêm về các giải pháp của Tufin tại: https://www.vietsunshine.com.vn/product/tufin/

Tags: ,