戻る

干し草の山の中の針 – ネットワーク セキュリティへの自動化の適用

著者注 by フィリップ・ジェルバシ 2017 年 8 月 18 日

セキュリティ ログを何時間も調べて午後を過ごす方法はありませんが、セキュリティ インシデント中に何が起こったのかを本当に理解する唯一の方法です。 一度に XNUMX つのデバイスにログインすることが、ネットワークのどこかでトラフィックがブロックされた理由と方法を見つける唯一の方法ですが、その結果は信用できません。

ログ情報、ネットワーク検出、およびネットワーク状態のリアルタイムの理解は、非常に重要です。 ネットワークセキュリティー 私たちは、ネットワーク内で起こっていることすべてを追跡して記録するために、多くのシステムから膨大な量のデータを収集しています。 それを収集することは XNUMX つのことですが、それを有用にすることはまったく別の問題です。

干し草の山の中の針 – ネットワーク セキュリティへの自動化の適用

SNMP トラップと syslog サーバーの構成はそれほど難しくありません。 しかし、干し草の山から針を見つけ出すのは非常に面倒で費用がかかるため、IT 部門はネットワーク フォレンジックを完全に放棄することがよくあります。 広範なログが必要ですが、多くの場合、 の提出が必要です 広範なログを保持します。 しかし、それらのログは未使用のまま放置されているため、無意味なことがよくあります。

セキュリティ インシデントの一般的なワークフローは、チケット システムでインシデントを作成し、関連する電子メール チェーンをチケットに添付し、ログ サーバーへのリンクをコピーして、チケットを閉じるというものです。 他にできることはほとんどなく、とにかく何かをする時間もほとんどありません。 少なくともこのようにシステム内にあり、IT 部門はコンプライアンスを遵守しています。

ネットワーク フォレンジックは非常に重要ですが、必要なスキルと時間がかかるため、非常にコストがかかります。 プラットフォームに関係なく、すべてのデバイスから特定のデータを収集するにはどうすればよいですか? それが正確な情報であることをどのように保証しますか? そして、収集したすべてのデータをどうするのでしょうか? ネットワーク セキュリティは重要ですが、ネットワーク セキュリティはスイッチ構成やファイアウォール モデルではありません。 これはプロセス全体であり、簡単ではありません。

あるベンダーから、IT セキュリティ チームを率いるのは誰かと尋ねられたのを覚えています。 私は彼をぼんやりと見つめた。 私の経験では、非常に大規模な組織だけが専任の IT セキュリティ担当者を抱えており、チーム全体は言うまでもありません。 私は、私たちには数十人の部門があり、セキュリティは主にネットワーク担当者によって管理されていると答えました。私たちにとってセキュリティは、ファイアウォール、IPS アプライアンス、802.1x、およびその他のネットワーク技術に関するものだったからです。

しかし、ネットワーク セキュリティはそれだけではありません。 視認性についてです。 これは、異常な動作を識別する機能に関するものであり、実稼働ネットワークでトラフィックがブロックされている場所と方法を迅速に追跡する機能に関するものです。 ネットワーク エンジニアは、環境内のすべてのプラットフォームでログを構成するためのすべてのコマンドを知っているかもしれませんし、睡眠中に ACL を構成する方法を知っているかもしれません。 ただし、この知識と情報を大規模に利用するプロセスは、セキュリティ インシデント自体よりもコストがかかる可能性があります。

ここでは、ネットワーク自動化の現在の傾向が、予算、スタッフ、および日々の消火活動に苦労している典型的な IT 部門の収益にどのように役立つかを示す非常に実用的な例を示します。 基本的な Linux スクリプトと Python を少し知っています。 それは役に立ちますし、それらは確かに誰にとっても良いスキルです。 しかし現実には、私は常にルーター ジョッキーでした。 私は______じゃない DevOps ほとんどのネットワーク エンジニアもそうではないと思います。 では、どのようにすれば簡単に DevOps プロセスの自動化、平均復旧時間の短縮、品質保証、継続的デリバリーなどのパラダイム?

そこにたどり着くための最も簡単で最速のルートは、直感的なソフトウェアの背後にあるスクリプトと自動化プロセスを抽象化することです。 このようにして、最小限のスクリプトの知識を持つネットワーク エンジニアは、デバイスに個別にログインして適切なコマンドを実行する必要があることが多い、あらゆる種類の情報の収集を自動化できます。

たとえば、ある顧客のネットワーク セキュリティ分析では、ネットワーク全体に展開されている ACL のタイプを正確に知りたいと考えています。 つまり、彼らが持っているすべてのレイヤ 3 インターフェイスを調べなければならないということです。 大規模なネットワークでは、レイヤ 3 ターミネーションを備えたデバイスが多数存在する可能性が高いため、これには非常に時間がかかり、エラーが発生しやすいため、結果の信頼性が低くなります。

そのプロセスを抽象化する成熟したソフトウェアは、セキュリティ エンジニアの手に渡れば素晴らしいツールとなるでしょう。 ある程度カスタマイズ可能で、さまざまな主要なプラットフォームで動作する限り、セキュリティ監査と事後分析の実行にかかる時間とコストが削減されます. マウスを数回クリックするだけで、すべてのレイヤ 3 インターフェイスとそれらに設定された ACL をマッピングできます。

このタイプのソフトウェアは、レイヤ 3 トポロジを動的にマッピングできるだけでなく、レイヤ 2 を視覚的にマッピングして、スパニング ツリーによってブロックされたポートを識別し、ARP および MAC テーブルを精査する必要があります。 これを手作業で行うのは非常に退屈で時間がかかります。 DevOps エンジニアの場合、典型的なネットワーク セキュリティ フォレンジックではおそらく試みさえされないでしょう。

セキュリティ ログを詳しく調べ、ネットワーク上のすべてのデバイスに手動でログインするのは、午後を過ごす方法ではありませんが、もっと良い方法があります。 ネットワーク自動化の難しい部分をすべて抽象化するソフトウェアは、膨大な量のログ ファイルを意味のある実用的なデータにすばやく変換し、イーサネットの海の問題領域を動的に特定できます。 今日では、来年の IT 予算を無駄にすることなく、干し草の山にあることわざの針を見つけるのがはるかに簡単になっています。

関連記事