Automatiser la gestion des politiques de sécurité avec TUFIN

Les solutions de gestion des politiques de sécurité intègrent désormais des fonctions d’automatisation des changements. Sur un périmètre aussi sensible que le parc Firewall où on souhaite garder le contrôle, l’automatisation peut apparaître comme un risque. Pourtant, selon les éditeurs, l’automatisation permet à la fois de gagner en temps de traitement tout en limitant les erreurs et en améliorant la traçabilité des demandes.

Tufin et Algosec sont les deux principaux acteurs du marché et proposent tous deux des fonctions d’automatisation des politiques de sécurités.

Dans cet article, nous nous sommes intéressés à TUFIN Orchestration Suite, leader du marché, en nous focalisant sur les fonctions d’automatisation des changements.

Quelles sont les problématiques liées à la gestion des politiques de sécurité ?

L’agilité et le besoin de sécurité sont deux enjeux majeurs des DSI. Dans ce contexte, les processus de gestion des politiques de sécurité ont les défauts suivants :

Complexité : intervention d’au moins deux équipes différentes pour la validation et la mise en œuvre engendrant un besoin de coordination

Fiabilité : une erreur humaine à l’implémentation n’est pas toujours détectable immédiatement engendrant des retards pour les projets et pouvant exposer l’entreprise à des risques

Délais d’exécution : les équipes intervenant dans le processus ont du mal à faire face au flot de nouvelles demandes quotidiennes sur des parcs de plus en plus complexes avec des technologies hétérogènes.

Par ailleurs, les activités de maintien en condition opérationnel des politiques de sécurité et d’études des vulnérabilités sur le parc sont souvent négligées faute de temps disponible.

Comment l’automatisation permet de répondre à ces enjeux ?

L’automatisation permet d’éviter les erreurs :

  • En amont dans les phases d’analyse au travers d’un parc hétérogène avec plusieurs consoles de gestion
  • En aval en phase d’implémentation lors du codage des règles sur ces mêmes consoles.

De plus, les fonctions d’audit permettent également de vérifier en permanence que le parc est conforme à la politique de sécurité de l’entreprise.

Que propose TUFIN ?

Deux modules sont nécessaires pour automatiser les flux avec TUFIN

Voici quelques exemples de cas d’usage qui peuvent être automatisés avec TUFIN :

  • Clean-up: retrait des règles et objets inutilisées (best practice rarement mise en œuvre dans la pratique)
  • Décommissions d’un serveur (identification des équipements traversés, règles à modifier et implémentation)
  • Implémentation d’un flux de bout en bout (analyse de la politique de sécurité, implémentation des règles, vérification et gestion des commentaires)

Par ailleurs, sur TUFIN, l’automatisation est personnalisable. Il sera possible d’automatiser complétement un traitement jusqu’à l’implémentation ou de maintenir un contrôle par un humain à chaque étape via un simple clic.

Retour d’expérience

Nous avons interrogé un ingénieur exploitation firewall ayant participé au déploiement de TUFIN au sein d’une entreprise disposant d’un parc de plus de 1000 Firewall Checkpoint/Palo Alto.

Pour quelle raison la DSI a-t-elle décidée d’investir dans TUFIN ?

Tufin a permis d’optimiser les règles de sécurité : Le temps de compilation est passé ainsi de 1 heure à 5 minutes.

De plus TUFIN a permis de mettre en place un workflow automatisé entre les équipes : Il a été décidé de maintenir le control par un humain pour valider les règles proposées par TUFIN et vérifier les résultats après implémentation.

Quelles ont été les bénéfices de TUFIN ?

Le temps de traitement des tickets est passé de 10 à 20 minutes à 2 minutes par ticket. 

Par ailleurs, Tufin optimise mieux les règles qu’un humain, évite les erreurs de saisie telles que les erreurs de masque et gère systématiquement les commentaires associés aux règles ce qui permet une meilleure traçabilité.

La gestion du parc Firewall est devenu plus simple car l’affichage est toujours le même ce qui simplifie les analyses.

Quelles ont été les étapes de la mise en place de TUFIN ?

    1. Mise en place de SecureTrack pour simplifier les politiques de sécurité et rationnaliser les règles existantes. But : disposer d’un parc optimisé avant de lancer l’automatisation.
    2. Déploiement progressif de SecureChange sur les Firewall pendant une période de transition de 1 an.
    3. Retrait des anciens processus manuels via formulaire excel sans levée de bouclier des équipes utilisatrice du service.

Quels ont été les changements pour les équipes d’exploitation Firewall ?

Les effectifs ont été maintenus mais l’activité a été recentré sur le troubleshooting, la veille technologique, l’étude des vulnérabilités et la prise en charges des remontés des outils de supervision. Dans le même temps, le backlog de ticket a été divisé par 10.

Conclusion

Aujourd’hui, l’adoption des outils de gestion des politiques de sécurités tels que TUFIN ou Algosec pour les besoins d’analyse et de workflows est déjà largement répandue.

Demain, il nous semble que les fonctions d’automatisation des changements deviendront la norme. En effet, l’automatisation permet de gagner en efficacité tout en limitant les risques.

Il s’agit également d’une voie permettant de réduire les coûts :

  • Pour les équipes intervenant dans le processus: temps de traitement des tickets réduits, troubleshooting des demandes en cas d’erreur, permettant de réduire la charge et donc les effectifs à qualité constante.
  • Pour les équipes projets: temps d’implémentation réduits, besoin de synchronisation, échec des changements liés aux erreurs d’implémentation.

Dans un environnement complexe, l’implémentation pourrait s’avérer difficile mais les gains à la clé justifieront certainement un travail préalable de simplification du réseau et de rationalisation des règles.

Article écrit par Florian LE BOZEC, Project Manager, membre de la BCOM Architecture Réseau & Automatisation chez HeadMind Partners Digital