1. Home
  2. Blog
  3. Firewall Best Practices
  4. Tufin Orchestration Suite R21-2: 推进网络接入停用和NSX-T自动化

Last updated 15 2 月, 2023 by Aleck Brailsford

想提升您的安全自动化吗?Tufin Orchestration Suite R21-2可加速和优化您的安全和网络操作,提高效率,更好地应对审计,实现更可靠的整体保护。 请务必查看Tufin知识中心有关Tufin 最新版本的完整文档。

让我们仔细看下R21-2的主要功能。

通过访问停用提高生产力和优化规则集

经常有用户出于一些原因(比如最重要的:安全风险)被要求取消对资产(如应用程序、服务器)的网络访问。其原因可能是,分包商完成了工作,不再需要访问,员工离职,访问权限被撤销,又或者是删除一个过时的应用。无论是必要的变更/需要部分取消访问权限还是完全删除访问权限,都是一项复杂的任务。管理员需要反复手动改变多个规则,而这些规则往往由不同的网络安全解决方案(如Cisco ASA、FortiManager等)管理。在孤立的解决方案中管理规则,没有全面了解变更可能对其他资产产生的影响,是一个容易出错、耗时的过程,许多管理员由于害怕造成故障或破坏业务连续性而想避开这个过程。

久而久之,管理员不得不面对数以千计的规则,以及繁琐的、无法阅读、也无法手动管理的策略。其中许多规则不再适用于当前的业务需求和通信流,这本身也会削弱一个组织的安全态势。

Tufin在最新版本R21-2中添加了自动访问停用功能,一旦某个访问被认为不再合适或必要,该功能就会以简化的方式,安全、准确地删除基础规则和网络对象。

用户现在可以使用Tufin SecureChange Access Request工作流,在同一票据上添加和删除访问。如果您想删除某个访问权限(因为它使用不再安全的协议),并使用更安全的协议添加新的访问,您可以使用同一票据,以自动/半自动的方式(取决于您的偏好)完成这两项工作。

access decommissioning workflow

访问停用工作流:确定业务影响

作为Access Request工作流的一个步骤,Tufin Designer将设计两种变更(添加新的访问和停用现有访问)。如下面截图所示,您可以点击“管理相关规则”,查看包含在Tufin Designer的访问移除建议中的受影响规则。查看相关规则,不管使用的是哪家网络解决方案供应商,然后决定您将实施哪些规则。这使工作人员能够监控和管理网络访问移除这一敏感过程。

access decommissioning report

Access Request工作流中的访问停用支持:确定业务影响

如果您不希望Tufin改变某个特定的规则,您只需点击“忽略规则”复选框并重新运行Tufin Designer。重新设计的变更将不包括“已忽略的规则”(见下面的截图)。一旦批准,Tufin将实施相关的策略变更,并在完成后验证实施。



Access Request工作流中的访问停用支持:确定业务影响

总之,Access Request工作流新增的访问停用功能为您提供了一个简化和直接的流程,帮助您以可控的方式删除有风险和/或不再需要的访问权限。从而降低复杂性,最大限度地减少中断的风险,并减少由错误配置和手动流程引起的安全风险。

通过可编辑的规则注释简化审计准备工作

此外,R21-2具备另一项新功能,进一步支持Access Request流程。如果您的组织正在接受合规标准审计(如PCI-DSS),作为规则分析的一个环节,您需要找出所有没有注释的规则。为新规则添加注释或更新现有规则的注释,是一种安全和操作上的最佳做法,注释应清楚地概述业务需求、对规则的最后更改等。

目前,网络管理员必须直接在网络设备上手动编辑规则注释,这是一个麻烦的、容易出错的过程。他们经常需要访问来自不同供应商的多个控制台来编辑整个环境的注释,并保持规则集的可读性。有了R21-2,作为Access Request工作流的一部分,管理员可以编辑Tufin Designer更改的现有规则的注释。然后,Tufin会在所有相关设备上自动对所有注释进行编辑,这使得跟踪和执行出于审计目的的规则审查变得异常容易。

修改规则注释可以通过Tufin SecureChange GUI和API来实现。

access request workflow edit rules

可以通过Access Request 工作流修改规则注释

总之,Access Request工作流中新增的访问停用功能为您提供了一个简化和直接的流程,帮助您以可控的方式删除有风险和/或不再需要的访问权限,从而降低复杂性,最大限度地减少中断的风险,并减少由错误配置和手动流程引发的安全风险。

VMware NSX-T的增强功能

作为软件定义网络(SDN)自动化策略管理领域的领先供应商,Tufin进一步增强了VMware NSX-T的自动化能力。

  • 新版本使用“Apply To”字段来实现策略变更自动化 – 在这个版本中,我们增强了Access Request工作流,以便在设计和实施新的Access Request时考虑“Apply To”字段。根据新的访问设计,Tufin会自动识别所有相关的安全组及其内容(如虚拟机),并对相关策略/规则进行必要的更改。
  • 通过标签增强对VMware NSX-T安全组的可见性 – 帮助您进一步简化NSX-T策略管理,有了R21-2,您现在可以使用动态属性(如标签)管理策略。 Tufin赋予标签、相关安全组和虚拟机更大的可视性,让您能够使用Tufin SecureTrack轻松查看和识别安全组中违反策略的内容。此外,您可以运行规则清理来优化安全组规则,也可从包含安全组的源/目的地进行路径分析,以快速有效地排除故障。



安全组、虚拟机和标签的可视性

  • NSX-T rule direction -R21-2为Tufin SecureTrack中的VMware NSX-T规则方向提供了更高的可见性和高级搜索功能。用户现在便可使用方向标准搜索规则(例如,查找所有具有in方向或out方向的规则,查找具有in/out方向的规则,或者不包括任何方向)。

如需了解有关R21-2的更多信息及这些功能和其他新功能的运行, 请观看在线讲座:

In this post:

Background Image