Policies en configuraties: wie wat bewaart, die heeft wat?

Leestijd: 3 minuten

Categorie: Threat Intel


Ik hoor u denken: dit wordt vast een blog over de retentie van logbestanden en informatie binnen ON2IT Managed Security Services (MSS). Ook een interessant onderwerp maar dat is een leuke voor een volgend blog. Maar dit keer gaat het over het verzamelen van firewall regels en configuratie. U kent het vast wel: een paar honderd regels, een stuk of wat objectnamen die allemaal verwijzen naar hetzelfde IP-adres, legacy op legacy op legacy… Kortom, een feest van toevoegen maar van verwijderen is geen sprake.

Niet helemaal onbegrijpelijk, want zonder goed gereedschap bestaat de kans dat de business hinder ondervindt van uw (goedbedoelde) ‘opschoonactie’. En dat kan natuurlijk nooit de bedoeling zijn. Toch kan het toevoegen van regels niet eindeloos blijven doorgaan: los van de technische beperkingen van apparatuur wordt de leesbaarheid van uw policy er niet beter op. Het laat zich raden dat vaak ook de veiligheid lijdt onder de digitale verzameldrang van regeltjes.

Snel resultaat door goede samenwerking met de klant

Het fenomeen is ook ons niet vreemd. Niet zelden zijn we begunstigde van een ‘vette’ erfenis aan configuratie. Als onderdeel van onze managed dienst vinden wij het onze taak om hier periodiek samen met de klant eens met de bezem doorheen te gaan. We hebben hierbij een aantal uitgangspunten:

  • de policy moet leesbaar zijn en blijven voor de klant
  • de policy moet logisch worden ingedeeld
  • de policy moet consistent zijn
  • de policy moet veilig zijn

Dit doen we uiteraard met geen of weinig impact voor de dienstverlening van de klant. Zo’n proces kent een aantal iteraties, waarbij we natuurlijk niet geheel autonoom onze gang kunnen gaan. Wij voeren nimmer changes door bij klanten zonder vooraf akkoord. Wel maken we het voor hen zo gemakkelijk mogelijk: wij doen het uitzoekwerk, wij bewaken de valkuilen en wij dienen de klant van advies en stellen een change voor. Met deze werkwijze bereiken we binnen relatief korte tijd, zo tussen de week en de maand, afhankelijk van de omvang van de configuratie snel resultaat.

Veel minder gevaarlijke “any”-regels, regels die niet meer op poort maar op applicatie gebaseerd zijn, uniforme naamgeving van regels en consistent gebruik van objecten in deze regels, en regels die nooit geraakt worden schakelen we uit. We gaan ook niet over één nacht ijs: we delen het werk op in blokjes zodat het voor de klant beter behapbaar en planbaar wordt. Ook niet onbelangrijk, want ‘it takes two to tango’.

Conclusie: Zero Trust filosofie als uitgangspunt

Het uiteindelijk doel? Een gepolijste, nette en veilige configuratie zonder onbedoelde gaten, met de Zero Trust filosofie ingebakken. Zo wordt de integratie met het ON2IT Portal, het zenuwcentrum van ON2IT MSS, bijna een inkoppertje. Meer weten? Neem contact met ons op, of kom gerust eens langs.