Policy Automation: de ervaringen van een security architect

14 Juni – Palo Alto Networks Ignite 2017, de grootste Cybersecurity Conference ter wereld. Bezocht door meer dan 4.000 bezoekers en podium voor tientallen sprekers. Zo ook onze eigen Security Architect Johan Bogema. Zijn presentatie Policy Automation as a Service, a deep dive werd enthousiast ontvangen door zijn toehoorders (inclusief Zero Trust goeroe John Kindervag).

Waarom firewall policies automatiseren?

Tijdens het automatiseren van een private cloud voor een internationale financiële instelling kwamen we bij ON2IT voor een onverwachte uitdaging te staan. Geen technisch detail, maar meer een menselijke factor. Tegenwoordig is elke security engineer verantwoordelijk voor de firewall policy. Maar die persoon heeft geen kennis van de applicatie, noch van de data. Is het daarom niet logischer om de eigenaar van de applicatie verantwoordelijk te maken voor de firewall policy?

En daar ontstaat meteen de volgende uitdaging: een security engineer kan een policy uitvoeren, hij spreekt immers ‘firewall taal’. Een DevOps die de applicatie ontwikkelt spreekt ‘gewone mensentaal’. Hoe gaat hij in ‘gewone mensentaal’ een firewall rule implementeren? Niet. Daarom hebben we firewall automation bedacht. Hiermee maken we als het ware de vertaling van ‘gewone mensentaal’ naar ‘firewall taal’. Gewoon in de eigen portal van de klant. Op deze manier kunnen regels veel sneller aangemaakt worden zonder de security principes en vereisten los te laten. Om maar eens wat te noemen, de delivery time is teruggebracht van drie weken naar 15 tot 20 minuten per rule.

Klinkt eenvoudig?

“Dat klinkt allemaal wel heel eenvoudig” horen we u denken. Dat klopt, althans gedeeltelijk. Firewall automation maakt het beveiligen van applicaties een stuk eenvoudiger. De implementatie is dat uiteraard niet. Johan vertelt uit eigen ervaring welke uitdagingen hij tegenkomt bij het automatiseren van policies. Waar je aan moet denken als je hiermee aan de slag gaat en wat het uiteindelijk oplevert. Zowel qua gebruikerservaring als in harde cijfers.

“Delivery time is teruggebracht van drie weken naar 15 tot 20 minuten per rule”

Benieuwd naar Johans complete verhaal? Op 26 september krijgen ook de bezoekers van Bright & Cloudy de kans om zijn presentatie bij te wonen. Inclusief cijfers, (veel) technische details, sheets vol code én Stephen Hawkins.