Die Suche nach dem richtigen Tool
Doch wie lässt sich das richtige Werkzeug finden, um die verschiedenen Systeme – egal ob von Juniper, Check Point, Palo Alto oder einem anderen Hersteller – zentral und ohne großen Aufwand zu verwalten? Auf dem Markt gibt es mehrere NSPM-Tools (Network Security Policy Management), die den Verantwortlichen einen Überblick über alle angebundenen Firewalls bieten. Sie dokumentieren die erstellten Konfigurationen sowie eventuelle Änderungen und vereinfachen die Pflege der oft komplexen Regelwerke.
Jedoch verfügen sie selten über die notwendige Flexibilität und belasten darüber hinaus das ohnehin knappe Budget von IT-Abteilungen zusätzlich nicht unerheblich. Individuelle Anpassungen sind besonders kostspielig und bieten oftmals nicht einmal die geforderte Funktionalität. Manch ein IT-Administrator setzt daher notgedrungen auf manuelle Workarounds etwa in Form von Excel-Listen. Doch diesen Aufwand können kleine Teams nur in den seltensten Fällen managen – von der mangelnden Transparenz und Compliance ganz zu schweigen.
Flexible Open-Source-Angebote
Eine Option sind Open-Source-Tools. Manche IT-Administratoren schrecken noch immer davor zurück, aber dafür gibt es keinen echten Grund. Im Gegenteil: Ein quelloffener Firewall Orchestrator bietet im Vergleich zu proprietären Managementsystemen zahlreiche Vorteile. Dank der aktiven Community bietet er ständig neue Funktionalitäten und entspricht so immer den aktuellen Anforderungen – ein Mechanismus, der gerade im Security-Bereich unschätzbar wichtig ist.

Ein auf Open Source basierender Firewall Orchestrator hilft IT-Administratoren beim Management und der
Synchronisierung verschiedener Produkte von unterschiedlichen Herstellern.
Synchronisierung verschiedener Produkte von unterschiedlichen Herstellern.
Nicht zuletzt bietet ein Open-Source-Werkzeug deutlich mehr Flexibilität. Importmodule für neu anzubindende Firewalls oder andere Funktionen sind mit etwas Glück schon von anderen Nutzern in der Community entwickelt worden und müssen von der hauseigenen IT-Abteilung oder einem externen Anbieter nur noch angepasst werden.
Professionelle Integration reduziert späteren Aufwand
Um eine neue Firewall erfolgreich in das NSPM zu integrieren, muss sich das verantwortliche Team das neue Produkt und seine Funktionen genau ansehen. Jede Firewall bringt zahlreiche Konfigurationen mit, die im ersten Schritt so intensiv wie möglich durchzutesten ist. Je genauer und umfassender hier gearbeitet wird, umso besser ist das Gesamtsystem später auf alle Eventualitäten im praktischen Einsatz vorbereitet. Vorhandene und wohldokumentierte APIs der Firewallhersteller erleichtern dem Entwicklerteam die Integration. Fehlen sie, müssen sämtliche Konfigurationsoptionen zunächst händisch analysiert werden. Diese Aufgabe kann entweder von der internen IT beziehungsweise Netzwerkabteilung erledigt werden, oder das Unternehmen gibt das Projekt an externe Spezialisten.
Nach der Analyse muss das verantwortliche Team die gewonnenen Informationen interpretieren und normalisieren, um später alle Produkte von verschiedenen Herstellern verwalten und synchronisieren zu können. Die normalisierten Daten werden mit der vorherigen Konfiguration abgeglichen und die Differenz in die zentrale Datenbank des Firewall Orchestrators geschrieben. Wenn dieser Importprozess ausreichend getestet ist, kann das fertige Importmodul zum Basisbestandteil eines Open-Source-Firewall-Orchestrators werden und künftig zum Import dieses Firewalltyps für alle Nutzer dienen.
Um eine neue Firewall erfolgreich in das NSPM zu integrieren, muss sich das verantwortliche Team das neue Produkt und seine Funktionen genau ansehen. Jede Firewall bringt zahlreiche Konfigurationen mit, die im ersten Schritt so intensiv wie möglich durchzutesten ist. Je genauer und umfassender hier gearbeitet wird, umso besser ist das Gesamtsystem später auf alle Eventualitäten im praktischen Einsatz vorbereitet. Vorhandene und wohldokumentierte APIs der Firewallhersteller erleichtern dem Entwicklerteam die Integration. Fehlen sie, müssen sämtliche Konfigurationsoptionen zunächst händisch analysiert werden. Diese Aufgabe kann entweder von der internen IT beziehungsweise Netzwerkabteilung erledigt werden, oder das Unternehmen gibt das Projekt an externe Spezialisten.
Nach der Analyse muss das verantwortliche Team die gewonnenen Informationen interpretieren und normalisieren, um später alle Produkte von verschiedenen Herstellern verwalten und synchronisieren zu können. Die normalisierten Daten werden mit der vorherigen Konfiguration abgeglichen und die Differenz in die zentrale Datenbank des Firewall Orchestrators geschrieben. Wenn dieser Importprozess ausreichend getestet ist, kann das fertige Importmodul zum Basisbestandteil eines Open-Source-Firewall-Orchestrators werden und künftig zum Import dieses Firewalltyps für alle Nutzer dienen.