|
Bas de page | |
---|---|
Auteur | Sujet : DevOps Firewall et policy consistency check |
Trivi | Bonjour à tous ,
--------------- Mon topic : https://forum.hardware.fr/hfr/Achat [...] 3743_1.htm |
Publicité | Posté le 09-02-2024 à 09:54:16 |
Je@nb ModérateurKindly give dime |
Ivy gu 3 blobcats dans un trenchcoat | A mon avis le premier truc à comprendre là-dedans c'est qu'il y a deux parties au problème : 1) la partie technique : comment changer la configuration du firewall sans avoir à faire 10000 clics. Ça suivant le constructeur de firewall ça va être plus ou moins simple mais globalement sur du matos de classe entreprise moderne, il y a des APIs qui permettent de s'en sortir (plus ou moins bien facilement selon les constructeurs - le diable est dans les détails) 2) la partie organisationnelle, qui demande de se poser des questions : Pour une bonne partie des entreprises qui se posent ce genre de question, le problème 2 est beaucoup plus complexe à résoudre que le problème 1, car il implique toute l'entreprise, et il demande souvent aux utilisateurs de devenir responsables des demandes qu'ils font, ce qui revient à leur ajouter du boulot. Il y a des risques dans ce genre de projet : Concernant ta remarque "sans rendre infernal un firewall avec une règle par port" : ce n'est infernal que si le contenu de ton firewall est ta source de vérité. Si cette dernière était ailleurs (idéalement dans une CMDB ou équivalent, mais ça peut aussi être dans un excel pour commencer), ça n'aurait plus aucune importance qu'il y ait une règle par port dans le firewall. De même que quand tu utilises ton PC tu ne te soucies pas de savoir comment tes données sont stockées dans les différentes puces de ton SSD, tout ce que tu veux c'est retrouver ton arborescence de répertoires/fichiers. Ce qui t'intéresse et ce avec quoi tu interagis, c'est l'interface haut niveau. D'une manière générale on peut décomposer le process en plusieurs éléments : Des points de vue de gens plus compétents que moi (et qui parlent un peu plus de technique) si ça peut être utile : Une autre source d'inspiration sur le concept général peut être les AWS, Azure GCP et autres qui ont effectivement mis en place exactement ça : un système qui permet de gérer les ouvertures de flux à très grande échelle. Et ce n'est pas une coïncidence s'ils ont à la fois une modélisation de l'orga humaine (les rôles avec différents droits), un responsable identifié pour chaque ressource consommée, et un moyen effectif de le responsabiliser pour qu'il ne fasse pas n'importe quoi (en l'occurence c'est la facturation, mais à plus petite échelle dans une entreprise on pourrait imaginer d'autres choses). Message cité 1 fois Message édité par Ivy gu le 10-02-2024 à 00:49:00 --------------- All words are made-up. |
Trivi |
--------------- Mon topic : https://forum.hardware.fr/hfr/Achat [...] 3743_1.htm |
Trivi |
--------------- Mon topic : https://forum.hardware.fr/hfr/Achat [...] 3743_1.htm |
Ivy gu 3 blobcats dans un trenchcoat |
--------------- All words are made-up. |
Trivi |
--------------- Mon topic : https://forum.hardware.fr/hfr/Achat [...] 3743_1.htm |
Ivy gu 3 blobcats dans un trenchcoat |
Outil de ticketing genre JIRA ? Une fois que tu as avancé un peu sur ce process et que tu reçois des excel exploitables, tu peux faire générer à ta moulinette une config/suite de commandes à faire relire par un opérateur et balancer dans le firewall manuellement (ça reste manuel mais ça fait gagner du temps et ça limite les erreurs humaines, tout en n'étant pas non plus en mode "full auto" qui peut te péter ton infra). Et enfin une fois que tout est rôdé, faire en sorte que la moulinette aille jusqu'à modifier les firewalls directement. Avec les nouveaux problèmes à gérer que ça pose : comment on gère si le firewall répond une erreur ou ne répond plus, comment revient-on en arrière si besoin etc.
Oui à mon avis garder sa source de vérité dans les équipements ça montre ses limites à un moment.
J'ai bossé une dizaine d'années dans des boîtes de taille moyenne (1000-5000 personnes) où j'étais en charge des sujets réseau, et en plus de mon boulot d'ingé réseau classique j'ai eu l'occasion d'automatiser pas mal de choses, parcs de switchs, firewalls, systèmes de logging, outils de supervision etc. Dernièrement je bosse dans une grosse boîte française dans une petite équipe qui développe justement un système d'automatisation des configurations (5-10k devices, une centaine de sites), pour l'instant surtout du switch et du routeur mais là on s'attaque à la gestion des règles firewall justement, jusqu'à présent on marchait avec du excel sur la partie firewall mais là on est en train de sortir la modélisation de tout ça, avec un outil graphique pour que le client puisse faire clic-clic sur une interface qui ressemble à son réseau (qui référence des termes haut niveau qui parlent au client, ie des applications ou des VPNs, pas des adresses IP ou des noms d'interface) et que nous en backend on génère et implémente les règles correspondantes aux flux demandés. Mais on ne peut se permettre de se lancer là-dedans que parce que le reste du réseau est déjà très bien modélisé et que si on reçoit une demande pour que l'appli toto cause à l'appli tutu, on a déjà dans notre référentiel toutes les infos pour déterminer quelles actions sont à faire sur quels firewalls et routeurs, il faut juste pondre le bout de script qui fera effectivement les actions. Message édité par Ivy gu le 13-02-2024 à 01:27:29 --------------- All words are made-up. |
Trivi | Salut à toi,
--------------- Mon topic : https://forum.hardware.fr/hfr/Achat [...] 3743_1.htm |
Sujets relatifs | |
---|---|
Sizing Firewall | Choix firewall |
gpo empêchant les users de désactiver le firewall windows 10 | Aide règle firewall iptables linux |
RDP à travers firewall zywall | [Résolu] HTTP, chunked et firewall |
Zoom et firewall | Firewall hardware : comment choisir ? |
Modifications Firewall changement d'opérateur | [HyperV] Réplication problème règle firewall |
Plus de sujets relatifs à : DevOps Firewall et policy consistency check |