1.2. ファイアウォールルールの自動化

Ansible セキュリティー自動化により、さまざまな製品全体で一連のアクションを必要とするさまざまなファイアウォールポリシーを自動化できます。acl_manager ロールなどの Ansible ロールを使用して、IP または URL のブロックやブロック解除などの多くのファイアウォールデバイスについてアクセス制御リスト (ACL) を管理できます。ロールを使用すると、既知のファイル構造に基づいて、関連する変数、ファイル、タスク、ハンドラー、およびその他の Ansible アーティファクトを自動的に読み込みます。ロールでコンテンツを分類した後に、簡単に再利用し、他のユーザーと共有できます。

以下のラボ環境は、実際のエンタープライズセキュリティーアーキテクチャーの簡素化された例です。ここでは、複雑で、追加のベンダー固有のツールが含まれます。これは、侵入アラートを受信し、攻撃者の IP アドレスをブロックする acl_manger ロールを使用して Playbook をすぐに実行する典型的なインシデント対応シナリオです。

チーム全体で Ansible セキュリティー自動化を使用して、調査、脅威ハンティング、インシデント対応をすべて 1 つのプラットフォームで行うことができます。Red Hat Ansible Automation Platform は、セキュリティーチーム内で使用および再利用を容易にする認定コンテンツコレクションを提供します。

Simplified security lab environment

関連情報

Ansible ロールの詳細は、docs.ansible.com の ロール を参照してください。

1.2.1. 新しいファイアウォールルールの作成

acl_manager ロールを使用して、宛先 IP アドレスへのアクセスからソース IP アドレスをブロックする新しいファイアウォールルールを作成します。

前提条件

  • Ansible 2.9 以降がインストールされている。
  • 新規ポリシーを適用する Check Point Management サーバーへのアクセスがある。

手順

  1. ansible-galaxy コマンドを使用して acl_manager ロールをインストールします。 

    $ ansible-galaxy install ansible_security.acl_manager

  2. 新しい Playbook を作成し、以下のパラメーターを設定します。たとえば、送信元オブジェクト、宛先オブジェクト、2 つのオブジェクト間のアクセスルール、および管理している実際のファイアウォール (Check Point など) です。 

    - name: block IP address
  hosts: checkpoint
  connection: httpapi

  tasks:
    - include_role:
        name: acl_manager
        tasks_from: block_ip
      vars:
        source_ip: 172.17.13.98
        destination_ip: 192.168.0.10
        ansible_network_os: checkpoint

  3. Playbook を実行します ($ ansible-navigator run --ee false <playbook.yml>)。

    Playbook with new firewall rule

検証

宛先 IP アドレスへのアクセスからソース IP アドレスをブロックする新しいファイアウォールルールを作成しました。MGMT サーバーにアクセスし、新しいセキュリティーポリシーが作成されていることを確認します。

関連情報

ロールのインストールに関する詳細は、Galaxy からのロールのインストール を参照してください。

1.2.2. ファイアウォールルールの削除

acl_manager ロールを使用してセキュリティールールを削除します。

前提条件

  • Ansible 2.9 以降がインストールされている。
  • 新しいポリシーを適用するファイアウォール MGMT サーバーへのアクセスがある。

手順

  1. ansible-galaxy コマンドを使用して acl_manager ロールをインストールします。 

    $ ansible-galaxy install ansible_security.acl_manager

  2. CLI を使用して、acl_manger ロールで新規 Playbook を作成し、パラメーター (例: ソースオブジェクト、宛先オブジェクト、2 つのオブジェクト間のアクセスルール) を設定します。 

    - name: delete block list entry
  hosts: checkpoint
  connection: httpapi

    - include_role:
        name: acl_manager
        Tasks_from: unblock_ip
      vars:
        source_ip: 192.168.0.10
        destination_ip: 192.168.0.11
        ansible_network_os: checkpoint

  3. Playbook を実行します ($ ansible-navigator run --ee false <playbook.yml>)

    Playbook with deleted firewall rule

検証

ファイアウォールルールが削除されました。MGMT サーバーにアクセスし、新しいセキュリティーポリシーが削除されていることを確認します。

関連情報

ロールのインストールに関する詳細は、Galaxy からのロールのインストール を参照してください。