Red Hat Ansible Automation

В условиях постоянной нехватки человеческих ресурсов и времени мы всегда задаемся вопросами:

• Как быстро выполнять большой объем простых монотонных действий?
• Как избежать при этом ошибок?

В статье мы разберемся, как платформа автоматизации Red Hat Ansible Automation помогает решить все эти задачи.

Если говорить про область информационной безопасности, то здесь важна и скорость принятия решения, и скорость его реализации. Если мы смогли в короткий срок детектировать угрозу, но ответные меры заняли продолжительное время или наоборот, в спешке мы изменили политику на каком-либо средстве защиты и заблокировали доступ к критически важным ресурсам для бизнеса, то это можно назвать «неидеальным» результатом.

Таким образом, мы видим, что есть ситуации, в которых нам необходимо действовать быстро и без ошибок (исключим человеческий фактор в виде «в спешке удалили не то правило») и автоматизация нам может в этом помочь.

Примеры:

• Автоматизация «рутины» - в нашей работе есть множество простых повторяющихся действий, выполнение которых можно возложить на системы автоматизации и тем самым освободить себе время для более сложных/важных задач
• Ускорение процессов – многие процессы в организации (к примеру, процесс внесения изменений в политику определенного средства защиты) регламентированы, и в них четко определено, кому и какое действие необходимо выполнять. Автоматизация позволит как уменьшить время на выполнение задачи, так и добавить дополнительную проверку корректности действий (сотрудник использует заранее подготовленный шаблон, и шанс опечататься/ошибиться снижается)
• «Hardening» - мы можем автоматизированно выставлять или проверять параметры безопасности как IT ресурсов, так и, к примеру, средств защиты

В качестве платформы автоматизации рассмотрим Red Hat Ansible Automation:

Платформа Red Hat Ansible Automation состоит из нескольких компонентов:

Red Hat Ansible Engine – система для управления конфигурациями, установки программного обеспечения и выполнения более сложных IT-задач. Одни из интересных особенностей данного продукта:

• Не требуется установка агента на целевую систему

• Для выполнения каких-либо действий используются такие сущности как playbooks — это документ в «формате» YAML («дружественный» формат сериализации данных, концептуально близкий к языкам разметки, но ориентированный на удобство ввода-вывода типичных структур данных многих языков программирования» (c) Википедия), что довольно удобно, так как YAML довольно прост в изучении

• Коллекции – существует большое количество различных коллекций, которые содержат playbooks, roles, modules, plugins. Мы можем использовать их, добавив их простой командой "ansible-galaxy collection install"

Red Hat Ansible Tower - графический интерфейс для управления и мониторинга работы Red Hat Ansible Engine. Несколько важных особенностей:

• RBAC – мы можем разграничивать доступ к системе для наших команд и сотрудников
• Запуск задач по расписанию и использование web-hooks для интеграции с gitlab и github
• Workflow – мы можем задать последовательность операций в виде комбинации шаблонов заданий

Рассмотрим одну из задач платформы автоматизации: автоматизация «рутины».

Для этого нам потребуется:

• NGFW Check Point с включенным Management API
• Red Hat Ansible Engine c коллекцией check_point.mgmt

Management API устанавливается как часть Check Point Management Server, но может быть не активирована:

• API server включен, если у Check Point Management Server есть как 4GB RAM или у stand-alone server имеется 8GB RAM
• Если у Check Point Management Server меньше 4GB RAM ,то API server можно активировать через SmartConsole (Manage & Settings > Blades > Management API > Advanced Settings)

Проверим, запущен ли Management API, командой "api status":

Для добавления коллекции check_point.mgmt на Red Hat Ansible Engine воспользуемся командой " ansible-galaxy collection install check_point.mgmt " и добавим переменные:

[check_point]
%CHECK_POINT_MANAGEMENT_SERVER_IP% [check_point:vars] ansible_httpapi_use_ssl=True ansible_httpapi_validate_certs=False ansible_user=%CHECK_POINT_MANAGEMENT_SERVER_USER% ansible_password=%CHECK_POINT_MANAGEMENT_SERVER_PASSWORD% ansible_network_os=check_point.mgmt.checkpoint

После этого мы сможем воспользоваться множеством готовых модулей для работы с Check Point и задействовать их в наших playbooks.

Ниже представлен пример playbook, который добавляет хост и подсеть с заданными настройками NAT в Check Point Management Server:

Используя подобный playbook как шаблон и добавив в него необходимые параметры объектов (имя, адреса, итп), мы можем автоматизированно создать большое количество сетевых объектов, даже не заходя на консоль управления Check Point SmartConsole. Это может быть полезно, к примеру, при добавлении нового филиала со своей инфраструктурой к средству защиты, в нашем примере Check Point.

На данном примере рассмотрим другую задачу автоматизации – это «Hardening» и выполним её для другого продукта – NGFW FortiGate. Для этого нам также потребуется отдельная коллекция, в данном случае это "fortinet.fortios:1.0.9". Установим её командой "ansible-galaxy collection install fortinet.fortios:1.0.9".

С помощью соответствующего playbook настроим параметр "admintimeout" - «Number of minutes before an idle administrator session times out (5 - 480 minutes (8 hours)). A shorter idle timeout is more secure»:

Даже если кто-то из администраторов системы изменил её параметры и сделал менее безопасной, запуская подобный playbook, мы всегда можем вернуть исходное значение.

До этого момента мы создавали различные playbook и запускали их по отдельности из командной строки Red Hat Ansible (ansible-playbook "playbook.yml"). Но это может быть не очень удобно, поэтому воспользуемся возможностями Red Hat Ansible Tower, чтобы еще больше облегчить себе жизнь.

В качестве примера рассмотрим задачу: нам необходимо выполнять проверку настроек средств защиты (hardening) с какой-либо периодичностью. Возможные решения:

1. Создаем необходимые playbooks и руками запускаем их в нужном порядке с определенной периодичностью
2. Создаем необходимые playbooks и настраиваем их автозапуск средства ОС и Red Hat Ansible Engine
3. Создаем необходимые playbooks и настраиваем необходимый нам workflow с помощью Red Hat Ansible Tower

Вариант №3 предпочтительнее. Далее рассмотрим его подробнее.
Создаем workflow:

В данной цепочке мы запускаем необходимые нам playbooks:

• forti_admin_timeout – playbook из предыдущего примера, где мы выставляем время таймаута сессии администратора для NGFW Forti Gate
• cp_must_have_access_rules – в данном playbook мы проверяем, есть ли в политике доступа для NGFW Check Point необходимые нам правила (например, Stealth и CleanUp правила)

Если хоть один из необходимых нам playbook не может быть выполнен, то мы запускаем другой playbook – telegram (оповещение о том, что workflow не выполнился в канал telegram). Также настроим автозапуск нашего workflow каждую неделю в определенное время:

Используя платформу автоматизации Red Hat Ansible Automation, мы получаем инструмент, который позволяет нам быстро выполнять большой объем простых монотонных действий, контролировать различные процессы внесения изменений, проверку эталонных параметров в системах, и в итоге выполнять наши задачи быстрее и с меньшим риском ошибок.