Практика работы с шаблонами в UserGate MC

В UserGate MC реализована гибкая система управления конфигурациями устройств благодаря иерархической системе администрирования (подробнее читайте в разделе Администраторы) и использованию метода шаблонов (подробнее читайте в разделе Управление межсетевыми экранами UserGate).

Управление устройствами осуществляется в пределах управляемой области. Управляемая область может иметь в своем составе множество филиалов (городов), в которых установлены подконтрольные устройства.

Корневой администратор области имеет все права на управление областью. Он может создавать шаблоны настроек управляемых устройств, объединять шаблоны в группы и назначать эти группы на управляемые устройства. Корневой администратор управляемой области может создавать учетные записи дополнительных администраторов области или, иначе говоря, региональных администраторов, делегируя им права на администрирование только отдельных выделенных устройств в филиалах. 

Группы шаблонов могут включать в себя шаблоны, которые настраивает как сам администратор области, так и региональные администраторы.

Порядок шаблонов в группе имеет значение и определяет приоритет политик или используемых в них объектов.

Порядок применения правил на управляемом устройстве следующий:

1. Пре-правила первого шаблона, пре-правила второго шаблона и т.д.

2. Локальные правила политики на устройстве.

3. Пост-правила первого шаблона, пост-правила второго шаблона и т.д.

Это позволяет вставить правила в любое место в списке правил управляемого устройства. 

Порядок применения объектов, которые не являются правилами — берётся первый найденный подходящий объект при проходе по списку шаблонов из группы.

Благодаря такому подходу реализуется иерархическая система администрирования — администратор области управляет политиками на уровне организации, а региональные администраторы управляют политиками в своих филиалах. Администратор области создает шаблон общих политик для всех филиалов, который он может добавлять в группы шаблонов для региональных устройств. Таким образом решается задача управления политиками информационной безопасности на уровне организации. В свою очередь, региональные администраторы через свои шаблоны решают локальные задачи своих филиалов.

Рассмотрим два примера работы с шаблонами в пределах управляемой области.

Пример 1. Группирование шаблонов

Пример группирования шаблонов для филиалов в управляемой области.

В UserGate MC создана управляемая область AAA c корневым администратором области Admin/AAA.

Администратор области создает двух региональных администраторов для управления узлами NGFW в городах B и С (subAdminB/AAA и subAdminC/AAA соответственно).

Администратор области создает шаблоны для управления региональными узлами и предоставляет права на редактирование части шаблонов региональным администраторам:

• Шаблон A — для настройки базовых политик конфигурации сети администратором области.

• Шаблоны B1 и B2 — для локальных настроек политик узла в филиале B. Региональному администратору в городе B (subAdminB/AAA) делегируются права для настройки этих шаблонов.

• Шаблоны C1 и C2 — для локальных настроек политик узла в городе C. Региональному администратору в городе C (subAdminC/AAA) делегируются права для настройки этих шаблонов.

Администратор области создает группы шаблонов, в которые он может добавить любые шаблоны, созданные и настраиваемые в любом регионе своей области.

В этом примере администратор области создает для каждого города свою группу шаблонов, куда он добавляет общий шаблон с базовыми политиками конфигурации сети и шаблоны с локальнями настройками политик, редактируемые региональными алминистраторами:

• Группа шаблонов для города B:

  • Шаблон A;

  • Шаблон B1;

  • Шаблон B2;

• Группа шаблонов для города C:

  • Шаблон A;

  • Шаблон C1;

  • Шаблон C2.

Администратор области назначает группы шаблонов на конкретные управляемые устройства.

Пример 2. Схема с главной политикой

В такой схеме есть одна центральная политика, но её конкретная финальная форма будет разной для разных регионов.

Как и в Примере 1 в управляемой области ААА есть два города B и C, в каждом из которых установлены свои NGFW, они оба подключены к MC. Созданы два региональных администратора для управления узлами NGFW в городах B и С (subAdminB/AAA и subAdminC/AAA соответственно).

Администратор области имеет шаблон общей политики, который ограничивает доступ группы с IP-адресами Test к сайтам с видеоконтентом. Для каждого города есть свои шаблоны, в которых региональные администраторы определяют список своих локальных адресов для группы Test:

• Шаблон A3 — шаблон общей политики администратора области с настройкой ограничения доступа к видеоконтенту.

• Шаблон B3 — для настройки группы IP-адресов, к которым должна быть применена политика. Региональному администратору города B (subAdminB/AAA) делегируются права для настройки параметров этого шаблона.

• Шаблон C3 — для настройки группы IP-адресов, к которым должна быть применена политика. Региональному администратору города С (subAdminС/AAA) делегируются права для настройки параметров этого шаблона.

Настройка шаблонов

 Администратор области в шаблоне А3 создает правило фильтрации видеоконтента, в котором на вкладке Источник указывает группу IP-адресов Test, но сами адреса в этом шаблоне не задаются. Списки IP адресов, к которым будет применено правило общей политики, будут создаваться в группе адресов Test региональными администраторами в своих шаблонах.

Администратор области делегирует региональным администраторам права для настройки библиотек элементов в шаблонах B3 и C3. Для этого в веб-консоли администратора области необходимо перейти в раздел Центр управления ➜ Администраторы ➜ Профили администраторов и в профилях региональных администраторов предоставить права на чтение и запись для раздела Библиотеки элементов.

Региональному администратору города B необходимо делегировать права в шаблоне B3: 

Региональному администратору города С необходимо делегировать права в шаблоне С3: 

Региональные администраторы создают в своих шаблонах группу IP-адресов Test. Для этого каждый региональный администратор должен войти в веб-консоль администратора со своим логином (subAdminB/AAA и subAdminC/AAA соответственно), перейти в раздел настройки шаблона (шаблон В3 и шаблон C3 соответственно) и создать группу IP-адресов Test со своими актуальными адресами:

Региональный администратор города B редактирует шаблон B3:

Региональный администратор города C редактирует шаблон C3:

Администратор области объединяет шаблоны в группы:

• Группа шаблонов для города B:

  • Шаблон A3;

  • Шаблон B3;

• Группа шаблонов для города C:

  • Шаблон A3;

  • Шаблон C3.

Администратор области назначает группы шаблонов на конкретные управляемые устройства.

Проверка работы схемы

У каждого регионального устройства есть собственные политики со своими собственными правилами фильтрации видео-контента.

NGFW B:

NGFW C:

Таким образом, в данном примере используется централизованное управление политикой доступа к сайтам с видеоконтентом для двух городов, но при этом учитываются региональные особенности (разные подсети) каждого филиала. Администратор области отвечает за создание и управление общим шаблоном политики, а региональные администраторы отвечают за настройку и управление своими устройствами с учетом региональных особенностей.