Whitepaper NIS2-Check EN

Die Methodik

280 Migrationen, wiederholbar gemacht

Eine Firewall-Migration scheitert selten an der Hardware. Sie scheitert an dem, was niemand dokumentiert hat: der Regel, die seit 2014 nichts mehr durchlässt, dem Any-Any, das jeder fürchtet anzufassen, der Genehmigung, die nie stattfand. Das ist die Reihenfolge, in der ich vorgehe, und der Grund, warum dieselbe Reihenfolge jedes Mal funktioniert.

Whitepaper lesen → Die Plattform ansehen
NF
Nick Falshaw
Principal Security Architect & AI Systems Engineer
17+ Jahre Netzwerksicherheit 280+ Firewall-Migrationen 11 Tier-1-Großunternehmen in Europa

Das Problem

Der Standardansatz hat sich in zwanzig Jahren nicht verändert

Eine Migration läuft fast überall gleich ab: Regeln in eine Tabelle exportieren, von Hand übersetzen, deployen und hoffen. Bei tausenden Regeln übersieht dieser Ansatz zuverlässig Schattenregeln, überlappende Policies und redundante Konfigurationen, und Compliance wird zur Aufgabe nach dem Cutover statt davor.

Die Risiken liegen nicht im Offensichtlichen. Sie liegen in den Annahmen, die niemand mehr prüft, dass eine Regel noch gebraucht wird, dass eine Genehmigung existiert, dass „temporär" auch temporär war. Die Methodik unten macht jede dieser Annahmen explizit, bevor sie produktiv wird.

Regeln gesamt im Quell-Regelwerk4.471
Schattenregeln (greifen nie)Prüfen
Any-Any / zu weite BereicheRisiko
Redundant mit bestehender RegelInfo
Abgelaufen, aber noch aktivPrüfen

Die fünf Phasen

Discovery zuerst, Cutover zuletzt, und Nachweise an jeder Stelle

Keine Migration springt direkt zur Übersetzung. Reihenfolge ist die ganze Methode. Jede Phase produziert ein Artefakt, das die nächste prüfen kann, und am Ende einen vollständigen Audit-Trail, der zeigt, was sich geändert hat, wer es genehmigt hat und warum.

1

Discovery

Das echte Regelwerk erfassen, nicht das dokumentierte. Jede Regel, jedes Objekt, jede verschachtelte Gruppe, normalisiert in ein herstellerunabhängiges Format.

2

Normalisierung

Herstellersyntax auf eine gemeinsame Semantik abbilden: Quelle, Ziel, Service, Aktion, Logging. Erst dann ist ein Vergleich überhaupt möglich.

3

Schatten & Konflikte

Die gesamte Hierarchie analysieren, nicht einzelne Regeln isoliert. Schattenregeln, Konflikte, Redundanzen und zu weite Zugriffe sichtbar machen.

4

Gestaffelter Cutover

In kontrollierten Fenstern deployen, mit Health-Checks und sofortiger Rollback-Fähigkeit. Kein „großer Knall", keine Überraschungen um 03:00 Uhr.

5

Nachweise

Jede Änderung, jede Übersetzungsentscheidung, jedes Validierungsergebnis mit Zeitstempel und Begründung, fertig für den Auditor.

Discovery

Das gelebte Regelwerk, nicht das dokumentierte

Die Dokumentation lügt fast immer. Sie beschreibt die Absicht von vor fünf Jahren, nicht den Zustand von heute. Discovery beginnt darum am Gerät, jede aktive Regel, jedes Adress- und Serviceobjekt, jede verschachtelte Gruppenreferenz wird aufgelöst und in ein herstellerunabhängiges Zwischenformat überführt.

  • Vollständige Erfassung über Hersteller hinweg: PAN-OS, FortiOS, Check Point R80+, Cisco ASA/FTD und mehr, gegen 33+ Plattformen.
  • Objektauflösung für Adressgruppen, Servicegruppen und verschachtelte Referenzen, keine ungelösten Verweise.
  • IPAM-Kontext aus NetBox: Subnetz- und Geräteinformationen, damit jede Regel im echten Netzwerk verstanden wird.
PAN-OS, Standort NordErfasst
FortiOS, Standort SüdErfasst
Check Point, RechenzentrumErfasst
Objekte aufgelöst100%
NetBox-SubnetzkontextVerknüpft

Normalisierung

Eine gemeinsame Sprache, bevor irgendetwas verglichen wird

Palo-Alto-XML, Fortinet-CLI und Check-Point-Policy-Layer beschreiben dieselben Konzepte mit unterschiedlicher Syntax. Solange sie in dieser Syntax bleiben, lässt sich nicht sauber vergleichen, und damit nicht analysieren. Normalisierung bildet jede Regel auf eine gemeinsame Semantik ab: Quelle, Ziel, Service, Aktion, Logging. Bedeutung bleibt erhalten, Hersteller-Eigenheiten werden explizit.

  • Herstellerunabhängiges Format unter Beibehaltung von Quelle/Ziel/Service/Aktion/Logging-Semantik.
  • Hersteller-Konstrukte verstanden, App-ID, Virtual Domains, Policy Layers werden abgebildet, nicht ignoriert.
  • Keine String-Ersetzung, semantische Übersetzung ist der Unterschied zwischen einer Migration, die funktioniert, und einer, die nachts klingelt.
QuelleVPN-Pool
ZielApp-Tier /24
Servicetcp/443
AktionAllow
LoggingAktiv

Schatten- & Konfliktanalyse

Die schlechte Regel finden, bevor sie deployed wird

Manuelle Reviews scheitern an genau einer Stelle: Sie betrachten Regeln einzeln, nicht in ihrer Verarbeitungsreihenfolge. Eine Regel, die durch eine frühere komplett verdeckt wird, sieht für sich genommen vernünftig aus. Erst die Analyse der gesamten Hierarchie zeigt, dass sie nie greift. Genau dort liegt das Risiko, das nach dem Cutover zum Ausfall wird.

  • Schattenregel-Erkennung, Regeln, die durch frühere in der Reihenfolge nie ausgelöst werden.
  • Konflikterkennung, gleiche Kriterien mit widersprüchlichen Allow/Deny-Aktionen.
  • Permissivitätsbewertung, Any-Any, Any-Source, Any-Destination und zu weite CIDR-Bereiche werden markiert.
  • Hygiene-Prüfungen, abgelaufene Regeln, deaktivierte Reste, fehlendes Logging oder fehlende Beschreibung.
Niedrig
Schattenregel erkanntPrüfen
Zu weites Any-AnyHoch
Redundant mit Regel #2218Info

Was die Daten zeigen

280 Migrationen sind ein Datensatz, kein Anekdotenvorrat

~12 %

durchschnittlicher Schattenregel-Anteil in den analysierten RegelwerkenLab- und Projektbeobachtung

40 %

der Ingenieurzeit floss in repetitive Analyse, bevor sie automatisiert wurdeBranchendurchschnitt

280+

Migrationen über 11 Tier-1-Großunternehmen in regulierten BranchenEigene Projektarbeit

Welche Fehlerklassen sich über 280 Migrationen tatsächlich wiederholen, und welche Muster sich aus den Regelwerk-Daten herauslesen lassen, habe ich in zwei Beiträgen ausgeschrieben: Datenanalyse von 280 Firewall-Migrationen und eine Taxonomie der Migrationsfehler.

Gestaffelter Cutover

Kontrollierte Fenster statt großer Knall

Der riskanteste Moment einer Migration ist der Moment, in dem alles gleichzeitig umgestellt wird. Darum tue ich das nie. Der Cutover läuft gestaffelt, ein Segment nach dem anderen, jeweils in einem geplanten Wartungsfenster, mit definierten Health-Checks und einem Rollback, der in Sekunden greift, nicht in Stunden.

  • Geplante Wartungsfenster, vorhersehbarer, kontrollierter Rollout statt Überraschungen.
  • Health-Checks pro Stufe, bestätigte Konnektivität, bevor die nächste Stufe beginnt.
  • Sofortiges Rollback, die Architektur ist auf Zero-Downtime-Rückkehr ausgelegt, nicht auf Hoffnung.
Stufe 1, PerimeterLive
Stufe 2, DMZLive
Stufe 3, App-TierIm Fenster
Health-Check Stufe 2Bestanden
Rollback bereitJa

Nachweise

Eine Migration, die sich nicht belegen lässt, ist nicht fertig

Jede Änderung trägt das Wer, Was, Wann und Warum. Validierung passiert vor dem Deployment, nicht danach: Die übersetzte Konfiguration wird gegen die regulatorischen Rahmenwerke geprüft, die europäische Teams tatsächlich beantworten müssen, und die Dokumentation entsteht automatisch, nicht in einer hektischen Woche vor dem Audit.

  • Vollständiger Audit-Trail, jede Übersetzungsentscheidung und jedes Validierungsergebnis mit Zeitstempel und Begründung.
  • Rahmenwerk-fertige Reports für NIS2, ISO 27001, PCI-DSS, DORA, KRITIS und TISAX.
  • Regel-Ablaufverfolgung, temporärer Zugriff wird nicht still und leise dauerhaft.
NIS2-NachweispaketBereit
ISO-27001-ÄnderungslogBereit

Warum das wiederholbar ist

Dieselbe Reihenfolge, jedes Regelwerk, jeder Hersteller

Die Methodik ist nicht an einen Hersteller, eine Branche oder ein Projekt gebunden. Sie funktioniert, weil sie die richtigen Fragen in der richtigen Reihenfolge stellt, und jede Antwort als prüffähiges Artefakt festhält, bevor die nächste Frage drankommt.

Belegbar, nicht behauptet

Jeder Schritt hinterlässt ein Artefakt. Was sich geändert hat und warum, lässt sich nachträglich rekonstruieren, vom Reviewer wie vom Auditor.

Reihenfolge vor Werkzeug

Discovery vor Normalisierung, Analyse vor Cutover. Die Reihenfolge ist der Wert. Die Plattform automatisiert die Schritte, sie ersetzt nicht das Urteil.

Compliance als Nebenprodukt

Wenn die Nachweise an jeder Stelle mitlaufen, ist das Audit kein Projekt mehr. Der Trail existiert bereits, weil er Teil der Arbeit war.

Von der Methode zur Plattform

Ich habe die Software gebaut, die diese Methodik beweisbar macht

Siebzehn Jahre und über 280 Migrationen haben gezeigt, welche Schritte sich wiederholen und welche Fehler sich vermeiden lassen. FwChange kodiert genau das: strukturierte Änderungsanträge, mehrstufige Genehmigungsketten, Risiko- und Konfliktanalyse, herstellerübergreifende Übersetzung und Compliance-Exporte, damit jede Migration denselben prüffähigen Weg nimmt.

  • 33+ Hersteller, Palo Alto, Fortinet, Check Point, Cisco, Juniper, F5 und mehr.
  • Strukturierte Änderungsanträge mit mehrstufigen Genehmigungsketten und geplanten Fenstern.
  • Compliance-Exporte für NIS2, ISO 27001, PCI-DSS, DORA, KRITIS und TISAX.
Die Plattform ansehen →
Internet → DMZ 443 öffnenAusstehend
VPN → App-Tier erlaubenGenehmigt
Legacy SMB 445 sperrenGenehmigt
NAT für Partner-APIIn Prüfung
Regel #4471 stilllegenEntwurf

Praxis, nicht Theorie

Eine Migration ist kein Hardware-Tausch. Sie ist eine Übung im Beweisen, dass man verstanden hat, was die Firewall wirklich tut, bevor man sie ersetzt.

Palo AltoFortinetCheck PointCiscoJuniperF5

Die ganze Methodik, ausgeschrieben

Das Whitepaper geht jeden Schritt im Detail durch, von der Discovery bis zum Nachweispaket. Wer wissen will, wer dahintersteht, findet das Profil und die Belege auf der Über-Seite.

Whitepaper lesen Über den Autor →