はじめまして、中川です。 3年目ということもあって、丁度自分の立ち位置が分からない時期にさしかかり、日々迷走しております。
早速ですが、皆様の企業では、どのFWを使用して社内ネットワークを守っていますでしょうか?
また、どのようなクラウドサービスを利用しておりますでしょうか?
弊社では、Paloalto社のPAシリーズを使用しております。
また、利用しているクラウドサービスの1つにAWS EC2があります。
AWS EC2への通信許可設定はFW上で行っていますが、
「AWSって次々とIPアドレスレンジ増やしていくから大変っっ(◎_◎;)」でした・・
そこで、“panxapi”という便利なAPIを利用したscriptを活用した事で【大変】が解消されたので、
今回は"panxapi"とは何か、弊社での活用方法を簡単に説明させて頂きます。
■"panxapi"とは・・・・
簡単に言うと、"FWにログインしなくても、コマンド上から設定編集したり、情報収集出来るPaloalto限定の便利ツール"です。
■どのような【大変】を抱えていたのか・・・
弊社ではAWS EC2への通信許可設定をFW上で行っておりますが、皆さんもご存知のように
AWSは次々と新しいIPアドレスレンジが追加されたり、新リージョンが出来たり、時にはIPアドレスレンジの変更・削除もあります。
その度にFW上にIPアドレスレンジ追加して、アドレスグループに追加してました。
↑この次々とあるのが、FW上で通信許可設定を行ってる身からしたら結構手間・・・(地味に時間がかかる)例えば休日等にエンジニアが新しくサーバを立てて、そのサーバがまだFWに追加設定していない新しいIPアドレスレンジの中からIPを取ってしまったら・・
折角休日にサーバ立てても作業出来ません・・通信許可設定してよ~。と言われてもこちらが出先だったら?勿論対応出来ません。
何とか解消出来ればな~・・・・
そこでリスペクトしていた元上司からこんな提案がありました。
【slackならスマホにも入れてるから、slackからFWへ追加設定出来る様にしよう!!!!】
(と同時に既にscriptもほぼ作り上げていました( ̄д ̄)!!)
まずslackから対応出来るようにする為のscriptを作成する前に運用ルールを考えました。
■ルール
slackから対応出来る様、"bot_palo"というslack botを用意し、
そこから追加分のIPアドレスレンジの確認や追加設定を行う。
ただし、slackから追加設定出来るのは、あくまでも【既存リージョンへのIPアドレスレンジ追加のみ】
新リージョン、IPアドレスレンジの変更・削除は今まで通り手動で行う。
では、次にこのルールを踏まえて作られたscriptの追加設定までの流れを説明します。
■説明
- Amazon公式サイトに掲載されているAWS EC2の使用IPアドレスレンジとFWに設定されているIPアドレスレンジ情報をpanxapiを使い、情報を引っ張ってきて比較
- 比較し、出た差分情報(追加が必要なIPアドレスレンジ)を中川にメール通知(既存リージョンへのIPアドレスレンジ追加なのか新リージョンなのか、変更・削除なのかまで出す)
- slack上で"bot_palo ck"と打つと今回の対象分(既存リージョンへの追加IPアドレスレンジ)を確認できる
- “bot_palo set"と打つと、FWへ設定が入る(panxapiを使って追加処理を動かす)
実行例
bot_palo ck
bot_palo set
`
これにより出先からでも対応出来る様になり、またいちいちFWにログインして、IPアドレスレンジを登録して、アドレスグループに入れて・・・とやらなくても
ささっとslack上から設定する事が出来るので手間も省け、この作業に費やす工数を減らすことが出来ました!!!!!!!
今回は細かいscriptの内容まで書くことはできませんでしたが、
今後もpanxapiを利用して出来る事があれば、チャレンジしていきたいと思っております。
