Bluecoat / Symantec Proxy - Policy-Bereinigung

Problemstellung:

Im aktuellen Unternehmen wurden seit über 10 Jahren nur immer neue Regeln hinzugefügt. Aber keine Regeln gelöscht oder nicht mehr erforderliche Objekte entfernt.

Das führte dazu, dass die CPUs der Proxies hauptsächlich mit der Abarbeitung der Policy beschäftigt waren, was zu einer schlechten Performance und hoher CPU-Last geführt hat.

Bereits im Vorfeld wurden sichere Ziele vom SSL-Interception und AV-Scan ausgenommen. Hierfür gibt es Risk-Level-Klassifikation der Proxies.

Auch der O365-Verkehr wurde ein direkter Weg ins Internet ermöglicht.

Dies hatte aber nur eher kleinere Leistungsverbesserungen zur Folge. Auch wurden einige systeminterne Parameter verändert um hier noch die letzte Performance aus den Maschinen zu holen. Aber wir hatten noch immer eine zu hohe Last auf den Maschinen. Weit über dem, was der Hersteller als Referenz vorgegeben hat.

Daher wurde entschieden die Policy zu bereinigen.

Umsetzung:

Zunächst wurde die vorhandene Policy nach doppelten Einträgen untersucht. Wenn sie bedenkenlos gelöscht werden können, dann wurden sie gelöscht.

Gleichzeitig wurden in den Logs die Ziel-Urls und Quell-IPs in einer Datenbank mit der letzten Nutzung abgespeichert. (kleines Perl-Skript)

Mit dieser Information konnten dann einzelne Objekte aus der Policy entfernt werden, da die jeweilige Quelle oder Ziel im Logfile über mehr als 6 Monate nicht aufgetaucht ist.

Hinweis:

Mit der neuen 7.x.x.x-Version der SGOS-Version gibt es einen Zähler, der auch über eine Policy-Installation hinaus erhalten bleibt. Ich sammel gerade erste Erfahrungen damit und kann ggf. dann auch berichten, ob das für die Policy-Bereinigung hilfreich ist.