NGFW Quraşdırmasının Effektivliyini Necə Qiymətləndirmək olar
Ən ümumi vəzifə firewallunuzun nə qədər effektiv konfiqurasiya olunduğunu yoxlamaqdır. Bunun üçün NGFW ilə məşğul olan şirkətlərdən pulsuz kommunal xidmətlər və xidmətlər mövcuddur.
Məsələn, aşağıda görə bilərsiniz ki, Palo Alto Şəbəkələri birbaşa olaraq
MÜNDƏRİCAT
Ekspedisiya (Miqrasiya Aləti)
Parametrlərinizi yoxlamaq üçün daha mürəkkəb seçim pulsuz bir yardım proqramı yükləməkdir
Siyasət Optimizatoru
Bu gün sizə daha ətraflı danışacağım ən əlverişli seçim (IMHO) Palo Alto Networks interfeysinin özündə qurulmuş siyasət optimallaşdırıcısıdır. Bunu nümayiş etdirmək üçün evdə bir firewall quraşdırdım və sadə bir qayda yazdım: hər hansı birinə icazə verin. Prinsipcə, korporativ şəbəkələrdə belə qaydalara bəzən rast gəlirəm. Təbii ki, ekran görüntüsündə gördüyünüz kimi bütün NGFW təhlükəsizlik profillərini aktivləşdirdim:
Aşağıdakı ekran görüntüsü mənim evimin konfiqurasiya edilməmiş firewall nümunəsini göstərir, burada demək olar ki, bütün bağlantılar sonuncu qaydaya düşür: AllowAll, Hit Count sütunundakı statistikadan göründüyü kimi.
Sıfır etibar
adlı təhlükəsizlik yanaşması var
Yeri gəlmişkən, Palo Alto Networks NGFW üçün minimum lazımi parametrlər dəsti SANS sənədlərinin birində təsvir edilmişdir:
Beləliklə, bir həftə evdə bir firewall var idi. Şəbəkəmdə hansı trafikin olduğuna baxaq:
Seansların sayına görə sıralasanız, onların əksəriyyəti bittorent tərəfindən yaradılır, sonra SSL, sonra QUIC gəlir. Bunlar həm gələn, həm də gedən trafik üçün statistikadır: marşrutlaşdırıcımın çoxlu xarici skanları var. Şəbəkəmdə 150 müxtəlif proqram var.
Beləliklə, bütün bunlar bir qayda ilə qaçırdı. İndi görək Policy Optimizer bu barədə nə deyir. Əgər yuxarıda təhlükəsizlik qaydaları ilə interfeysin ekran görüntüsünə baxmısınızsa, onda aşağı solda optimallaşdırıla bilən qaydaların olduğuna işarə edən kiçik bir pəncərə gördünüz. Gəlin ora klikləyək.
Siyasət Optimizatoru nə göstərir:
- Hansı siyasətlər ümumiyyətlə istifadə olunmayıb, 30 gün, 90 gün. Bu, onları tamamilə aradan qaldırmaq qərarına kömək edir.
- Siyasətlərdə hansı tətbiqlər göstərildi, lakin trafikdə belə tətbiqlər aşkar edilmədi. Bu, icazə qaydalarında lazımsız tətbiqləri silməyə imkan verir.
- Hansı siyasətlər hər şeyə icazə verirdi, amma əslində Zero Trust metodologiyasına uyğun olaraq açıq şəkildə göstərmək yaxşı olardı tətbiqlər var idi.
İstifadə edilməmiş üzərinə klikləyək.
Bunun necə işlədiyini göstərmək üçün bir neçə qayda əlavə etdim və indiyə qədər onlar bu gün heç bir paketi qaçırmayıblar. Budur onların siyahısı:
Ola bilsin ki, zaman keçdikcə orada nəqliyyat olacaq və sonra onlar bu siyahıdan yox olacaqlar. Və əgər onlar 90 gün ərzində bu siyahıdadırlarsa, o zaman bu qaydaları silmək qərarına gələ bilərsiniz. Axı, hər bir qayda haker üçün fürsət verir.
Firewall konfiqurasiya edərkən əsl problem var: yeni bir işçi gəlir, firewall qaydalarına baxır, əgər şərhləri yoxdursa və bu qaydanın nə üçün yaradıldığını bilmirsə, həqiqətən ehtiyac varmı, edə bilərmi? silinəcək: birdən şəxs məzuniyyətdədir və bundan sonra 30 gün ərzində ona lazım olan xidmətdən trafik yenidən axacaq. Və sadəcə bu funksiya ona qərar verməyə kömək edir - heç kim bundan istifadə etmir - silin!
İstifadə edilməmiş proqram üzərinə klikləyin.
Optimizatorda İstifadə edilməmiş Proqram üzərinə klikləyirik və maraqlı məlumatların əsas pəncərədə açıldığını görürük.
Biz görürük ki, üç qayda var, burada icazə verilən ərizələrin sayı və bu qaydadan faktiki keçən ərizələrin sayı fərqlidir.
Biz bu tətbiqlərin siyahısına klikləyib baxa və bu siyahıları müqayisə edə bilərik.
Məsələn, Max qaydası üçün Müqayisə düyməsini klikləyin.
Burada facebook, instagram, telegram, vkontakte proqramlarına icazə verildiyini görə bilərsiniz. Amma reallıqda trafik yalnız bəzi alt proqramlara getdi. Burada başa düşmək lazımdır ki, facebook tətbiqi bir neçə alt proqram ehtiva edir.
NGFW proqramlarının bütün siyahısını portalda görmək olar
Beləliklə, bu alt tətbiqlərin bəziləri NGFW tərəfindən görüldü, bəziləri isə yox idi. Əslində, siz Facebook-un müxtəlif alt funksiyalarını ayrıca qadağan edə və icazə verə bilərsiniz. Məsələn, mesajlara baxmağa icazə verin, lakin söhbəti və ya fayl köçürməsini qadağan edin. Müvafiq olaraq, Policy Optimizer bu barədə danışır və siz qərar verə bilərsiniz: bütün Facebook tətbiqlərinə icazə verməyin, ancaq əsas olanlara.
Beləliklə, siyahıların fərqli olduğunu başa düşdük. Qaydaların yalnız şəbəkədə həqiqətən səyahət edən proqramlara icazə verdiyinə əmin ola bilərsiniz. Bunun üçün siz MatchUsage düyməsini sıxırsınız. Belə çıxır:
Və zəruri hesab etdiyiniz tətbiqləri də əlavə edə bilərsiniz - pəncərənin sol tərəfindəki Əlavə et düyməsini:
Və sonra bu qayda tətbiq oluna və sınaqdan keçirilə bilər. Təbrik edirik!
Müəyyən edilmiş proqram yoxdur klikləyin.
Bu vəziyyətdə vacib bir təhlükəsizlik pəncərəsi açılacaqdır.
L7 səviyyəli tətbiqin açıq şəkildə göstərilmədiyi şəbəkənizdə çox güman ki, belə qaydalar çoxdur. Və mənim şəbəkəmdə belə bir qayda var - xatırlatmaq istərdim ki, mən bunu ilkin quraşdırma zamanı, xüsusən Siyasət Optimizatorunun necə işlədiyini göstərmək üçün etmişəm.
Şəkildə göstərilir ki, AllowAll qaydası martın 9-dan 17-dək olan dövrdə 220 giqabayt trafikə icazə verib ki, bu da mənim şəbəkəmdə 150 müxtəlif proqramdır. Və bu kifayət deyil. Tipik olaraq, orta ölçülü korporativ şəbəkədə 200-300 müxtəlif proqram var.
Beləliklə, bir qayda 150-yə qədər tətbiqdən keçməyə imkan verir. Adətən bu o deməkdir ki, firewall düzgün konfiqurasiya olunmayıb, çünki adətən bir qayda müxtəlif məqsədlər üçün 1-10 proqrama icazə verir. Bu proqramların nə olduğunu görək: Müqayisə düyməsini basın:
Siyasət Optimizatoru funksiyasında idarəçi üçün ən gözəl şey İstifadəyə uyğun düymədir - bir kliklə qayda yarada bilərsiniz, burada bütün 150 tətbiqi qaydaya daxil edəcəksiniz. Bunu əl ilə etmək kifayət qədər uzun vaxt aparacaq. Hətta mənim 10 cihazdan ibarət şəbəkəmdə də idarəçinin üzərində işləməsi üçün tapşırıqların sayı çox böyükdür.
Evdə işləyən, gigabayt trafik köçürən 150 müxtəlif tətbiqim var! Bəs sizdə nə qədər var?
Bəs 100 cihaz və ya 1000 və ya 10000 şəbəkədə nə baş verir? Mən 8000 qayda ilə firewall görmüşəm və çox şadam ki, indi administratorların belə rahat avtomatlaşdırma vasitələri var.
NGFW-də L7 proqram analiz modulunun gördükləri və göstərdiyi bəzi proqramlar şəbəkədə sizə lazım olmayacaq, ona görə də onları sadəcə icazə verilən qaydalar siyahısından çıxarın və ya Clone düyməsini (əsas interfeysdə) istifadə edərək qaydaları klonlayın və onlara bir tətbiq qaydasında icazə verin və siz digər proqramları bloklayacaqsınız, çünki onlar sizin şəbəkənizdə mütləq lazım deyil. Bu cür proqramlara tez-tez bittorent, steam, ultrasurf, tor, tcp-over-dns kimi gizli tunellər və başqaları daxildir.
Yaxşı, gəlin başqa bir qaydaya klikləyək və orada nə görə biləcəyinizi görək:
Bəli, multicast üçün xarakterik olan proqramlar var. Biz onlara onlayn videoya baxmaq üçün icazə verməliyik. İstifadəyə uyğun klikləyin. Əla! Təşəkkürlər Siyasət Optimizatoru.
Maşın Öyrənməsi haqqında nə demək olar?
İndi avtomatlaşdırma haqqında danışmaq dəbdədir. Təsvir etdiyim şey çıxdı - bu, çox kömək edir. Haqqında danışmalı olduğum daha bir ehtimal var. Bu, yuxarıda qeyd olunan Expedition yardım proqramında quraşdırılmış Maşın Öyrənmə funksionallığıdır. Bu yardım proqramında köhnə təhlükəsizlik duvarınızdan qaydaları başqa bir istehsalçıdan ötürmək mümkündür. Mövcud Palo Alto Networks trafik qeydlərini təhlil etmək və hansı qaydaların yazılmasını təklif etmək imkanı da var. Bu, Policy Optimizer-in funksionallığına bənzəyir, lakin Ekspedisiyada o, daha da genişləndirilib və sizə hazır qaydaların siyahısı təklif olunur - sadəcə onları təsdiqləməlisiniz.
Müraciət ünvanına göndərilə bilər [e-poçt qorunur] və sorğuda yazın: "Mən Miqrasiya Prosesi üçün UTD etmək istəyirəm."
Əslində, Birləşdirilmiş Test Sürücüsü (UTD) adlı laboratoriya işinin bir neçə variantı var və hamısı
Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər.
Firewall siyasətlərinizi optimallaşdırmaq üçün kimsənin sizə kömək etməsini istərdinizmi?
-
Bəli
-
Heç bir
-
Hamısını özüm edəcəm
Hələ heç kim səs verməyib. Bitərəf qalan yoxdur.
Mənbə: www.habr.com