Kiel Taksi la Efikecon de NGFW-Agordo
La plej ofta tasko estas kontroli kiom efike via fajroŝirmilo estas agordita. Por fari tion, estas senpagaj utilecoj kaj servoj de kompanioj, kiuj traktas NGFW.
Ekzemple, vi povas vidi sube, ke Palo Alto Networks havas la kapablon rekte de rulu analizon de fajroŝirmila statistiko - SLR-raporto aŭ analizo de konformeco al plej bonaj praktikoj - BPA-raporto. Ĉi tiuj estas senpagaj interretaj iloj, kiujn vi povas uzi sen instali ion ajn.
Enhavo
Ekspedicio (Migrada Ilo)
Pli kompleksa opcio por kontroli viajn agordojn estas elŝuti senpagan ilon (antaŭe Migration Tool). Ĝi estas elŝutita kiel Virtuala Aparato por VMware, neniuj agordoj estas bezonataj kun ĝi - vi devas elŝuti la bildon kaj deploji ĝin sub la hiperviziero de VMware, lanĉi ĝin kaj iri al la retinterfaco. Ĉi tiu utileco postulas apartan rakonton, nur la kurso pri ĝi daŭras 5 tagojn, ekzistas tiom da funkcioj nun, inkluzive de Maŝina Lernado kaj migrado de diversaj agordoj de politikoj, NAT kaj objektoj por malsamaj fabrikantoj de Fajroŝirmilo. Mi skribos pli pri Maŝina Lernado sube en la teksto.
Politika Optimigilo
Kaj la plej oportuna opcio (IMHO), pri kiu mi rakontos al vi pli detale hodiaŭ, estas la politika optimigilo enkonstruita en la interfaco de Palo Alto Networks mem. Por pruvi ĝin, mi instalis fajroŝirmilon hejme kaj skribis simplan regulon: permesi ajnan al iu ajn. Principe, mi foje vidas tiajn regulojn eĉ en kompaniaj retoj. Kompreneble, mi ebligis ĉiujn sekurecajn profilojn de NGFW, kiel vi povas vidi en la ekrankopio:
La ekrankopio malsupre montras ekzemplon de mia hejma neagordita fajroŝirmilo, kie preskaŭ ĉiuj konektoj falas en la lastan regulon: AllowAll, kiel videblas de la statistiko en la Hit Count-kolumno.
Nula Fido
Estas aliro al sekureco nomita . Kion tio signifas: ni devas permesi homojn ene de la reto ĝuste tiujn ligojn, kiujn ili bezonas kaj nei ĉion alian. Tio estas, ni devas aldoni klarajn regulojn por aplikoj, uzantoj, URL-kategorioj, dosiertipoj; ebligu ĉiujn IPS kaj antivirusajn subskribojn, ebligu sandboxing, DNS-protekton, uzu IoC el la disponeblaj datumbazoj de Threat Intelligence. Ĝenerale, estas deca nombro da taskoj dum agordado de fajroŝirmilo.
Cetere, la minimuma aro de necesaj agordoj por Palo Alto Networks NGFW estas priskribita en unu el la SANS-dokumentoj: - Mi rekomendas komenci per ĝi. Kaj kompreneble ekzistas aro da plej bonaj praktikoj por starigi fajroŝirmilon de la fabrikanto: .
Do, mi havis fajroŝirmilon hejme dum semajno. Ni vidu kia trafiko estas en mia reto:
Se vi ordigas laŭ la nombro da sesioj, tiam la plej multaj el ili estas kreitaj de bittorent, tiam venas SSL, tiam QUIC. Ĉi tiuj estas statistikoj por kaj envenanta kaj elira trafiko: ekzistas multaj eksteraj skanadoj de mia enkursigilo. Estas 150 malsamaj aplikoj en mia reto.
Do, ĉio ĉi estis maltrafita de unu regulo. Ni vidu nun, kion diras Policy Optimizer pri tio. Se vi rigardis supre la ekrankopion de la interfaco kun sekurecaj reguloj, tiam maldekstre malsupre vi vidis malgrandan fenestron, kiu sugestas al mi, ke ekzistas reguloj optimumeblaj. Ni klaku tie.
Kion Politika Optimigilo montras:
- Kiuj politikoj tute ne estis uzataj, 30 tagoj, 90 tagoj. Ĉi tio helpas fari la decidon forigi ilin tute.
- Kiaj aplikoj estis specifitaj en la politikoj, sed tiaj aplikoj ne estis detektitaj en la trafiko. Ĉi tio ebligas al vi forigi nenecesajn aplikojn en permesado de reguloj.
- Kiaj politikoj permesis ĉion, sed efektive estis aplikaĵoj, kiujn estus bone eksplicite indiki laŭ la metodologio Zero Trust.
Ni klaku sur Neuzata.
Por montri kiel ĝi funkcias, mi aldonis kelkajn regulojn kaj ĝis nun ili ne maltrafis hodiaŭ eĉ unu paketon. Jen ilia listo:
Eble kun la tempo estos trafiko tie kaj tiam ili malaperos el ĉi tiu listo. Kaj se ili estas en ĉi tiu listo dum 90 tagoj, tiam vi povas decidi forigi ĉi tiujn regulojn. Post ĉio, ĉiu regulo donas ŝancon por retpirato.
Estas vera problemo dum agordo de fajroŝirmilo: venas nova dungito, rigardas la regulojn de fajroŝirmilo, se ili ne havas komentojn kaj li ne scias kial ĉi tiu regulo estis kreita, ĉu ĝi vere bezonas, ĉu ĝi povas. esti forigita: subite la persono ferias kaj post Ene de 30 tagoj, trafiko denove fluos de la servo, kiun li bezonas. Kaj ĝuste ĉi tiu funkcio helpas lin fari decidon - neniu uzas ĝin - forigu ĝin!
Alklaku Neuzatan Apon.
Ni klakas sur Neuzata Apo en la optimumiganto kaj vidas, ke interesaj informoj malfermiĝas en la ĉefa fenestro.
Ni vidas, ke ekzistas tri reguloj, kie la nombro da permesitaj aplikoj kaj la nombro da aplikoj, kiuj efektive trapasis ĉi tiun regulon, estas malsamaj.
Ni povas klaki kaj vidi liston de ĉi tiuj aplikoj kaj kompari ĉi tiujn listojn.
Ekzemple, alklaku la butonon Komparu por la Maksimuma regulo.
Ĉi tie vi povas vidi, ke la aplikaĵoj facebook, instagram, telegram, vkontakte estis permesitaj. Sed fakte, trafiko iris nur al kelkaj el la subaplikoj. Ĉi tie vi devas kompreni, ke la fejsbuka aplikaĵo enhavas plurajn subaplikojn.
La tuta listo de NGFW-aplikoj videblas sur la portalo kaj en la fajroŝirmila interfaco mem, en la sekcio Objektoj->Aplikoj kaj en la serĉo, tajpu la nomon de la aplikaĵo: facebook, vi ricevos la sekvan rezulton:
Do, iuj el ĉi tiuj subaplikoj estis viditaj de NGFW, sed iuj ne estis. Fakte, vi povas aparte malpermesi kaj permesi malsamajn subfunkciojn de Facebook. Ekzemple, permesu vidi mesaĝojn, sed malpermesu babilejon aŭ dosiertranslokigon. Sekve, Policy Optimizer parolas pri tio kaj vi povas fari decidon: ne permesi ĉiujn Facebook-aplikaĵojn, sed nur la ĉefajn.
Do, ni rimarkis, ke la listoj estas malsamaj. Vi povas certigi, ke la reguloj permesas nur tiujn aplikaĵojn, kiuj efektive vojaĝas en la reto. Por fari tion, vi alklaku la butonon MatchUsage. Ĝi rezultas jene:
Kaj vi ankaŭ povas aldoni aplikojn, kiujn vi opinias necesaj - la butonon Aldoni maldekstre de la fenestro:
Kaj tiam ĉi tiu regulo povas esti aplikita kaj provita. Gratulon!
Alklaku Neniuj Aplikoj Specifitaj.
En ĉi tiu kazo, grava sekureca fenestro malfermiĝos.
Estas plej verŝajne multaj tiaj reguloj en via reto kie la L7-nivela aplikaĵo ne estas eksplicite specifita. Kaj en mia reto ekzistas tia regulo - mi memorigu vin, ke mi faris ĝin dum la komenca aranĝo, specife por montri kiel funkcias Policy Optimizer.
La bildo montras, ke la regulo AllowAll permesis 9 gigabajtojn da trafiko en la periodo de la 17-a ĝis la 220-a de marto, tio estas 150 malsamaj aplikoj en mia reto. Kaj tio ne sufiĉas. Tipe, averaĝa kompania reto havas 200-300 malsamajn aplikojn.
Do, unu regulo tralasas ĝis 150 aplikojn. Tipe tio signifas, ke la fajroŝirmilo ne estas agordita ĝuste, ĉar kutime unu regulo permesas 1-10 aplikojn por malsamaj celoj. Ni vidu, kio estas ĉi tiuj aplikaĵoj: alklaku la butonon Komparu:
La plej mirinda afero por administranto en la funkcio de Policy Optimizer estas la butono Match Usage - vi povas krei regulon per unu klako, kie vi enigos ĉiujn 150 aplikojn en la regulon. Fari ĉi tion permane prenus sufiĉe longan tempon. La nombro da taskoj por ke administranto laboras, eĉ ĉe mia reto de 10 aparatoj, estas grandega.
Mi havas 150 malsamajn aplikojn kurantajn hejme, transdonante gigabajtojn da trafiko! Kaj kiom vi havas?
Sed kio okazas en reto de 100 aparatoj aŭ 1000 aŭ 10000? Mi vidis fajroŝirmilojn kun 8000 XNUMX reguloj kaj mi tre ĝojas, ke administrantoj nun havas tiajn oportunajn aŭtomatigajn ilojn.
Iuj el la aplikaĵoj, kiujn la analizo-modulo de aplikaĵo L7 en NGFW vidis kaj montris, ke vi ne bezonos en la reto, do vi simple forigas ilin el la listo de permesaj reguloj, aŭ klonu la regulojn per la Klona butono (en la ĉefa interfaco) kaj permesu ilin en unu aplika regulo, kaj en Vi blokos aliajn aplikaĵojn ĉar ili certe ne estas bezonataj en via reto. Tiaj aplikoj ofte inkluzivas bittorent, steam, ultrasurf, tor, kaŝitajn tunelojn kiel tcp-over-dns kaj aliajn.
Nu, ni alklaku alian regulon kaj vidu, kion vi povas vidi tie:
Jes, ekzistas tipaj aplikoj por multielsendo. Ni devas permesi, ke ili funkciu interreta videospektado. Klaku Kongrui Uzadon. Bonege! Dankon Policy Optimizer.
Kio pri Maŝina Lernado?
Nun estas modo paroli pri aŭtomatigo. Tio, kion mi priskribis, aperis - ĝi multe helpas. Estas unu plia ebleco pri kiu mi devus paroli. Ĉi tio estas la Maŝina Lernado-funkcio enkonstruita en la Expedition-utilo, kiu jam estis menciita supre. En ĉi tiu utileco, eblas translokigi regulojn de via malnova fajroŝirmilo de alia fabrikanto. Ankaŭ ekzistas la kapablo analizi ekzistantajn trafikajn registrojn de Palo Alto Networks kaj sugesti kiajn regulojn skribi. Ĉi tio similas al la funkcieco de Policy Optimizer, sed en Ekspedicio ĝi estas eĉ pli vastigita kaj oni proponas al vi liston de pretaj reguloj - vi nur bezonas aprobi ilin.
Por testi ĉi tiun funkcion, estas laboratorio laboro - ni nomas ĝin provveturo. Ĉi tiu provo povas esti farita per ensaluto en virtualajn fajroŝirmilojn, kiujn oficejaj dungitoj de Palo Alto Networks en Moskvo lanĉos laŭ via peto.
La peto povas esti sendita al [retpoŝte protektita] kaj en la peto skribu: "Mi volas fari UTD por la Migra Procezo."
Fakte, laboratoria laboro nomata Unified Test Drive (UTD) havas plurajn eblojn kaj ĉiujn post peto.
Nur registritaj uzantoj povas partopreni la enketon. , bonvolu.
Ĉu vi ŝatus, ke iu helpu vin optimumigi viajn fajroŝirmigajn politikojn?
-
Jes
-
Neniu
-
Mi mem faros ĉion
Neniu ankoraŭ voĉdonis. Ne estas sindetenoj.
fonto: www.habr.com