Nola ebaluatu NGFW sintonizazioaren eraginkortasuna
Zeregin ohikoena zure suebakia nola ondo konfiguratuta dagoen egiaztatzea da. Horretarako, doako utilitateak eta zerbitzuak daude NGFWrekin jorratzen duten enpresek.
Adibidez, behean ikus dezakezu Palo Alto Networks-ek zuzenean egiteko gaitasuna duela exekutatu suebakiaren estatistiken analisia - SLR txostena edo praktika onenen analisia betetzea - ββBPA txostena. Doako lineako utilitateak dira, ezer instalatu gabe erabil ditzakezunak.
CONTENTS
Espedizioa (Migrazio tresna)
Zure ezarpenak egiaztatzeko aukera zailagoa da doako utilitate bat deskargatzea (Migrazio tresna ohia). VMwarerako Tresna Birtual gisa deskargatzen da, ez da ezarpenik behar berarekin - irudia deskargatu eta VMware hipervisorearen azpian zabaldu, exekutatu eta web interfazera joan behar duzu. Erabilgarritasun honek istorio bereizi bat behar du, ikastaroak 5 egun behar ditu soilik, funtzio asko daude orain bertan, besteak beste, Machine Learning eta hainbat politikaren, NAT eta Suebaki fabrikatzaileentzako hainbat konfigurazioen migrazioa. Ikaskuntza automatikoari buruz, gehiago idatziko dut geroago testuan.
Politika-optimizatzailea
Eta aukerarik erosoena (IMHO), gaur zehatzago hitz egingo dudana, Palo Alto Networks interfazean bertan integratutako politika-optimizatzailea da. Hori frogatzeko, nire etxean suebaki bat instalatu nuen eta arau sinple bat idatzi nuen: edozeinei baimendu. Printzipioz, batzuetan horrelako arauak ikusten ditut sare korporatiboetan ere. Jakina, NGFW segurtasun-profil guztiak gaitu ditut, pantaila-argazkian ikus dezakezun bezala:
Beheko pantaila-argazkiak nire etxeko konfiguratu gabeko suebakiaren adibide bat erakusten du, non konexio ia guztiak azken arauan sartzen diren: AllowAll, Hit Count zutabeko estatistiketan ikus daitekeen bezala.
Zero Konfiantza
Segurtasunaren ikuspegi bat deitzen da . Horrek zer esan nahi du: sareko pertsonei behar dituzten konexioak baimendu behar dizkiegu eta gainerako guztia debekatu. Hau da, arau argiak gehitu behar ditugu aplikazioak, erabiltzaileak, URL kategoriak, fitxategi motak; gaitu IPS eta birusen aurkako sinadura guztiak, gaitu sandbox, DNS babesa, erabili IoC eskuragarri dauden Threat Intelligence datu-baseetatik. Oro har, zeregin dezente daude suebaki bat konfiguratzean.
Bide batez, Palo Alto Networks NGFW-rako beharrezko ezarpenen gutxieneko multzoa SANS dokumentuetako batean deskribatzen da: berarekin hastea gomendatzen dut. Eta, noski, fabrikatzailearen suebaki bat konfiguratzeko praktika onen multzo bat dago: .
Beraz, suebaki bat izan nuen etxean astebetez. Ikus dezagun zer trafiko dagoen nire sarean:
Saio kopuruaren arabera ordenatuta badago, gehienak bittorentek sortuak dira, gero SSL dator eta gero QUIC. Hauek sarrerako zein irteerako trafikoaren estatistikak dira: nire bideratzailearen kanpoko eskaneatu asko daude. Nire sarean 150 aplikazio ezberdin daude.
Beraz, arau batek saltatu zuen guztia. Ikus dezagun zer dioen Politika Optimizatzaileak honi buruz. Goiko segurtasun-arauak dituen interfazearen pantaila-argazkia ikusi baduzu, beheko ezkerreko aldean leiho txiki bat ikusi duzu, eta horrek optimizatu daitezkeen arauak daudela adierazten dit. Egin klik bertan.
Politika-optimizatzaileak erakusten duena:
- Zein politika ez ziren batere erabili, 30 egun, 90 egun. Horrek guztiak kentzeko erabakia hartzen laguntzen du.
- Politikan zein aplikazio zehaztu ziren, baina ez zen halako aplikaziorik aurkitu trafikoan. Horrek baimendu arauetan beharrezkoak ez diren aplikazioak kentzeko aukera ematen du.
- Zein politikak onartzen zuen guztia jarraian, baina benetan Zero Trust metodologiaren arabera esplizituki adieraztea atsegina litzatekeen aplikazioak zeuden.
Egin klik Ez erabili.
Nola funtzionatzen duen erakusteko, arau batzuk gehitu ditut eta orain arte ez dute pakete bakar bat ere galdu. Hona hemen haien zerrenda:
Beharbada, denboraren poderioz, trafikoa hara pasatuko da eta gero zerrenda honetatik desagertuko dira. Eta 90 egun zerrenda honetan badaude, orduan arau hauek kentzea erabaki dezakezu. Azken finean, arau bakoitzak aukera bat ematen dio hacker bati.
Suebakiaren konfigurazioarekin benetako arazo bat dago: langile berri bat etortzen da, suebakiaren arauak aztertzen ditu, iruzkinik ez badute eta arau hau zergatik sortu den ez badaki, benetan beharrezkoa den, ezabatu al daiteke: bat-batean pertsona oporretan eta 30 egunetan trafikoa berriro joango da behar duen zerbitzutik. Eta funtzio honek erabaki bat hartzen laguntzen dio - inork ez du erabiltzen - ezabatu!
Egin klik Erabili gabeko aplikazioan.
Optimizatzailean erabili gabeko aplikazioa klikatzen dugu eta leiho nagusian informazio interesgarria irekitzen dela ikusten dugu.
Ikusten dugu hiru arau daudela, non onartutako eskaera kopurua eta arau hori benetan gainditu duten aplikazio kopurua desberdinak diren.
Egin klik eta aplikazio hauen zerrenda ikusi eta zerrenda hauek alderatu ditzakegu.
Adibidez, egin klik Konparatu botoian Gehieneko araurako.
Hemen ikus dezakezu facebook, instagram, telegram, vkontakte aplikazioak onartzen zirela. Baina, egia esan, trafikoa azpiaplikazioen zati bat baino ez zen igaro. Hemen ulertu behar duzu facebook aplikazioak hainbat azpiaplikazio dituela.
NGFW aplikazioen zerrenda osoa atarian ikus daiteke eta suebakiaren interfazean bertan, Objektuak->Aplikazioak atalean eta bilaketan, idatzi aplikazioaren izena: facebook, emaitza hau lortuko duzu:
Beraz, NGFW-k azpiaplikazio horietako batzuk ikusi zituen, eta beste batzuk ez. Izan ere, bereizita desgaitu eta gaitu ditzakezu facebook azpifuntzio desberdinak. Adibidez, baimendu mezuak ikusteko, baina debekatu txata edo fitxategiak transferitzea. Horren arabera, Policy Optimizer-ek honetaz hitz egiten du eta erabaki bat har dezakezu: ez baimendu Facebook aplikazio guztiak, nagusienak baizik.
Beraz, konturatu ginen zerrendak desberdinak direla. Arauek sarean ibiltzen diren aplikazioak soilik onartzen dituztela ziurtatu dezakezu. Horretarako, egin klik MatchUsage botoian. Honela ateratzen da:
Eta beharrezkotzat jotzen dituzun aplikazioak ere gehi ditzakezu: leihoaren ezkerreko Gehitu botoia:
Eta gero arau hau aplikatu eta probatu daiteke. Zorionak!
Sakatu Ez dago zehaztutako aplikaziorik.
Kasu honetan, segurtasun leiho garrantzitsu bat irekiko da.
L7 mailako aplikazioa zure sarean esplizituki zehazten ez den arau asko daude ziurrenik. Eta nire sarean halako arau bat dago: gogorarazten dizut hasierako konfigurazioan egin nuela, zehazki Politika-optimizatzaileak nola funtzionatzen duen erakusteko.
Irudiak erakusten du AllowAll arauak 9 gigabyte trafiko galdu zituela martxoaren 17tik martxoaren 220ra bitartean, hau da, nire sareko 150 aplikazio ezberdin guztira. Eta hau oraindik ez da nahikoa. Normalean, sare korporatibo ertain batek 200-300 aplikazio ezberdin ditu.
Beraz, arau batek 150 aplikazio falta ditu. Horrek esan nahi du normalean suebakia gaizki konfiguratuta dagoela, normalean helburu ezberdinetarako 1-10 aplikazio saltatzen direlako arau batean. Ikus dezagun zer diren aplikazio hauek: egin klik Konparatu botoian:
Politika-optimizatzailearen funtzioko administratzailearentzat gauzarik zoragarriena Bat-etortzearen erabilera botoia da - klik bakarrarekin arau bat sor dezakezu, non 150 aplikazio guztiak arauan sartuko dituzun. Eskuz egiteak denbora gehiegi beharko luke. Administratzailearen zereginen kopurua, nahiz eta nire 10 gailuko sarean, izugarria da.
Etxean 150 aplikazio ezberdin exekutatzen ditut, gigabyte trafikoa transmititzen! Eta zenbat daukazu?
Baina zer gertatzen da 100 gailu edo 1000 edo 10000 sare batean? 8000 arau dituzten suebakiak ikusi ditut eta oso pozik nago administratzaileek orain automatizazio tresna hain erosoak dituztelako.
NGFW-ko L7 aplikazioen analisi-moduluak sarean ikusi eta erakutsitako aplikazioetako batzuk ez dituzu beharko, beraz, baimendutako arauaren zerrendatik kendu besterik ez duzu edo arauak Klonatu botoiarekin (interfaze nagusian) klonatu. eta baimendu aplikazio-arau batean, eta blokeatu beste aplikazio batzuk zure sarean beharrezkoak ez balira bezala. Aplikazio horiek sarritan bittorent, lurrun, ultrasurf, tor, tcp-over-dns bezalako tunel ezkutuak eta beste bihurtzen dira.
Beno, egin klik beste arau batean - bertan ikus dezakezuna:
Bai, badaude multicast-erako berariazko aplikazioak. Sarean bideoak ikusteko baimena eman behar diegu. Sakatu Bat-etortzearen erabilera. Bikaina! Eskerrik asko Policy Optimizer.
Zer gertatzen da Machine Learning?
Orain modan dago automatizazioaz hitz egitea. Deskribatu dudana atera da, asko laguntzen du. Bada aipatu behar dudan beste aukera bat. Hau da goian aipatutako Expedition utilitatean integratutako Machine Learning funtzionaltasuna. Utilitate honetan, posible da zure suebaki zaharreko arauak beste fabrikatzaile batetik transferitzea. Eta existitzen diren Palo Alto Networks trafiko-erregistroak aztertzeko eta zein arau idatzi iradokitzeko aukera ere badago. Hau Policy Optimizer funtzionalitatearen antzekoa da, baina Expedition-en are aurreratuagoa da eta prest dauden arauen zerrenda eskaintzen dizute; haiek onartzea besterik ez duzu behar.
Funtzionalitate hau probatzeko, laborategiko lan bat dago - proba-gida deitzen diogu. Proba hau Palo Alto Networks Moskuko bulegoko langileek zure eskariz abiaraziko dituzten suebaki birtualetara joanda egin daiteke.
Eskaera helbidera bidali daiteke [posta elektroniko bidez babestua] eta eskaeran idatzi: "Migrazio Prozesurako UTD bat egin nahi dut".
Izan ere, Unified Test Drive (UTD) izeneko laborategietarako hainbat aukera daude eta guztiak eskatu ondoren.
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Norbaitek zure suebaki-politikak optimizatzen lagun diezazula nahi al duzu?
-
Bai
-
No
-
Nik neuk egingo dut dena
Oraindik inork ez du bozkatu. Ez dago abstentziorik.
Iturria: www.habr.com