Kuinka arvioida NGFW-asennuksen tehokkuutta
Yleisin tehtävä on tarkistaa, kuinka tehokkaasti palomuurisi on määritetty. Tätä varten on olemassa ilmaisia apuohjelmia ja palveluita NGFW:n kanssa tekemisissä olevilta yrityksiltä.
Voit esimerkiksi nähdä alta, että Palo Alto Networksillä on mahdollisuus suoraan suorita palomuurin tilastojen analyysi - SLR-raportti tai analyysi parhaiden käytäntöjen noudattamisesta - BPA-raportti. Nämä ovat ilmaisia online-apuohjelmia, joita voit käyttää asentamatta mitään.
SISÄLTÖ
Expedition (siirtotyökalu)
Monimutkaisempi vaihtoehto asetusten tarkistamiseen on ladata ilmainen apuohjelma (aiemmin Migration Tool). Se ladataan Virtual Appliancena VMwarelle, sen kanssa ei vaadita asetuksia - sinun on ladattava kuva ja otettava se käyttöön VMware-hypervisorissa, käynnistettävä se ja siirryttävä verkkokäyttöliittymään. Tämä apuohjelma vaatii erillisen tarinan, vain sen kurssi kestää 5 päivää, nyt on niin paljon toimintoja, mukaan lukien koneoppiminen ja erilaisten käytäntöjen, NAT- ja objektien siirto eri palomuurin valmistajille. Kirjoitan koneoppimisesta lisää alla tekstissä.
Käytännön optimoija
Ja kätevin vaihtoehto (IMHO), josta kerron sinulle tänään tarkemmin, on itse Palo Alto Networksin käyttöliittymään sisäänrakennettu politiikan optimointi. Sen osoittamiseksi asensin kotiini palomuurin ja kirjoitin yksinkertaisen säännön: salli mikä tahansa mihin tahansa. Periaatteessa näen joskus tällaisia sääntöjä jopa yritysverkostoissa. Luonnollisesti otin käyttöön kaikki NGFW-suojausprofiilit, kuten näet kuvakaappauksesta:
Alla olevassa kuvakaappauksessa on esimerkki kodin määrittämättömästä palomuurista, jossa lähes kaikki yhteydet kuuluvat viimeiseen sääntöön: AllowAll, kuten Hit Count -sarakkeen tilastoista näkyy.
Luottamus nollaan
Turvallisuutta koskeva lähestymistapa on nimeltään . Mitä tämä tarkoittaa: meidän on sallittava verkossa oleville ihmisille juuri ne yhteydet, joita he tarvitsevat, ja kiellettävä kaikki muu. Eli meidän on lisättävä selkeät säännöt sovelluksille, käyttäjille, URL-luokille, tiedostotyypeille; Ota käyttöön kaikki IPS- ja virustorjunta-allekirjoitukset, ota käyttöön hiekkalaatikko, DNS-suojaus, käytä IoC:tä saatavilla olevista Threat Intelligence -tietokannoista. Yleensä palomuuria määritettäessä on kunnon määrä tehtäviä.
Muuten, Palo Alto Networks NGFW:n tarvittavien asetusten vähimmäissarja on kuvattu yhdessä SANS-asiakirjoista: – Suosittelen aloittamaan siitä. Ja tietysti valmistajan palomuurin määrittämiseen on olemassa joukko parhaita käytäntöjä: .
Joten minulla oli palomuuri kotona viikon ajan. Katsotaanpa, millaista liikennettä verkossani on:
Jos lajittelet istuntojen lukumäärän mukaan, suurin osa niistä on luotu bittorentilla, sitten tulee SSL ja sitten QUIC. Nämä ovat tilastoja sekä saapuvasta että lähtevästä liikenteestä: reitittimestäni on tehty paljon ulkoisia skannauksia. Verkossani on 150 eri sovellusta.
Joten kaikki tämä jäi yhden säännön ulkopuolelle. Katsotaan nyt, mitä Policy Optimizer sanoo tästä. Jos katsoit yllä kuvakaappausta käyttöliittymästä suojaussäännöillä, niin vasemmassa alakulmassa näit pienen ikkunan, joka vihjaa minulle, että on olemassa sääntöjä, joita voidaan optimoida. Napsautamme siellä.
Mitä Käytännön optimoija näyttää:
- Mitä käytäntöjä ei käytetty ollenkaan, 30 päivää, 90 päivää. Tämä auttaa tekemään päätöksen poistaa ne kokonaan.
- Mitä sovelluksia käytännöissä määriteltiin, mutta liikenteessä ei havaittu sellaisia sovelluksia. Tämän avulla voit poistaa tarpeettomat sovellukset sallimissäännöissä.
- Mitkä käytännöt sallivat kaiken, mutta itse asiassa oli sovelluksia, jotka olisi ollut mukava ilmaista selkeästi Zero Trust -metodologian mukaisesti.
Napsautamme kohtaa Käyttämätön.
Osoittaakseni, miten se toimii, lisäsin muutaman säännön, ja toistaiseksi he eivät ole unohtaneet yhtään pakettia tänään. Tässä on heidän luettelonsa:
Ehkä ajan myötä siellä on liikennettä ja sitten ne katoavat tästä luettelosta. Ja jos ne ovat tällä luettelolla 90 päivää, voit päättää poistaa nämä säännöt. Loppujen lopuksi jokainen sääntö tarjoaa mahdollisuuden hakkereille.
Palomuuria määritettäessä on todellinen ongelma: uusi työntekijä tulee, katsoo palomuurin sääntöjä, jos heillä ei ole kommentteja eikä hän tiedä miksi tämä sääntö on luotu, onko sitä todella tarpeen, voiko se poistetaan: yhtäkkiä henkilö on lomalla ja sen jälkeen 30 päivän sisällä liikenne virtaa jälleen hänen tarvitsemasta palvelusta. Ja juuri tämä toiminto auttaa häntä tekemään päätöksen - kukaan ei käytä sitä - poista se!
Napsauta Käyttämätön sovellus.
Napsautamme optimoijassa Unused App ja näemme mielenkiintoisen tiedon avautuvan pääikkunaan.
Näemme, että on olemassa kolme sääntöä, joissa sallittujen sovellusten määrä ja tämän säännön tosiasiallisesti läpäisseiden sovellusten määrä on erilainen.
Voimme napsauttaa ja nähdä luettelon näistä sovelluksista ja vertailla näitä luetteloita.
Napsauta esimerkiksi Max-säännön Vertaa-painiketta.
Täällä voit nähdä, että sovellukset facebook, instagram, sähke, vkontakte olivat sallittuja. Mutta todellisuudessa liikenne meni vain joihinkin alisovelluksiin. Tässä sinun on ymmärrettävä, että facebook-sovellus sisältää useita alisovelluksia.
Koko luettelo NGFW-sovelluksista on nähtävissä portaalissa ja kirjoita itse palomuurirajapinnassa Objects->Applications-osioon ja hakuun sovelluksen nimi: facebook, saat seuraavan tuloksen:
Joten NGFW näki osan näistä alasovelluksista, mutta jotkin eivät. Itse asiassa voit erikseen kieltää ja sallia erilaisia Facebookin alitoimintoja. Salli esimerkiksi viestien katselu, mutta kiellä chat tai tiedostojen siirto. Näin ollen Policy Optimizer puhuu tästä ja voit tehdä päätöksen: älä salli kaikkia Facebook-sovelluksia, vaan vain tärkeimpiä.
Joten ymmärsimme, että luettelot ovat erilaisia. Voit varmistaa, että säännöt sallivat vain ne sovellukset, jotka todella kulkevat verkossa. Voit tehdä tämän napsauttamalla MatchUsage-painiketta. Siitä tulee näin:
Ja voit myös lisätä sovelluksia, joita pidät tarpeellisina - Lisää-painike ikkunan vasemmassa reunassa:
Ja sitten tätä sääntöä voidaan soveltaa ja testata. Onnittelut!
Napsauta Ei sovelluksia määritetty.
Tässä tapauksessa tärkeä suojausikkuna avautuu.
Verkossasi on todennäköisesti paljon sellaisia sääntöjä, joissa L7-tason sovellusta ei ole erikseen määritelty. Ja verkossani on tällainen sääntö - haluan muistuttaa, että tein sen alkuasennuksen aikana, erityisesti näyttääkseni, kuinka Policy Optimizer toimii.
Kuvasta näkyy, että AllowAll-sääntö salli 9 gigatavua liikennettä 17.-220. välisenä aikana, mikä on 150 eri sovellusta verkossani. Ja se ei riitä. Tyypillisesti keskikokoisessa yritysverkossa on 200-300 eri sovellusta.
Joten yksi sääntö päästää läpi jopa 150 sovellusta. Tyypillisesti tämä tarkoittaa, että palomuuria ei ole määritetty oikein, koska yleensä yksi sääntö sallii 1-10 sovellusta eri tarkoituksiin. Katsotaanpa, mitä nämä sovellukset ovat: napsauta Vertaa-painiketta:
Kaikkein ihmeellisin asia järjestelmänvalvojalle Policy Optimizer -toiminnossa on Match Usage -painike - voit luoda yhdellä napsautuksella säännön, johon syötät kaikki 150 sovellusta sääntöön. Tämän tekeminen manuaalisesti kestäisi melko kauan. Järjestelmänvalvojan tehtävien määrä on valtava, jopa 10 laitteen verkossani.
Minulla on kotona käynnissä 150 erilaista sovellusta, jotka siirtävät gigatavuja liikennettä! Ja paljonko sinulla on?
Mutta mitä tapahtuu 100 tai 1000 tai 10000 laitteen verkossa? Olen nähnyt palomuurit, joissa on 8000 XNUMX sääntöä, ja olen erittäin iloinen, että järjestelmänvalvojilla on nyt niin käteviä automaatiotyökaluja.
Joitakin sovelluksia, joita NGFW:n L7-sovellusanalyysimoduuli näki ja osoitti, ettet tarvitse verkossa, joten poistat ne vain sallivien sääntöjen luettelosta tai kloonaat säännöt Kloonaa-painikkeella (pääliittymässä) ja salli ne yhdessä sovellussäännössä, ja kohdassa Sä estät muut sovellukset, koska niitä ei todellakaan tarvita verkossasi. Tällaisia sovelluksia ovat usein bittorent, steam, ultrasurf, tor, piilotetut tunnelit, kuten tcp-over-dns ja muut.
No, klikataan toista sääntöä ja katsotaan, mitä näet siellä:
Kyllä, on olemassa sovelluksia, jotka ovat tyypillisiä monilähetyksille. Meidän on annettava heille mahdollisuus online-videoiden katseluun. Napsauta Vastaa käyttö. Loistava! Kiitos Policy Optimizer.
Entä koneoppiminen?
Nyt on muotia puhua automaatiosta. Se mitä kuvailin, tuli ulos - se auttaa paljon. On vielä yksi mahdollisuus, josta minun pitäisi puhua. Tämä on Expedition-apuohjelmaan sisäänrakennettu koneoppimistoiminto, joka mainittiin jo yllä. Tässä apuohjelmassa on mahdollista siirtää sääntöjä vanhasta palomuuristasi toiselta valmistajalta. Siellä on myös mahdollisuus analysoida olemassa olevia Palo Alto Networksin liikennelokeja ja ehdottaa, mitä sääntöjä kirjoittaa. Tämä on samanlainen kuin Policy Optimizerin toiminnallisuus, mutta Expeditionissa se on entistä laajempi ja sinulle tarjotaan luettelo valmiista säännöistä - sinun tarvitsee vain hyväksyä ne.
Tämän toiminnallisuuden testaamiseksi tehdään laboratoriotyö - kutsumme sitä koeajoksi. Tämä testi voidaan tehdä kirjautumalla virtuaalisiin palomuuriin, jotka Palo Alto Networksin Moskovan toimiston työntekijät käynnistävät pyynnöstäsi.
Pyynnön voi lähettää osoitteeseen [sähköposti suojattu] ja kirjoita pyyntöön: "Haluan tehdä UTD:n siirtoprosessille."
Itse asiassa Unified Test Drive (UTD) -nimisellä laboratoriotyöllä on useita vaihtoehtoja ja ne kaikki pyynnöstä.
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. , ole kiltti.
Haluatko jonkun auttavan sinua optimoimaan palomuurikäytäntösi?
-
Kyllä
-
Ei
-
Teen kaiken itse
Kukaan ei ole vielä äänestänyt. Ei pidättyneitä äänestämästä.
Lähde: will.com