NGFW орнотуунун натыйжалуулугун кантип баалоо керек
Эң кеңири таралган милдет - сиздин брандмауэриңиз канчалык эффективдүү конфигурацияланганын текшерүү. Бул үчүн, NGFW менен алектенген компаниялардын акысыз коммуналдык кызматтары жана кызматтары бар.
Мисалы, сиз Palo Alto Networks түздөн-түз мүмкүнчүлүгүнө ээ экенин төмөндө көрө аласыз брандмауэр статистикасына талдоо жүргүзүү - SLR отчету же мыкты тажрыйбага шайкештикти талдоо - BPA отчету. Бул эч нерсе орнотпостон колдоно ала турган акысыз онлайн коммуналдык программалар.
МАЗМУНУ
Экспедиция (миграция куралы)
Орнотууларыңызды текшерүүнүн татаал варианты - акысыз утилитаны жүктөп алуу (мурдагы Миграция куралы). Ал VMware үчүн Virtual Appliance катары жүктөлүп алынат, аны менен эч кандай орнотуулар талап кылынбайт - сиз сүрөттү жүктөп алып, VMware гипервизорунун астына жайгаштырышыңыз керек, аны ишке киргизип, веб-интерфейске өтүңүз. Бул утилита өзүнчө окуяны талап кылат, анын курсу 5 күндү гана талап кылат, азыр машина үйрөнүү жана ар кандай Firewall өндүрүүчүлөрү үчүн саясаттын ар кандай конфигурацияларын, NAT жана объекттерди миграциялоо сыяктуу көптөгөн функциялар бар. Мен төмөндө текстте Machine Learning жөнүндө көбүрөөк жазам.
Policy Optimizer
Ал эми мен бүгүн кененирээк айтып бере турган эң ыңгайлуу вариант (IMHO), бул Palo Alto Networks интерфейсинин өзүнө орнотулган саясат оптимизатору. Аны көрсөтүү үчүн мен үйгө брандмауэр орнотуп, жөнөкөй эрежени жаздым: каалаганына уруксат бер. Негизи, мен кээде корпоративдик тармактарда да ушундай эрежелерди көрөм. Албетте, мен скриншотто көрүп тургандай, бардык NGFW коопсуздук профилдерин иштеттим:
Төмөндөгү скриншот менин үйүмдүн конфигурацияланбаган брандмауэринин мисалын көрсөтөт, анда дээрлик бардык байланыштар акыркы эрежеге кирет: AllowAll, Hit Count тилкесиндеги статистикадан көрүнүп тургандай.
ZeroTrust
деп аталган коопсуздукка болгон мамиле бар . Бул эмнени билдирет: биз тармактын ичиндеги адамдарга так ошол байланыштарга уруксат беришибиз керек жана калганын жокко чыгарышыбыз керек. Башкача айтканда, биз тиркемелер, колдонуучулар, URL категориялары, файл түрлөрү үчүн так эрежелерди кошуу керек; бардык IPS жана антивирус колдорун иштетиңиз, кумбоксингди, DNS коргоосун иштетиңиз, жеткиликтүү Threat Intelligence маалымат базаларынан IoC колдонуңуз. Жалпысынан алганда, брандмауэрди орнотууда милдеттердин татыктуу саны бар.
Айтмакчы, Palo Alto Networks NGFW үчүн керектүү орнотуулардын минималдуу топтому SANS документтеринин биринде сүрөттөлгөн: - Мен андан баштоону сунуштайм. Жана, албетте, өндүрүүчүдөн брандмауэрди орнотуу үчүн мыкты тажрыйбалардын топтому бар: .
Ошентип, бир жума бою үйдө брандмауэр бар болчу. Менин тармагымда кандай трафик бар экенин карап көрөлү:
Эгерде сиз сеанстардын саны боюнча иреттесеңиз, анда алардын көбү bittorent тарабынан түзүлөт, андан кийин SSL, андан кийин QUIC келет. Бул кирүүчү жана чыгуучу трафиктин статистикасы: менин роутеримдин көптөгөн тышкы сканерлери бар. Менин тармагымда 150 түрдүү тиркемелер бар.
Демек, мунун баары бир эреже менен өтүп кеткен. Эми Policy Optimizer бул тууралуу эмне дейт, карап көрөлү. Эгерде сиз жогоруда коопсуздук эрежелери бар интерфейстин скриншотун карасаңыз, анда ылдыйкы сол жакта сиз оптималдаштырыла турган эрежелер бар экенин көрсөткөн кичинекей терезени көрдүңүз. Келгиле, ошол жерди басалы.
Policy Optimizer эмнени көрсөтөт:
- Кайсы саясат такыр колдонулган эмес, 30 күн, 90 күн. Бул аларды толугу менен жок кылуу чечимин кабыл алууга жардам берет.
- Саясаттарда кандай колдонмолор көрсөтүлгөн, бирок трафикте мындай тиркемелер табылган жок. Бул уруксат эрежелеринде керексиз колдонмолорду алып салууга мүмкүндүк берет.
- Кандай саясат бардыгына жол берген, бирок чындыгында Zero Trust методологиясына ылайык ачык көрсөтүү жакшы болмок тиркемелер бар болчу.
Колдонулбаган дегенди басалы.
Анын кантип иштээрин көрсөтүү үчүн мен бир нече эрежелерди коштум жана алар бүгүнкү күнгө чейин бир да пакетти өткөрүп жиберишкен жок. Бул жерде алардын тизмеси:
Балким, убакыттын өтүшү менен ал жерде жол кыймылы болот, анан алар бул тизмеден жок болот. Жана алар бул тизмеде 90 күн болсо, анда бул эрежелерди жок кылууну чечсеңиз болот. Анткени, ар бир эреже хакерге мүмкүнчүлүк берет.
Брандмауэрди конфигурациялоодо чыныгы көйгөй бар: жаңы кызматкер келип, брандмауэр эрежелерин карайт, эгерде аларда комментарий жок болсо жана ал бул эреже эмне үчүн түзүлгөнүн, ал чындап эле керекпи, мүмкүнбү, билбесе. өчүрүлөт: күтүлбөгөн жерден адам өргүүдө жана андан кийин 30 күндүн ичинде ага керектүү кызматтан трафик кайра агып кетет. Жана жөн гана бул функция ага чечим чыгарууга жардам берет - аны эч ким колдонбойт - жок кылуу!
Колдонулбаган колдонмону басыңыз.
Оптимизатордогу Колдонулбаган колдонмону чыкылдатып, негизги терезеде кызыктуу маалымат ачылганын көрөбүз.
Биз үч эреже бар экенин көрүп жатабыз, анда уруксат берилген өтүнмөлөрдүн саны жана бул эрежеден өткөн өтүнмөлөрдүн саны ар башка.
Биз чыкылдатып, бул колдонмолордун тизмесин көрө алабыз жана бул тизмелерди салыштыра алабыз.
Мисалы, Макс эрежеси үчүн Салыштыруу баскычын чыкылдатыңыз.
Бул жерден facebook, instagram, telegram, vkontakte тиркемелерине уруксат берилгенин көрүүгө болот. Бирок, иш жүзүндө, трафик кээ бир суб-тиркемелерге гана кетти. Бул жерде сиз facebook тиркемесинде бир нече кошумча тиркемелер бар экенин түшүнүшүңүз керек.
NGFW колдонмолорунун толук тизмесин порталдан көрүүгө болот жана брандмауэр интерфейсинин өзүндө, Объекттер-> Тиркемелер бөлүмүндө жана издөөдө, колдонмонун атын териңиз: facebook, сиз төмөнкү натыйжаны аласыз:
Ошентип, бул суб-тиркемелердин айрымдары NGFW тарабынан көрүлгөн, бирок кээ бирлери болгон эмес. Чынында, сиз Facebookтун ар кандай суб-функцияларына өзүнчө тыюу салып, уруксат бере аласыз. Мисалы, билдирүүлөрдү көрүүгө уруксат бериңиз, бирок чатты же файлды өткөрүп берүүгө тыюу салыңыз. Демек, Policy Optimizer бул тууралуу айтат жана сиз чечим кабыл ала аласыз: бардык Facebook тиркемелерине уруксат бербейт, бирок негизгилерине гана.
Ошентип, тизмелер ар кандай экенин түшүндүк. Сиз эрежелер чындыгында тармакта жүргөн тиркемелерге гана уруксат берерин текшерсеңиз болот. Бул үчүн, сиз MatchUsage баскычын басыңыз. Бул мындай болот:
Ошондой эле сиз керектүү деп эсептеген тиркемелерди кошо аласыз - терезенин сол жагындагы Кошуу баскычы:
Анан бул эрежени колдонууга жана сыноого болот. Куттуктайбыз!
Көрсөтүлгөн колдонмолор жок дегенди басыңыз.
Бул учурда, маанилүү коопсуздук терезеси ачылат.
Сиздин тармагыңызда L7 деңгээлиндеги тиркеме ачык көрсөтүлбөгөн көптөгөн эрежелер бар. Ал эми менин тармагымда мындай эреже бар - мен муну биринчи орнотуу учурунда жасаганымды эскертип коёюн, саясатты оптималдаштыруучу кантип иштээрин көрсөтүү үчүн.
Сүрөттө AllowAll эрежеси 9-марттан 17-мартка чейинки мезгилде 220 гигабайт трафикке жол бергенин көрсөтүп турат, бул менин тармагымдагы 150 түрдүү тиркеме. Жана бул жетишсиз. Адатта, орточо өлчөмдөгү корпоративдик тармакта 200-300 түрдүү тиркемелер бар.
Ошентип, бир эреже 150гө чейин арыздарды өткөрүүгө мүмкүндүк берет. Адатта, бул брандмауэр туура конфигурацияланбаганын билдирет, анткени адатта бир эреже ар кандай максаттар үчүн 1-10 тиркемеге уруксат берет. Келгиле, бул колдонмолор эмне экенин карап көрөлү: Салыштыруу баскычын чыкылдатыңыз:
Саясатты оптималдаштыруучу функциядагы администратор үчүн эң сонун нерсе - дал келүү баскычы - сиз бир чыкылдатуу менен эреже түзө аласыз, анда эрежеге бардык 150 тиркемени киргизесиз. Муну кол менен жасоо бир топ убакытты талап кылат. Менин 10 аппараттан турган тармагымда да администратордун иштөөсү үчүн тапшырмалардын саны абдан чоң.
Менде 150 түрдүү тиркемелер үйдө иштеп, гигабайт трафикти өткөрөт! А сизде канча бар?
Бирок 100 түзмөк же 1000 же 10000 тармакта эмне болот? Мен 8000 эрежеси бар брандмауэрлерди көрдүм жана азыр администраторлордо автоматташтыруу үчүн ушундай ыңгайлуу куралдар бар экенине абдан кубанычтамын.
NGFWдеги L7 тиркеме талдоо модулу көргөн жана көрсөткөн кээ бир тиркемелер тармакта кереги жок, ошондуктан сиз аларды жөн гана уруксат берүүчү эрежелердин тизмесинен алып салыңыз же Clone баскычын (негизги интерфейсте) жана эрежелерди клондоңуз. аларга бир колдонмо эрежесинде уруксат бериңиз жана башка тиркемелерди бөгөттөйсүз, анткени алар сиздин тармагыңызда сөзсүз керек эмес. Мындай тиркемелерге көбүнчө bittorent, steam, ultrasurf, tor, tcp-over-dns сыяктуу жашыруун туннелдер жана башкалар кирет.
Келгиле, башка эрежени чыкылдатып, ал жерден эмнени көрүүгө болорун карап көрөлү:
Ооба, мультикаст үчүн мүнөздүү тиркемелер бар. Биз аларга онлайн видео көрүүгө уруксат беришибиз керек. Колдонууну дал келүү дегенди басыңыз. Абдан жакшы! Рахмат саясат оптималдаштыруучу.
Machine Learning жөнүндө эмне айтууга болот?
Азыр автоматташтыруу женунде айтуу модага айланды. Мен сүрөттөгөн нерсе чыкты - бул абдан жардам берет. Мен дагы бир мүмкүнчүлүк бар. Бул жогоруда айтылган Expedition утилитасына орнотулган Machine Learning функциясы. Бул утилитада эски брандмауэриңизден эрежелерди башка өндүрүүчүдөн өткөрүп берүүгө болот. Учурдагы Palo Alto Networks трафик журналдарын талдоо жана кандай эрежелерди жазууну сунуштоо мүмкүнчүлүгү да бар. Бул Policy Optimizerдин функционалдуулугуна окшош, бирок Экспедицияда ал дагы кеңейтилген жана сизге даяр эрежелердин тизмеси сунушталат - сиз аларды жөн гана бекитишиңиз керек.
Бул функцияны текшерүү үчүн лабораториялык иш бар - биз аны тест-драйв деп атайбыз. Бул тестти Москвадагы Palo Alto Networks кеңсесинин кызматкерлери сиздин өтүнүчүңүз боюнча ишке киргизе турган виртуалдык брандмауэрлерге кирүү аркылуу жасалышы мүмкүн.
Сурам жөнөтсө болот [электрондук почта корголгон] жана суроо-талапка: "Мен Миграция процесси үчүн UTD жасагым келет" деп жазыңыз.
Чынында, Unified Test Drive (UTD) деп аталган лабораториялык жумуштун бир нече варианттары жана алардын бардыгы бар өтүнүчтөн кийин.
Сурамжылоого катталган колдонуучулар гана катыша алышат. , өтүнөмүн.
Кимдир бирөө сизге брандмауэр саясаттарыңызды оптималдаштырууга жардам беришин каалайсызбы?
-
ошол
-
жок
-
Мен баарын өзүм кылам
Азырынча эч ким добуш бере элек. Калыс калгандар жок.
Source: www.habr.com