Kaip įvertinti NGFW derinimo efektyvumą
Dažniausia užduotis yra patikrinti, kaip gerai sukonfigūruota ugniasienė. Norėdami tai padaryti, yra nemokamos komunalinės paslaugos ir paslaugos iš įmonių, kurios dirba su NGFW.
Pavyzdžiui, žemiau matote, kad Palo Alto Networks turi galimybę tiesiogiai iš vykdyti ugniasienės statistikos analizę – SLR ataskaitą arba geriausios praktikos atitikties analizę – BPA ataskaitą. Tai nemokamos internetinės paslaugos, kuriomis galite naudotis nieko neįdiegę.
TURINYS
Ekspedicija (perkėlimo įrankis)
Sudėtingesnė parinktis norint patikrinti nustatymus yra atsisiųsti nemokamą paslaugų programą (buvęs perkėlimo įrankis). Jis atsisiunčiamas kaip virtualus įrenginys, skirtas VMware, su juo nereikia jokių nustatymų - reikia atsisiųsti vaizdą ir įdiegti jį VMware hipervizoriuje, paleisti jį ir eiti į žiniatinklio sąsają. Šiai programai reikalinga atskira istorija, tik jos kursas trunka 5 dienas, dabar yra tiek daug funkcijų, įskaitant mašininį mokymąsi ir įvairių strategijų konfigūracijų, NAT ir objektų perkėlimą skirtingiems ugniasienės gamintojams. Apie mašininį mokymąsi daugiau parašysiu vėliau tekste.
Politikos optimizavimo priemonė
Patogiausias variantas (IMHO), apie kurį šiandien kalbėsiu plačiau, yra politikos optimizavimo priemonė, įmontuota pačioje Palo Alto Networks sąsajoje. Norėdamas tai pademonstruoti, savo namuose įdiegiau ugniasienę ir parašiau paprastą taisyklę: leisti bet kurią bet kam. Iš esmės tokias taisykles kartais matau net įmonių tinkluose. Natūralu, kad įjungiau visus NGFW saugos profilius, kaip matote ekrano kopijoje:
Žemiau esančioje ekrano kopijoje parodytas mano namų nesukonfigūruotos ugniasienės pavyzdys, kur beveik visi ryšiai patenka į paskutinę taisyklę: AllowAll, kaip matyti iš statistikos stulpelyje Hit Count.
Nulis pasitikėjimo
Yra toks požiūris į saugumą, vadinamas . Ką tai reiškia: mes turime leisti žmonėms tinkle būtent tuos ryšius, kurių jiems reikia, ir uždrausti visa kita. Tai reiškia, kad turime pridėti aiškias taisykles programoms, vartotojams, URL kategorijoms, failų tipams; įjungti visus IPS ir antivirusinius parašus, įjungti smėlio dėžę, DNS apsaugą, naudoti IoC iš turimų Threat Intelligence duomenų bazių. Apskritai, nustatant ugniasienę yra pakankamai daug užduočių.
Beje, minimalus reikalingų Palo Alto Networks NGFW nustatymų rinkinys aprašytas viename iš SANS dokumentų: Aš rekomenduoju pradėti nuo jo. Ir, žinoma, yra geriausios gamintojo užkardos nustatymo praktikos rinkinys: .
Taigi, savaitę namuose turėjau ugniasienę. Pažiūrėkime, koks srautas yra mano tinkle:
Jei rūšiuojama pagal seansų skaičių, dauguma jų sukuriami bittorent, tada ateina SSL, tada QUIC. Tai yra gaunamo ir išeinančio srauto statistika: yra daug išorinių maršrutizatoriaus nuskaitymų. Mano tinkle yra 150 skirtingų programų.
Taigi, visa tai buvo praleista pagal vieną taisyklę. Dabar pažiūrėkime, ką apie tai sako politikos optimizavimo priemonė. Jei pažvelgėte į aukščiau pateiktą sąsajos su saugos taisyklėmis ekrano kopiją, apačioje kairėje pamatėte nedidelį langą, kuris man rodo, kad yra taisyklių, kurias galima optimizuoti. Spauskime ten.
Ką rodo politikos optimizavimo priemonė:
- Kokios politikos iš viso nebuvo panaudotos, 30 dienų, 90 dienų. Tai padeda priimti sprendimą juos visiškai pašalinti.
- Kurios programos buvo nurodytos politikoje, tačiau sraute tokių programų nerasta. Tai leidžia pašalinti nereikalingas programas leidimo taisyklėse.
- Kuri politika leido viską iš eilės, bet tikrai buvo programų, kurias būtų malonu aiškiai nurodyti pagal Zero Trust metodiką.
Spustelėkite Nenaudojama.
Norėdamas parodyti, kaip tai veikia, pridėjau keletą taisyklių ir iki šiol jie nepraleido nė vieno paketo. Štai jų sąrašas:
Galbūt laikui bėgant eismas ten praeis ir tada jie išnyks iš šio sąrašo. Ir jei jie yra šiame sąraše 90 dienų, tuomet galite nuspręsti pašalinti šias taisykles. Juk kiekviena taisyklė suteikia galimybę įsilaužėliui.
Tikra problema su ugniasienės konfigūracija: ateina naujas darbuotojas, pasižiūri ugniasienės taisykles, jei neturi pastabų ir nežino, kodėl ši taisyklė sukurta, ar ji tikrai reikalinga, ar galima ją ištrinti: staiga žmogus atostogauja ir per 30 dienų srautas vėl bus nukreiptas iš paslaugos, kurios jai reikia. Ir kaip tik ši funkcija jam padeda apsispręsti – niekas ja nesinaudoja – ištrinkite!
Spustelėkite Nenaudojama programa.
Optimizavimo priemonėje paspaudžiame Unused App ir pamatome, kad pagrindiniame lange atsidaro įdomi informacija.
Matome, kad yra trys taisyklės, kuriose skiriasi leidžiamų paraiškų ir iš tikrųjų šią taisyklę išlaikiusių programų skaičius.
Galime spustelėti ir pamatyti šių programų sąrašą bei palyginti šiuos sąrašus.
Pavyzdžiui, spustelėkite Max taisyklės mygtuką Palyginti.
Čia galite pamatyti, kad buvo leidžiamos facebook, instagram, telegramos, vkontakte programos. Tačiau iš tikrųjų eismas vyko tik per dalį papildomų programų. Čia reikia suprasti, kad „Facebook“ programoje yra keletas papildomų programų.
Visą NGFW programų sąrašą galima pamatyti portale ir pačioje ugniasienės sąsajoje, skiltyje Objektai->Programos ir paieškoje įveskite programos pavadinimą: facebook, gausite tokį rezultatą:
Taigi, NGFW matė kai kurias iš šių papildomų programų, bet ne kai kurias. Tiesą sakant, galite atskirai išjungti ir įjungti skirtingas „Facebook“ subfunkcijas. Pavyzdžiui, leisti peržiūrėti pranešimus, bet uždrausti pokalbius ar failų perkėlimą. Atitinkamai, politikos optimizavimo priemonė apie tai kalba ir jūs galite priimti sprendimą: neleisti visų „Facebook“ programų, o tik pagrindines.
Taigi, supratome, kad sąrašai skiriasi. Galite įsitikinti, kad taisyklės leidžia tik tas programas, kurios iš tikrųjų veikia tinkle. Norėdami tai padaryti, spustelėkite mygtuką MatchUsage. Pasirodo taip:
Taip pat galite pridėti programų, kurios, jūsų manymu, reikalingos - mygtukas Pridėti kairėje lango pusėje:
Ir tada šią taisyklę galima pritaikyti ir išbandyti. Sveikiname!
Spustelėkite Nenurodyta jokių programų.
Tokiu atveju atsidarys svarbus saugos langas.
Greičiausiai yra daug tokių taisyklių, kuriose L7 lygio programa nėra aiškiai nurodyta jūsų tinkle. Ir mano tinkle galioja tokia taisyklė – priminsiu, kad tai padariau pradinės sąrankos metu, konkrečiai norėdamas parodyti, kaip veikia politikos optimizavimo priemonė.
Paveikslėlyje parodyta, kad AllowAll taisyklė praleido 9 gigabaitų srauto per laikotarpį nuo kovo 17 d. iki kovo 220 d., tai yra iš viso 150 skirtingų programų mano tinkle. Ir to vis dar nepakanka. Paprastai vidutinio dydžio įmonių tinklas turi 200-300 skirtingų programų.
Taigi, viena taisyklė praleidžia net 150 paraiškų. Dažniausiai tai reiškia, kad užkarda sukonfigūruota neteisingai, nes dažniausiai vienoje taisyklėje praleidžiama 1-10 skirtingų paskirčių programų. Pažiūrėkime, kas yra šios programos: spustelėkite mygtuką Palyginti:
Nuostabiausias dalykas administratoriui politikos optimizavimo priemonėje yra mygtukas Match Usage – vienu paspaudimu galite sukurti taisyklę, kurioje į taisyklę suvesite visas 150 programų. Tai padaryti rankiniu būdu užtruktų per ilgai. Administratoriaus užduočių skaičius net mano 10 įrenginių tinkle yra didžiulis.
Namuose veikia 150 skirtingų programų, kurios perduoda gigabaitus srauto! Ir kiek tu turi?
Bet kas atsitinka tinkle, kuriame yra 100 įrenginių, 1000 ar 10000 įrenginių? Mačiau ugniasienės su 8000 taisyklių ir labai džiaugiuosi, kad dabar administratoriai turi tokius patogius automatizavimo įrankius.
Jums nereikės kai kurių programų, kurias NGFW L7 programų analizės modulis matė ir rodė tinkle, todėl tiesiog pašalinkite jas iš leidimo taisyklės sąrašo arba klonuokite taisykles naudodami mygtuką Klonuoti (pagrindinėje sąsajoje). ir leisti vienoje taikomųjų programų taisyklėje, o Blokuoti kitas programas taip, lyg jos tikrai nebūtų reikalingos jūsų tinkle. Tokios programos dažnai tampa bittorent, steam, ultrasurf, tor, paslėptais tuneliais, tokiais kaip tcp-over-dns ir kt.
Na, spustelėkite kitą taisyklę – ką ten galite pamatyti:
Taip, yra programų, skirtų daugialypiam siuntimui. Turime juos leisti, kad vaizdo įrašų peržiūra tinkle veiktų. Spustelėkite Suderinti naudojimą. Puiku! Ačiū, politikos optimizavimo priemonė.
O mašininis mokymasis?
Dabar madinga kalbėti apie automatizavimą. Išėjo tai, ką aprašiau – labai padeda. Yra dar viena galimybė, kurią privalau paminėti. Tai mašininio mokymosi funkcija, integruota į pirmiau minėtą ekspedicijos priemonę. Naudodami šią priemonę galite perkelti taisykles iš senos kito gamintojo užkardos. Taip pat yra galimybė analizuoti esamus Palo Alto Networks srauto žurnalus ir pasiūlyti, kurias taisykles rašyti. Tai panašu į Policy Optimizer funkcionalumą, tačiau Expedition jis yra dar pažangesnis ir jums siūlomas paruoštų taisyklių sąrašas – tereikia jas patvirtinti.
Norint išbandyti šį funkcionalumą, atliekamas laboratorinis darbas – mes tai vadiname bandomuoju važiavimu. Šį testą galite atlikti apsilankę virtualiose ugniasienėse, kurias „Palo Alto Networks“ Maskvos biuro darbuotojai paleis jūsų pageidavimu.
Prašymą galima siųsti adresu [apsaugotas el. paštu] ir prašyme parašykite: "Noriu padaryti UTD migracijos procesui".
Tiesą sakant, yra keletas laboratorijų variantų, vadinamų Unified Test Drive (UTD), ir jie visi po prašymo.
Apklausoje gali dalyvauti tik registruoti vartotojai. , Prašau.
Ar norite, kad kas nors padėtų optimizuoti užkardos politiką?
-
Taip
-
Ne
-
Viską padarysiu pats
Dar niekas nebalsavo. Susilaikiusiųjų nėra.
Šaltinis: www.habr.com