ProHoster > BLOG > administrare > Palo Alto Networks NGFW Security Policy Optimizer

Palo Alto Networks NGFW Security Policy Optimizer

Cum se evaluează eficacitatea unei configurații NGFW

Cea mai comună sarcină este să verificați cât de eficient este configurat firewall-ul dvs. Pentru a face acest lucru, există utilități și servicii gratuite de la companii care se ocupă de NGFW.

De exemplu, puteți vedea mai jos că Palo Alto Networks are capacitatea de a face direct de la portal de suport rulați o analiză a statisticilor de firewall - raport SLR sau analiza conformității cu cele mai bune practici - raport BPA. Acestea sunt utilitare online gratuite pe care le puteți folosi fără a instala nimic.
Palo Alto Networks NGFW Security Policy Optimizer

CUPRINS

Expediție (Instrument de migrare)
Optimizatorul de politici
Încredere zero
Faceți clic pe Neutilizat
Faceți clic pe Aplicație neutilizată
Faceți clic pe Nicio aplicație specificată
Ce zici de Machine Learning?
extensia UT

Expediție (Instrument de migrare)

Palo Alto Networks NGFW Security Policy Optimizer

O opțiune mai complexă pentru verificarea setărilor este să descărcați un utilitar gratuit Expediție (fostul Instrument de migrare). Este descărcat ca un dispozitiv virtual pentru VMware, nu sunt necesare setări cu acesta - trebuie să descărcați imaginea și să o implementați sub hypervisorul VMware, să o lansați și să accesați interfața web. Acest utilitar necesită o poveste separată, doar cursul despre el durează 5 zile, există atât de multe funcții acum, inclusiv Machine Learning și migrarea diferitelor configurații de politici, NAT și obiecte pentru diferiți producători de firewall. Voi scrie mai multe despre Machine Learning mai jos în text.

Optimizatorul de politici

Și cea mai convenabilă opțiune (IMHO), despre care vă voi spune mai detaliat astăzi, este optimizatorul de politici încorporat în interfața Palo Alto Networks în sine. Pentru a demonstra acest lucru, am instalat un firewall acasă și am scris o regulă simplă: permiteți orice oricărui. În principiu, uneori văd astfel de reguli chiar și în rețelele corporative. Desigur, am activat toate profilurile de securitate NGFW, așa cum puteți vedea în captura de ecran:
Palo Alto Networks NGFW Security Policy Optimizer

Captura de ecran de mai jos arată un exemplu de firewall neconfigurat de acasă, unde aproape toate conexiunile se încadrează în ultima regulă: AllowAll, așa cum se poate vedea din statisticile din coloana Hit Count.
Palo Alto Networks NGFW Security Policy Optimizer

Încredere zero

Există o abordare a securității numită Încredere zero. Ce înseamnă asta: trebuie să permitem oamenilor din rețea exact acele conexiuni de care au nevoie și să refuzăm orice altceva. Adică trebuie să adăugăm reguli clare pentru aplicații, utilizatori, categorii URL, tipuri de fișiere; activați toate semnăturile IPS și antivirus, activați sandboxing-ul, protecția DNS, utilizați IoC din bazele de date disponibile Threat Intelligence. În general, există un număr decent de sarcini la configurarea unui firewall.

Apropo, setul minim de setări necesare pentru Palo Alto Networks NGFW este descris într-unul dintre documentele SANS: Palo Alto Networks Security Configuration Benchmark - Recomand să începeți cu el. Și, desigur, există un set de bune practici pentru configurarea unui firewall la producător: Cea mai buna practica.

Deci, am avut un firewall acasă timp de o săptămână. Să vedem ce fel de trafic există în rețeaua mea:
Palo Alto Networks NGFW Security Policy Optimizer

Dacă sortați după numărul de sesiuni, atunci majoritatea sunt create de bittorent, apoi vine SSL, apoi QUIC. Acestea sunt statistici atât pentru traficul de intrare, cât și pentru cel de ieșire: există o mulțime de scanări externe ale routerului meu. Există 150 de aplicații diferite în rețeaua mea.

Deci, toate acestea au fost ratate de o singură regulă. Să vedem acum ce spune Policy Optimizer despre asta. Dacă te-ai uitat mai sus la captura de ecran a interfeței cu reguli de securitate, atunci în stânga jos ai văzut o fereastră mică care îmi sugerează că există reguli care pot fi optimizate. Hai să facem clic acolo.

Ce arată Policy Optimizer:

  • Care politici nu au fost folosite deloc, 30 de zile, 90 de zile. Acest lucru vă ajută să luați decizia de a le elimina complet.
  • Ce aplicații au fost specificate în politici, dar nu au fost detectate astfel de aplicații în trafic. Acest lucru vă permite să eliminați aplicațiile inutile în regulile de autorizare.
  • Ce politici au permis totul, dar au existat de fapt aplicații pe care ar fi fost bine să le indicăm în mod explicit conform metodologiei Zero Trust.

Palo Alto Networks NGFW Security Policy Optimizer

Să facem clic pe Neutilizat.

Pentru a arăta cum funcționează, am adăugat câteva reguli și până acum nu au ratat niciun pachet astăzi. Iată lista lor:
Palo Alto Networks NGFW Security Policy Optimizer
Poate că în timp va fi trafic acolo și apoi vor dispărea din această listă. Și dacă sunt pe această listă timp de 90 de zile, atunci puteți decide să ștergeți aceste reguli. La urma urmei, fiecare regulă oferă o oportunitate pentru un hacker.

Există o problemă reală la configurarea unui firewall: vine un nou angajat, se uită la regulile firewall-ului, dacă nu au niciun comentariu și nu știe de ce a fost creată această regulă, dacă este cu adevărat necesară, dacă poate fi șters: dintr-o dată persoana este în vacanță și după În 30 de zile, traficul va curge din nou din serviciul de care are nevoie. Și tocmai această funcție îl ajută să ia o decizie - nimeni nu o folosește - șterge-o!

Faceți clic pe Aplicație neutilizată.

Facem clic pe Aplicație neutilizată din optimizator și vedem că informații interesante se deschid în fereastra principală.

Vedem că există trei reguli, în care numărul de cereri permise și numărul de cereri care au trecut de fapt această regulă sunt diferite.
Palo Alto Networks NGFW Security Policy Optimizer
Putem face clic și vedea o listă cu aceste aplicații și putem compara aceste liste.
De exemplu, faceți clic pe butonul Comparați pentru regula Max.
Palo Alto Networks NGFW Security Policy Optimizer
Aici puteți vedea că aplicațiile facebook, instagram, telegram, vkontakte au fost permise. Dar, în realitate, traficul a mers doar către unele dintre subaplicații. Aici trebuie să înțelegeți că aplicația facebook conține mai multe subaplicații.

Întreaga listă a aplicațiilor NGFW poate fi văzută pe portal applipedia.paloaltonetworks.com iar în interfața firewall propriu-zisă, în secțiunea Obiecte->Aplicații și în căutare, tastați numele aplicației: facebook, veți obține următorul rezultat:
Palo Alto Networks NGFW Security Policy Optimizer
Deci, unele dintre aceste subaplicații au fost văzute de NGFW, dar altele nu. De fapt, puteți interzice și permite separat diferite sub-funcții ale Facebook. De exemplu, permiteți vizualizarea mesajelor, dar interziceți chat-ul sau transferul de fișiere. În consecință, Policy Optimizer vorbește despre asta și poți lua o decizie: să nu permiti toate aplicațiile Facebook, ci doar pe cele principale.

Așadar, ne-am dat seama că listele sunt diferite. Vă puteți asigura că regulile permit doar acele aplicații care călătoresc efectiv în rețea. Pentru a face acest lucru, faceți clic pe butonul MatchUsage. Se dovedește așa:
Palo Alto Networks NGFW Security Policy Optimizer
Și puteți adăuga, de asemenea, aplicații pe care le considerați necesare - butonul Adaugă din partea stângă a ferestrei:
Palo Alto Networks NGFW Security Policy Optimizer
Și atunci această regulă poate fi aplicată și testată. Felicitări!

Faceți clic pe Nicio aplicație specificată.

În acest caz, se va deschide o fereastră de securitate importantă.
Palo Alto Networks NGFW Security Policy Optimizer
Cel mai probabil, există o mulțime de astfel de reguli în rețeaua dvs. în care aplicația de nivel L7 nu este specificată în mod explicit. Și în rețeaua mea există o astfel de regulă - permiteți-mi să vă reamintesc că am făcut-o în timpul configurării inițiale, în special pentru a arăta cum funcționează Policy Optimizer.

Imaginea arată că regula AllowAll a permis 9 de gigaocteți de trafic în perioada 17 martie - 220 martie, adică 150 de aplicații diferite în rețeaua mea. Și asta nu este suficient. De obicei, o rețea corporativă de dimensiuni medii are 200-300 de aplicații diferite.

Deci, o regulă permite trecerea a până la 150 de aplicații. De obicei, aceasta înseamnă că firewall-ul nu este configurat corect, deoarece de obicei o regulă permite 1-10 aplicații pentru diferite scopuri. Să vedem care sunt aceste aplicații: faceți clic pe butonul Comparați:
Palo Alto Networks NGFW Security Policy Optimizer
Cel mai minunat lucru pentru un administrator în funcția Policy Optimizer este butonul Match Usage - puteți crea o regulă cu un singur clic, unde veți introduce toate cele 150 de aplicații în regulă. A face acest lucru manual ar dura destul de mult timp. Numărul de sarcini la care trebuie să lucreze un administrator, chiar și în rețeaua mea de 10 dispozitive, este enorm.

Am 150 de aplicații diferite care rulează acasă, transferând gigaocteți de trafic! Și cât ai?

Dar ce se întâmplă într-o rețea de 100 de dispozitive sau 1000 sau 10000? Am văzut firewall-uri cu 8000 de reguli și sunt foarte bucuros că acum administratorii au instrumente de automatizare atât de convenabile.

Unele dintre aplicațiile pe care modulul de analiză a aplicației L7 din NGFW le-a văzut și a arătat că nu le veți avea nevoie în rețea, așa că pur și simplu le eliminați din lista de reguli de permitere sau clonați regulile folosind butonul Clona (în interfața principală) și permiteți-le într-o regulă de aplicație, iar în Veți bloca alte aplicații, deoarece cu siguranță nu sunt necesare în rețeaua dvs. Astfel de aplicații includ adesea bittorent, steam, ultrasurf, tor, tuneluri ascunse, cum ar fi tcp-over-dns și altele.
Palo Alto Networks NGFW Security Policy Optimizer
Ei bine, haideți să facem clic pe o altă regulă și să vedem ce puteți vedea acolo:
Palo Alto Networks NGFW Security Policy Optimizer
Da, există aplicații tipice pentru multicast. Trebuie să le permitem vizionarea video online să funcționeze. Faceți clic pe Utilizare potrivire. Grozav! Mulțumim Optimizatorul de politici.

Ce zici de Machine Learning?

Acum este la modă să vorbim despre automatizare. Ceea ce am descris a ieșit - ajută foarte mult. Mai există o posibilitate despre care ar trebui să vorbesc. Aceasta este funcționalitatea Machine Learning încorporată în utilitarul Expedition, care a fost deja menționată mai sus. În acest utilitar, este posibil să transferați reguli de la vechiul firewall de la alt producător. Există, de asemenea, capacitatea de a analiza jurnalele de trafic existente Palo Alto Networks și de a sugera ce reguli să scrieți. Aceasta este similară cu funcționalitatea Policy Optimizer, dar în Expedition este și mai extins și vi se oferă o listă de reguli gata făcute - trebuie doar să le aprobați.
Pentru a testa această funcționalitate, există o muncă de laborator - o numim test drive. Acest test se poate face prin autentificarea la firewall-uri virtuale, pe care angajații biroului Palo Alto Networks din Moscova le vor lansa la cererea dumneavoastră.
Palo Alto Networks NGFW Security Policy Optimizer
Solicitarea poate fi trimisă la [e-mail protejat] iar în cerere scrieți: „Vreau să fac un UTD pentru Procesul de Migrare”.

De fapt, munca de laborator numită Unified Test Drive (UTD) are mai multe opțiuni și toate disponibil de la distanță după cerere.

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

Doriți ca cineva să vă ajute să vă optimizați politicile de firewall?

  • Da

  • Nu

  • Voi face totul singur

Nimeni nu a votat încă. Nu există abțineri.

Sursa: www.habr.com

Adauga un comentariu