Bir NGFW Kurulumunun Etkinliği Nasıl Değerlendirilir?
En yaygın görev, güvenlik duvarınızın ne kadar etkili yapılandırıldığını kontrol etmektir. Bunu yapmak için NGFW ile çalışan şirketlerin ücretsiz yardımcı programları ve hizmetleri vardır.
Örneğin, aşağıda Palo Alto Networks'ün doğrudan Güvenlik duvarı istatistiklerinin bir analizini yapın - SLR raporu veya en iyi uygulamalarla uyumluluk analizi - BPA raporu. Bunlar hiçbir şey yüklemeden kullanabileceğiniz ücretsiz çevrimiçi yardımcı programlardır.
İÇİNDEKİLER
Keşif (Geçiş Aracı)
Ayarlarınızı kontrol etmek için daha karmaşık bir seçenek, ücretsiz bir yardımcı program indirmektir. (eski adıyla Geçiş Aracı). VMware için Sanal Cihaz olarak indirilir, herhangi bir ayar yapılmasına gerek yoktur - görüntüyü indirmeniz ve VMware hipervizörü altında dağıtmanız, başlatmanız ve web arayüzüne gitmeniz gerekir. Bu yardımcı program ayrı bir hikaye gerektirir, yalnızca kurs 5 gün sürer, artık Makine Öğrenimi ve farklı Güvenlik Duvarı üreticileri için çeşitli politika, NAT ve nesne yapılandırmalarının geçişi dahil olmak üzere pek çok işlev vardır. Aşağıda metinde Makine Öğrenimi hakkında daha fazla bilgi yazacağım.
Politika Optimize Edici
Ve bugün size daha ayrıntılı olarak anlatacağım en uygun seçenek (IMHO), Palo Alto Networks arayüzünün kendisinde yerleşik olarak bulunan politika optimize edicidir. Bunu göstermek için eve bir güvenlik duvarı kurdum ve basit bir kural yazdım: herkese izin ver. Prensip olarak bazen kurumsal ağlarda bile bu tür kuralları görüyorum. Doğal olarak, ekran görüntüsünde görebileceğiniz gibi tüm NGFW güvenlik profillerini etkinleştirdim:
Aşağıdaki ekran görüntüsü, neredeyse tüm bağlantıların son kurala girdiği, evimdeki yapılandırılmamış güvenlik duvarımın bir örneğini gösteriyor: İsabet Sayısı sütunundaki istatistiklerden de görülebileceği gibi, İzin Ver.
Sıfır Güven
Güvenlik konusunda şöyle bir yaklaşım var: . Bunun anlamı şudur: Ağ içindeki insanlara tam olarak ihtiyaç duydukları bağlantılara izin vermeli ve diğer her şeyi reddetmeliyiz. Yani uygulamalar, kullanıcılar, URL kategorileri, dosya türleri için net kurallar eklememiz gerekiyor; tüm IPS ve antivirüs imzalarını etkinleştirin, korumalı alanı etkinleştirin, DNS korumasını yapın, mevcut Tehdit İstihbaratı veritabanlarından IoC'yi kullanın. Genel olarak, bir güvenlik duvarı kurarken yeterli sayıda görev vardır.
Bu arada, Palo Alto Networks NGFW için gerekli minimum ayarlar SANS belgelerinden birinde açıklanmıştır: - Onunla başlamanı öneririm. Ve tabii ki üreticinin sunduğu bir güvenlik duvarı kurmaya yönelik bir dizi en iyi uygulama vardır: .
Bir hafta boyunca evde güvenlik duvarım vardı. Ağımda ne tür bir trafik olduğunu görelim:
Oturum sayısına göre sıralarsanız çoğu bittorent tarafından oluşturulur, ardından SSL ve ardından QUIC gelir. Bunlar hem gelen hem de giden trafiğe ilişkin istatistikler: Yönlendiricimin çok sayıda harici taraması var. Ağımda 150 farklı uygulama var.
Yani tüm bunlar tek bir kuralla gözden kaçırıldı. Şimdi Politika Optimize Edici'nin bu konuda ne söylediğini görelim. Yukarıda, güvenlik kuralları içeren arayüzün ekran görüntüsüne baktığınızda, sol altta bana optimize edilebilecek kuralların olduğunu ima eden küçük bir pencere gördünüz. Oraya tıklayalım.
Politika Optimize Edici'nin gösterdiği şeyler:
- Hangi politikalar hiç kullanılmadı, 30 gün, 90 gün. Bu, bunların tamamen kaldırılmasına karar verilmesine yardımcı olur.
- Politikalarda hangi uygulamalar belirtildi ancak trafikte bu tür uygulamalar tespit edilmedi. Bu, izin verme kurallarında gereksiz uygulamaları kaldırmanıza olanak tanır.
- Hangi politikalar her şeye izin veriyordu ama aslında Sıfır Güven metodolojisine göre açıkça belirtilmesi güzel olabilecek uygulamalar vardı.
Kullanılmayan'a tıklayalım.
Nasıl çalıştığını göstermek için birkaç kural ekledim ve şu ana kadar bugün tek bir paketi bile kaçırmadılar. İşte onların listesi:
Belki zamanla orada trafik olacak ve sonra bu listeden kaybolacaklar. Ve eğer 90 gün boyunca bu listede yer alırlarsa, o zaman bu kuralları silmeye karar verebilirsiniz. Sonuçta her kural hacker'a bir fırsat sunar.
Güvenlik duvarını yapılandırırken gerçek bir sorun var: Yeni bir çalışan gelir, güvenlik duvarı kurallarına bakar, eğer herhangi bir yorumu yoksa ve bu kuralın neden oluşturulduğunu, gerçekten gerekli olup olmadığını, yapılıp yapılamayacağını bilmiyorsa silinmesi: Kişi aniden tatile çıkar ve sonrasında 30 gün içerisinde ihtiyaç duyduğu hizmetten tekrar trafik akacaktır. Ve sadece bu işlev onun karar vermesine yardımcı oluyor - kimse kullanmıyor - sil!
Kullanılmayan Uygulamaya tıklayın.
Optimize edicide Kullanılmayan Uygulamaya tıklıyoruz ve ana pencerede ilginç bilgilerin açıldığını görüyoruz.
İzin verilen başvuru sayısı ile bu kuralı gerçekten geçen başvuru sayısının farklı olduğu üç kural olduğunu görüyoruz.
Tıklayıp bu uygulamaların listesini görebilir ve bu listeleri karşılaştırabiliriz.
Örneğin, Maksimum kuralı için Karşılaştır düğmesine tıklayın.
Burada facebook, instagram, telegram, vkontakte uygulamalarına izin verildiğini görebilirsiniz. Ancak gerçekte trafik yalnızca bazı alt uygulamalara gidiyordu. Burada Facebook uygulamasının birkaç alt uygulama içerdiğini anlamalısınız.
NGFW uygulamalarının tam listesi portalda görülebilir ve güvenlik duvarı arayüzünün kendisinde, Nesneler->Uygulamalar bölümünde ve aramada uygulama adını yazın: facebook, aşağıdaki sonucu elde edeceksiniz:
Yani bu alt uygulamaların bir kısmı NGFW tarafından görüldü, bir kısmı ise görülmedi. Aslında Facebook'un farklı alt işlevlerini ayrı ayrı yasaklayabilir ve izin verebilirsiniz. Örneğin, mesajların görüntülenmesine izin verin, ancak sohbeti veya dosya aktarımını yasaklayın. Buna göre, Policy Optimizer bundan bahsediyor ve siz bir karar verebilirsiniz: tüm Facebook uygulamalarına değil, yalnızca ana uygulamalara izin verin.
Böylece listelerin farklı olduğunu anladık. Kuralların yalnızca ağda gerçekten dolaşan uygulamalara izin verdiğinden emin olabilirsiniz. Bunu yapmak için MatchUsage butonuna tıklayın. Şöyle çıkıyor:
Ayrıca gerekli olduğunu düşündüğünüz uygulamaları da ekleyebilirsiniz - pencerenin sol tarafındaki Ekle düğmesi:
Ve sonra bu kural uygulanabilir ve test edilebilir. Tebrikler!
Belirtilen Uygulama Yok'a tıklayın.
Bu durumda önemli bir güvenlik penceresi açılacaktır.
Ağınızda büyük olasılıkla L7 düzeyindeki uygulamanın açıkça belirtilmediği bu tür birçok kural vardır. Ağımda böyle bir kural var; bunu ilk kurulum sırasında özellikle Politika Optimize Edici'nin nasıl çalıştığını göstermek için yaptığımı hatırlatmama izin verin.
Resim, AllowAll kuralının 9 Mart'tan 17 Mart'a kadar olan dönemde ağımda 220 farklı uygulama olan 150 gigabayt trafiğe izin verdiğini gösteriyor. Ve bu yeterli değil. Tipik olarak ortalama büyüklükteki bir kurumsal ağda 200-300 farklı uygulama bulunur.
Yani, bir kural 150'ye kadar uygulamanın yapılmasına izin verir. Genellikle bu, güvenlik duvarının doğru şekilde yapılandırılmadığı anlamına gelir, çünkü genellikle bir kural farklı amaçlar için 1-10 uygulamaya izin verir. Bu uygulamaların neler olduğunu görelim: Karşılaştır düğmesine tıklayın:
Politika Optimize Edici işlevinde bir yönetici için en harika şey, Kullanımı Eşleştir düğmesidir; tek tıklamayla, 150 uygulamanın tamamını kurala gireceğiniz bir kural oluşturabilirsiniz. Bunu manuel olarak yapmak oldukça uzun zaman alacaktır. Bir yöneticinin üzerinde çalışacağı görev sayısı, 10 cihazdan oluşan ağımda bile çok fazla.
Evde çalışan ve gigabaytlarca trafik aktaran 150 farklı uygulamam var! Peki ne kadar var?
Peki 100 cihazdan veya 1000 veya 10000 cihazdan oluşan bir ağda ne olur? 8000 kurala sahip güvenlik duvarları gördüm ve yöneticilerin artık bu kadar kullanışlı otomasyon araçlarına sahip olmasına çok sevindim.
NGFW'deki L7 uygulama analiz modülünün gördüğü ve gösterdiği bazı uygulamalara ağda ihtiyaç duymayacaksınız; bu nedenle bunları izin verilen kurallar listesinden kaldırmanız veya Klonla düğmesini (ana arayüzde) kullanarak kuralları kopyalamanız yeterlidir. bir uygulama kuralında bunlara izin verirsiniz ve ağınızda kesinlikle ihtiyaç duyulmayan diğer uygulamaları engellersiniz. Bu tür uygulamalar genellikle bittorent, steam, ultrasurf, tor, tcp-over-dns gibi gizli tünelleri ve diğerlerini içerir.
Peki, başka bir kurala tıklayalım ve orada ne görebileceğinizi görelim:
Evet, çok noktaya yayın için tipik uygulamalar var. Çevrimiçi video görüntülemenin çalışmasına izin vermeliyiz. Kullanımı Eşleştir'i tıklayın. Harika! Politika Optimize Edici'ye teşekkürler.
Peki ya Makine Öğrenimi?
Artık otomasyondan bahsetmek moda. Tarif ettiğim şey ortaya çıktı - çok yardımcı oldu. Bahsetmem gereken bir olasılık daha var. Bu, yukarıda belirtilen Expedition yardımcı programında yerleşik olarak bulunan Makine Öğrenimi işlevidir. Bu yardımcı programda, başka bir üreticinin eski güvenlik duvarınızdaki kuralları aktarmanız mümkündür. Ayrıca mevcut Palo Alto Networks trafik kayıtlarını analiz etme ve hangi kuralların yazılacağını önerme olanağı da bulunmaktadır. Bu, Politika Optimize Edici'nin işlevselliğine benzer, ancak Expedition'da daha da genişletilmiştir ve size hazır kuralların bir listesi sunulur; bunları onaylamanız yeterlidir.
Bu işlevselliği test etmek için bir laboratuvar çalışması var - biz buna test sürüşü diyoruz. Bu test, Palo Alto Networks'ün Moskova'daki ofis çalışanlarının talebiniz üzerine başlatacağı sanal güvenlik duvarlarına giriş yapılarak yapılabilir.
Talep şu adrese gönderilebilir: [e-posta korumalı] ve istekte şunu yazın: "Geçiş Süreci için bir UTD yapmak istiyorum."
Aslında Birleşik Test Sürüşü (UTD) adı verilen laboratuvar çalışmasının çeşitli seçenekleri vardır ve bunların tümü talepten sonra.
Ankete sadece kayıtlı kullanıcılar katılabilir. Lütfen.
Birinin güvenlik duvarı politikalarınızı optimize etmenize yardımcı olmasını ister misiniz?
-
Evet
-
Hayır
-
Hepsini kendim yapacağım
Henüz kimse oy vermedi. Çekimserlik yok.
Kaynak: habr.com