NGFW o'rnatish samaradorligini qanday baholash mumkin
Eng keng tarqalgan vazifa sizning xavfsizlik devoringiz qanchalik samarali tuzilganligini tekshirishdir. Buning uchun NGFW bilan shug'ullanadigan kompaniyalardan bepul kommunal xizmatlar va xizmatlar mavjud.
Misol uchun, quyida Palo Alto Networks to'g'ridan-to'g'ri foydalanish imkoniyatiga ega ekanligini ko'rishingiz mumkin xavfsizlik devori statistikasini tahlil qilish - SLR hisoboti yoki eng yaxshi amaliyotlarga muvofiqlik tahlili - BPA hisoboti. Bu hech narsa o'rnatmasdan foydalanishingiz mumkin bo'lgan bepul onlayn yordam dasturlari.
MUNDARIJA
Ekspeditsiya (migratsiya vositasi)
Sozlamalaringizni tekshirishning yanada murakkab varianti bepul yordam dasturini yuklab olishdir (ilgari Migratsiya vositasi). U VMware uchun Virtual Appliance sifatida yuklab olinadi, u bilan hech qanday sozlash talab etilmaydi - siz rasmni yuklab olishingiz va uni VMware hipervizori ostida joylashtirishingiz, uni ishga tushirishingiz va veb-interfeysga o'tishingiz kerak. Ushbu yordamchi dastur alohida hikoyani talab qiladi, faqat uning kursi 5 kun davom etadi, hozirda juda ko'p funktsiyalar mavjud, jumladan Machine Learning va turli xil xavfsizlik devori ishlab chiqaruvchilari uchun turli xil konfiguratsiyalar, NAT va ob'ektlarni ko'chirish. Men quyida matnda Machine Learning haqida ko'proq yozaman.
Siyosat optimallashtiruvchisi
Va bugun men sizga batafsil aytib beradigan eng qulay variant (IMHO) bu Palo Alto Networks interfeysining o'zida o'rnatilgan siyosat optimallashtiruvchisi. Buni ko'rsatish uchun men uyda xavfsizlik devori o'rnatdim va oddiy qoidani yozdim: har kimga ruxsat bering. Aslida, men ba'zida korporativ tarmoqlarda ham bunday qoidalarni ko'raman. Tabiiyki, skrinshotda ko'rib turganingizdek, men barcha NGFW xavfsizlik profillarini yoqdim:
Quyidagi skrinshotda mening uyim konfiguratsiya qilinmagan xavfsizlik devori misoli ko'rsatilgan, bu erda deyarli barcha ulanishlar oxirgi qoidaga to'g'ri keladi: AllowAll, Hit Count ustunidagi statistikadan ko'rinib turibdi.
Nolinchi ishonch
Xavfsizlik deb ataladigan yondashuv mavjud . Bu nimani anglatadi: biz tarmoq ichidagi odamlarga aynan ular kerak bo'lgan ulanishlarga ruxsat berishimiz va qolgan hamma narsani rad etishimiz kerak. Ya'ni, ilovalar, foydalanuvchilar, URL toifalari, fayl turlari uchun aniq qoidalarni qo'shishimiz kerak; barcha IPS va antivirus imzolarini yoqing, sandboxingni, DNS himoyasini yoqing, mavjud Threat Intelligence ma'lumotlar bazalaridan IoC dan foydalaning. Umuman olganda, xavfsizlik devorini o'rnatishda munosib miqdordagi vazifalar mavjud.
Aytgancha, Palo Alto Networks NGFW uchun kerakli sozlamalarning minimal to'plami SANS hujjatlaridan birida tasvirlangan: - Men undan boshlashni tavsiya qilaman. Va, albatta, ishlab chiqaruvchidan xavfsizlik devorini o'rnatish uchun eng yaxshi amaliyotlar to'plami mavjud: .
Shunday qilib, menda bir hafta davomida uyda xavfsizlik devori bor edi. Keling, mening tarmog'imda qanday trafik borligini ko'rib chiqaylik:
Agar siz seanslar soni bo'yicha saralansangiz, ularning aksariyati bittorent tomonidan yaratilgan, keyin SSL, keyin QUIC keladi. Bu kiruvchi va chiquvchi trafik uchun statistik ma'lumotlar: mening routerimning ko'plab tashqi skanerlari mavjud. Mening tarmog'imda 150 xil ilovalar mavjud.
Shunday qilib, bularning barchasi bitta qoida bilan o'tkazib yuborildi. Keling, Policy Optimizer bu haqda nima deyishini bilib olaylik. Agar siz yuqorida xavfsizlik qoidalari bilan interfeysning skrinshotiga qaragan bo'lsangiz, pastki chap tomonda siz optimallashtirish mumkin bo'lgan qoidalar mavjudligiga ishora qiladigan kichik oynani ko'rdingiz. Keling, u erga bosing.
Policy Optimizer nimani ko'rsatadi:
- Qaysi siyosatlar umuman ishlatilmadi, 30 kun, 90 kun. Bu ularni butunlay olib tashlash to'g'risida qaror qabul qilishga yordam beradi.
- Siyosatlarda qanday ilovalar ko'rsatilgan, ammo trafikda bunday ilovalar aniqlanmagan. Bu ruxsat berish qoidalarida keraksiz ilovalarni olib tashlash imkonini beradi.
- Qaysi siyosat hamma narsaga ruxsat berdi, lekin aslida Zero Trust metodologiyasiga ko'ra aniq ko'rsatish yaxshi bo'lardi ilovalar bor edi.
Ishlatilmagan-ni bosing.
Bu qanday ishlashini ko'rsatish uchun men bir nechta qoidalarni qo'shdim va ular bugungi kungacha bitta paketni o'tkazib yubormadilar. Mana ularning ro'yxati:
Ehtimol, vaqt o'tishi bilan u erda tirbandlik paydo bo'ladi va keyin ular ushbu ro'yxatdan yo'qoladi. Va agar ular ushbu ro'yxatda 90 kun bo'lsa, unda siz ushbu qoidalarni o'chirishga qaror qilishingiz mumkin. Axir, har bir qoida xaker uchun imkoniyat beradi.
Xavfsizlik devorini sozlashda haqiqiy muammo bor: yangi xodim keladi, xavfsizlik devori qoidalariga qaraydi, agar ularda hech qanday izoh bo'lmasa va u bu qoida nima uchun yaratilganligini, haqiqatan ham kerakmi yoki yo'qligini bilmasa. o'chiriladi: to'satdan odam ta'tilga chiqadi va keyin 30 kun ichida unga kerak bo'lgan xizmatdan trafik yana oqadi. Va faqat bu funksiya unga qaror qabul qilishga yordam beradi - hech kim undan foydalanmaydi - uni o'chiring!
Ishlatilmagan ilovani bosing.
Biz optimallashtiruvchida foydalanilmagan ilovani bosamiz va asosiy oynada qiziqarli ma'lumotlar ochilganini ko'ramiz.
Biz uchta qoida mavjudligini ko'ramiz, bu erda ruxsat etilgan ilovalar soni va ushbu qoidadan haqiqatda o'tgan ilovalar soni boshqacha.
Biz ushbu ilovalar ro'yxatini bosishimiz va ko'rishimiz va ushbu ro'yxatlarni solishtirishimiz mumkin.
Masalan, Max qoidasi uchun solishtirish tugmasini bosing.
Bu yerda facebook, instagram, telegram, vkontakte ilovalariga ruxsat berilganligini ko'rishingiz mumkin. Lekin, aslida, trafik faqat ba'zi kichik ilovalarga o'tdi. Bu erda siz facebook ilovasida bir nechta kichik ilovalar mavjudligini tushunishingiz kerak.
NGFW ilovalarining to'liq ro'yxatini portalda ko'rish mumkin va xavfsizlik devori interfeysining o'zida, Ob'ektlar-> Ilovalar bo'limida va qidiruvda dastur nomini yozing: facebook, siz quyidagi natijani olasiz:
Shunday qilib, ushbu kichik ilovalarning ba'zilari NGFW tomonidan ko'rilgan, ammo ba'zilari ko'rinmagan. Aslida, siz Facebook-ning turli sub-funksiyalarini alohida taqiqlashingiz va ruxsat berishingiz mumkin. Masalan, xabarlarni ko'rishga ruxsat bering, lekin suhbat yoki fayl uzatishni taqiqlang. Shunga ko'ra, Policy Optimizer bu haqda gapiradi va siz qaror qabul qilishingiz mumkin: barcha Facebook ilovalariga ruxsat bermang, faqat asosiylariga.
Shunday qilib, biz ro'yxatlar boshqacha ekanligini angladik. Qoidalar faqat tarmoqda harakatlanadigan ilovalarga ruxsat berishiga ishonch hosil qilishingiz mumkin. Buning uchun siz MatchUsage tugmasini bosing. Bu shunday chiqadi:
Shuningdek, siz kerakli deb hisoblagan ilovalarni qo'shishingiz mumkin - oynaning chap tomonidagi Qo'shish tugmasi:
Va keyin bu qoidani qo'llash va sinab ko'rish mumkin. Tabriklaymiz!
Belgilangan ilovalar yo'q-ni bosing.
Bunday holda, muhim xavfsizlik oynasi ochiladi.
Sizning tarmog'ingizda L7 darajasidagi dastur aniq ko'rsatilmagan bunday qoidalar ko'p bo'lishi mumkin. Va mening tarmog'imda shunday qoida bor - eslatib o'taman, men buni dastlabki sozlash paytida, xususan, Policy Optimizer qanday ishlashini ko'rsatish uchun qilganman.
Rasmda AllowAll qoidasi 9-martdan 17-martgacha boΚ»lgan davrda 220 gigabayt trafikga ruxsat berganligini koΚ»rsatadi, bu mening tarmogΚ»imdagi 150 ta turli ilovalar. Va bu etarli emas. Odatda, o'rtacha kattalikdagi korporativ tarmoqda 200-300 xil ilovalar mavjud.
Shunday qilib, bitta qoida 150 ta ilovadan o'tishga imkon beradi. Odatda bu xavfsizlik devori to'g'ri sozlanmaganligini anglatadi, chunki odatda bitta qoida turli maqsadlar uchun 1-10 ta ilovaga ruxsat beradi. Keling, ushbu ilovalar nima ekanligini ko'rib chiqaylik: Taqqoslash tugmasini bosing:
Siyosat optimallashtiruvchisi funksiyasidagi administrator uchun eng ajoyib narsa bu βMatch Usageβ tugmasi β siz bir marta bosish bilan qoida yaratishingiz mumkin, u yerda qoidaga barcha 150 ta ilovani kiritasiz. Buni qo'lda qilish ancha vaqt talab etadi. Administrator ishlashi uchun vazifalar soni, hatto mening 10 ta qurilmadan iborat tarmog'imda ham juda ko'p.
Menda 150 ta turli xil ilovalar uyda ishlaydi, ular gigabayt trafikni uzatadi! Va sizda qancha bor?
Ammo 100 ta qurilma yoki 1000 yoki 10000 ta tarmoqda nima sodir bo'ladi? Men 8000 ta qoidaga ega xavfsizlik devorini ko'rdim va endi ma'murlar bunday qulay avtomatlashtirish vositalariga ega ekanligidan juda xursandman.
NGFW-dagi L7 ilovalarni tahlil qilish moduli ko'rgan va ko'rsatgan ba'zi ilovalar tarmoqda kerak bo'lmaydi, shuning uchun siz ularni ruxsat beruvchi qoidalar ro'yxatidan olib tashlashingiz yoki Clone tugmasidan (asosiy interfeysda) va qoidalarni klonlashingiz mumkin. ularga bitta dastur qoidasida ruxsat bering va siz boshqa ilovalarni bloklaysiz, chunki ular sizning tarmog'ingizga kerak emas. Bunday ilovalar ko'pincha bittorent, steam, ultrasurf, tor, tcp-over-dns va boshqalar kabi yashirin tunnellarni o'z ichiga oladi.
Keling, boshqa qoidani bosing va u erda nimani ko'rishingiz mumkinligini ko'rib chiqaylik:
Ha, multicast uchun odatiy ilovalar mavjud. Biz ularga onlayn video ko'rish uchun ruxsat berishimiz kerak. Foydalanishni moslashtirish-ni bosing. Ajoyib! Siyosat optimallashtiruvchisi uchun rahmat.
Mashinani o'rganish haqida nima deyish mumkin?
Endi avtomatlashtirish haqida gapirish moda. Men tasvirlagan narsa chiqdi - bu juda ko'p yordam beradi. Men gapirishim kerak bo'lgan yana bir imkoniyat bor. Bu yuqorida aytib o'tilgan Expedition yordam dasturiga o'rnatilgan Machine Learning funksiyasi. Ushbu yordam dasturida siz eski xavfsizlik devoringizdan qoidalarni boshqa ishlab chiqaruvchidan o'tkazishingiz mumkin. Shuningdek, mavjud Palo Alto Networks trafik jurnallarini tahlil qilish va qanday qoidalarni yozishni taklif qilish imkoniyati mavjud. Bu Policy Optimizer funksiyasiga o'xshaydi, lekin Expedition-da u yanada kengaytirilgan va sizga tayyor qoidalar ro'yxati taklif etiladi - siz ularni faqat tasdiqlashingiz kerak.
Ushbu funksionallikni sinab ko'rish uchun laboratoriya ishi mavjud - biz uni sinov drayv deb ataymiz. Ushbu test virtual xavfsizlik devoriga kirish orqali amalga oshirilishi mumkin, bu sizning so'rovingiz bo'yicha Moskvadagi Palo Alto Networks ofisining xodimlari ishga tushiriladi.
So'rovni quyidagi manzilga yuborish mumkin [elektron pochta bilan himoyalangan] va so'rovda: "Men Migratsiya jarayoni uchun UTD qilmoqchiman" deb yozing.
Darhaqiqat, Unified Test Drive (UTD) deb nomlangan laboratoriya ishi bir nechta variantga ega va ularning barchasi so'rovdan keyin.
So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. iltimos.
Kimdir xavfsizlik devori siyosatingizni optimallashtirishda yordam berishini xohlaysizmi?
-
ekan
-
yo'q
-
Hammasini oβzim qilaman
Hozircha hech kim ovoz bermagan. Betaraflar yoβq.
Manba: www.habr.com