Access Control Policy- część 4

2019-12-19

Po pierwszych lekcjach wprowadzających nas do nowości czekających w wersji R80.x wczwartej lekcji z cyklu R80.x Training Videos rozpoczynamy omawianie budowy politykbezpieczeństwa w oparciu o nowe zunifikowane podejście.

Po pierwszych lekcjach wprowadzających nas do nowości czekających w wersji R80.x w czwartej lekcji z cyklu "R80.x Training Videos" rozpoczynamy omawianie budowy polityk bezpieczeństwa w oparciu o nowe zunifikowane podejście.

W tej odsłonie skupiny się na ujednoliconej polityce kontroli dostępu - Access Contorl Policy.

Nowy system zarządzania to nie tylko odświeżona konsola zarządzania, a wręcz przemodelowane podejście do tworzenia reguł, oraz budowania polityki bezpieczeństwa. Jednym z kluczowych elementów nowego systemy zarządzania jest sekcja - Access Contorl Policy. W której to w jednym miejscu mamy możlowiść kreowania regół dla modułów bezpieczeństwa takich jak: Firewall, Application Controll, URL Filtering, Data Awareness, Mobile access, IPSECVPN, QoS a oraz Desktop.

art_4_img_1

Dzięki konsolidacji oraz centralizacji polityk Access Contorl użytkownicy mają możliwość tworzenia oraz zarządzania z jednego miejsca konfiguracją oraz ustawieniami polityk bezpieczeństwa.

Poprwiona została również efektywność, dodano możliwości jednoczesnej pracy z wieloma paczkami polityk (tzw. Policy Packages - zbiór różnych typów polityk, które instalowane są razem na tych samych zaporach sieciowych). Dzięki czemu mamy możliwość w łatwy i szybki sposób kopiowania reguł pomiędzy różnymi paczkami.

Przycisk "Install Policy" dostępny w sekcji Access Control umożliwia instalacje tylko polityki (paczki polityk) na której właśnie pracujemy. Jak zapewne pamiętamy z lekcji poprzednich przycisk "Install Policy" jest również dostępny w sekcji głównej SmartConsol i przy jego użyciu mamy możliwość instalacji dowolnej wybranej i wskazanej przez nas paczki polityki. Po wciśnięciu przycisku "Install Policy" dostajemy informację o ilości zmian jakie zostały wprowadzone od ostatniej instalacji polityki jak również widzimy liczbę administratorów, którzy dokonywali zmian. W Audit Logs mamy możliwość sprawdzenia dokładnych szczegółów takich jak która reguła, czy jaki obiekt został dodany albo zmodyfikowany. Daje nam to lepsze zrozumienie i większą widoczność zmian w polityce jakie zostały wykonane. Następną opcją dostępną w Access Policy jest "Actions" gdzie możemy wyeksportować naszą politykę w postaci pliku csv, lub mamy możliwość sprawdzenia historii wprowadzanych zmian oraz przywrócenia wcześniejszych wersji danej polityki.

art_4_img_2

Bardzo ciekawą oraz przydatną funkcją jest możliwość podglądu logów wygenerowanych przez konkretną regułę bezpośrednio w oknie polityki. Klikając wybraną regułę i wybierając zakładkę "Logs" mamy szybki podgląd na ruch w dopasowany i zalogowany przez tą regułę.

Jak pracować z polityką Access Control oraz warstwami Ordered i Inline

Aby móc wykorzystać możliwości jakie daje nam ujednolicona polityka Access Control wymagane jest używanie zapór sieciowych w wersji co najmniej R80.10. We wcześniejszych wersjach każda z funkcjonalności Access Control ( FW, APPI&URLF, Data Awareness oraz Mobile Access) zarządzana, konfigurowana była w oddzielnych politykach. Jedna polityka Access Control upraszcza również dostęp do informacji z ruchu, w jednym logu mamy szczegółową informację świadomą przepływu danych jak i wykorzystywanych aplikacji.

art_4_img_3

Przypominając informację z poprzednich lekcji, każda polityka bezpieczeństwa składa się z przynajmniej jednej warstwy, każda warstwa zbudowana jest z zestawu reguł. Tworząc lub edytując warstwę mamy możliwość aktywacji/deaktywacji modułów bezpieczeństwa (Blade) których chcemy użyć w naszej polityce. Polityka Accces contorl może składać się z jednej warstwy lub wielu warstw z włączonymi wybranymi modułami bezpieczeństwa.

W obszarze kreowania reguł dla polityk Access control mamy nową kolumnę "Services & Applications", która umożliwia budowę reguł zarówno z wykorzystaniem kryterium opartym na serwisach (protokołach komunikacyjnych, portach) jak również bazując na aplikacjach. Dla każdej aplikacji mamy domyślnie wybrane rekomendowane serwisy, które możemy w razie potrzeby ręcznie zmienić.

art_4_img_4

Kolejną nowością w wersji R80 jest Data Awareness (od wersji R80.10 przemianowana na Content Awareness). Content Awareness wykorzystuje predefiniowane typów danych do inspekcję protokołów SMTP, HTTP(s), FTP, ma możliwość kontroli ruchu wychodzącego jak i przychodzącego. Dzięki połączeniu informacji o danych z kontrolą aplikacji oraz z kierunku transmisji mamy możliwość przy pomocy jednej reguły np. zezwolić użytkownikom korzystający z aplikacji Google Drive na pobieranie plików, bez możliwości wysyłania, lub dla aplikacji Facebook wysyłanie tylko zdjęć (danych typu "Media and Image").

Kolumna Action została rozszerzona o opcje UserCheck oraz limit przepustowości. Dla każdej z akcji można dostosować indywidualną wiadomość UserCheck.

Od wersji R80.10 opcje logowania ruchu w kolumnie Track zostały rozszerzone, mamy do wyboru 4 typy logowania:

  • None - nie generuje żadnych logów.
  • Log - jest to domyślna opcja logowania , pokazuje wszystkie informacje, które brama bezpieczeństwa wykorzystała do połączenia. Zawiera co najmniej takie informacje jak adres źródłowy, adres docelowy, porty źródłowy i docelowy, jeżeli istnieje dopasowanie reguły określające aplikację lub typ danych to również te informacje zostaną zaprezentowane.
  • Detailed Log - zawiera te same informacje co Log z informacją o aplikacji, nawet jeśli reguła nie określała tego.
  • Extended Log - jest z kolei rozszerzeniem Detailed Log o informacje takie jak lista adresów URL i plików w zalogowanym połączeniu lub sesji.

art_4_img_5

Budując strategię polityki Access Control możemy w elastyczny sposób wykorzystać w prowadzone od wersji R80 podejście polityk warstwowych: Ordered i Inline.

Dzięki warstwom możemy zapewnić większe bezpieczeństwo, rozdzielając politykę bezpieczeństwa na wiele komponentów. Zapewniona jest również większa łatwość zarządzania, między innymi poprzez wprowadzenie wielu jednoczesnych administratorów oraz granularną segregację zadań.

art_4_img_6

Raz zdefiniowane polityki warstwowe można użyć w wielu różnych paczkach polityk, jak również mogą być wykorzystane w różnych trybach. Tak na przykład warstwa "Application Control & URL Filtering Layer" jest użyta w polityce "R77BCPolicy" w trybie inline oraz w polityce "Standard" w trybie Ordered.

Software Defined Protection - zarządzanie modułowe z wykorzystaniem polityki Access Control

SDP jest nowym podejściem do tworzenia i zarzadzania architekturą bezpieczeństwa. Taka architektura musi chronić organizację każdej wielkości w dowolnej lokalizacji, gdzie warstwa zarządzania musi być modułowa, aby wspierać segmentację i segregację obowiązków zarządzania.

Dla większej modułowości R80 zapewnia możliwość rozdzielenia obowiązków w zależności od potrzeb w zakresie obsługi IT lub na podstawie struktury organizacji.

art_4_img_7

Dzięki rozdzieleniu polityki na wiele warstw, oraz granularnej możliwości tworzenia profili użytkowników, per warstwa polityki możemy w zależności od potrzeb delegować w przejrzysty sposób uprawnia, role administratorów do określonych zadań. I tak można stworzyć oddzielnych administratorów dla oddziałów zdalnych, innych do zarządzania polityką w warstwie Application Control i URLF, dodatkowo uprawnienia można nadawać to edycji lub do podglądu jedynie.

Zapraszamy do obejrzenia następnych lekcji !!!

Galeria