Artykuły

W piątej lekcji z cyklu "R80.x Training Videos" skoncentrujemy się na polityce typu Threat Prevention. W poprzedniej lekcji poznaliśmy koncepcję polityki typu Access - polityka dostępu:

• kto i do czego ma dostęp;
• reguły dotyczące osób, grup ludzi, sieci, adresów, serwerów;
• reguły dotyczące usług, aplikacji, URL-i, rodzajów danych, kierunku transmitowanych danych.

Dzisiejsza lekcja poświęcona jest polityce typu Threat Prevention, która ukierunkowana jest na ochronie przed atakami: reguły blokowania, intruzów, wirusów, ataków zero-day, ataków APT, botnetów. Służy do neutralizacji zagrożeń.

Threat Prevention Policy jest centralnym miejscem, w którym zarządzamy i wykorzystujemy moduły bezpieczeństwa:

• IPS
• Anti-Virus
• Anti-Bot
• Threat Emulation/Threat Extraction

Dzięki rozdzieleniu polityk dostępu i polityk blokowania zagrożeń oraz nowej architekturze zarządzania możemy w łatwy sposób wdrożyć w naszej organizacji dobre praktyki związane z zarządzaniem Software Defined Protection. Wyodrębnić obowiązki kontroli dostępu do sieci, aplikacji, url filtering itp. dedykowane dla zespołu administratorów sieciowych, od zadań zespół bezpieczeństwa (incident response team) skupiającego się na ochronie przed atakami oraz nadzorowaniu ruchu internetowego i podejmowaniu natychmiastowych akcji w razie pojawienia się zagrożenia.

Ujednolicone reguły polityki typu Threat Prevention pozwalają na wykorzystywanie wielu profili bezpieczeństwa dla jednej bramy sieciowej. Zakres ochrony możemy definiować dla "Protected Scope" - obszarów sieci który chcemy chronić (tj. Strefy, vlany, sieci, grupy, hosty).

Threat Prevation Profil jest miejscem w którym wybieramy z których mechanizmów ochrony (IPS, Anti-boot, Anti-virus, Threat Emulation, Threat extraction) oraz w jaki sposób chcemy skorzystać.

Ochrona IPS, istniejąca jako oddzielna polityka ochrony we wcześniejszych wersjach, od wersji R80.10 stała się częścią profilu Threat Prevation. Dzięki temu IPS przestał być definiowany globalnie i uzyskaliśmy możliwość równoczesnej pracy wielu profili ochrony IPS.

W nowe wersji mamy również rozdzielenie ochrony przed naruszeniem protokołu (protocol violations) takimi jak "Non Compliant HTTP" lub "Aggressive Aging" od moduły ochrony IPS.

Ochrona niezgodnościami protokołu dostępna w ramach polityki dostępu "Manage settings & objects > Inspection Settings", nie wymaga już dostępności moduł IPS.

Dla reguł polityki Threat Prevation możemy tworzyć wyjątki. Globalne wykluczenia lub wyjątki bazujące na określonym module bezpieczeństwa (np. wyłączenie modułu AntiVirus dla określonej sterfy). Dodatkowo można również tworzyć grupy wyjątków, które są przyłączane ręcznie dla wskazanych reguł, per profil lub automatycznie dla wszystkich reguł.

Nowa koncepcja warstw polityk bezpieczeństwa omawiana na wcześniejszych lekcjach ma również zastosowanie w politykach Threat Prevation. W politykach dostępowych Access Control mieliśmy do czynienia z warstwami szeregowymi: Ordered layer oraz warstwami zagnieżdżonymi: Inline layer (szczegółowo opisane w lekcji nr 3).

W Threat Prevation mamy do czynienia z warstwami mulit-match gdzie ruch jest dopasowywany do wszystkich warstw w tym samym czasie. Stosowanie warstw zapewnia maksymalną elastyczność w egzekwowaniu ochrony w modułach wykonawczych. Warstwy możemy stosować w zależności od potrzeb dla rozdzielenia obszarów sieci które chcemy chronić, np. jedna warstwa dla ochrony serwerów, druga warstwa dla ochrony strefy DMZ inna dla ochrony użytkowników. Dla każdej z warstw możemy definiować oddzielne grupy administratorów. Można również stosować oddzielne warstwy dla modułów ochrony, np. warstwa IPS, dedykowana warstwa ochrony Anti-Boot itp.

Dla warstwowych polityki Thret Prevention każde połączenie sieciowe jest analizowane przez silniki TP Matching Engine. Inspekcja prowadzona jest od góry do dołu dla zestawu reguł jednocześnie i niezależnie dla wszystkich warstw. W ten sposób dany ruch może zostać dopasowany do kilku reguł. Dla takiego ruchu egzekwowana jest reguła o najbardziej rygorystycznym działaniu.