Best Practices für den Einsatz von Content-Updates

Best Practices für den Einsatz von Content-Updates

61941
Created On 09/25/18 19:02 PM - Last Modified 06/08/23 03:03 AM


Resolution


Wenn Sie Palo Alto Networks Firewalls der nächsten GeneRation besitzen und Software-Updates verwalten, einschließlich dynamischer Updates, lernen Sie bewährte Praktiken und Empfehlungen, um einen reibungslosen Einsatz von wöchentlichen Inhalten von Palo Alto Networks zu gewährleisten.

 

Frage: Wie kann ich bewährte Praktiken anwenden, die auf der Größe oder Art meiner Organisation basieren?

 

Szenario 1: Ich habe missionskritische Anwendungen, aber keine Inszenierung oder Testumgebung

Wir empfehlen Ihnen, die "Threshold"-Fähigkeit zu nutzen, um eine verzögerte Einführung von Content-Updates zu haben. Um dies zu tun, konfigurieren Sie jede Firewall, um Inhalte-Releases automatisch mit einem verzögerten Timer herunterzuladen und zu installieren.

Dies kann unter Device-> Dynamic Updates-> Anwendungs-und Bedrohungs Aktualisierungen-> Zeitplan konfiguriert werden.

 

Wir empfehlen einen Wert von 24 Stunden oder mehr, wenn Sie missionskritische Anwendungen in Ihrer Umgebung haben. 

BildschirmFoto 2017-08-31 bei 10.50.34. png

 

Falls Sie die Installation von Inhalten nicht um 24 Stunden oder mehr verzögern können, empfehlen wir Ihnen, einen gestaffelten Ansatz zu verwenden, um Inhalte an Orten zu installieren, die weniger Benutzer haben. Sie können Inhalte automatisch an weniger kritischen Orten und/oder Umgebungen mit weniger Nutzern installieren, aber Sie sollten die Option "Schwelle" für andere Standorte verwenden, die mehr Benutzer haben oder mehr kritische Anwendungen oder IT-Infrastruktur haben.

 

Szenario 2: Ich habe missionskritische Anwendungen und ich habe die Ressourcen, um eine eigene Inszenierung oder Testumgebung zu schaffen

 

Sie möchten die Auswirkungen der modifizierten und neuen APP-ID es in Ihrem Netzwerk ausgiebig testen, bevor Sie die Content-Version installieren und Sicherheits-Regel Aktualisierungen in Ihrer Produktionsumgebung vornehmen. Gehen Sie folgendermaßen vor.

 

Als ersten Schritt, natürlich, studieren Sie die VeröffentlichungsHinweise, um die Änderungen zu verstehen.

 

Der zweite Schritt ist, die Auswirkungen dieser Änderungen auf Ihren Netzwerkverkehr zu sehen. Dazu braucht man eine inszenierungs Umgebung, in der man die Veränderungen testen kann, ohne den Produktions Verkehr zu beeinträchtigen. Es gibt zwei Möglichkeiten, eine inszenierungs Umgebung zu schaffen.

 

Option 1: Verwenden Sie Test Clients, um den Produktions Verkehr in ihrer Inszenierung zu simulieren

 

Die inszenierungs Umgebung muss zumindest alle kritischen Anwendungen enthalten, so dass Sie die neue Content-Version ausführen und die Auswirkungen auf diese kritischen Anwendungen verstehen können. Um dies zu tun, stellen Sie die Umgebung ein, führen Sie Tests durch und analysieren Sie die Ergebnisse wie folgt.

 

Die Umwelt einrichten

 

  • Stellen Sie eine Test-Firewall ein (Dies kann Hardware oder virtuelle Firewall sein). Dies muss die Konfiguration Ihrer Produktions-Firewall nachahmen. Um dies zu tun, exportieren Sie die Konfiguration auf Ihrer Produktions-Firewall und importieren Sie Sie auf Ihrer Test-Firewall. Folgen Sie der Backup-und Wiederherstellung der Funktionalität,die unter Manage-Konfigurations Sicherungenim Leitfaden des Pan-OS-Administrators beschrieben ist.   
  • Stellen Sie Test Clients ein (das können auch physische Clients oder virtuelle Maschinen sein). Diese müssen die Konfiguration ihrer eigentlichen Clients nachahmen. Installieren Sie das notwendige Betriebssystem und die Anwendungen, die Ihre Kunden verwenden. Alternativ können Sie bestehende Clients in Ihrem Labor oder in Ihrer Entwicklungsumgebung nutzen.

 

Tests DurchFühren

 

Leiten Sie den Netzwerkverkehr der Testkunden durch die Test-Firewall.

 

Erfassen Sie das Verkehrsmuster mit einem benutzerdefinierten Bericht, wie im Screenshot unten gezeigt. Dieser Bericht erfasst die Anzahl der Sitzungen für jede Anwendung unter jeder Sicherheitsregel. In diesem Bericht haben wir unseren Blick auf den Datenverkehr der Testkunden mit einem Subnet-Filter auf der Adress Quelle beschränkt. Führen Sie den Bericht aus und speichern Sie die Ergebnisse. Weitere Informationen zum Einrichten, ausführen und Speichern von Berichten finden Siein der Rubrik Management-Reportingim Leitfaden des Pan-OS-Administrators.   

 

Picture8.png

 

Installieren Sie nun die neue Content-Version auf der Test-Firewall. Bei Bedarf Änderungen an Ihren Sicherheitsregeln auf der Grundlage der Empfehlungen in den VeröffentlichungsHinweisen vornehmen.

 

Wieder einmal den Netzwerkverkehr der Testkunden durch die Test-Firewall leiten. Den Custom-Report noch einmal ausführen.

 

Analysieren die Ergebnisse

 

Vergleichen Sie den benutzerdefinierten Bericht vor und nach der Installation der neuen Content-Version. Wenn das Verkehrsmuster gleich ist, haben Sie diesen Schritt erfolgreich abgeschlossen. Lesen Sie den Abschnitt unten mit dem Titel "Installation und Konfiguration der neuen Content-Version in Ihrer Produktionsumgebung".

 

Wenn die Verkehrsmuster unterschiedlich sind, hat man einiges zu tun. Lesen Sie noch einmal die VeröffentlichungsHinweise für die neue Content-Veröffentlichung. Anhand der Informationen über die VeröffentlichungsHinweise und die Protokolle auf der Test-Firewall wird herausfinden, warum die Verkehrsmuster unterschiedlich sind. Zum Beispiel klassifizieren die neuen App-IDs den Traffic jetzt anders, also müssen Sie neue Sicherheitsregeln einfügen, die die neuen App-IDs enthalten und diesen Verkehr ermöglichen? Möglicherweise müssen Sie einige Male Änderungen an den Sicherheitsregeln auf Ihrer Test-Firewall vornehmen und die Tests erneut durchmachen, bis eines der folgenden Fälle passiert:

  • Entweder entspricht das Verkehrsmuster dem Muster, bevor die neue Content-Version installiert wurde, oder
  • Sie sind zufrieden, dass das veränderte Verkehrsmuster das ist, was Sie wollen.

 

Ein Beispiel für letzteres Szenario ist, dass Sie sich entscheiden, das Verbraucher Büro 365 Traffic nach der Installation der neuen Content-Version zu sperren.

 

Option 2: Verwenden Sie Paketaufnahmen (PCAPs), um den Produktions Verkehr in ihrer inszenierungs Umgebung zu simulieren

 

Diese Option eignet sich für verschiedene Einsätze, bei denen die Firewall-Politik je nach Standort variiert. Aufgrund der unterschiedlichen Verkehrs Profile ist es schwierig, ein paar Clients so zu konfigurieren, dass Sie die gesamte Reihe von Anwendungen, die in der gesamten Organisation im Einsatz sind, nachahmen. Gehen Sie folgendermaßen vor.

 

Die Umwelt einrichten

 

  • Nehmen Sie an jedem wichtigen Ort in den Hauptverkehrszeiten Packungs Aufnahmen (PCAPs). Wenn Sie Paketaufnahmen auf der Palo Alto Networks-Firewall der nächsten Generation machen möchten, konsultieren Sie den AbschnittTake-Paket-Aufnahmen im Leitfaden des Pan-OS-Administrators.   
  • Stellen Sie die Test-Firewall ein, um Ihre Produktions-Firewall-Konfiguration zu imitieren, wie im vorherigen Abschnitt beschrieben. Da die Firewall-Konfiguration an jedem Ort unterschiedlich sein kann, können Sie verschiedene Sicherheitszonen auf der Test-Firewall verwenden, um die Firewall-Konfiguration an jedem Ort darzustellen. Weitere Informationen finden Sieim Segment Ihr Netzwerk mit Schnittstellen und Zonenim Leitfaden des Pan-OS-Administrators.   

 

Tests DurchFühren

 

Test, wie unter Option 1 beschrieben, mit dem Unterschied, dass der Traffic mit PCAPs an die Firewall gesendet werden muss, anstatt die Test Clients zu verwenden. Erstellen Sie kundenspezifische Berichte, um das Verkehrsmuster zu erfassen, wie unter Option 1 beschrieben.

 

Analysieren die Ergebnisse

 

Folgen Sie noch einmal den unter Option 1 beschriebenen Schritten.

 

Nun, da Sie den Traffic in einer Testumgebung getestet haben und mit den Ergebnissen zufrieden sind, sind Sie bereit, die neue Content-Version in Ihrer Produktionsumgebung einzusetzen.

 

Szenario 3: Sie haben eine kleine Anzahl von APP-ID-Richtlinien und eine kleine Organisation

 

Sie benötigen wahrscheinlich keine umfangreiche Vorbereitungs-oder Testphase. Wir empfehlen Folgendes:

 

  1. Studieren Sie die VeröffentlichungsHinweise, um die Änderungen zu verstehen.
  2. Bevor Sie eine Content-Version installieren, überprüfen Sie die politischen Auswirkungen für neue APP-IDs und inszenieren Sie alle notwendigen politischen Updates. Auf diese Weise können Sie die Behandlung, die eine Anwendung sowohl vor als auch nach der Installation der neuen Inhalte erhält, beurteilen und dann alle damit verbundenen politischen Aktualisierungen vorbereiten, um gleichzeitig mit der Installation der Content-Version wirksam zu werden. Um dies zu tun, verwenden Sie das Feature namensPolicy Impact Review für neue Content-Veröffentlichungen, die in Pan-OS 7,0 eingeführt wurde.   Diese Funktion beinhaltet die Möglichkeit, bestehende Sicherheitsrichtlinien mit anhängigen App-IDs zu ändern. Anhängige App-IDs sind Anwendungs Unterschriften, die in einer heruntergeladenen Content-Version enthalten sind (vor der Installation der neuen Inhalte). Folgen Sie dem Leitfaden des PAN-OS-Administrators, um diese Funktion zu nutzen:https://www.paloaltonetworks.com/Documentation/71/Pan-OS/Pan-OS/App-ID/Manage-New-App-IDs-introduced-in-Content-Releases  

 

Frage: Woher weiß ich, was in jeder Content-Version steckt?

 Es gibt 3 Möglichkeiten, zu sehen, was in jeder Content-Version ist.

 

1. Per e-Mail benachrichtigt werden

 

  • Visit https://support.paloaltonetworks.com
  • Anmelden oder anmelden
  • Klicken Sie auf Ihren Benutzernamen > Profil bearbeiten
  • Klicken Sie auf das Kästchen Next, um die E-Mails von Content Update zu abonnieren. Siehe Abbildung 1 unten.
  • Sie erhalten nun e-Mails, wenn neue Content-Updates veröffentlicht werden.

 

Picture1.png

 

2. Lesen Sie die VeröffentlichungsHinweise auf dem Support-Portal

 

  • Besuchen Sie die Content-Release-Notizen (Dynamic Updates) auf dem Palo Alto Networks-Support-Portal: https://support.paloaltonetworks.com/Updates/DynamicUpdates/
  • Anmelden oder anmelden
  • Klicken Sie auf Release-Notizen für die Content-Release-Version, die Sie benötigen, wie in Abbildung 2 unten gezeigt.

Picture2.png

 

3. Lesen Sie die VeröffentlichungsHinweise auf Ihrer PAN-OS-Management-Schnittstelle

 

  • Loggen Sie sich in Ihr PAN-OS-Management-Interface ein.
  • Gehen Sie zum Gerät > dynamische Updates.
  • Klicken Sie auf Release-Notizen unter Dokumentation, wie in Abbildung 3 unten gezeigt.

Picture3.png

 

Frage: Ich sehe die VeröffentlichungsHinweise. Wie mache ich Sie sinnvoll?

 

Die VeröffentlichungsHinweise sind in den folgenden Abschnitten organisiert.

 

Hinweise

 

Picture4.png

 

Dieser Abschnitt enthält allgemeine Notizen über die Veröffentlichung, zum Beispiel die Arten von App-IDs, die in dieser Content-Version eingeführt wurden.

 

Darüber hinaus listet er auch Änderungen auf, die sich auf Ihre bestehenden Richtlinien auswirken können, zum Beispiel neue URL-Filter Kategorien. Für solche Änderungen bietet es empfohlene politische Änderungen, um die Vorteile der Änderungen zu nutzen.

 

Neue Anwendungen (n)

 

Picture5.png

 

  • Was ist eine neue Anwendung? Dieser Abschnitt zeigt die neue APP-IDs, die in dieser Content-Version eingeführt wurde, ' n ' ist die Anzahl der neuen App-IDs. die Spalte hängt von eventuell einer Erklärung ab, und der beste Weg, Sie zu erklären, ist, ein Beispiel zu verwenden. Die neue APP-ID Slack-File-Transfer hängt von der bestehenden APP-ID Slack ab. Das bedeutet, dass die APP-ID Slack für die neue APP-ID aktiviert werden muss. Diese Informationen können bei der Fehlerbehebung hilfreich sein, wenn die neue APP-ID aus irgendeinem Grund nicht funktioniert. Die zuvor identifizierte Spalte zeigt, wie die Anwendung vor dieser Inhalts Veröffentlichung identifiziert wurde. Nehmen wir hier ein anderes Beispiel. Zum Beispiel wurde vor dieser Content-Veröffentlichung jeder Traffic für 8x8 als eine Mischung aus Web-Browsing, SSL, RTMPT, SIP, Jabber und RTMP identifiziert.
  • Was bedeutet das für Sie? Bleiben Sie beim letzten Beispiel, mit dem neuen Content-Update wird der Traffic als 8x8 anstelle von Web-Browsing, SSL und so weiter identifiziert. Und wenn Sie keine Sicherheitsregel für 8x8 haben, kann dieser Traffic auf der Grundlage Ihrer Standard-Denial-Regel blockiert werden. Fügen Sie also die neue APP-ID für 8x8 zu ihren Sicherheitsregeln hinzu, um eine Störung für diesen Anwendungs Verkehr zu vermeiden. PAN-OS 7,0 hat die Funktion "Content Update Control" eingeführt, um Kunden bei der Verwaltung neuer App-IDs zu helfen. Weitere Details zu diesem Feature finden Sie unter: https://www.paloaltonetworks.com/Documentation/71/Pan-OS/Pan-OS/App-ID/Manage-New-App-IDs-introduced-in-Content-Releases  

 

Modifizierte Anwendungen (n)

 BildschirmFoto 2016-08-19 bei 08.06.15. png

 

  • Was ist eine modifizierte Anwendung? EINE modifizierte Anwendung ist eine APP-ID-Signatur, die für die Genauigkeit verbessert wurde. Eine solche Änderung kann aus vielen Gründen durchgeführt werden, wie zum Beispiel Funktionsänderungen, eine neue Version oder eine verbesserte Abdeckung auf verschiedenen Plattformen.
  • Was bedeutet das für Sie? Die Folgen hängen von Ihrem Anwendungsfall für die Anwendung und dem Umfang der Änderung ab. In vielen Fällen hat die Modifikation keine Auswirkungen auf den Netzwerkverkehr, weil sich die Änderungen auf andere Versionen der Anwendung, Betriebsumgebungen, die nicht in Gebrauch sind, oder Anwendungsfunktionen, die nicht weit verbreitet wurden, auswirken. Wenn die modifizierte APP-ID signifikante Deckungs Verbesserungen einführte, kann die Anwendung im Vergleich zur vorherigen Content-Version als eine andere APP-ID erkannt werden. In den meisten Fällen wird die Anwendungsabdeckung verbessert, indem der Anwendungs Verkehr von der Eltern Anwendung der modifizierten APP-ID getrennt wird. Ein Beispiel dafür ist die SOAP-Anwendung, die im Abschnitt modifizierte Anwendungen der Abbildung 4 angezeigt wird. Die übergeordnete Anwendung von SOAP, oder die Anwendung, die es "abhängt", ist Web-Browsing, das ist die APP-ID, auf die die meisten SOAP-Traffic vor der Content-Version 545 zugeschrieben wurde. Daher sollte die SOAP-APP-ID gegen Web-Browsing-Richtlinien ausgewertet werden, die kritische Dienste im Netzwerk beeinflussen. Verwenden Sie den gleichen Prozess, wenn eine kritische Anwendung durch ein Content-Update modifiziert wird. In vielen Fällen kann dieser Policy-Update-Prozess durch die Verwendung von Anwendungs Gruppen, die die Aktualisierung vieler Sicherheitsregeln mit einer einzigen Konfigurationsänderung ermöglichen, stark vereinfacht werden.

 

Modifizierte Decoder (n)

 

Picture7.png

 

  • Was ist ein neuer Decoder? Decoder sind gängige Infrastruktur Elemente, die sowohl für die APP-ID-basierte Verkehrs Klassifizierung als auch für die Bedrohungs Unterschriften-Anpassung verwendet werden. Dieser Abschnitt zeigt die Decoder, die in dieser Content-Version modifiziert wurden, "n" ist die Anzahl der modifizierten Decoder.
  • Was bedeutet das für Sie? Diese Informationen sind informativ. Oft werden App-IDs gewechselt, weil eine Änderung in einer IPS-Signatur erforderlich war, weil APP-ID und IPS-Signaturen eine gemeinsame Infrastruktur haben. 

 

Frage: Wie bekomme ich frühzeitige Sichtbarkeit in anstehende Content-Veröffentlichungen, damit ich besser planen kann?

 

In Zusammenarbeit mit unseren Kunden haben wir eine Politik der frühzeitigen Benachrichtigung für Content-Release-Updates angenommen, die eine Änderung Ihrer Sicherheitsrichtlinien erfordern kann. Dies kann passieren, wenn sich die Abhängigkeiten einer APP-ID ändern, oder wenn eine Signatur-Verbesserung zu einer signifikanten Änderung der Abdeckung führt. Solche Updates sind notwendig, um mit den sich schnell verändernden Anwendungen und Anwendungsfunktionen Schritt zu halten.

 

Um Ihnen einen Insider-Einblick in unsere Prozesse zu geben, führen wir eine wöchentliche interne Rezension durch, bei der alle signifikanten Änderungen der APP-ID überprüft werden, um festzustellen, ob Sie die oben genannten Kriterien für die frühzeitige Benachrichtigung erfüllen. Wenn die Antwort ja ist, beschreiben wir die bevorstehende Änderung in zwei für eine – die Release-Notizen und die Palo Alto Networks Live-Community. Für außergewöhnlich signifikante Änderungen fügen wir auch Platzhalter-App-IDs und Decoder 4 Wochen vor der eigentlichen Änderung hinzu. Dies ermöglicht es Ihnen, diese Platzhalter in ihren Sicherheitsregeln vor der Änderung hinzuzufügen.

 

Notizen Abschnitt der veröffentlichungsHinweise

 

Der Notizen-Abschnitt der VeröffentlichungsHinweise erwähnt solche zukünftigen Updates. Wir bieten auch Hinweise zu den Maßnahmen, die auf Ihrer Firewall-Konfiguration erforderlich sind. Hier ist ein Beispiel für eine solche frühe Benachrichtigung, die für die Content-Version 597, am 8. Juli 2016, enthalten ist. Da wir dies als eine außerordentlich bedeutsame Veränderung betrachteten, haben wir nicht nur die bevorstehende Änderung beschrieben, sondern auch Platzhalter-App-IDs und Decoder.

 

Dieses Content-Update beinhaltet die Platzhalter-App-IDs ("office365-Enterprise-Access" & "office365-Consumer-Access") und Platzhalter-entschlüsseln-Kontext "http-req-MS-Subdomain" für pattern-Match unter benutzerdefinierten Anwendungs Unterschriften. Ab diesem Update werden diese APP-IDs und der entschlüsseln-Kontext streng als Platzhalter zur Unterstützung der politischen Migration bereitgestellt und werden keine bestehenden APP-ID-Richtlinien beeinflussen.

 

Palo Alto Networks ermuntert Kunden nachdrücklich, die FAQ über die Palo Alto Networks-Community auf https://Live.paloaltonetworks.com/T5/Management-articles/FAQ-Office-365-Access-Control/Ta-p/94949 zu verfolgen, um mehr über diese Änderung zu erfahren. und seine Auswirkungen auf die bestehende Firewall-Politik.

 

In der Woche vom 29. August 2016 plant Palo Alto Networks, diese APP-IDs und den entschlüsseln-Kontext funktionell zu aktivieren, um bestehende Office 365 APP-ID-Funktionen zu erweitern, indem die Zutrittskontrolle für Microsoft Office 365 gewährleistet wird.

 

Palo Alto vernetzt Live Community

 

Die Palo Alto Networks Live-Community enthält häufig gestellte Fragen, Videos und Artikel mit Anwendungsfall Beispielen. Dies hilft Ihnen, die Konfigurationsänderungen zu verstehen, die auf Ihren Palo Alto Networks der Next-Generation-Firewall erforderlich sein könnten. Hier ein Beispiel für eine solche Benachrichtigung:

 

https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949

 

Da die Live-Community interaktiv ist, können Sie Kommentare Posten und Fragen an andere Kunden und die Mitarbeiter von Palo Alto Networks stellen.

 

Frage: Was, wenn es noch schief geht?

 

Sie folgten den besten Praktiken, aber aufgrund eines Fehlers, oder etwas, das übersehen wurde, oder falscher Analyse der inszenierungs-Umgebungs Testergebnisse, wird der Produktions Verkehr auf unbeabsichtigte Weise erlaubt oder blockiert.

 

In einem so unwahrscheinlichen Fall, vor allem wenn der geschäftskritische Traffic blockiert wird und die Zeit von entscheidender Bedeutung ist, gehen Sie zur PAN-OS-Management-Schnittstelle und navigieren Sie zu Device > Dynamic Updates > rückGängig machen, wie im Screenshot unten gezeigt. Mit einem Klick auf den Link "Rückgängig" wird die zuvor installierte Version zurück.

Picture9.png

Referenzen

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTCCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language