Mejores prácticas para implementar actualizaciones de contenido

Si posee servidores de seguridad de próxima generación de Palo Alto Networks y administra actualizaciones de software, incluidas actualizaciones dinámicas, Aprenda las mejores prácticas y recomendaciones para asegurar un despliegue sin problemas de contenido semanal desde Palo Alto Networks.

 

Pregunta: ¿Cómo aplico las mejores prácticas basándome en el tamaño o la naturaleza de mi organización?

 

Escenario 1: tengo aplicaciones de misión crítica pero no hay un entorno de ensayo o de puesta en escena

Le recomendamos que utilice la capacidad "umbral" para tener una implementación retrasada de las actualizaciones de contenido. Para ello, configure cada cortafuegos para descargar e instalar automáticamente las versiones de contenido con un temporizador retrasado.

Esto se puede configurar en el dispositivo-> actualizaciones dinámicas-> aplicación y actualizaciones de amenazas-> programación

 

Recomendamos un valor de 24 horas o más si tiene aplicaciones de misión crítica en su entorno. 

 

En caso de que no pueda retrasar la instalación de contenido en 24 horas o más, le recomendamos que utilice un enfoque escalonado para instalar contenido en ubicaciones que tengan menos usuarios. Puede instalar contenido automáticamente en ubicaciones menos críticas y/o entornos con menos usuarios, pero debe utilizar la opción "umbral" para otras ubicaciones que tengan más usuarios o que tengan aplicaciones más críticas o infraestructura de ti.

 

Escenario 2: tengo aplicaciones de misión crítica y tengo los recursos para crear un entorno de prueba o de ensayo dedicado

 

Le gustaría probar el impacto de las app-id modificadas y nuevas en su red ampliamente antes de instalar la versión de contenido y hacer actualizaciones de reglas de seguridad en su entorno de producción. Siga estos pasos.

 

Como primer paso, por supuesto, estudie las notas de la versión para entender los cambios.

 

El segundo paso es ver el impacto de estos cambios en el tráfico de la red. Para ello, necesita un entorno de staging en el que pueda probar los cambios sin afectar al tráfico de producción. Existen dos opciones para crear un entorno de staging.

 

Opción 1: utilizar clientes de prueba para simular el tráfico de producción en su entorno de staging

 

El entorno de staging debe contener al menos todas las aplicaciones críticas para que pueda ejecutar la nueva versión de contenido y comprender el impacto en esas aplicaciones críticas. Para ello, configure el entorno, realice pruebas y analice los resultados de la siguiente manera.

 

Configurar el entorno

 

• Configure un cortafuegos de prueba (puede ser hardware o cortafuegos virtual). Esto debe imitar la configuración de su firewall de producción. Para ello, exporte la configuración del cortafuegos de producción e importela en el cortafuegos de prueba. Siga las funciones de copia de seguridad y restauración descritasen administrar copiasde seguridad de la configuración en la guía del administrador de pan-os.   
• Configurar clientes de prueba (estos también pueden ser clientes físicos o máquinas virtuales). Estos deben imitar la configuración de sus clientes reales. Instale el sistema operativo y las aplicaciones necesarias que sus clientes utilizan. Como alternativa, puede utilizar los clientes existentes en sus entornos de laboratorio o de desarrollo.

 

Realizar pruebas

 

Enrutar el tráfico de red de los clientes de prueba a través del cortafuegos de prueba.

 

Capture el patrón de tráfico utilizando un informe personalizado como se muestra en la captura de pantalla siguiente. Este informe captura el número de sesiones de cada aplicación en cada regla de seguridad. En este informe, hemos limitado nuestra vista al tráfico de los clientes de prueba utilizando un filtro de subred en el origen de la dirección. Ejecute el informe y guarde los resultados. Para obtener más información sobre cómo configurar, ejecutar y guardar informes, consulte lasección administrar informesen la guía del administrador de pan-os.   

 

 

Ahora instale la nueva versión de contenido en el cortafuegos de prueba. Si es necesario, realice cambios en las reglas de seguridad basándose en las recomendaciones de las notas de la versión.

 

Una vez más, enrutar el tráfico de red de los clientes de prueba a través del cortafuegos de prueba. Vuelva a ejecutar el informe personalizado.

 

Analizar los resultados

 

Compare el informe personalizado antes y después de instalar la nueva versión de contenido. Si el patrón de tráfico es el mismo, ha completado este paso con éxito. Consulte la sección siguiente titulada "instalación y configuración de la nueva versión de contenido en su entorno de producción".

 

Si los patrones de tráfico son diferentes, usted tiene un poco de trabajo que hacer. Consulte las notas de la versión para la nueva versión de contenido una vez más. Si utiliza la información de las notas de la versión y los registros del cortafuegos de prueba, averigüe por qué los patrones de tráfico son diferentes. Por ejemplo, la nueva App-IDS ahora está clasificando el tráfico de forma diferente, por lo que es necesario insertar nuevas reglas de seguridad que contengan la nueva App-IDS y permitir que el tráfico? Es posible que tenga que realizar cambios en las reglas de seguridad del cortafuegos de prueba varias veces y volver a ejecutar las pruebas hasta que ocurra una de las siguientes acciones:

• El patrón de tráfico coincide con el patrón antes de instalar la nueva versión de contenido, o bien
• Usted está satisfecho de que el patrón de tráfico cambiado es lo que desea.

 

Un ejemplo de este último escenario es que usted decide bloquear el tráfico de la oficina de consumo 365 después de instalar la nueva versión de contenido.

 

Opción 2: utilizar capturas de paquetes (PCAPs) para simular el tráfico de producción en el entorno de staging

 

Esta opción es adecuada para diversas implementaciones en las que la Directiva de cortafuegos varía según la ubicación. Debido a diversos perfiles de tráfico, es difícil configurar algunos clientes para que imiten todo el conjunto de aplicaciones que se utilizan en toda la organización. Siga estos pasos.

 

Configurar el entorno

 

• En cada ubicación importante, tome las capturas de paquetes (PCAPs) durante las horas pico. Si desea tomar capturas de paquetes en el cortafuegos de próxima generación de Palo Alto Networks, consulte la seccióntomar capturasde paquetes en la guía del administrador de pan-os.   
• Configure el cortafuegos de prueba para imitar la configuración del cortafuegos de producción como se describe en la sección anterior. Dado que la configuración del cortafuegos en cada ubicación puede ser diferente, puede utilizar distintas zonas de seguridad en el cortafuegos de prueba para representar la configuración del cortafuegos en cada ubicación. Para obtener más información, consultesegmentar su red mediante interfaces y zonasen la guía del administrador de pan-os.   

 

Realizar pruebas

 

Pruebe como se describe en la opción 1, con la diferencia de que el tráfico debe enviarse al cortafuegos utilizando PCAPs en lugar de utilizar los clientes de prueba. Cree informes personalizados para capturar el patrón de tráfico, de nuevo como se describe en la opción 1.

 

Analizar los resultados

 

De nuevo, siga los pasos descritos en la opción 1.

 

Ahora que ha probado el tráfico en un entorno de prueba y está satisfecho con los resultados, está preparado para implementar la nueva versión de contenido en su entorno de producción.

 

Escenario 3: usted tiene un pequeño número de políticas de App-ID, y una pequeña organización

 

Probablemente no necesite una fase de preparación o prueba extensiva. Recomendamos lo siguiente:

 

1. Estudie las notas de la versión para entender los cambios.
2. Antes de instalar una versión de contenido, revise el impacto de la Directiva para las nuevas App-IDs y efectúe las actualizaciones de directivas necesarias. Esto le permite evaluar el tratamiento que recibe una aplicación antes y después de instalar el nuevo contenido y, a continuación, preparar las actualizaciones de directivas relacionadas para que tengan efecto al mismo tiempo que la versión de contenido está instalada. Para ello, utilice la función denominadarevisión de impacto de políticas para las nuevas versiones de contenido, que se introdujo en pan-os 7,0.   Esta característica incluye la capacidad de modificar las directivas de seguridad existentes usando App-IDs pendientes. Pending App-IDS son firmas de aplicaciones contenidas en una versión de contenido descargada (antes de instalar el nuevo contenido). Siga la guía del administrador de PAN-OS para utilizar esta función:https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/app-id/Manage-New-App-IDS-introduced-in-Content-releases  

 

Pregunta: ¿Cómo sé lo que hay en cada versión de contenido?

 Hay tres maneras de ver lo que hay en cada versión de contenido.

 

1. Recibir notificaciones por correo electrónico

 

• Visita https://support.paloaltonetworks.com
• Regístrate o Regístrate
• Haga clic en su nombre de usuario > editar perfil
• Marque la casilla siguiente para suscribirse a los correos electrónicos de actualización de contenido. Vea la figura 1 a continuación.
• Ahora recibirá correos electrónicos siempre que se liberen nuevas actualizaciones de contenido.

 

 

2. Lea las notas de la versión en el portal de soporte

 

• Visite la versión de contenido (actualizaciones dinámicas) Notas de la versión en el portal de soporte de Palo Alto Networks: https://support.paloaltonetworks.com/Updates/DynamicUpdates/
• Regístrate o Regístrate
• Haga clic en notas de liberación para la versión de liberación de contenido que necesita, como se muestra en la figura 2.

 

3. Lea las notas de la versión en su interfaz de administración de PAN-OS

 

• Inicie sesión en la interfaz de administración de PAN-OS.
• Ir al dispositivo > actualizaciones dinámicas.
• Haga clic en notas de la versión en la documentación como se muestra en la figura 3.

 

Pregunta: veo las notas de la versión. ¿Cómo puedo entenderlos?

 

Las notas de la versión se organizan en las secciones siguientes.

 

Notas

 

 

Esta sección incluye notas generales sobre el lanzamiento, por ejemplo, los tipos de App-IDS introducidos en esta versión de contenido.

 

Además, también enumera los cambios que pueden afectar a las políticas existentes, por ejemplo, nuevas categorías de filtrado de URL. Para tales cambios, proporciona modificaciones de política recomendadas para aprovechar los cambios.

 

Nuevas aplicaciones (n)

 

 

• ¿Qué es una nueva aplicación? Esta sección muestra la nueva App-IDS introducida en esta versión de contenido, ' n ' siendo el número de nuevos App-IDS. la columna depende de puede necesitar alguna explicación, y la mejor manera de explicarlo es usar un ejemplo. La nueva App-ID holgura-File-Transfer depende de la holgura existente de app-id . Esto significa que la holgura de App-ID debe estar activada para que el nuevo app-id funcione. Esta información puede ser útil en la solución de problemas si el nuevo app-id no funciona por alguna razón. La columna previamente identificada como muestra cómo se identificó la aplicación antes de esta liberación de contenido. Vamos a tomar otro ejemplo aquí. Por ejemplo, antes de que este contenido libere cualquier tráfico para 8x8 fue identificado como una mezcla de Web-navegación, SSL, RTMPT, SIP, Jabber y RTMP.
• ¿Qué significa esto para ti? Permaneciendo con el último ejemplo, con la nueva actualización de contenido, el tráfico se identificará como 8x8 en lugar de navegar por la Web, SSL, etc. Y si no tiene una regla de seguridad para 8x8, este tráfico se puede bloquear basándose en la regla de denegación predeterminada. Así que agregue el nuevo app-id para 8x8 a sus reglas de seguridad para evitar cualquier interrupción para este tráfico de aplicación. PAN-OS 7,0 introdujo la función de "control de actualización de contenido" para ayudar a los clientes a administrar nuevas App-IDs. Más detalles sobre esta característica se pueden encontrar en: https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/app-id/Manage-New-App-IDS-introduced-in-Content-releases  

 

Aplicaciones modificadas (n)

 

 

• ¿Qué es una aplicación modificada? Una aplicación modificada es una firma app-id que ha sido mejorada para la precisión. Este cambio se puede hacer por muchas razones, como el cambio de funcionalidad, una nueva versión o una cobertura mejorada en diferentes plataformas.
• ¿Qué significa para ti? Las consecuencias dependen de su caso de uso para la aplicación y la extensión de la modificación. En muchos casos, la modificación no tiene ningún impacto en el tráfico de red porque los cambios impactan otras versiones de la aplicación, los entornos operativos que no están en uso o las funciones de aplicación que no se han implementado ampliamente. Si el App-ID modificado introdujo mejoras significativas de la cobertura, la aplicación puede ser reconocida como un APP-ID diferente cuando se compara con la versión de contenido anterior. En la mayoría de estos casos, la cobertura de la aplicación se mejora al separar el tráfico de aplicaciones de la aplicación principal del identificador de aplicación modificado. Un ejemplo de esto es con la aplicación SOAP que se muestra en la sección aplicaciones modificadas de la figura 4. La aplicación principal de SOAP, o la aplicación en la que "depende", es la navegación por la web, que es la app-id a la que se atribuyó la mayor parte del tráfico SOAP antes de la versión de contenido 545. Como resultado, el SOAP app-id debe ser evaluado contra las políticas de navegación web que impactan los servicios críticos en la red. Utilice el mismo proceso cuando se modifique una aplicación crítica mediante una actualización de contenido. En muchos casos, este proceso de actualización de políticas se puede simplificar mucho mediante el uso de grupos de aplicaciones que permiten la actualización de muchas reglas de seguridad con un único cambio de configuración.

 

Decodificadores modificados (n)

 

 

• ¿Qué es un nuevo decodificador? Los decodificadores son elementos comunes de infraestructura que se utilizan para la clasificación de tráfico basada en app-id, así como para la coincidencia de firmas de amenazas. Esta sección muestra los decodificadores que han sido modificados en esta versión de contenido, ' n ' siendo el número de decodificadores modificados.
• ¿Qué significa esto para ti? Esta información es informativa. A menudo, App-IDS se cambia porque se requiere un cambio en una firma IPS, ya que las firmas app-id y IPS comparten una infraestructura común. 

 

Pregunta: ¿Cómo puedo obtener una visibilidad temprana de las próximas versiones de contenido, para que pueda planificar mejor?

 

En colaboración con nuestros clientes, hemos adoptado una política de notificación anticipada para las actualizaciones de la versión de contenido que puede requerir un cambio en su política de seguridad. Esto puede ocurrir cuando cambian las dependencias de un identificador de App, o cuando una mejora de firmas produce un cambio significativo en la cobertura. Estas actualizaciones son necesarias para mantener el ritmo de las aplicaciones y las funciones de aplicación que cambian rápidamente.

 

Para darle una ojeada del iniciado en nuestros procesos, tenemos una revisión interna semanal donde cualquier cambio significativo de la App-identificación se escudriña para determinar si satisfacen los criterios antedichos para la notificación temprana. Si la respuesta es afirmativa, describimos el próximo cambio en dos para a – las notas de la versión y la comunidad en vivo de Palo Alto Networks. Para cambios excepcionalmente significativos, también agregamos los marcadores de marcador App-IDS y decodificadores 4 semanas antes del cambio real. Esto le permite agregar estos marcadores de condiciones en las reglas de seguridad antes del cambio.

 

Sección Notas de las notas de la versión

 

La sección Notas de las notas de la versión menciona tales actualizaciones futuras. También proporcionamos orientación sobre la acción requerida en su configuración de Firewall. A continuación se muestra un ejemplo de una notificación anticipada, incluida para la publicación de contenido 597, el 8 de julio de 2016. Dado que consideramos este cambio excepcionalmente significativo, no sólo Describimos el cambio que se avecinaba, sino que también Incluímos el marcador de marcadores App-IDS y decodificadores.

 

Esta actualización de contenido incluye el marcador de condiciones App-IDS ("Office365-Enterprise-Access" y "Office365-Consumer-Access") y el marcador de código de texto "http-req-MS-subdominio" para el patrón de coincidencia en firmas de aplicación personalizadas. A partir de esta actualización, estas App-IDS y el contexto de decodificación se proporcionan estrictamente como marcador de situación para ayudar a la migración de políticas y no afectarán a ninguna de las directivas de app-id existentes.

 

Palo Alto Networks alienta encarecidamente a los clientes a seguir las preguntas frecuentes sobre la comunidad de Palo Alto Networks en https://Live.paloaltonetworks.com/T5/management-articles/FAQ-Office-365-Access-Control/TA-p/94949 para obtener más información sobre este cambio y su impacto en las políticas de Firewall existentes.

 

La semana del 29 de agosto de 2016, Palo Alto Networks planea habilitar funcionalmente estas App-IDS y el contexto de decodificación, con la intención de aumentar las capacidades existentes de Office 365 app-id, proporcionando control de acceso para Microsoft Office 365.

 

Comunidad de Palo Alto Networks Live

 

La comunidad en vivo de Palo Alto Networks contiene preguntas frecuentes, videos y artículos con ejemplos de casos de uso. Esto le ayuda a comprender los cambios de configuración que podrían requerirse en su cortafuegos de nueva generación de Palo Alto Networks. He aquí un ejemplo de una de esas notificaciones:

 

https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949

 

Dado que la comunidad en vivo es interactiva, le permite publicar comentarios y hacer preguntas a otros clientes y empleados de Palo Alto Networks.

 

Pregunta: ¿Qué pasa si las cosas todavía van mal?

 

Ha seguido las mejores prácticas, pero debido a un error, o algo que se ha dejado de ver, o un análisis incorrecto de los resultados de la prueba del entorno de ensayo, el tráfico de producción se permite o bloquea de forma no intencionada.

 

En un evento tan poco probable, especialmente si el tráfico crítico de negocios está siendo bloqueado y el tiempo es esencial, vaya a la interfaz de administración de pan-os, y desplácese a dispositivo > actualizaciones dinámicas > revertir, como se muestra en la captura de pantalla de abajo. Al hacer clic en el enlace revertir se volverá a la versión previamente instalada.

Referencias

 

• Documentación técnica
• Portal de soporte de Palo Alto Networks
• Comunidad de Palo Alto Networks Live