Meilleures pratiques pour déployer des mises à jour de contenu

Meilleures pratiques pour déployer des mises à jour de contenu

61951
Created On 09/25/18 19:02 PM - Last Modified 06/08/23 03:03 AM


Resolution


Si vous possédez les pare-feu de prochaine génération de Palo Alto Networks et gérez les mises à jour logicielles, y compris les mises à jour dynamiques, Apprenez les meilleures pratiques et les recommandations pour assurer un déploiement en douceur du contenu hebdomadaire des réseaux Palo Alto.

 

Question: Comment puis-je appliquer les meilleures pratiques en fonction de la taille ou de la nature de mon organisation?

 

Scénario 1: J'ai des applications critiques de mission mais aucun environnement de mise en scène ou de test

Nous vous recommandons d'utiliser la fonction «seuil» pour avoir un déploiement différé des mises à jour de contenu. Pour ce faire, configurez chaque pare-feu pour télécharger et installer automatiquement les versions de contenu avec une minuterie différée.

Cela peut être configuré sous Device-> mises à jour dynamiques-> application et mises à jour des menaces-> horaire

 

Nous recommandons une valeur de 24 heures ou plus si vous avez des applications critiques de mission dans votre environnement. 

Capture d'Écran 2017-08-31 à 10.50.34. png

 

Dans le cas où vous ne pouvez pas retarder l'installation de contenu de 24 heures ou plus, nous vous recommandons d'utiliser une approche décalée pour l'installation de contenu sur des emplacements qui ont moins d'utilisateurs. Vous pouvez installer le contenu automatiquement sur des emplacements et/ou des environnements moins critiques avec moins d'utilisateurs, mais vous devez utiliser l'option «seuil» pour les autres emplacements qui ont plus d'utilisateurs ou qui ont des applications plus critiques ou une infrastructure informatique.

 

Scénario 2: J'ai des applications critiques de mission et J'ai les ressources pour créer un environnement dédié de mise en scène ou de test

 

Vous souhaitez tester l'impact des modifications et des nouveaux App-ID sur votre réseau avant d'installer la version de contenu et de rendre les mises à jour de règles de sécurité dans votre environnement de production. Procédez comme suit.

 

Dans un premier temps, bien sûr, étudier les notes de publication pour comprendre les changements.

 

La deuxième étape consiste à voir l'impact de ces changements sur votre trafic réseau. Pour ce faire, vous avez besoin d'un environnement intermédiaire où vous pouvez tester les modifications sans affecter le trafic de production. Il existe deux options pour créer un environnement de transit.

 

Option 1: utiliser les clients test pour simuler le trafic de production dans votre environnement de transit

 

L'environnement de transit doit au moins contenir toutes les applications critiques afin que vous puissiez exécuter la nouvelle version de contenu et comprendre l'impact sur ces applications critiques. Pour ce faire, configurez l'environnement, effectuez des tests et analysez les résultats comme suit.

 

Mise en place de l'environnement

 

  • Configurez un pare-feu de test (il peut s'agir du matériel ou du pare-feu virtuel). Cela doit imiter la configuration de votre pare-feu de production. Pour ce faire, exportez la configuration sur votre pare-feu de production et importez-la sur votre pare-feu de test. Suivez les fonctionnalités de sauvegarde et de restauration décrites sousgérer les sauvegardesde configuration dans le Guide de l'administrateur Pan-OS.   
  • Paramétrez les clients de test (ceux-ci peuvent également être des clients physiques ou des ordinateurs virtuels). Ceux-ci doivent imiter la configuration de vos clients réels. Installez le système d'exploitation et les applications nécessaires que vos clients utilisent. Vous pouvez également utiliser des clients existants dans vos environnements de laboratoire ou de développement.

 

Effectuer des tests

 

Acheminez le trafic réseau de tous les clients de test via le pare-feu de test.

 

Capturer le modèle de trafic en utilisant un rapport personnalisé comme indiqué dans la capture d'écran ci-dessous. Ce rapport capture le nombre de sessions pour chaque application sous chaque règle de sécurité. Dans ce rapport, nous avons limité notre vue au trafic des clients de test à l'Aide d'un filtre de sous-réseau sur la source d'adresse. Exécutez le rapport et enregistrez les résultats. Pour plus d'informations sur la configuration, l'exécution et l'enregistrement des rapports, consultez lasection gérer les rapportsdans le Guide de l'administrateur Pan-OS.   

 

Picture8.png

 

Maintenant, installez la nouvelle version de contenu sur le pare-feu de test. Si nécessaire, modifiez vos règles de sécurité en fonction des recommandations contenues dans les notes de publication.

 

Une fois de plus acheminer tous les clients du test du trafic réseau à travers le pare-feu de test. RéExécutez le rapport personnalisé.

 

Analyser les résultats

 

Comparez le rapport personnalisé avant et après l'installation de la nouvelle version de contenu. Si le modèle de trafic est le même, vous avez terminé cette étape avec succès. Reportez-vous à la section ci-dessous intitulée «installation et configuration de la nouvelle version de contenu dans votre environnement de production».

 

Si les schémas de circulation sont différents, vous avez du travail à faire. Reportez-vous aux notes de version pour la nouvelle version de contenu. En utilisant les informations sur les notes de publication et les journaux sur le pare-feu de test, comprendre pourquoi les modèles de trafic sont différents. Par exemple, les nouveaux App-IDS classifient maintenant le trafic différemment, vous devez donc insérer de nouvelles règles de sécurité contenant les nouveaux ID App et autoriser ce trafic? Vous devrez peut-être apporter des modifications aux règles de sécurité sur votre pare-feu de test plusieurs fois et réexécuter les tests jusqu'à ce que L'un des événements suivants se produise:

  • Soit le modèle de trafic correspond au modèle avant l'installation de la nouvelle version de contenu, soit
  • Vous êtes convaincu que le changement de modèle de trafic est ce que vous voulez.

 

Un exemple de ce dernier scénario est que vous décidez de bloquer le trafic 365 de Consumer Office après l'installation de la nouvelle version de contenu.

 

Option 2: utiliser les captures de paquets (PCAPs) pour simuler le trafic de production dans votre environnement de transit

 

Cette option convient à divers déploiements où la stratégie de pare-feu varie selon l'emplacement. En raison de divers profils de trafic, il est difficile de configurer quelques clients pour imiter l'ensemble des applications en cours d'utilisation dans l'ensemble de l'organisation. Procédez comme suit.

 

Mise en place de l'environnement

 

  • À chaque emplacement important, prendre des captures de paquets (PCAPs) pendant les heures de pointe. Si vous voulez prendre des captures de paquets sur le pare-feu de la prochaine génération de Palo Alto Networks, consultez la sectionprendre les capturesde paquets dans le Guide de l'administrateur Pan-OS.   
  • Configurez le pare-feu de test pour imiter votre configuration de pare-feu de production comme décrit dans la section précédente. Étant donné que la configuration du pare-feu à chaque emplacement peut être différente, vous pouvez utiliser différentes zones de sécurité sur le pare-feu de test pour représenter la configuration du pare-feu à chaque emplacement. Pour plus d'informations, reportez-vous àsegmenter votre réseau à l'Aide d'Interfaces et de zonesdans le Guide de l'administrateur Pan-OS.   

 

Effectuer des tests

 

Test comme décrit dans l'Option 1, avec la différence que le trafic doit être envoyé au pare-feu en utilisant PCAPs au lieu d'utiliser les clients de test. Créez des rapports personnalisés pour capturer le modèle de trafic, encore une fois comme décrit dans l'Option 1.

 

Analyser les résultats

 

Encore une fois, suivez les étapes décrites dans l'Option 1.

 

Maintenant que vous avez testé le trafic dans un environnement de test et que vous êtes satisfait des résultats, vous êtes prêt à déployer la nouvelle version de contenu dans votre environnement de production.

 

Scénario 3: vous avez un petit nombre de stratégies App-ID, et une petite organisation

 

Vous n'avez probablement pas besoin d'une phase de préparation ou de test approfondie. Nous recommandons ce qui suit:

 

  1. Étudiez les notes de publication pour comprendre les changements.
  2. Avant d'installer une version de contenu, examinez l'impact de la stratégie pour les nouveaux ID App et effectuez les mises à jour de stratégie nécessaires. Cela vous permet d'évaluer le traitement qu'une application reçoit à la fois avant et après l'installation du nouveau contenu, puis de préparer les mises à jour de stratégie connexes à prendre effet en même temps que la version de contenu est installée. Pour ce faire, utilisez la fonctionnalité appeléerévision de l'Impact de la stratégie pour les nouvelles versions de contenu, qui a été introduite dans Pan-OS 7,0.   Cette fonctionnalité inclut la possibilité de modifier les stratégies de sécurité existantes à l'Aide des ID App en attente. Les app-IDS en attente sont des signatures d'application contenues dans une version de contenu téléchargée (avant d'installer le nouveau contenu). Suivez le Guide de l'Administrateur PAN-OS pour utiliser cette fonction:https://www.paloaltonetworks.com/documentation/71/Pan-OS/Pan-OS/App-ID/Manage-New-App-IDS-Introduced-in-content-releases  

 

Question: Comment puis-je savoir ce qu'il y a dans chaque version de contenu?

 Il existe 3 façons de visualiser ce qui se trouve dans chaque version de contenu.

 

1. Recevez une notification par courriel

 

  • Visitez https://support.paloaltonetworks.com
  • Connectez-vous ou inscrivez-vous
  • Cliquez sur votre nom d'utilisateur > modifier le profil
  • Cochez la case suivante pour vous abonner aux e-mails de mise à jour de contenu. Voir la figure 1 ci-dessous.
  • Vous recevrez maintenant des courriels chaque fois que de nouvelles mises à jour de contenu sont publiées.

 

Picture1.png

 

2. Lire les notes de publication sur le portail de support

 

  • Consultez les notes de version du contenu Release (Dynamic Updates) sur le portail de support de Palo Alto Networks: https://support.paloaltonetworks.com/updates/DynamicUpdates/
  • Connectez-vous ou inscrivez-vous
  • Cliquez sur notes de publication pour la version de contenu dont vous avez besoin, comme illustré à la figure 2 ci-dessous.

Picture2.png

 

3. Lisez les notes de publication sur votre interface de gestion PAN-OS

 

  • Connectez-vous à votre interface de gestion PAN-OS.
  • Allez sur Device > mises à jour dynamiques.
  • Cliquez sur notes de publication sous documentation, comme illustré à la figure 3 ci-dessous.

Picture3.png

 

Question: je vois les notes de publication. Comment puis-je leur donner un sens?

 

Les notes de publication sont organisées dans les sections suivantes.

 

Notes

 

Picture4.png

 

Cette section contient des notes générales sur la version, par exemple, les types d'App-IDS introduits dans cette version de contenu.

 

En outre, il répertorie également les modifications qui peuvent influer sur vos stratégies existantes, par exemple, les nouvelles catégories de filtrage d'URL. Pour de telles modifications, il fournit des modifications de politique recommandées pour tirer parti des modifications.

 

Nouvelles applications (n)

 

Picture5.png

 

  • Qu'est-ce Qu'une nouvelle application? Cette section montre les nouveaux App-IDS introduits dans cette version de contenu, 'n'étant le nombre de nouveaux App-IDS. la colonne dépend peut-être d'une explication, et la meilleure façon de l'expliquer est d'utiliser un exemple. Le nouvel App-ID Slack-File-Transfer dépend du jeu d'Id d'application existant. Cela signifie que le jeu App-ID doit être activé pour que le nouvel App-ID fonctionne. Ces informations peuvent être utiles dans le dépannage Si le nouvel App-ID ne fonctionne pas pour une raison quelconque. La colonne précédemment identifiée comme montre comment l'application a été identifiée avant cette version de contenu. Prenons un autre exemple ici. Par exemple, avant que ce contenu libèrent n'importe quel trafic pour l' a été identifié comme un mélange de navigation sur le Web, SSL, RTMPT, SIP, Jabber et RTMP.
  • Qu'est-ce que cela signifie pour vous? En restant avec le dernier exemple, avec la nouvelle mise à jour de contenu, le trafic sera identifié comme étant le code de sécurité au lieu de la navigation sur le Web, SSL et ainsi de suite. Et si vous n'avez pas de règle de sécurité pour le compte de la norme , ce trafic peut être bloqué en fonction de votre règle de refus par défaut. Donc, Ajoutez le nouvel App-ID pour le module de sécurité de votre application pour éviter toute perturbation de ce trafic. PAN-OS 7,0 a introduit la fonctionnalité "Content Update Control" pour aider les clients à gérer de nouveaux App-IDs. Plus de détails sur cette fonction peuvent être trouvées à : https://www.paloaltonetworks.com/documentation/71/Pan-OS/Pan-OS/App-ID/Manage-New-App-IDS-Introduced-in-content-releases 

 

Applications modifiées (n)

 Capture d'Écran 2016-08-19 à 08.06.15. png

 

  • Qu'est-ce Qu'une application modifiée? UNE application modifiée est une signature App-ID qui a été améliorée pour la précision. Un tel changement peut être fait pour de nombreuses raisons telles que le changement de fonctionnalité, une nouvelle version, ou une couverture améliorée sur différentes plates-formes.
  • Qu'est-ce que cela signifie pour vous? Les conséquences dépendent de votre cas d'utilisation pour l'application et de l'étendue de la modification. Dans de nombreux cas, la modification n'a pas d'impact sur le trafic réseau car les modifications affectent les autres versions de l'application, les environnements d'exploitation qui ne sont pas utilisés ou les fonctions d'application qui n'ont pas été déployées largement. Si l'App-ID modifié a apporté des améliorations importantes à la couverture, l'application peut être reconnue comme une autre application-ID par rapport à la version de contenu précédente. Dans la majorité de ces cas, la couverture des applications est améliorée en séparant le trafic d'applications de l'application parente de l'App-ID modifié. L'application SOAP affichée dans la section applications modifiées de la figure 4 en est un exemple. L'application parente de SOAP, ou l'application dont elle dépend, est la navigation sur le Web, qui est l'App-ID à laquelle la plupart du trafic SOAP a été attribuée avant la version de contenu 545. Par conséquent, l'ID App SOAP doit être évalué par rapport aux stratégies de navigation Web qui affectent les services critiques dans le réseau. Utilisez le même processus lorsqu'une application critique est modifiée par une mise à jour de contenu. Dans de nombreux cas, ce processus de mise à jour de stratégie peut être grandement simplifié en utilisant des groupes d'application qui permettent la mise à jour de nombreuses règles de sécurité avec une modification de configuration unique.

 

Décodeurs modifiés (n)

 

Picture7.png

 

  • Qu'est-ce qu'un nouveau décodeur? Les décodeurs sont des éléments d'infrastructure communs qui sont utilisés pour la classification de trafic basée sur l'application-ID ainsi que pour la correspondance de signatures de menaces. Cette section montre les décodeurs qui ont été modifiés dans cette version de contenu, 'n'étant le nombre de décodeurs modifiés.
  • Qu'est-ce que cela signifie pour vous? Ces informations sont informatifs. Souvent, les app-IDs sont modifiés car une modification est requise dans une signature IPS, car les signatures App-ID et IPS partagent une infrastructure commune. 

 

Question: Comment puis-je obtenir une visibilité précoce dans les communiqués de contenu à venir, afin que je puisse mieux planifier?

 

En collaboration avec nos clients, nous avons adopté une politique de notification rapide pour les mises à jour de version de contenu qui peuvent nécessiter une modification de votre stratégie de sécurité. Cela peut se produire lorsque les dépendances d'un App-ID changent, ou lorsqu'une amélioration de signature entraîne un changement significatif de la couverture. Ces mises à jour sont nécessaires pour suivre le rythme avec les applications en évolution rapide et les fonctions d'application.

 

Pour vous donner un aperçu de nos processus, nous détenons un examen interne hebdomadaire où toutes les modifications importantes de l'App-ID sont examinées afin de déterminer si elles satisfont aux critères ci-dessus pour la notification précoce. Si la réponse est oui, nous décrivons le changement à venir dans deux pour a-les notes de publication et la communauté de Palo Alto Networks Live. Pour des changements exceptionnellement significatifs, nous ajoutons également des APP-IDS d'espace réservé et des décodeurs 4 semaines avant la modification réelle. Cela vous permet d'ajouter ces espaces réservés dans vos règles de sécurité avant la modification.

 

Section Notes des notes de publication

 

La section Notes des notes de publication mentionne ces mises à jour futures. Nous fournissons également des conseils sur l'action requise sur votre configuration de pare-feu. Voici un exemple d'une telle notification précoce, incluse pour le contenu communiqué 597, le 8 juillet 2016. Comme nous avons considéré cela comme un changement exceptionnellement significatif, nous avons non seulement décrit le changement à venir, mais aussi inclus les app-IDS et décodeurs d'espace réservé.

 

Cette mise à jour de contenu inclut l'espace réservé App-IDS ("office365-Enterprise-Access" & "office365-Consumer-Access") et le contexte de décodage de l'espace réservé "http-req-MS-subdomain" pour la correspondance de modèle sous signatures d'application personnalisées. À partir de cette mise à jour, ces App-IDs et le contexte de décodage sont strictement fournis en tant qu'espace réservé pour faciliter la migration des stratégies et n'affectent aucune stratégie d'ID d'Application existante.

 

Palo Alto Networks encourage fortement les clients à suivre la FAQ sur la communauté de Palo Alto Networks à https://Live.paloaltonetworks.com/T5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949 pour en savoir plus sur ce changement et son impact sur les stratégies de pare-feu existantes.

 

La semaine du 29 août, 2016, Palo Alto Networks prévoit de permettre fonctionnellement ces App-IDS et le contexte de décodage, destiné à augmenter les fonctionnalités existantes Office 365 App-ID, en fournissant le contrôle d'accès pour Microsoft Office 365.

 

Palo Alto Networks Live Community

 

La communauté Live de Palo Alto Networks contient des questions fréquemment posées, des vidéos et des Articles avec des exemples de cas d'utilisation. Cela vous aide à comprendre les modifications de configuration qui pourraient être nécessaires sur votre pare-feu de la prochaine génération de Palo Alto Networks. Voici un exemple d'une telle notification:

 

https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949

 

Depuis la communauté Live est interactif, il vous permet de poster des commentaires et poser des questions d'autres clients et les employés de Palo Alto Networks.

 

Question: et si les choses se passent toujours mal?

 

Vous avez suivi les meilleures pratiques, mais en raison d'une erreur, ou quelque chose qui a été négligé, ou une analyse incorrecte des résultats de test de l'environnement de mise en scène, le trafic de production est autorisé ou bloqué de manière involontaire.

 

Dans un tel événement improbable, surtout si le trafic critique d'affaires est bloqué et le temps est de l'essence, allez à l'interface de gestion de Pan-OS, et accédez à Device > Dynamic updates > Revert, comme indiqué dans la capture d'écran ci-dessous. Le fait de cliquer sur le lien rétablir reviendra à la version précédemment installée.

Picture9.png

Références

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTCCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language