コンテンツの更新を展開するためのベストプラクティス

コンテンツの更新を展開するためのベストプラクティス

61949
Created On 09/25/18 19:02 PM - Last Modified 06/08/23 03:03 AM


Resolution


あなたがパロアルトネットワークの次世代ファイアウォールを所有し、動的更新を含むソフトウェアの更新を管理する場合は、パロアルトネットワークから毎週のコンテンツの円滑な展開を確保するためのベストプラクティスと提言を学ぶ。

 

質問: 組織の規模や性質に基づいてベストプラクティスを適用するにはどうすればよいですか。

 

シナリオ 1: ミッションクリティカルなアプリケーションを使用している

"しきい値" 機能を使用して、コンテンツ更新の遅延展開を行うことをお勧めします。 これを行うには、遅延タイマを使用してコンテンツリリースを自動的にダウンロードしてインストールするように各ファイアウォールを構成します。

これは、[デバイス]-> [動的更新]-> [アプリケーションと脅威の更新]-> [スケジュール] で構成できます。

 

環境にミッションクリティカルなアプリケーションがある場合は、24時間以上の値をお勧めします。 

スクリーンショット2017-08-31 で10.50.34

 

コンテンツのインストールを24時間以上遅らせることができない場合は、ユーザー数の少ない場所にコンテンツをインストールするために、千鳥的なアプローチを使用することをお勧めします。ユーザー数の少ない重要な場所や環境に自動的にコンテンツをインストールできますが、ユーザーが増えたり、より重要なアプリケーションや IT インフラストラクチャを持っている他の場所には、"しきい値" オプションを使用する必要があります。

 

シナリオ 2: 私はミッションクリティカルなアプリケーションを持っていると私は、専用のステージングまたはテスト環境を作成するためのリソースを持っている

 

コンテンツのリリースをインストールし、運用環境でセキュリティルールの更新を行う前に、変更された新しい App ID の影響をネットワーク上でテストしたいと考えています。以下の手順に従います。

 

最初のステップとして、もちろん、変更を理解するためにリリースノートを検討してください。

 

2番目の手順は、これらの変更がネットワークトラフィックに与える影響を確認することです。これを行うには、運用トラフィックに影響を与えずに変更をテストできるステージング環境が必要です。ステージング環境を作成するには、2つのオプションがあります。

 

オプション 1: テストクライアントを使用してステージング環境で本番トラフィックをシミュレートする

 

ステージング環境には、少なくともすべての重要なアプリケーションが含まれている必要があります。これを行うには、環境をセットアップし、テストを実行し、結果を次のように分析します。

 

環境を設定する

 

  • テストファイアウォール (これはハードウェアまたは仮想ファイアウォール) を設定します。これは、運用ファイアウォールの構成を模倣する必要があります。これを行うには、運用ファイアウォールで構成をエクスポートし、テストファイアウォールにインポートします。「PAN-OS 管理者ガイド」 の「構成バックアップの管理」で説明されているバックアップと復元の機能に従います。 
  • テストクライアントを設定します (これらは、物理クライアントまたは仮想マシンでもかまいません)。これらは、実際のクライアントの構成を模倣する必要があります。クライアントが使用する必要なオペレーティングシステムとアプリケーションをインストールします。別の方法として、ラボまたは開発環境で既存のクライアントを使用することもできます。

 

テストの実行

 

テストファイアウォールを介してすべてのテストクライアントのネットワークトラフィックをルーティングします。

 

次のスクリーンショットに示すように、カスタムレポートを使用してトラフィックパターンをキャプチャします。このレポートは、各セキュリティルールの下にある各アプリケーションのセッション数をキャプチャします。このレポートでは、アドレスソースのサブネットフィルタを使用して、テストクライアントのトラフィックに対するビューを制限しています。レポートを実行し、結果を保存します。レポートをセットアップ、実行、および保存する方法の詳細については、「PAN-OS 管理者ガイド」の「 レポートの管理」セクションを参照してください。 

 

Picture8.png

 

次に、新しいコンテンツリリースをテストファイアウォールにインストールします。必要に応じて、リリースノートの推奨事項に基づいてセキュリティルールに変更を加えます。

 

テストファイアウォールを介してすべてのテストクライアントのネットワークトラフィックを再度ルーティングします。カスタムレポートを再度実行します。

 

結果を分析する

 

新しいコンテンツリリースをインストールする前と後に、カスタムレポートを比較します。トラフィックパターンが同じ場合は、この手順を正常に完了しました。「運用環境での新しいコンテンツリリースのインストールと構成」のセクションを参照してください。

 

トラフィックパターンが異なる場合は、いくつかの作業を行う必要があります。新しいコンテンツリリースのリリースノートをもう一度参照してください。リリースノートとテストファイアウォールのログに関する情報を使用して、トラフィックパターンが異なる理由を把握します。たとえば、新しいアプリ id はトラフィックを異なる方法で分類するので、新しいアプリ id を含む新しいセキュリティルールを挿入し、そのトラフィックを許可する必要がありますか。テストファイアウォールのセキュリティ規則を数回変更し、次のいずれかが発生するまでテストを再実行する必要がある場合があります。

  • トラフィックパターンが、新しいコンテンツリリースがインストールされる前のパターンと一致するか、
  • あなたは、変更されたトラフィックパターンは、あなたが望むものであることに満足している。

 

後者のシナリオの例として、新しいコンテンツリリースをインストールした後、コンシューマーオフィス365トラフィックをブロックすることにしました。

 

オプション 2: パケットキャプチャ (PCAPs) を使用してステージング環境で本番トラフィックをシミュレートする

 

このオプションは、ファイアウォールポリシーが場所によって異なるさまざまな展開に適しています。多様なトラフィックプロファイルによって、組織全体で使用されている一連のアプリケーションを模倣するように少数のクライアントを構成することは困難です。以下の手順に従います。

 

環境を設定する

 

  • 各重要な場所で、ピーク時間帯にパケットキャプチャ (PCAPs) を実行します。次世代ファイアウォールのパロアルトネットワークでパケットキャプチャを実行する場合は、「PAN-OS 管理者ガイド  」の「パケットキャプチャを取る」セクションを参照してください。 
  • 前のセクションで説明したように、運用ファイアウォール構成を模倣するようにテストファイアウォールを設定します。各場所のファイアウォール構成が異なる場合があるため、テストファイアウォールで異なるセキュリティゾーンを使用して、各場所のファイアウォール構成を表すことができます。詳細については、「PAN-OS 管理者ガイド」の「 インターフェイスとゾーンを使用してネットワークをセグメント化する」を参照してください。 

 

テストの実行

 

テストクライアントを使用する代わりに、PCAPs を使用してトラフィックをファイアウォールに送信する必要があるという点で、「オプション1」で説明されているようにします。オプション1の説明に従って、トラフィックパターンをキャプチャするカスタムレポートを作成します。

 

結果を分析する

 

ここでも、「オプション1」で説明されている手順に従います。

 

テスト環境でトラフィックをテストし、結果に満足できるようになったので、新しいコンテンツリリースを運用環境に展開する準備が整いました。

 

シナリオ 3: アプリ ID ポリシーの数が少なく、小規模な組織

 

おそらく、大規模な準備やテストの段階は必要ありません。次のことをお勧めします。

 

  1. 変更内容を理解するためのリリースノートを検討します。
  2. コンテンツリリースをインストールする前に、新しいアプリ id に対するポリシーの影響を確認し、必要なポリシーの更新をステージングします。これにより、新しいコンテンツがインストールされる前と後の両方でアプリケーションが受け取る処理を評価できるようになり、コンテンツのリリースがインストールされると同時に、関連するポリシーの更新を有効にする準備ができます。これを行うには、汎 OS 7.0 で導入された新しいコンテンツリリースのポリシー影響評価と呼ばれる機能を使用します。  この機能には、保留中のアプリ id を使用して既存のセキュリティポリシーを変更する機能が含まれます。保留中のアプリ id は、(新しいコンテンツをインストールする前に) ダウンロードされたコンテンツリリースに含まれるアプリケーションシグネチャです。この機能を使用するには、PAN-OS 管理者ガイドに従ってください:https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/app-id/manage-new-app-ids-introduced-in-content-releases  

 

質問: どのように私は、各コンテンツのリリースで何を知っていますか?

 各コンテンツリリースの内容を表示するには、3つの方法があります。

 

1。電子メールで通知を受け取る

 

  • 訪問https://support.paloaltonetworks.com
  • サインインまたはサインアップ
  • ユーザー名をクリック > プロフィールを編集
  • [コンテンツ更新メールを購読する] の横にあるチェックボックスをオンにします。下の図1を参照してください。
  • 新しいコンテンツの更新がリリースされるたびに、電子メールを受信するようになります。

 

Picture1.png

 

2。サポートポータルのリリースノートを読む

 

  • コンテンツリリース (動的更新) にアクセスするパロアルトネットワークサポートポータルのリリースノート: https://support.paloaltonetworks.com/Updates/DynamicUpdates/
  • サインインまたはサインアップ
  • 次の図2に示すように、必要なコンテンツリリースバージョンのリリースノートをクリックします。

Picture2.png

 

3。PAN-OS 管理インターフェイスのリリースノートを読む

 

  • パン OS 管理インターフェイスにログインします。
  • デバイス > 動的更新に移動します。
  • 下の図3に示すように、[ドキュメント] の下の [リリースノート] をクリックします。

Picture3.png

 

質問: 私は、リリースノートを参照してください。どうやって理解するの?

 

リリースノートは、次のセクションで構成されています。

 

ノート

 

Picture4.png

 

このセクションでは、このコンテンツリリースで導入されたアプリ id の種類など、リリースに関する一般的な注意事項について説明します。

 

また、既存のポリシーに影響を与える可能性のある変更 (新しい URL フィルタカテゴリなど) も一覧表示されます。このような変更については、変更を利用するために推奨されるポリシーの変更を提供します。

 

新しいアプリケーション (n)

 

Picture5.png

 

  • 新しいアプリケーションとは何ですか?このセクションでは、このコンテンツリリースで導入された新しいアプリ id、' n ' が新しいアプリ id の数であることを示します。列は、いくつかの説明が必要な場合がありますに依存し、それを説明するための最良の方法は、例を使用することです。新しいアプリ id の余裕期間ファイル転送は、既存のアプリ id の余裕期間によって異なります。つまり、新しいアプリ id が機能するには、アプリ id の余裕期間を有効にする必要があります。この情報は、新しいアプリ ID が何らかの理由で動作していない場合のトラブルシューティングに役立ちます。以前に識別された列は、このコンテンツリリースの前にアプリケーションがどのように識別したかを示します。ここで別の例を取ることができます。例えば、このコンテンツをリリースする前に、すべてのトラフィックは、 web ブラウジング、ssl、rtmpt、sip、早口rtmp のミックスとして識別された。
  • これはあなたにとってどういう意味ですか?最後の例では、新しいコンテンツを更新すると、トラフィックは、 web ブラウジング、ssl の代わりに、としてのように 識別されます。そして、あなたは、セキュリティルールを持っていない場合は、このトラフィックは、デフォルトの拒否ルールに基づいてブロックされることがあります。そのため、 このアプリケーショントラフィックの中断を避けるために、セキュリティルールに 、新しいアプリ ID を強化します。PAN-OS 7.0 は、お客様が新しいアプリ id を管理するための「コンテンツ更新コントロール」機能を導入しました。この機能の詳細については、次 https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/app-id/manage-new-app-ids-introduced-in-content-releasesをご覧ください。 

 

変更したアプリケーション (n)

 スクリーンショット2016-08-19 で08.06.15

 

  • 変更されたアプリケーションとは何ですか?変更されたアプリケーションは、精度向上のためのアプリ ID 署名です。このような変更は、さまざまなプラットフォーム間で機能の変更、新しいバージョン、または強化されたカバレッジなどの多くの理由で行うことができます。
  • あなたにとってどういう意味ですか?結果は、アプリケーションのユースケースと変更の範囲によって異なります。多くの場合、変更は、アプリケーションの他のバージョン、使用されていないオペレーティング環境、または広く展開されていないアプリケーション機能に影響を与えるため、ネットワークトラフィックには影響しません。変更されたアプリ id が大幅なカバレッジの改善を導入した場合、アプリケーションは、以前のコンテンツリリースと比較して別のアプリ id として認識することがあります。このようなケースの大部分では、アプリケーションのトラフィックを、変更されたアプリ ID の親アプリケーションから分離することで、アプリケーションカバレッジが向上します。この例として、図4の「変更されたアプリケーション」セクションに示されている SOAP アプリケーションがあります。soap の親アプリケーション、またはそれが "依存するアプリケーション" は、ほとんどの soap トラフィックがコンテンツバージョン545の前に帰因したアプリ ID である web ブラウジングです。その結果、SOAP アプリ ID は、ネットワーク内の重要なサービスに影響を与える web 参照ポリシーに対して評価される必要があります。重要なアプリケーションがコンテンツの更新によって変更された場合も、同じプロセスを使用します。多くの場合、このポリシー更新プロセスは、1つの構成変更で多数のセキュリティルールの更新を許可するアプリケーショングループを使用することで大幅に簡略化できます。

 

改変デコーダ (n)

 

Picture7.png

 

  • 新しいデコーダとは何ですか?デコーダは、アプリケーション ID ベースのトラフィックの分類、および脅威シグネチャの照合に使用される共通のインフラストラクチャ要素です。このセクションでは、このコンテンツのリリースで変更されたデコーダ、' n ' が修正デコーダの数であることを示します。
  • これはあなたにとってどういう意味ですか?この情報は狙い目です。アプリ id と ip 署名は共通のインフラストラクチャを共有しているため、多くの場合、アプリは ip 署名で変更が必要になったため変更されます。 

 

質問: どのように私はより良い計画することができますので、今後のコンテンツリリースに早期の可視性を得るのですか?

 

お客様と共同で、セキュリティポリシーの変更が必要なコンテンツリリースの更新について、早期に通知するポリシーを採用しました。これは、アプリ ID の依存関係が変更された場合や、署名の強化によってカバレッジが大幅に変更された場合に発生することがあります。このような更新は、急速に変化するアプリケーションやアプリケーションの機能を維持するために必要です。

 

私たちのプロセスにインサイダーピークを与えるために、我々は、重要なアプリ ID の変更は、彼らが早期通知のために上記の基準を満たしているかどうかを判断するために精査されている毎週の内部レビューを保持します。答えが yes の場合は、我々は2つの今後の変更を説明する-リリースノートとパロアルトネットワークは、コミュニティを住んでいます。非常に重要な変更のために、我々はまた、実際の変更の前に4週間のプレースホルダアプリ id とデコーダを追加します。これにより、変更前のセキュリティルールにこれらのプレースホルダを追加できます。

 

リリースノートのノートセクション

 

リリースノートのノートセクションでは、このような将来の更新について言及します。また、ファイアウォール構成に必要なアクションに関するガイダンスも提供します。ここでは、このような早期通知の例では、コンテンツのリリース597、7月8日、2016に含まれています。これは非常に重要な変更であると考えられているため、今後の変更について説明するだけでなく、プレースホルダアプリ id とデコーダも含まれていました。

 

このコンテンツの更新には、プレースホルダアプリ id ("office365-エンタープライズアクセス" & "office365-コンシューマーアクセス") と、カスタムアプリケーションシグネチャの下にあるパターン一致のプレースホルダデコードコンテキスト "http-必須-ms-サブドメイン" が含まれます。この更新プログラムのように、これらのアプリ id とデコードコンテキストは、ポリシーの移行を支援するためのプレースホルダとして厳密に提供され、既存のアプリ ID ポリシーには影響しません。

 

パロアルトネットワークは強く、 この変更の詳細については、https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949 でパロアルトネットワークコミュニティの FAQ に従うことをお客様にお勧めします既存のファイアウォールポリシーへの影響。

 

2016年8月29日の週、パロアルトネットワークは、Microsoft office 365 のアクセス制御を提供することによって、既存の office 365 アプリ id 機能を強化することを目的として、これらのアプリ id とデコードコンテキストを機能的に有効にする予定です。

 

パロアルトネットワークは、コミュニティを生きる

 

パロアルトネットワークのライブコミュニティはよくある質問、ビデオ、ユースケースの例を持つ記事が含まれています。これにより、パロアルトネットワークの次世代ファイアウォールで必要になる可能性のある構成の変更を理解することができます。このような通知の一例を次に示します。

 

https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949

 

以来、ライブコミュニティのインタラクティブな、それはあなたのコメントを投稿し、他の顧客やパロアルトネットワークの従業員の質問をすることができます。

 

質問: 物事はまだうまくいかない場合はどうなりますか?

 

ベストプラクティスに従いましたが、エラーまたは見落としていたもの、またはステージング環境のテスト結果の不適切な分析により、生産トラフィックが意図しない方法で許可またはブロックされます。

 

このようなイベントでは、特にビジネスクリティカルなトラフィックがブロックされ、時間が重要な場合は、次のスクリーンショットに示すように、汎 OS 管理インターフェイスに移動し、[デバイス] > [動的更新] > [元に戻す] に移動します。[元に戻す] リンクをクリックすると、以前にインストールしたバージョンに戻ります。

Picture9.png

参照

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTCCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language