App-ID change vers Google apps
Resolution
Le 1er décembre 2015, Palo Alto Networks a ajouté qu'un nouvel App-ID nommé « google-base, » destiné à simplifier l’habilitation sécuritaire de Google apps et de simplifier la configuration de la stratégie. Suivre la FAQ ci-dessous pour en savoir plus sur ce changement et son impact sur les stratégies de pare-feu existant. S'Il vous plaît voir le lien vers le Forum de discussion suivant cet article si vous avez des questions.
Foire aux Questions
Q: pourquoi Palo Alto Networks faisant ce changement ?
R: actuellement, pour permettre en toute sécurité à Google apps, nos clients sont nécessaires pour permettre l’accès à App-ID dépendant, « ssl » et « navigation sur le web. » Avec ce changement, les clients doivent n’est plus à permettre explicitement ces applications dépendantes. Un nouvel App-ID nommé « google-base » identifiera sélectivement les services de base utilisés par tous les Google apps.
Q : Comment suis-je concerné par ce changement ?
A: pour tirer parti de cette nouvelle fonctionnalité, stratégies de pare-feu doivent être mis à jour. Au lieu permettant la « ssl » et « navigation sur le web » que les applications dépendantes, cette nouvelle politique devra permettre le « google-base » App-ID. Une politique de l’échantillon est exposée ci-après, qui montre l’activation sans danger de Google Agenda, Gmail, YouTube et Google Maps avec le nouveau « google-base » App-ID.
Q : Comment garantir la continuité opérationnelle pour permettre en toute sécurité les Google apps ?
R : Palo Alto Networks a ajouté le « google-base » App-ID à notre demande la première semaine de novembre 2015. Cette application-ID, livrée en tant qu' espace réservé, permet à nos clients d'apporter les modifications de politique nécessaires à leurs pare-feu à l'avance.
Cet espace réservé App-ID n’affecte pas le traitement de stratégie de pare-feu, ou n’importe quel App-ID existant axé sur des règles. Un échantillon d’une transition politique est illustré ci-dessous :
Palo Alto Networks a remplacé l’application de l’espace réservé avec l’ID App « google base » officielle la première semaine de décembre 2015.
Pour faciliter cette transition, Palo Alto Networks a l’intention de suivre la chronologie décrite ci-dessous :
- 20 octobre 2015 – Palo Alto Networks annonce un calendrier pour les changements à venir à la façon dont Google apps seront traitées par le pare-feu.
- Semaine du 2 novembre 2015 – Palo Alto Networks envoyées à un espace réservé « google base » App-ID avec chaque semaine les mise à jour de contenu Apps et menaces. Cela peut servir à mettre à jour les stratégies de pare-feu et de préparer aux changements annoncés en toute sécurité.
- Semaine du 1er décembre 2015 – Palo Alto Networks envoyées le formel « google-base » App-ID avec chaque semaine les mise à jour de contenu Apps et menaces. Avec cette mise à jour, le « google base » App-ID sera pleinement opérationnel et maintenant élimine la nécessité d’activer de façon sélective « ssl » et « navigation sur le web » comme applications dépendantes. En d’autres termes, pour les applications de google de travailler « google-base » doit être autorisée dans les modules de sécurité.
Q : quand est-ce que je devrais attendre ce changement à apparaître dans les Applications et les mises à jour dynamiques de menaces ?
R : Palo Alto Networks livré le pleinement opérationnel « google-base » App-ID avec les applications de contenu et menaces de mise à jour le 1er décembre 2015.
Q : que se passe-t-il si je n’ajoutez pas de base de google comme une application autorisée mais ont seulement « ssl » et « navigation sur le web » autorisé dans les stratégies de pare-feu ?
R : Si vous n’avez pas « google-base » autorisés, google applications ne fonctionneront pas. Commençant le 1er décembre 2015 il est maintenant nécessaire pour permettre à « google-base » pour toutes les applications google pour travailler.
Q: quelles versions du logiciel PAN-OS seront touchées par ce changement ?
A: toutes les versions actuellement prises en charge du logiciel PAN-OS sont mises à jour vers une version de mise à jour de contenu Apps et menaces envoyées sur ou hors 1er décembre 2015 peuvent être affectées par ce changement.
Q: quelle est la liste des applications qui nécessitent des « google-base ? »
A: la liste des applications nécessitant «Google-base» peut être trouvée ici: la liste des applications qui nécessitent Google-base.
Q: est-ce que je dois activer le décryptage SSL pour identifier les « google-base » app ?
R: non, décryptage SSL n’est pas requise pour identifier l’application « google-base » elle-même. Toutefois, le décryptage SSL est toujours requis pour toute application de google fonctionnant sur SSL, comme gmail.
Q: ce qui permet de « google-base » App-ID permettra aussi autres applications de Google comme base d’youtube, gmail-base, etc.. ?
A: non, toutes les autres applications Google comme YouTube-base et Gmail-base, doivent être activées individuellement en fonction de vos paramètres de stratégie de sécurité.
Palo Alto Networks demande instamment à tous les clients de revoir leurs stratégies de pare-feu et utilisez l’espace réservé App-ID pour effectuer les modifications nécessaires avant le 1er décembre 2015.
Questions ?
Si vous avez des questions au sujet des changements décrits dans cet article, sentez-vous svp libre pour poster dans notre Forum de discussion.