PAN-OS 7.1 Visibilidad y Control SaaS
Environment
- Palo Alto Firewall .
- PAN-OS 7.1 y superior.
Resolution
Los proveedores de software como servicio (SaaS) permiten a los usuarios acceder a los servicios en la nube. Antes de PAN-OS las 7.1, los administradores sólo podían informar sobre aspectos generales con respecto a SaaS.
Las aplicaciones SaaS son todas inicialmente 'no autorizadas', ya que no hay ninguna tag en la aplicación. A predefinido tag , 'Sancionado', está configurado y se puede seleccionar en aplicaciones SaaS. Si bien cualquier aplicación puede ser etiquetada, sólo se incluirán las aplicaciones SaaS en el informe SaaS. Hay muy poca configuración necesaria, y el informe se ejecutará en la actualización a PAN-OS la 7.1. Todo en el informe se mostrará como no sancionado. Agregar el sancionado tag (o eliminarlo) después del hecho modificará el informe, ya que se ejecuta en tiempo real contra la lista actual de aplicaciones etiquetadas.
La lista de aplicaciones se puede filtrar para mostrar sólo las aplicaciones etiquetadas o seleccionando SaaS característico como filtro.
Una aplicación también se puede etiquetar en el acto seleccionando su casilla de verificación y seleccionando la tag operación desde las opciones inferiores.
Las aplicaciones también se pueden etiquetar de la CLI
> configure # set application-tag dropbox tag Sanctioned # commit
Los informes de uso se pueden crear desde
- Monitor > informe de uso de aplicaciones SaaS
A pocas advertencias a considerar:
- Las etiquetas no se propagan a otros sistemas virtuales: si una aplicación está sancionada en vsys2, no se sancionará automáticamente en vsys1.
- La ejecución de un informe sobre un vsys individual limitará los resultados del informe a ese vsys.
- Ejecutar un informe en "todos" los sistemas virtuales se ejecutará, pero se produce una advertencia:
- ' hay sistemas virtuales configurados en este dispositivo. Tenga en cuenta que al ejecutar el informe de uso de aplicaciones SaaS para todos los Vsys con etiquetado mixto de aplicaciones se producirán resultados superpuestos.
- Ejemplo: Box es sancionado en vsys1 mientras que Google Drive es sancionado en vsys2. Cuando este informe se ejecuta contra All Vsys, los usuarios de vsys1 que usan Google Drive contarán para 'No sanctioned'. Ambas aplicaciones aparecerán en ambas secciones.
- En el informe, las solicitudes "parcialmente sancionadas" pueden ser una de las dos cosas
- En un firewall - Aplicación es sancionado en Vsys, pero no sancionado en A Vsys B .
- En Panaroma – La aplicación está sancionada, firewall A pero no en firewall B .
- Panorama
- Si Panorama administra un dispositivo anterior a la PAN-OS 7.1, no se incluirá en el informe agregado.
- Si se presiona un informe SaaS en un dispositivo anterior a PAN-OS la 7.1, esa parte de la configuración se omitirá.
- Al ejecutar un informe en Panorama , Panorama solo se usan las aplicaciones etiquetadas (ya que cada una puede tener diferentes conjuntos de firewall aplicaciones etiquetadas).
- Confirmar Cambios
- Las listas de aplicaciones sancionadas deben sincronizarse con todos los recopiladores de registros en commit.
- Cambiar una aplicación tag requiere una confirmación para ser eficaz.
- Migración
- El informe SaaS predefinido es nuevo y será eliminado por el script de downgrade.
- Las etiquetas agregadas a las aplicaciones serán eliminadas en downgrade.