PAN-OS 7.1 Visibilité et contrôle SaaS

Les fournisseurs de logiciels en tant que services (SaaS) permettent aux utilisateurs d'accéder aux services dans le Cloud. Avant PAN-OS 7.1, les administrateurs ne pouvaient rendre compte que des aspects généraux concernant SaaS.

Les applications SaaS sont toutes initialement « non sanctionnées », en ce qu’il n’y a pas tag sur la demande. A prédéfini, tag « Sanctionné », est configuré et peut être sélectionné dans les applications SaaS. Bien que toute application puisse être étiquetée, seules les applications SaaS seront incluses dans le rapport Saas. Il y a très peu de configuration nécessaire, et le rapport s’exécutera sur la mise à PAN-OS niveau vers 7.1. Tout dans le rapport se montrera comme non sanctionné. L’ajout tag du sanctionné (ou sa suppression) après coup modifiera le rapport, car il est exécuté en temps réel par rapport à la liste actuelle des applications marquées.

La liste des applications peut être filtrée pour afficher uniquement les applications qui ont été étiquetées ou en sélectionnant la caractéristique Saas comme filtre.

Une application peut également être étiquetée sur place en sélectionnant sa case à cocher et en sélectionnant tag l’opération parmi les options inférieures.

Les applications peuvent également être étiquetées à partir de la CLI

> configure
# set application-tag dropbox tag Sanctioned
# commit

Les rapports d'utilisation peuvent être créés à partir de

• Monitor > rapport d'utilisation d'application Saas

A quelques mises en garde à considérer :

• Les balises ne se propagent pas à d’autres systèmes virtuels : si une application est sanctionnée sur vsys2, elle ne sera pas automatiquement sanctionnée sur vsys1.
• L'exécution d'un rapport sur un VSys individuel limitera les résultats du rapport à ce VSys.
• L'exécution d'un rapport sur «tous» les systèmes virtuels s'exécutera, mais produira un avertissement:
  • 'il y a des systèmes virtuels configurés sur cet appareil. Veuillez noter que l'exécution du rapport d'utilisation d'application de Saas pour tous les VSys avec le marquage d'application mélangé produira des résultats de chevauchement. '
  • Exemple: Box est sanctionné sur vsys1 tandis que Google Drive est sanctionné sur vsys2. Lorsque ce rapport est exécuté contre Tous les Vsys, les utilisateurs de vsys1 utilisant Google Drive compteront pour « Non sanctionné ». Les deux applications apparaîtront dans les deux sections.
  • Sur le rapport, les demandes «partiellement sanctionnées» peuvent être l'une des deux choses
    1. Sur un firewall - App est sanctionné dans Vsys, mais pas sanctionné dans A Vsys B .
    2. Sur Panaroma - L’application est sanctionnée firewall A sur , mais pas sur firewall B .

• Panorama
  • Si Panorama vous gérez un périphérique avant PAN-OS 7.1, il ne sera pas inclus dans le rapport global.
  • Si vous poussez un rapport SaaS sur un périphérique avant PAN-OS 7,1, cette partie de la configuration sera ignorée.
  • Lors de l’exécution Panorama d’un rapport sur , les seules applications marquées Panorama sur sont utilisés (car firewall chacun peut avoir différents ensembles d’applications étiquetées).
• S’engager Changements
  • Les listes d'applications sanctionnées doivent être synchronisées avec tous les collecteurs de journaux sur commit.
  • La modification d’une tag application nécessite un engagement pour devenir efficace.
• migration
  • Le rapport Saas prédéfini est nouveau et sera supprimé par le script downgrade.
  • Les balises ajoutées aux applications seront supprimées au downgrade.