PAN-OS 7.1 SaaS の可視性と制御

サービス (SaaS) プロバイダーとしてのソフトウェアは、ユーザーがクラウド内のサービスにアクセスできるようにします。 7.1 より前の PAN-OS バージョンでは、管理者は SaaS に関する一般的な側面についてのみ報告を行うことができました。

SaaS アプリケーションは、アプリケーション上に存在しないという問題で、すべて最初は "認可されていません" tag です。 A SaaS アプリケーションで事前定義された tag '認可済み' が構成され、選択できます。 任意のアプリケーションをタグ付けできますが、saas レポートには saas アプリケーションのみが含まれます。 構成は非常に少なく、レポートは 7.1 へのアップグレード時に実行されます PAN-OS 。 レポートのすべてが Unsanctioned として表示されます。 ファクトの後に[認可] tag を追加(または削除)すると、現在のタグ付きアプリケーションのリストに対してリアルタイムで実行されるレポートが変更されます。

アプリケーションリストをフィルター処理して、タグ付けされたアプリケーションだけを表示したり、フィルターとして特性 SaaS を選択したりできます。

アプリケーションのチェックボックスを選択し、 tag 下部のオプションから操作を選択することで、その場でタグ付けすることもできます。

アプリケーションは、 CLI

> configure
# set application-tag dropbox tag Sanctioned
# commit

使用状況レポートを作成できます。

• モニタ > SaaS アプリケーションの使用状況レポート

A 考慮すべきいくつかの注意点:

• タグは他の仮想システムに伝播しない: アプリケーションが vsys2 で認可されている場合、vsys1 で自動的に 認可されません。
• 個々の vsys でレポートを実行すると、レポートの結果がその vsys に絞り込まれます。
• "all" 仮想システムに関するレポートを実行すると、警告が出力されます。
  • ' このデバイスには仮想システムが構成されています。 アプリケーションのタグが混在するすべての Vsys に対して SaaS アプリケーションの使用状況レポートを実行すると、重複する結果が生成されることに注意してください。
  • 例: ボックスは vsys1 で認可され、Google ドライブは vsys2 で認可されています。 このレポートが All Vsys に対して実行されると、Google ドライブを使用する vsys1 のユーザーは 「認可されていない」とカウントされます。 両方のアプリケーションが両方のセクションに表示されます。
  • レポートでは、"部分的に認可された" アプリケーションは、2つのことができます
    1. で firewall - アプリケーションはVsysで認可 A されていますが、Vsysでは認可されていません B 。
    2. パナロマに – アプリは上で認可されています firewall A が、上ではありません firewall B .

• Panorama
  • Panorama7.1 より前のデバイスを管理 PAN-OS している場合、そのデバイスは集計レポートに含まれません。
  • SaaS レポートを 7.1 より前のデバイスにプッシュする場合 PAN-OS 、設定のその部分は無視されます。
  • でレポートを実行する場合、 Panorama タグ付けされたアプリケーションPanoramaのみが使用されます (それぞれが firewall 異なるアプリケーションセットにタグ付けされている可能性があるため)。
• コミット 変更
  • 認可されたアプリのリストは、コミット時にすべてのログコレクターに同期する必要があります。
  • アプリケーションを変更するには tag 、コミットが有効になる必要があります。
• 移行
  • 定義済みの SaaS レポートは新しいものであり、ダウングレードスクリプトによって削除されます。
  • アプリケーションに追加されたタグは、ダウングレード時に削除されます。