PAN-OS 7.1 SaaS の可視性と制御
23746
Created On 09/26/18 13:44 PM - Last Modified 03/26/21 17:06 PM
Environment
- パロ アルト Firewall .
- PAN-OS 7.1以上。
Resolution
サービス (SaaS) プロバイダーとしてのソフトウェアは、ユーザーがクラウド内のサービスにアクセスできるようにします。 7.1 より前の PAN-OS バージョンでは、管理者は SaaS に関する一般的な側面についてのみ報告を行うことができました。
SaaS アプリケーションは、アプリケーション上に存在しないという問題で、すべて最初は "認可されていません" tag です。 A SaaS アプリケーションで事前定義された tag '認可済み' が構成され、選択できます。 任意のアプリケーションをタグ付けできますが、saas レポートには saas アプリケーションのみが含まれます。 構成は非常に少なく、レポートは 7.1 へのアップグレード時に実行されます PAN-OS 。 レポートのすべてが Unsanctioned として表示されます。 ファクトの後に[認可] tag を追加(または削除)すると、現在のタグ付きアプリケーションのリストに対してリアルタイムで実行されるレポートが変更されます。
アプリケーションリストをフィルター処理して、タグ付けされたアプリケーションだけを表示したり、フィルターとして特性 SaaS を選択したりできます。
アプリケーションのチェックボックスを選択し、 tag 下部のオプションから操作を選択することで、その場でタグ付けすることもできます。
アプリケーションは、 CLI
> configure
# set application-tag dropbox tag Sanctioned
# commit
使用状況レポートを作成できます。
- モニタ > SaaS アプリケーションの使用状況レポート
A 考慮すべきいくつかの注意点:
- タグは他の仮想システムに伝播しない: アプリケーションが vsys2 で認可されている場合、vsys1 で自動的に 認可されません。
- 個々の vsys でレポートを実行すると、レポートの結果がその vsys に絞り込まれます。
- "all" 仮想システムに関するレポートを実行すると、警告が出力されます。
- Panorama
- Panorama7.1 より前のデバイスを管理 PAN-OS している場合、そのデバイスは集計レポートに含まれません。
- SaaS レポートを 7.1 より前のデバイスにプッシュする場合 PAN-OS 、設定のその部分は無視されます。
- でレポートを実行する場合、 Panorama タグ付けされたアプリケーションPanoramaのみが使用されます (それぞれが firewall 異なるアプリケーションセットにタグ付けされている可能性があるため)。
- コミット 変更
- 認可されたアプリのリストは、コミット時にすべてのログコレクターに同期する必要があります。
- アプリケーションを変更するには tag 、コミットが有効になる必要があります。
- 移行
- 定義済みの SaaS レポートは新しいものであり、ダウングレードスクリプトによって削除されます。
- アプリケーションに追加されたタグは、ダウングレード時に削除されます。