Schutz von ICS und SCADA-Netzen mit Pan-OS 8,0
Resolution
In diesem Dokument werden drei Anwendungsfälle untersucht, die mit der Nutzung der Firewall der Next Generation von Palo Alto Networks in einer industriellen Kontroll System (ICS) zusammenhängen. Primäres Ziel für alle drei Anwendungsfälle ist es, zusätzliche Sicherheitsmaßnahmen zum Schutz des ICS-Netzwerks zu ergreifen. Wichtig ist auch, dass diese Maßnahmen eine Automatisierung ermöglichen, wo es möglich ist, Betriebskosten und Störungs Müdigkeit zu senken.
Die drei Anwendungsfälle:
- Einführung einer Multi-Factor-Authentifizierung (2FA) für den Zugriff auf die Betriebstechnik (OT) Netze und Anwendungen
- Auto-Quarantäne-Endpunkte bei Authentifizierungs Ausfall und kritischen Sicherheits Ereignissen
- Verschlüsselte Leitungen von ICS-Standorten zu verschiedenen Rechenzentren bereitstellen und diese Tunnel dynamisch vernetzen
Anforderungen
Benötigte Artikel | Hinweise |
PANOS 8 | 8.0.5 zum Zeitpunkt dieses Dokuments |
Multi-Factor-Authentifizierung | Okta in diesem Beispiel |
Ticketing System | Servicenow in diesem Beispiel |
Globalprotect Cloud Service |
|
Hochstufige Diagramm, das die IT/OT-Grenze darstellt, wo die Multi-Factor-Sicherheits-Anwendungsfälle angewendet würden:
Flow-Diagramm für Mehrfaktor-Anwendungsfälle
Der allgemeine Fluss ist in der Grafik unten abgebildet. In diesem Beispiel ist administrative Aufmerksamkeit erforderlich, um einen Endpunkt aus der Quarantäne Gruppe zu entfernen. Es ist jedoch möglich, innerhalb der PANOS-Version 8. x dynamisch zu entfernen und dem beleidigenden quellverkehr ein Tag hinzuzufügen. Dies würde potenziell eine vollständige Automatisierung in bewegten Endpunkten zwischen Quarantäne und anderen dynamischen Adressgruppen ermöglichen.
Konfiguration für Mehrfaktor-Anwendungsfälle
Traditionell erforderte die Multi-Factor-Authentifizierung, dass die Anwendung in der Lage ist, 2FA-Interaktion zu bieten. Allerdings gibt es viele Anwendungen, die einfach nicht über diese Funktion verfügen (vor allem veraltete Anwendungen innerhalb der OT-Umgebung). Es ist nun möglich, die Multi-Factor-Authentifizierung für diese und alle anderen Anwendungen durchzusetzen, indem der Prozess auf der Netzwerkebene initiiert wird. Insbesondere bietet PANOS Version 8 diese Fähigkeit und ist nicht davon abhängig, dass die Anwendung 2FA bewusst ist. Es ist nun möglich, den MFA-Prozess zu starten, wenn bestimmte Kriterien innerhalb des RuleSets erfüllt werden (d.h. wenn Nutzer im IT-Netzwerk versuchen, Anwendungen im OT-Netzwerk zu erreichen). Wenn einer der Authentifizierungsprozesse ausfällt, wird der Zugriff verweigert.
Der erste Anwendungsfall ist die Einführung einer Multi-Factor-Authentifizierung, wenn Nutzer versuchen, auf Anwendungen zuzugreifen, die sich im OT-Netzwerk befinden. Die Nutzer werden aufgefordert, ihre Berechtigungen auf einem webbasierten Formular (erste Authentifizierung) einzugeben, gefolgt von einer mitbildung (zweite Authentifizierung), um sicherzustellen, dass der Bescheinigung-Besitzer den Prozess tatsächlich initiiert hat.
Der erste Durchgang erfolgt über ein Captive-Portal-Login:
Der zweite Durchgang ist out-of-Band validiert:
Fügen Sie das Multi-Factor-Server-Profil unter Device/Server-Profile/Multi-Faktor-Authentifizierung hinzu. Derzeit gibt es vier eingebaute Vorlagen für MFA providors (Okta Adaptive, pingid und Duo v2). Siehe Screenshot zum Beispiel. Eine detaillierte Mehrfaktor-Authentifizierungs Konfiguration finden Sie im PANOS 8,0 Administratoren-Guide: https://www.paloaltonetworks.com/Documentation/80/Pan-OS/Pan-OS/Authentication/configure-Multi-Factor-Authentication
Ermöglichen Sie zusätzliche Authentifizierungsfaktoren innerhalb eines Authentifizierungs Profils (Wählen Sie das gerade erstellte MFA-Serverprofil): Gerät/Authentifizierungs Profil:
Erstellen Sie ein Authentifizierungs-Durchsetzungs Objekt und wählen Sie das gerade erstellte Authentifizierungs Profil aus. Dies ist Unterobjekten/Authentifizierung. Erstellen Sie eine benutzerdefinierte Nachricht, die Benutzer sehen werden, wenn Sie für die erste Ebene der Authentifizierung über Captive Portal aufgefordert werden.
Konfigurieren Sie eine Authentifizierungs Regel, um den Multi-Factor-Authentifizierungsprozess auszulösen. In diesem Beispiel wollen wir den Multi-Factor-Prozess starten, wenn der vom IT-Netzwerk initiierte Traffic für das OT-Netzwerk bestimmt ist. Dies könnte durch das Hinzufügen spezifischer Anzeigengruppen oder Benutzer weiter verfeinert werden.
Richtlinien/Authentifizierung
Erstellen Sie eine sicherheitspolitische Regel, die es Nutzern ermöglicht, auf die Dienste und Anwendungen zuzugreifen, die eine Authentifizierung erfordern. Dies könnte durch das Hinzufügen spezifischer Anzeigengruppen oder Benutzer und Anwendungen (z. Modbus, DNP3, Cygnet-SCADA, etc.).
Politik/Sicherheit
Die Automatisierung – dynamischen Adressgruppen hinzufügen
Nach der Einführung der Multi-Factor-Authentifizierung ist der nächste Schritt, entweder mit einem gescheiterten Authentifizierungs Versuch oder einem kritischen Sicherheits Ereignis zu handeln. Um dies zu erreichen, gibt es zwei Funktionen: dynamische Adressgruppen und logweiterleitungs Profile.
Dynamische Adressgruppen (DAGs) ermöglichen flexible Strategien, die sich an Veränderungen anpassen. Zum Beispiel kann ein Host mit einem Tag beginnen, der ihn in eine Adress Gruppe einstellt, die mit einer Allow-Regel übereinstimmt, aber seinen Tag dynamisch ändern lassen (und ihn anschließend in eine andere Adress Gruppe verschieben), so dass er mit einer Deny-Regel übereinstimmt. Dadurch entfällt die Notwendigkeit, ständig Regeln aus der Sicherheitspolitik hinzuzufügen/zu entfernen. Detaillierte Informationen zu dynamischen Adressgruppen finden Sie im Leitfaden des PANOS 8 Administrators:
Um eine dynamische Adress Gruppe zu erstellen, gehen Sie zu Objekten/Adressgruppen. Diese Gruppe wird leer sein, da Sie auf der Grundlage eines Quarantäne Tags, für den zunächst kein Verkehr markiert wird, übereinstimmen wird.
Als Nächstes erstellen Sie die erforderlichen Parameter, um innerhalb der Protokolle zu sehen. Erstellen Sie für jeden eine eingebaute Aktion, die die Quelle dynamisch mit einem Quarantäne-Tag versehen.
Gehen Sie zu Objekten/Log-Weiterleitung und erstellen Sie einen neuen Eintrag.
Zugabe der Automation – Log Forwarding profile
Definieren Sie für jeden gescheiterten MFA-Versuch die eingebaute Aktion für die dynamische Markierung.
Fügen Sie nun die Automatisierung der Generierung des Service-Tickets hinzu. In der vorwärts-Methode fügen Sie Ihre vordefinierten http-Server-Informationen für servicenow hinzu. Der vordefinierte http-Server würde in Device/Server-Profilen/http eingegeben.
Definieren Sie das HTTP-Server-Profil für servicenow.
Klicken Sie auf den Reiter Payload Format, um das eingebaute Logging-Format für servicenow zu verwenden.
Klicken Sie auf die Authentifizierung und wählen Sie den Sicherheitsvorfall von servicenow aus dem Dropdown. Die entsprechenden Authentifizierungsfehler werden in einem von der servicenow http-basierten API leicht konsumierbaren Format an servicenow gesendet.
Gehen Sie zurück zu Objects/Log-Weiterleitung, um die Automatisierung des Profils für gescheiterte MFA-Versuche hinzuzufügen und den HTTP-Server hinzuzufügen, der für servicenow erstellt wurde.
Wenn Sie mit dem ersten Anwendungsfall (MFA-Ausfälle) fertig sind, fügen Sie den zweiten Anwendungsfall hinzu (Quarantäne-OT-Hosts mit kritischen Sicherheits Ereignissen).
Fügen Sie das HTTP-Server-Profil für servicenow hinzu.
Das abschließende Log-Weiterleitungs Profil wird so aussehen:
Fügen Sie das neu erstellte Log-Forwarding-Profil der Sicherheitsregel hinzu, die den it-to-OT-Verkehr erlaubt.
Die hier aufgeführten Anwendungsfälle erfordern einen manuellen Eingriff, um isolierte Hosts von der Quarantäne zurück in die Produktion zu bringen. Für andere, weniger sensible Bereiche des Netzwerks könnte dies dynamisch sein, da die eingebauten Aktionen innerhalb der Log-Weiterleitung auch Tags entfernen können (d.h. ein Quarantäne-Tag entfernen). Um Quell-IP-Adressen, die in der Quarantäne-DAG platziert wurden, zu sehen, gehen Sie in die Politik, finden Sie die Regel, die die DAG enthält und schweben über der DAG, um einen Drop-Down zu sehen. Wählen Sie den Drop-Down, den Wert und mehr aus, um die Liste zu sehen und zu einzelnen Quellen zu handeln.
Auf der folgenden Seite finden Sie die maximale Anzahl der dynamisch registrierten IP-Adressen pro plaform : https://www.paloaltonetworks.com/Documentation/80/Pan-OS/Pan-OS/Policy/use-Dynamic-Address-Groups-in-Policy
Dynamisches Geflecht von IPSec-Tunneln
Wenn es viele entfernte ICS/SCADA-Seiten gibt, die eine IPSec-Konnektivität zu mehreren Rechenzentren (MPLS oder über das Internet) erfordern, kann es administrativ belastend sein, Sie zu konfigurieren und zu pflegen. Dies gilt insbesondere dann, wenn voll vernetzte Standorte eine Voraussetzung sind. Anstatt ein anderes Gerät vor der Firewall zu implementieren, um Routing und dynamische Tunnel zu handhaben, gibt es eine elegante Lösung mit den bestehenden Palo Alto Networks Firewalls oder bestehenden Kanten Geräten, die IPSec-Tunnel bauen können.
Globalprotect Cloud Service bietet einen verwalteten, skalierbaren Service an, um entfernte ICS/SCADA-Seiten mit IPSec/SSL dynamisch zu vernetzen. Dadurch entfällt die Komplexität des Cloud-Einsatzes (Firewalls, Portale und Gateways), während ein zentrales sicherheitspolitisches Management über Panorama ermöglicht wird. Der Service Auto-Waagen bei der Nachfrage steigt und sinkt, so dass sich die Teams auf das Politik-/Störungsmanagement konzentrieren können und nicht auf die Aspekte des Cloud-Einsatzes.
Das vereinfacht die Rechenzentrumsarchitektur erheblich. Das Routing von Ort zu Ort und von Ort zu Zweig wird im globalprotect Cloud-Service abgewickelt. Der Dienst kann in eine Gesamtstrategie des Unternehmens integriert werden, wenn IPSec und Remote Access erforderlich sind. Entfernte Websites könnten als ICS/SCADA-Standorte, entfernte Büros, Mobile Mitarbeiter oder auch andere öffentliche Cloud-Dienste wie Amazon, Azure, Google, etc. betrachtet werden.
Globalprotect Cloud-Service-Komponenten
Dieser Service wird über ein Panorama-Plug-in konfiguriert und enthält folgende Komponenten:
Beachten Sie, dass der globalprotect Cloud-Dienst auch einen Cloud-basierten Logging-Service beinhaltet. Die Aktivität, die in den Firewalls, Portalen und Gateways aufgezeichnet wird, wird in diesem Service protokolliert. Panorama "zeigt" einfach auf diesen Service wie jeder Remote-Log-Sammler für Abfragen und Reporting.
Es gibt ein paar Lizenzen, die für den Dienst abgerufen werden müssen: globalprotect Cloud-Service für Remote-Netzwerke und mobile Nutzer zusammen mit dem Logging-Service.
Mit der neuen Panorama-Plug-in-Funktion in der Version 8. x installieren Sie das neueste globalprotect Cloud-Service-Plug-in (verfügbar auf dem Kundenservice-Portal).
Richten Sie den Cloud-Dienst ein und verbinden Sie das Hauptzentrum von HQ mit dem Service. Beachten Sie, dass bestehende Gerätegruppen und Vorlagen verwendet werden können, die ICS/OT-Umgebungen einschließen.
Konfigurieren Sie die entfernten Seiten (ICS/SCADA), um sich über IPSec/SSL-Schläuche zu verbinden.
Der letzte Schritt wäre, die Sicherheitsrichtlinien wie gewohnt zu konfigurieren.
Eine natürliche Ergänzung zu diesen Szenarien wäre die Umsetzung von Anti-Phishing-und Bescheinigung-Diebstahl-Funktionen von PANOS V8. Für diejenigen, die eine noch strengere Sicherheitshaltung wünschen, ist es möglich, den Zugriff auf der Anwendungsebene zusammen mit der User-ID zu steuern. Zum Beispiel müsste nicht jeder, der auf OT-Anwendungen zugreift, auf Register/Spulen schreiben. Dies kann durch die Schaffung einer Sicherheitsrichtlinie gesteuert werden, die Modbus-Lese Aktivität für eine Gruppe von OT-Nutzern strikt zulässt, und Modbus schreibe nur für diejenigen, die es brauchen.
Zusammenfassung
Es gibt viele andere Anwendungsfälle für die Verwendung verschiedener Komponenten der Palo Alto Networks-Plattform zur Sicherung von ICS/SCADA-Umgebungen. Die drei hier aufgeführten decken spezifische Anforderungen ab, die von Unternehmen aus der Öl-und Gasbranche erhoben werden.
Dieses Dokument hat lediglich drei Anwendungsfälle im Zusammenhang mit dem Einsatz von Palo Alto Networks der Next Generation Firewall in einer industriellen Kontroll System (ICS)-Umgebung gezeigt. Das erste Szenario untersucht die Verwendung der Firewall, um die Multi-Factor-Authentifizierung für Benutzer, die auf das OT-Netzwerk zugreifen Diese Benutzer werden bei der Authentifizierung des zweiten Faktors in Quarantäne gestellt.
Das zweite Szenario untersucht die Aktivität eines bereits authentifizierten Benutzers, der auf das OT-Netzwerk zugreift. Dieser Benutzer kann bei einem "kritischen" Sicherheits Ereignis unter Quarantäne gestellt werden und könnte sogar auf ein "hohes" Sicherheits Ereignis in Abhängigkeit von der Politik unter Quarantäne gestellt werden. Solche Ereignisse würden eine breite Palette von Triggern (z.b. Befehls-und Kontroll Aktivität, versuchter Zugriff auf bekannte schlechte Domains/IPS/URLs, Verwundbarkeits Ereignisse wie Heap-Pufferüberläufe etc. und mehr) umfassen. Wenn der Quell Benutzer solche Ereignisse auslöst, würden Sie sofort vom OT-Netzwerk abgeschnitten (Quarantäne markiert). In jedem der ersten beiden Szenarien wird der Quell Benutzer unter Quarantäne gestellt, bis ein Administrator Sie aus der Quarantäne Gruppe entfernt (d.h. den Tag entfernt).
Der dritte Anwendungsfall konzentriert sich auf betriebliche Effekten, indem er dynamisch vernetzte IPSec/SSL-Schläuche von den entfernten ICS/SCADA-Standorten zu den primären und/oder sekundären Rechenzentren (oder mehr) aufbaut. Die Komplexität der auf-und abskalierung wird durch den globalprotecl Cloud-Dienst bewältigt. Dazu gehört auch der automatische Einsatz von Firewalls, Portalen, Gateways und Logging – alle sicher in der Cloud. Sicherheitsrichtlinien, Reporting und Abfragen werden weiterhin zentral von Panorama durchgeführt.
Primäres Ziel für alle drei Anwendungsfälle ist es, zusätzliche Sicherheitsmaßnahmen zum Schutz des ICS-Netzwerks zu ergreifen. Diese Maßnahmen ermöglichen eine Automatisierung, um Betriebskosten und Störungs Müdigkeit zu senken.