本文档将研究与在工业控制系统 (ICS) 环境中使用帕洛阿尔托网络下一代防火墙相关的三个用例。所有三用例的主要目标是提供额外的安全措施以保护 ICS 网络。同样重要的是, 这些措施可以使自动化尽可能降低运营成本和事故响应疲劳。

 

三用例:

• 引入多因素身份验证 (2FA) 以访问操作技术 (OT) 网络和应用程序
• 身份验证失败和关键安全事件时的自动隔离终结点
• 提供从 ICS 位置到各种数据中心的加密管道, 并动态地对这些隧道进行网格

要求

必需项目	说明
帕诺斯8	8.0.5 在本文档的时候
多因素认证	OKTA 在本例中
票务系统	ServiceNow 在本例中
GlobalProtect 云服务

 

描述它/OT 边界的高级图, 其中应用多因素安全用例:

 

多因素用例流程图

一般流在下面的图表中描述。在此示例中, 为了从隔离组中移除终结点, 需要进行管理员注意。但是, 在帕诺斯版本8.x 中可以动态删除, 并在违规的源通信中添加标记。这可能允许在隔离和其他动态地址组之间移动终结点时实现完全自动化。

 

 

多因素用例的配置

传统上, 多因素身份验证要求应用程序能够提供2FA 交互。但是, 有许多应用程序根本没有此功能 (特别是在 OT 环境中的遗留应用程序)。现在可以通过在网络级别启动进程来对这些和任何其他应用程序实施多因素身份验证。具体地说, 帕诺斯版本8提供了此功能, 并且不依赖于2FA 感知的应用程序。现在, 在规则集内满足特定条件 (即 IT 网络上的用户试图访问 OT 网络上的应用程序) 时, 可以启动 MFA 进程。如果其中一个身份验证进程失败, 则拒绝访问。

 

第一个用例是在用户尝试访问驻留在 OT 网络中的应用程序时引入多因素身份验证。系统会提示用户在基于 web 的表单 (首次身份验证) 上输入凭据, 然后 confrmation (第二次身份验证), 以确保凭据所有者实际启动了该进程。

第一个传递是通过一个固定的门户登录:

 

第二个通行证验证带外:

 

 

在 "设备/服务器配置文件/多因素身份验证" 下添加多因素服务器配置文件。目前, 有四个内置模板用于 providors (Okta 自适应、PingID 和双核 v2)。例如, 请参见屏幕截图。有关详细的多因素身份验证配置, 请参阅帕诺斯8.0 管理员指南: https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/authentication/configure-multi-factor-authentication

 

 

在身份验证配置文件中启用其他身份验证因素 (选择刚刚创建的 MFA 服务器配置文件): 设备/身份验证配置文件:

 

 

创建一个身份验证强制对象并选择刚刚创建的身份验证配置文件。这是在对象/身份验证下。创建自定义消息, 用户将在提示您通过 "固定门户" 进行第一级身份验证时看到。

 

 

配置身份验证规则以触发多因素身份验证过程。在这个例子中, 当从 IT 网络启动的通信注定要用于 OT 网络时, 我们希望启动多因素过程。这可以通过添加特定的广告组或用户来进一步细化。

 

策略/身份验证

 

 

创建一个安全策略规则, 允许用户访问需要身份验证的服务和应用程序。这可以通过添加特定的广告组或用户和应用程序进一步细化 (即 DNP3、天鹅、SCADA 等)。

 

政策/安全

 

 

添加自动化–动态地址组

引入多因素身份验证后, 下一步是对失败的身份验证尝试或关键安全事件采取操作。为了实现这一点, 有两个功能要部署: 动态地址组和日志转发配置文件。

 

动态地址组 (达吉斯坦) 允许灵活的策略适应更改。例如, 主机可以使用标记将其放置在一个与允许规则匹配的地址组中, 但会动态更改其标记 (随后将其移动到不同的地址组), 以使其与拒绝规则匹配。这就消除了从安全策略中不断添加/删除规则的需要。有关动态地址组的详细信息, 请参阅帕诺斯8管理员指南:

https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/policy/use-dynamic-address-groups-in-policy

 

要创建动态地址组, 转到对象/地址组。此组将是空的, 因为它将根据一个隔离标记进行匹配, 而不会在最初标记任何通信量。

 

 

接下来, 创建要在日志中监视的必需参数。对于每个项, 创建一个内置操作, 它使用隔离标记动态标记源。

 

转到对象/日志转发并创建一个新条目。

 

 

添加自动化–日志转发配置文件

对于每个失败的 MFA 尝试, 定义动态标记的内置操作。

 

 

现在, 添加生成服务票证的自动化。在 "转发" 方法中, 为 ServiceNow 添加预定义的 HTTP 服务器信息。预定义的 HTTP 服务器将在设备/服务器配置文件/HTTP 中输入。

 

定义 ServiceNow 的 HTTP 服务器配置文件。

 

 

单击 "负载格式" 选项卡以使用 ServiceNow 的内置日志记录格式。

 

单击 "验证", 然后从下拉列表中选择 ServiceNow 安全事件。相关的身份验证失败信息将以 ServiceNow 基于 HTTP 的 API 容易消耗的格式发送到 ServiceNow。

 

 

返回对象/日志转发以将自动化添加到配置文件中, 以进行失败的 MFA 尝试, 并添加为 ServiceNow 创建的 HTTP 服务器。

 

 

完成第一个用例 (MFA 故障) 后, 添加第二个用例 (使用重要安全事件的主机隔离)。

 

 

为 ServiceNow 添加 HTTP 服务器配置文件。

 

 

最终的日志转发配置文件将类似于以下内容:

 

 

将新创建的日志转发配置文件添加到允许 IT 到 OT 通信的安全规则中。

 

 

此处列出的用例要求手动干预, 将隔离主机从隔离区移回生产。对于网络中其他较不敏感的区域, 这可能是动态的, 因为日志转发中的内置操作还可以删除标记 (即删除隔离标记)。要查看已放置在隔离区中的源 IP 地址, 请转到 "策略", 查找包含该项的规则, 并悬停在达格·哈马舍尔德上以查看下拉列表。选择下拉列表、值, 以及更多信息以查看清单并对各个源执行操作。

 

 

有关每个 plaform 可获得的动态注册 IP 地址的最大数目, 请参阅下页: https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/policy/use-dynamic-address-groups-in-policy

 

IPSec 隧道的动态啮合

当有许多远程 ICS/SCADA 站点需要 IPSec 连接到多个数据中心 (MPLS 或 Internet) 时, 配置和维护可能会造成行政上的负担。这一点尤其适用于完全网状的站点是一个要求。使用现有的帕洛阿尔托网络防火墙或现有的可构建 IPSec 隧道的边缘设备, 而不是在防火墙前面实现另一个装置来处理路由和动态隧道, 这是一个优雅的解决方案。

 

GlobalProtect 云服务提供了一个托管的、可伸缩的服务, 可通过 IPSec/SSL 动态地网格远程 ICS/SCADA 站点。这将消除云部署 (防火墙、门户和网关) 的复杂性, 同时允许通过全景进行中央安全策略管理。随着需求的增加和减少, 服务自动扩展, 因此团队可以专注于策略/事件管理, 而不是云部署方面。

 

 

这大大简化了数据中心体系结构。在 GlobalProtect 云服务中处理站点到站点和站点到分支的路由。当需要 IPSec 和远程访问时, 该服务可能会合并到整个公司战略中。远程站点可以被认为是 ICS/SCADA 位置、远程办公室、移动工作者, 甚至其他公共云服务, 如亚马逊、Azure、Google 等。

 

 

GlobalProtect 云服务组件

此服务通过全景插件进行配置, 并包含以下组件:

 

 

请注意, GlobalProtect 云服务还包括一个基于云的日志服务。在防火墙、门户和网关中记录的活动将记录到此服务中。全景简单地 "指向" 此服务, 如任何远程日志收集器查询和报告。

 

有几个许可证可以检索服务: GlobalProtect 云服务, 用于远程网络和移动用户以及日志服务。

 

 

使用8.x 版中的新全景插件功能, 安装最新的 GlobalProtect 云服务插件 (在客户支持门户上可用)。

 

 

设置云服务并将主总部数据中心连接到服务。请注意, 可能会使用现有的设备组和模板, 其中包括 ICS/OT 环境。

 

 

将远程站点 (ICS/SCADA) 配置为通过 IPSec/SSL 管道进行连接。

 

 

最后一步是像往常一样配置安全策略。

 

这些场景的自然添加将是实施帕诺斯 v8 的反网络钓鱼和凭据窃取功能。对于那些希望更严格的安全姿态的人来说, 在应用程序级别和用户 ID 之间控制访问是可能的。例如, 并非所有访问 OT 应用程序的人都需要写入寄存器/线圈。这可以通过创建安全策略来控制, 以便严格允许一组 OT 用户的读取活动, 而只为需要它的人写入。

 

 

摘要

在确保 ICS/SCADA 环境的安全方面, 在帕洛阿尔托网络平台上使用各种组件还有许多其他的用例。这里列出的三涵盖了从石油和天然气部门的公司收集的具体要求。

 

此文档仅显示了三个与在工业控制系统 (ICS) 环境中部署帕洛阿尔托网络下一代防火墙有关的用例。第一个方案检查防火墙对访问 OT 网络的用户实施多因素身份验证的使用情况。这些用户将在第二个因素身份验证失败时被隔离。

 

第二个方案检查已通过身份验证的用户访问 OT 网络的活动。此用户可能会被隔离在 "关键" 安全事件上, 甚至可以根据策略在 "高" 安全事件上隔离。此类事件包括一系列广泛的触发器 (即命令和控制活动、尝试访问已知的坏域/IPs/url、漏洞事件 (如堆缓冲区溢出等)。当源用户触发此类事件时, 将立即从 OT 网络中切断 (隔离标记)。在前两种情况中的每个方案中, 源用户被隔离, 直到管理员从隔离组中删除它们 (即删除标记)。

 

第三个用例侧重于操作 effeciencies, 它通过从远程 ICS/SCADA 位置构建动态网状的 IPSec/SSL 管道到主要和/或辅助数据中心位置 (或更多)。向上和向下缩放的复杂性由 GlobalProtecl 云服务处理。这包括自动部署防火墙、门户、网关和日志记录-所有这些都在云中安全地进行。安全策略、报告和查询继续由全景集中执行。

 

所有三用例的主要目标是提供额外的安全措施以保护 ICS 网络。这些措施允许自动化降低运营成本和事件响应疲劳。