- 如果一家企業(yè),其安全態(tài)勢設(shè)定為優(yōu)先級,那么這家企業(yè)將傾向于使用最新威脅簽名而不是應(yīng)用可用性來進行保護。它會使用防火墻的威脅防御功能來實現(xiàn)。
- 如果這家企業(yè)為任務(wù)關(guān)鍵型網(wǎng)絡(luò),其使用最新威脅簽名的目的則傾向于應(yīng)用可用性而非保護。其網(wǎng)絡(luò)會對宕機零容忍,并且,防火墻會以在線部署的形式來執(zhí)行安全策略。如果在安全策略中采用了App-ID識別技術(shù),一旦對內(nèi)容進行更改并有可能影響到App-ID,則宕機就此發(fā)生。
您可以采取任務(wù)關(guān)鍵型或安全優(yōu)先的方式來部署內(nèi)容更新,也可以將這兩種方法混合應(yīng)用以滿足業(yè)務(wù)需求。 遵循這些最佳實踐可以最有效地使用這些在內(nèi)容更新中交付到防火墻的最新應(yīng)用和威脅簽名:
- 請定期查看內(nèi)容發(fā)布說明,了解最新識別和修訂的應(yīng)用和威脅簽名列表。此外,內(nèi)容發(fā)布說明還介紹了更新是如何影響現(xiàn)有安全策略實施的,并就如何修改安全策略以最大限度地利用新功能提供建議。
如果想訂閱內(nèi)容更新通知,煩請登錄Palo Alto Networks支持門戶https://support.paloaltonetworks.com/,輸入您的個人偏好(Preferences),然后選擇Subscribe to Content Updates Emails(訂閱內(nèi)容更新電子郵件)。
您還可以在Palo Alto Networks支持門戶或直接在防火墻Web界面上查看Content Release Notes for apps and threats (應(yīng)用程序和威脅的內(nèi)容版本說明 ):選擇DeviceDynamic Updates并打開Release Note(發(fā)布說明)來瀏覽特定內(nèi)容版本。
“內(nèi)容發(fā)布說明”的“說明”部分重點介紹了Palo Alto Networks未來有很大可能會產(chǎn)生重大影響的更新,例如,新的App-ID或解碼器。 所以一定要查看這些即將推出的更新,要對更新發(fā)布給政策所帶來的影響做好充分了解。
規(guī)劃內(nèi)容更新時間,確保實現(xiàn)自動下載和安裝,同時基于網(wǎng)絡(luò)安全和可用性要求,設(shè)定閾值,一旦防火墻等待時間超過此閾值便對最新內(nèi)容進行安裝:
- 如果安全態(tài)勢設(shè)定為安全優(yōu)先,請勿設(shè)定閾值以免造成最新安全更新接收延遲。要保證只要內(nèi)容更新準備就緒,防火墻便可進行下載和安裝,從而保證您所配備的始終都是最新威脅防御簽名。
- 如果您的網(wǎng)絡(luò)為任務(wù)關(guān)鍵型,將閾值設(shè)定為24小時后更新內(nèi)容。24小時的延遲,可保證這些內(nèi)容在發(fā)布后至少24小時之內(nèi),驗證能否在用戶環(huán)境里正常運行,確保只有經(jīng)過驗證的內(nèi)容才可以被安裝。
- 為了削弱全新應(yīng)用和威脅所所帶來的風險,可嘗試對內(nèi)容進行跨地域安裝運行。可將內(nèi)容提供給那些具有較少商業(yè)風險的遠程站點(分支機構(gòu)會有較少的使用者),之后再在那些有較多商業(yè)風險的站點(比如部署了關(guān)鍵應(yīng)用)進行部署。在某些最新內(nèi)容全網(wǎng)部署之前,將其設(shè)定為禁用于某些防火墻,這樣可比較容易的對出現(xiàn)的問題進行解決。
使用Panorama中央管理平臺可將這些排位規(guī)劃交付給不同防火墻和設(shè)備群組。
為了規(guī)劃內(nèi)容更新,選擇DeviceDynamic Updates,將Schedule配置為Applications and Threats updates (應(yīng)用和威脅更新),將Schedule中的Action配置為download-and-install(下載與安裝),并將可選項Threshold(閾值)設(shè)定為24小時。
- 對Content Release(發(fā)布內(nèi)容)中最新推出的App-ID識別技術(shù)進行管理。始終對Content Release中推出的全新App-ID識別技術(shù)進行審核,并對識別出的全新應(yīng)用實施策略影響評估。在任務(wù)關(guān)鍵型環(huán)境下,可在策略影響審核結(jié)束后再行安裝全新應(yīng)用。如果你無法在安裝最新內(nèi)容更新之前對安全策略進行修訂,你將無法啟動內(nèi)容更新里面的全新應(yīng)用,同時會在稍后時間里對這些應(yīng)用的策略影響進行評估。
- 如果您所處的恰恰是任務(wù)關(guān)鍵型環(huán)境,在這些全新應(yīng)用真正運行于生產(chǎn)環(huán)境之前,要在專有測試環(huán)境下對這些全新應(yīng)用和威脅內(nèi)容進行測試,而測試這些應(yīng)用和威脅內(nèi)容的最簡便方法,便是將測試防火墻加入生產(chǎn)流量。在測試防火墻上安裝最新內(nèi)容,并嚴密監(jiān)測防火墻對生產(chǎn)環(huán)境流量進行處理的情況。此外,您也可以通過測試客戶、防火墻以及數(shù)據(jù)包捕獲(PCAPs)來模擬生產(chǎn)流量。PCAPs非常適合用來模擬流量,特別適用于由于站點不同造成的防火墻安全策略也不同的情況。
關(guān)于Palo Alto Networks
作為全球網(wǎng)絡(luò)安全領(lǐng)導企業(yè),Palo Alto Networks一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護數(shù)字時代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護航。我們的獨具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks掌握安全、自動化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動生態(tài)系統(tǒng)的不斷成長,并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動設(shè)備的網(wǎng)絡(luò)安全解決方案。
