Dynamic Address Group (DAG)
В наших сетях постоянно возникают и исчезают различные новые объекты и одновременно меняются свойства старых объектов: система виртуализации или контейнеризации может сама запускать новые веб сервера, старые сервисы могут начать работать ошибочно, сотрудники могут вдруг заразиться и нам нужно вовремя их поместить в карантин. Изменения в ИТ происходит круглосуточно и менять правила доступа межсетевого экрана нужно круглосуточно. Если у вас есть круглосуточная дежурная смена или даже Security Operation Center, то это выполнимо. Но даже им тяжело. При этом сейчас век автоматизации. Чтобы межсетевой экран сам автоматически менял правила в зависимости от каких-то событий в сети, используйте объект Dynamic Address Group или Dynamic User Groups.
В каждый объект DAG попадают IP адреса, которые обладают каким-то свойством. Это свойство может пропадать или появляться у IP адреса и соответственно IP адрес то попадает, то исчезает из этого динамического объекта. Чтобы описать новое свойство, мы приписываем IP адресу специальный тег. У каждого IP адреса может быть до 32 тегов (свойств).
Например, на картинке вы видите, что у вас стартовал новый MYSQL сервер 10.5.1.9, система виртуализации оповещает межсетевой экран, что появился новый IP адрес в сети с тегом MySQL и правило для доступа к SQL-серверам начинает работать для этого нового IP адреса, поскольку этот адрес автоматически попадает в группу MySQL Servers, а правило для этой группы уже написано. Это удобно: администраторы не участвуют, все происходит само. Новый доступ прописывается сам. Не нужно делать Commit и сохранять каждый раз конфигурацию с новым адресом - все работает динамически. Также адрес удалится из группы, когда сервер будет остановлен. Такая возможность интеграции с тегами VMWare есть у Palo Alto Networks
Второй пример. Если мы обнаруживаем, что в сети появился компьютер, который начал подключаться к бот-сети, то очевидно, что он заражен. Чтобы остановить распространение вредоносного кода, мы блокируем доступ этому сотруднику к сети, оповещаем его, что ему требуется вылечить свой компьютер для дальнейшей работы в сети компании. Это также может быть и домашний компьютер сотрудника, который подключился в сети по VPN.
Этот пример хорошо описан в видеоролике
Кстати, в этом примере показано не только как IP адресу назначается новый тег, но и как тег убирать после того как компьютер вылечен.
Третий пример. При включении SSL Decrypt, вы обнаружите, что порушили себе все сервисы. Реально из трафика SSL на периметре получится расшифровать только 50%. Остальное защищено SSL Pinning и проверками клиентских сертификатов. Вам нужно будет долго настраивать исключения из правил для расшифрования трафика. Чтобы это сделать автоматически - сделайте DAG и настройте Log Forwarding Profile вносить туда адреса серверов, которые против вскрытия SSL.
Вот пример такого объекта DAG. И про это будет следующая статья.