В чем плюс безопасности из облака?

Существует несколько видов облачных сервисов безопасности из облака

• Облачная защита: WAF, Anti-DDoS, когда атакующий трафик даже не доходит до ресурсов вашей компании, а чистится где-то в облаке;
• Внешний Security Operation Center (SOC), когда вы можете отправлять события безопасности в сервисную компанию в облаке и она будет выявлять инциденты и оповещать вас;
• Managed Detection and Response (MDR) - это тот же внешний SOC в задачу которого входит еще и реагировать на найденные инциденты;
• Облачная защита сотрудников и офисов от угроз, реализованная в облаке в виде внешнего сервиса Secure Access Service Edge (SASE) включающего в себя защиту и собственных облачных ресурсов через Cloud Access Service Broker (CASB), что для многих выглядит как защита все-в-одном работающая облаке в некоторой точке в любой стране, к которой сотрудник или офис подключается по VPN или через прокси-сервер и через этот облачный фильтр потребляем ресурсы Интернет и собственные ресурсы компании;
• Система хранения и обработки событий в облаке (Data Lake, XDR, SIEM, UEBA) когда вы не готовы хранить свои же события и когда вы не готовы администрировать средства защиты - здесь за размер и доступность хранилища и за работоспособность продуктов ИБ отвечает внешний поставщик - вы просто пользуетесь. В общем Security as a service по модели Software as a service. Сплошной SecaaS.

Первое замечательное свойство всех этих облачных сервисов:

- внешний SOC, SASE, MDR всегда может переварить больше событий, больше очистить трафика, чем куплено. Это даже вписывают в SLA. На собственном SIEM или NGFW эти события или трафик просто будут удалены по причине физической невозможности обработки данного трафика. Вы прекращаете битвы с поставщиками оборудования за то, что вам привезли NGFW не той модели или SIEM или DLP не тянут нагрузки. В облаке автоматически масштабируется нагрузка.

Второе свойство, которое может понравиться:

- это сервис, который уходит в OPEX и можно его поменять и гибко масштабировать.
Пример: Если вчера 1% сотрудников были дома и пользовались имеющимся VPN, а завтра надо чтобы все 100% остались дома и подключились по VPN - вам не надо спешно докупать новых 100 VPN шлюзов - вы просто доплачиваете за подписку!

Как защитить домашний компьютер используя GlobalProtect

Сегодня проводили вебинар, было много вопросов по настройке и я думаю, что теперь любой, кто посмотрит это видео сможет настроить шлюз VPN на Palo Alto Networks.

Также мы опубликовали готовые схемы настройки. Смотрите в соседних постах.

• GlobalProtect Overview - Общий обзор настроек.
• GlobalProtect Part I - Основные настройки для portal, external gateway и для локальной аутентификации.
• GlobalProtect Part II - Расширенные настройки для аутентификации через LDAP, RADIUS, Duo и также для internal gateway.
• GlobalProtect Part III - Расширенные настройки для пользователей и привязки к ним политик безопасности на основе HIP и  включения HIP notifications.
• GlobalProtect Part IV - Настройки дополнительной аутентификации с MFA для HTTP и не-HTTP доступа к критичным ресурсам.

Мы поговорили о рисках подключения домашних компьютеров к сети компании. По сути любой домашний компьютер - это дыра в безопасности.

И мы поговорили о том как их минимизирует GlobalProtect, USER-ID и HIP.

Также мы обсудили Host Information Profile (HIP) и как он помогает проверить состояние компьютера. Об этом я уже рассказывал подробно ранее.

Функционал HIP требует подписки GlobalProtect, поэтому мы на время коронавируса предлагает ее бесплатно на 90 дней. Остается только ее включить и настроить проверки.

И конечно же перешли к вопросу как это настраивать и ставить.

Как ставить клиентов GlobalProtect

Важный вопросы был как клиентов распространять.

Самое простое давать сотруднику URL ссылку на портал, где ваш сотрудник авторизуется со своим логином паролем домена и скачивает клиента. Например, gp.example.ru
Второй вариант распространять через MDM на мобильники.
Третий вариант ставить из магазина Apple Store и Google Play.
Сам клиент требует при запуске сказать ему IP или FQDN адрес портала и также логин и пароль.

Конфигурация GlobalProtect шлюза

В видеоролике мы записали как это сделать, и также мы подготовили документ PDF на русском языке с описанием как настраивать.

IronSkillet и PanHandler

У компании Palo Alto Networks существует набор готовых конфигураций межсетевого экрана. И в том числе для GlobalProtect. Поэтому мы также дали ссылку на пример шаблона с командами set. Можно его использовать как есть, а можно использовать утилиту PanHandler и она сама подставит ваши адреса и настройки в шаблон.

MFA

Сегодня не рассматривали двухфаторную аутентификацию. Самое простое - это второй фактор на сертификатах, поскольку портал может выступать как SCEP клиент, запрашивать сертификат и отдавать клиенту для авторизации на шлюзе.

Prisma Access

Следующая презентация 27 марта в 12 дня будет про Prisma Access и все наши бесплатные сервисы которые мы предлагаем во время эпидемии коронавируса. РЕГИСТРАЦИЯ открыта. Эту технологию сейчас пропогандируем не только мы, но еще и Gartner. Он назвал ее SASE.