- 如果一家企業(yè),其安全態(tài)勢設定為優(yōu)先級,那么這家企業(yè)將傾向于使用最新威脅簽名而不是應用可用性來(lái)進(jìn)行保護。它會(huì )使用防火墻的威脅防御功能來(lái)實(shí)現。
- 如果這家企業(yè)為任務(wù)關(guān)鍵型網(wǎng)絡(luò ),其使用最新威脅簽名的目的則傾向于應用可用性而非保護。其網(wǎng)絡(luò )會(huì )對宕機零容忍,并且,防火墻會(huì )以在線(xiàn)部署的形式來(lái)執行安全策略。如果在安全策略中采用了App-ID識別技術(shù),一旦對內容進(jìn)行更改并有可能影響到App-ID,則宕機就此發(fā)生。
您可以采取任務(wù)關(guān)鍵型或安全優(yōu)先的方式來(lái)部署內容更新,也可以將這兩種方法混合應用以滿(mǎn)足業(yè)務(wù)需求。 遵循這些最佳實(shí)踐可以最有效地使用這些在內容更新中交付到防火墻的最新應用和威脅簽名:
- 請定期查看內容發(fā)布說(shuō)明,了解最新識別和修訂的應用和威脅簽名列表。此外,內容發(fā)布說(shuō)明還介紹了更新是如何影響現有安全策略實(shí)施的,并就如何修改安全策略以最大限度地利用新功能提供建議。
如果想訂閱內容更新通知,煩請登錄Palo Alto Networks支持門(mén)戶(hù)https://support.paloaltonetworks.com/,輸入您的個(gè)人偏好(Preferences),然后選擇Subscribe to Content Updates Emails(訂閱內容更新電子郵件)。
您還可以在Palo Alto Networks支持門(mén)戶(hù)或直接在防火墻Web界面上查看Content Release Notes for apps and threats (應用程序和威脅的內容版本說(shuō)明 ):選擇DeviceDynamic Updates并打開(kāi)Release Note(發(fā)布說(shuō)明)來(lái)瀏覽特定內容版本。
“內容發(fā)布說(shuō)明”的“說(shuō)明”部分重點(diǎn)介紹了Palo Alto Networks未來(lái)有很大可能會(huì )產(chǎn)生重大影響的更新,例如,新的App-ID或解碼器。 所以一定要查看這些即將推出的更新,要對更新發(fā)布給政策所帶來(lái)的影響做好充分了解。
規劃內容更新時(shí)間,確保實(shí)現自動(dòng)下載和安裝,同時(shí)基于網(wǎng)絡(luò )安全和可用性要求,設定閾值,一旦防火墻等待時(shí)間超過(guò)此閾值便對最新內容進(jìn)行安裝:
- 如果安全態(tài)勢設定為安全優(yōu)先,請勿設定閾值以免造成最新安全更新接收延遲。要保證只要內容更新準備就緒,防火墻便可進(jìn)行下載和安裝,從而保證您所配備的始終都是最新威脅防御簽名。
- 如果您的網(wǎng)絡(luò )為任務(wù)關(guān)鍵型,將閾值設定為24小時(shí)后更新內容。24小時(shí)的延遲,可保證這些內容在發(fā)布后至少24小時(shí)之內,驗證能否在用戶(hù)環(huán)境里正常運行,確保只有經(jīng)過(guò)驗證的內容才可以被安裝。
- 為了削弱全新應用和威脅所所帶來(lái)的風(fēng)險,可嘗試對內容進(jìn)行跨地域安裝運行。可將內容提供給那些具有較少商業(yè)風(fēng)險的遠程站點(diǎn)(分支機構會(huì )有較少的使用者),之后再在那些有較多商業(yè)風(fēng)險的站點(diǎn)(比如部署了關(guān)鍵應用)進(jìn)行部署。在某些最新內容全網(wǎng)部署之前,將其設定為禁用于某些防火墻,這樣可比較容易的對出現的問(wèn)題進(jìn)行解決。
使用Panorama中央管理平臺可將這些排位規劃交付給不同防火墻和設備群組。
為了規劃內容更新,選擇DeviceDynamic Updates,將Schedule配置為Applications and Threats updates (應用和威脅更新),將Schedule中的Action配置為download-and-install(下載與安裝),并將可選項Threshold(閾值)設定為24小時(shí)。
- 對Content Release(發(fā)布內容)中最新推出的App-ID識別技術(shù)進(jìn)行管理。始終對Content Release中推出的全新App-ID識別技術(shù)進(jìn)行審核,并對識別出的全新應用實(shí)施策略影響評估。在任務(wù)關(guān)鍵型環(huán)境下,可在策略影響審核結束后再行安裝全新應用。如果你無(wú)法在安裝最新內容更新之前對安全策略進(jìn)行修訂,你將無(wú)法啟動(dòng)內容更新里面的全新應用,同時(shí)會(huì )在稍后時(shí)間里對這些應用的策略影響進(jìn)行評估。
- 如果您所處的恰恰是任務(wù)關(guān)鍵型環(huán)境,在這些全新應用真正運行于生產(chǎn)環(huán)境之前,要在專(zhuān)有測試環(huán)境下對這些全新應用和威脅內容進(jìn)行測試,而測試這些應用和威脅內容的最簡(jiǎn)便方法,便是將測試防火墻加入生產(chǎn)流量。在測試防火墻上安裝最新內容,并嚴密監測防火墻對生產(chǎn)環(huán)境流量進(jìn)行處理的情況。此外,您也可以通過(guò)測試客戶(hù)、防火墻以及數據包捕獲(PCAPs)來(lái)模擬生產(chǎn)流量。PCAPs非常適合用來(lái)模擬流量,特別適用于由于站點(diǎn)不同造成的防火墻安全策略也不同的情況。
關(guān)于Palo Alto Networks
作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè),Palo Alto Networks一直以不斷挑戰網(wǎng)絡(luò )安全現狀而著(zhù)稱(chēng)。我們的使命就是通過(guò)有效防御網(wǎng)絡(luò )攻擊來(lái)保護數字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬(wàn)家企業(yè)以及他們的客戶(hù)保駕護航。我們的獨具開(kāi)創(chuàng )性的Security Operating Platform,通過(guò)持續創(chuàng )新為客戶(hù)的數字化轉型戰略提供支持。Palo Alto Networks掌握安全、自動(dòng)化以及數據分析領(lǐng)域的最新技術(shù)突破。通過(guò)提供最真實(shí)的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統的不斷成長(cháng),并以此為基礎為業(yè)界提供卓有成效且獨具創(chuàng )新性的跨云端、網(wǎng)絡(luò )和移動(dòng)設備的網(wǎng)絡(luò )安全解決方案。
