26 april 2021

GlobalProtect - anbefalt oppsett

8 min lesetid

26. april 2021

Vi fikk nylig inn et spørsmål fra en kunde som allerede kjører GlobalProtect

Hei Gøran, Vi har VPN gjennom Palo Alto Networks, og vi har det kanskje litt for slapt på sikkerhet og kontroll. Finnes det en «best practice» metode å sette opp GlobalProtect på for ansatte? Hva som er bra for 2021 kontra hvordan det ble løst i 2018 eller til og med 2020? Vi vil gjerne ha et godt oppsett nå, kanskje til og med sette opp en ny portal og gateway for å teste god metode.

Så da besvarte vi det på følgende måte

Start med BPAT på eksisterende konfigurasjon. Den avdekker noen grunnleggende elementer rundt konfigurasjon, og optimalisering av denne. En rask og effektiv måte å forbedre oppsettet i GlobalProtect.

Det andre er selve designet i GlobalProtect.
  • Skal man ha pre-logon?
  • Skal man ha sertifikat autentisering?
  • Skal man ha MFA (dette er ikke et spørsmål, da dette er et MÅ-krav)?
  • Skal man ha flere gateways, for nærhet til data (relevant da kunden har flere datasenter med stor avstand), men også redundans.
  • Skal klienter eksistere på innsiden, eller skal de bare være å anse som usikre, alltid, og derfor alltid være på utsiden (dette sier Gøran hele tiden).
    • Dette vil kreve at klientene alltid må bruke GlobalProtect, helst med Always On, for brukervennlighet. Da blir det en klientløsning, uansett hvor klienten måtte befinne seg. Da slipper man å vedlikeholde to regimer, som et regime med tilhørende sikkerhet på kontoret, og et annet design, regime og sikkerhet når du ikke er på kontoret (les hjemmekontor, reise, eksterne møter, ferie). Keep it simple. En løsning. Et design. En sikkerhet. Mindre sårbarheter.
  • Hvilke klienter skal man supportere?
    • Windows: Dette er innebygget i Pan-OS
    • Mac, MacOS og OSX: Dette er innebygget i Pan-OS
    • Linux: Dette er med i gateway lisensen
    • iOS, iPhone, Android: Dette er med i gateway lisensen

Skal klienter eksistere på innsiden? Dette er noe jeg ikke anbefaler, men som noen ganger allikevel må skje. Skal man da ta i bruk intern gateway, som betyr at alle klienter alltid skal bruke GlobalProtect, som vil muliggjøre MFA og Host Information Profile (HIP), men da uten at det settes opp en IPsec forbindelse. Dette vil berike brannmuren med brukerinformasjon og enhetsinformasjon, som er relevant og viktig for god tilgangskontroll.

Her kommer jeg ikke med et konkret design, da alle kunder er forskjellige. Men prøver å synliggjøre hvilke elementer man bør ta med seg i design når man skal bruke GlobalProtect. Dette hjelper vi naturligvis til med.

Ransomware

Å få klientene ut, og alltid bruke GlobalProtect, vil virke meget preventivt mot ransomware. Klientene kan fortsatt få ransomware, men spredningen til andre klienter, eller servere, vil bli vanskeligere, og kanskje umulig ved bruk av GlobalProtect.

Zero Trust

Gørans hjertebarn. Mange av punktene over henger sammen med Zero Trust:

  • Alle brukere må alltid autentisere med MFA. Viktig for verifisering
  • GlobalProtect vil gi dere HIP, som kan bidra til enda mer granulær tilgangskontroll
    • Er maskinen patchet? Skal den få tilgang til kritiske eller sensitive tjenester dersom dette ikke er OK?
    • Er diskkryptering på plass?
    • Tilhører maskinen riktig domene?
    • Kjører en spesifikk prosess?
    • Er endepunktsikkerhet aktivt og oppdatert?
    • Er visse registry settinger i tråd med policy?
  • Når du logger på GlobalProtect, er du inne i en virtuell sone, der det ikke eksisterer klienter eller servere. Du når ingenting «by default». Med GlobalProtect vil brannmuren alltid ha User-ID informasjon, som er essensielt i tilgangskontroll til deres data, tjenester, systemer eller løsninger, sammen med App-ID. Alt ligger til rette for solid og god tilgangskontroll og sikkerhet om man alltid starter med GlobalProtect.

Oppsummering

En lang avhandling, men et viktig element. For å oppsummere:

  • Always-On GlobalProtect med MFA. Alltid.
  • Klienter ut av nettverket, som i at de ikke skal eksistere på «innsiden» av brannmuren, som da drar med seg tilgangskontroll basert på IP, subnet og VLAN, som ikke er brukerbasert tilgangskontroll. En gammel og skummel mentalitet, som bidrar til mange av sikkerhetshendelsene
  • Host Information Policy for realtime compliance sjekk
  • App-ID og User-ID baserte tilgangskontroller


Viktige elementer relatert til GlobalProtect

Hvorfor skal man ha “VPN”?

Virtual Private Network (VPN), har eksistert i flere tiår.

  • A virtual private network (VPN) extends a private network across a public network and enables users to send and receive data across shared or public networks as if their computing devices were directly connected to the private network.

Hva er VPN?

Remote Access er ofte synonymt med VPN, og beskriver at man kan nå en funksjon eller tjeneste når man er utenfor de gamle perimeter barrierene via krypterte og sikre forbindelse. Man har gjerne to varianter:

  • Klient VPN, som er enkeltklienter som kobler seg til et hovedkontor med et datasenter via en usikker bærer som f.eks Internett

  • Site to site VPN, for sammenkobling av kontorer/lokasjoner, gjerne et avdelingskontor som kobles til et hovedkontor, via en kryptert forbindelse gjerne over en usikker forbindelse som f.eks internett

Hva er GlobalProtect?

GlobalProtect er en mer omfattende løsning enn VPN. GlobalProtect benytter VPN/IPsec som bærer i kommunikasjon, med SSL-VPN som fallback, så bærer teknologien er tilsvarende som tradisjonell VPN.
GlobalProtect er todelt:

  • Portal, som alle brukere kommuniserer med for å få gateway konfigurasjon
  • Gateway kan eksistere som en, en redundant, eller mange gateways på multiple lokasjoner, gjerne rundt i hele verden. Det er Portal konfigurasjonen som bestemmer hvilken gateway du som klient skal kobles til. Det kan være automatisk basert på hvor du fysisk befinner deg, eller skreddersydd til lokasjon eller enhet.

Hvorfor GlobalProtect?

Med dagens mobile brukere, vil GlobalProtect sikre at brukerne har lik sikkerhet uansett hvor de fysisk måtte befinne seg.

Hva er Always On VPN?

Med GlobalProtect får man Always On VPN begrepet, som betyr at man har den samme visibiliteten, kontrollen, tilgangen og sikkerheten uansett hvor man måtte befinne seg. Å være på kontoret skal ikke være annerledes enn å være hjemme, på reise, i kundemøter etc.

Hva er GlobalProtect i forhold til Zero Trust?

I Zero Trust er verifikasjon av brukere meget sentralt før tilgang gis. Med GlobalProtect, kan tilgang styres med maskinsertifikat, brukersertifikat og Multi Faktor Autentisering. Med GlobalProtect blir tilgangene gjort på brukernivå istedenfor tradisjonelle metoder med IP adresser.

VPN vs GlobalProtect. Remote access vs Always On

Som overskriften sier, er hensikten med løsningene veldig forskjellig, og tenkt for å adressere to forskjellige utfordringer

  • Klient VPN er primært for å nå en intern tjeneste bak perimeter brannmurene på en sikker måte når man eksisterer på utsiden
  • GlobalProtect gir remote access funksjonaliteten, men har i tillegg til hensikt å fungere som en Always On VPN løsning for å dermed sikre endepunktet hele tiden, uansett hvor det måtte befinne seg. Dette betyr at all kommunikasjon klienten gjør, som hovedregel alltid skal gå via sentral brannmur, eller en av tilgangspunktene/gatewayene, da GlobalProtect er skalerbart til å kunne bruke mange Gateways.

MFA

Multi Faktor Autentisering er en naturlig komponent å ha i et GlobalProtect oppsett, og vi i Data Equipment og Intellisec setter ikke opp løsninger uten dette. Dette er viktig i tråd med Zero Trust for god verifisering før tilgang gis.

Positiv split tunnel

Split Tunnel er i hovedsak et negativt ladet begrep, da dette henger igjen fra en tid der man hadde mobile brukere som var tilkoblet internett, men satte opp en split tunnel for å nå spesifikke tjenester på innsiden, samtidig som man i hovedsak var tilkoblet internett, og teknisk sett muliggjorde en bromulighet. Dette brukes av mange fortsatt.

GlobalProtect tilbyr Optimized Split Tunneling, som betyr det motsatte, ved at man har en Always On VPN løsning, som har til hensikt å sende all kommunikasjon via VPN forbindelsen via den sentrale sikkerhetspunktet, men man kan gjøre bevisste unntak for hva som skal inn i den krypterte og sikrede kommunikasjonen, for å sende f.eks videotjenester, Office 365, eller andre spesifikke funksjoner og tjenester direkte ut på internett. Dette er en helt motsatt metode, som har en helt annen og mye mindre risiko og angrepsflate.

Mobile enheter

Mobil enheter har begrenset med sikkerhet, men brukes ofte i jobbsammenheng Exchange hendelsen på Stortinget er et eksempel, der brukere alltid skal kunne sjekke e-post, til og med fra mobile enheter, når de er på Internett. GlobalProtect muliggjør sikker kommunikasjon med Exchange, og andre tjenester, sammen med MFA, som muliggjør at Exchange kan fjernes fra internett. Samtidig vil Always On VPN sikre også all kommunikasjon fra mobile enheter, inkludert muligheten for SSL dekryptering.

Ingen kontor og hjemmekontorløsning, men brukerløsning, uansett hvor brukeren måtte befinne seg.

En løsning istedenfor to. Enklere. Bedre. Sikrere.

  • To løsninger, krever mer design og konfigurasjon, gjerne sammen med mer teknologi og krav om kompetanse. Dette skaper mer kompleksitet og sårbarhet, og ikke dermed mer sikkerhet.
  • En løsning med GlobalProtect vil fungere som en klientløsning, som adresserer klientløsningsbehovet med en løsning. Enklere. Bedre. Sikrere.

SSO 

Alle foretak har mange tjenester, både interne og eksterne som f.eks SaaS. For høyere sikkerhet og bedre brukervennlighet, er det anbefalt å knytte disse mot en sentral tilgangskontrollløsning, med MFA og Single Sign On (SSO). GlobalProtect vil være naturlig å knytte til denne løsningen for et mest mulig strømlinjeformet design.

User-ID

Med GlobalProtect vil all kommunikasjon være knyttet til en bruker identitet, helst verifisert med MFA, som muliggjør User-ID basert tilgangskontroll, i tråd med DNA’et i Palo Alto Networks, og sentralt i Zero Trust. GlobalProtect er bl.a derfor en anbefalt løsning for kommunikasjon til systemer man beskytter, da det vil heve sikkerheten til tilgangskontrollen.

Klienter ut av nettverket

I gamle dager, og fortsatt, er det “vanlig” at klienter er på innsiden av brannmuren når man er på kontoret. Mobile brukere er i dag helt naturlig, og det er derfor mer fornuftig å ha en løsning som adresserer dette på en mer moderne måte, ved at klientene, i tråd med Zero Trust, flyttes ut av nettverket, og behandles som usikre. Klienter skal håndteres likt uansett hvor de fysisk måtte befinne seg.

Ransomware

Med klientene ute av nettverket, sikker og granulær tilgangskontroll, vil man være bedre rustet mot Ransomware spredning til andre klienter, eller til kritiske tjenester. Dette er en utprøvd metode som flere bekrefter at vil gjøre store sikkerhetsmessige forskjeller.

SSL dekryptering

SSL dekryptering er relevant og aktuelt sammen med GlobalProtect. SSL dekryptering finnes i to relevante varianter som konfigureres på to forskjellige måter, krever veldig forskjellig konfigurasjon og har stor forskjell på ytelsen.

  • SSL Forward Proxy. Når en klient skal kommunisere med funksjoner og tjenester på Internett, via GlobalProtect Always On Mobile Device Security, kan Palo Alto Networks brannmuren dekryptere denne kommunikasjonen for full visibilitet av all kommunikasjon for bedre tilgangskontroll, men også for å muliggjøre inspeksjon av all kommunikasjon mot skadelig adferd, samt full logging.
  • SSL Inbound Inspection. Veldig relevant i Zero Trust. Når en klient skal snakke med en intern tjeneste, er kommunikasjonen gjerne SSL/TSL kryptert. Det vil da være kritisk at denne dekrypteres, noe som er enkelt med denne funksjonen, for full visibilitet, korrekt tilgangskontroll mot riktig applikasjon, full inspeksjon og logging.

Exchange hendelsen på Stortinget

Som nevnt tidligere, kunne denne hendelsen vært avverget med et mer sikkert design, ved å fjerne Exchange serveren fra Internett, sette den bak sikkerhetsbarrierer, og tilgjengeliggjøre den via Always On VPN med MFA.

Data Equipment består av over 30 datasikkerhetsentusiaster med fingeren på pulsen av det moderne trusselbildet. Vi hjelper deg med å være i forkant av det neste store angrepet med gode løsninger som eksempelvis GlobalProtect, og tenker helthetlig sikkerhet i alt vi leverer.

Ønsker du å vite mer om GlobalProtect er det bare å ta kontakt.

Gøran Tømte

Skrevet av Gøran Tømte

Gøran har bred og lang erfaring fra IT-bransjen, er CISO i Data Equipment og beskriver seg selv som en «Zero Trust soldier, working to change and enhance». Gøran har et brennende hjerte for IT-sikkerhet og mener at alt starter med mindset. Målet er et sikrere Norge.

Relaterte artikler