26 april 2021

GlobalProtect - anbefalt oppsett

3 min lestetid

GlobalProtect - anbefalt oppsett

26. april 2021

Vi fikk nylig inn et spørsmål fra en kunde som allerede kjører GlobalProtect (GP):

Hei Gøran, Vi har VPN gjennom Palo Alto Networks, og vi har det kanskje litt for slapt på sikkerhet og kontroll. Finnes det en «best practice» metode å sette opp GlobalProtect på for ansatte? Hva som er bra for 2021 kontra hvordan det ble løst i 2018 eller til og med 2020? Vi vil gjerne ha et godt oppsett nå, kanskje til og med sette opp en ny portal og gateway for å teste god metode.

Så da besvarte vi det på følgende måte:

Jeg ville startet med BPAT på eksisterende konfigurasjon. Den avdekker noen grunnleggende elementer rundt konfigurasjon, og optimalisering av denne. En rask og effektiv måte å forbedre oppsettet.

Det andre er selve designet.
  • Skal man ha pre-logon?
  • Skal man ha sertifikat autentisering?
  • Skal man ha MFA (dette er ikke noe spørsmål, da dette er et MÅ-krav)?
  • Skal man ha flere gateways, for nærhet til data (relevant da kunden har flere datasenter med stor avstand), men også redundans.
  • Skal klienter eksistere på innsiden, eller skal de bare være å anse som usikre, alltid, og derfor alltid være på utsiden (dette sier Gøran hele tiden).
    • Dette vil kreve at klientene alltid må bruke GP, helst med Always On, for brukervennlighet. Da blir det en klientløsning, uansett hvor klienten måtte befinne seg. Da slipper man å vedlikeholde to regimer, som et regime med tilhørende sikkerhet på kontoret, og et annet design, regime og sikkerhet når du ikke er på kontoret (les hjemmekontor, reise, eksterne møter, ferie). Keep it simple. En løsning. Et design. En sikkerhet. Mindre sårbarheter.
Skal klienter eksistere på innsiden? Dette er noe jeg ikke anbefaler, men som noen ganger allikevel må skje. Skal man da ta i bruk intern gateway, som betyr at alle klienter alltid skal bruke GP, som vil muliggjøre MFA og Host Information Profile (HIP), men da uten at det settes opp en IPsec forbindelse. Dette vil berike brannmuren med brukerinformasjon og enhetsinformasjon, som er relevant og viktig for god tilgangskontroll.

Her kommer jeg ikke med et konkret design, da alle kunder er forskjellige. Men prøver å synliggjøre hvilke elementer man bør ta med seg i design. Dette hjelper vi naturligvis til med.

Ransomware

Å få klientene ut, og alltid bruke GlobalProtect, vil virke meget preventivt mot ransomware. Klientene kan fortsatt få ransomware, men spredningen til andre klienter, eller servere, vil bli vanskeligere, og kanskje umulig.

Zero Trust

Gørans hjertebarn. Mange av punktene over henger sammen med Zero Trust:

  • Alle brukere må alltid autentisere med MFA. Viktig for verifisering
  • GP vil gi dere HIP, som kan bidra til enda mer granulær tilgangskontroll
    • Er maskinen patchet? Skal den få tilgang til kritiske eller sensitive tjenester dersom dette ikke er OK?
    • Er diskkryptering på plass?
    • Tilhører maskinen riktig domene?
    • Kjører en spesifikk prosess?
    • Er endepunktsikkerhet aktivt og oppdatert?
    • Er visse registry settinger i tråd med policy?
  • Når du logger på GlobalProtect, er du inne i en virtuell sone, der det ikke eksisterer klienter eller servere. Du når ingenting «by default». Med GP vil brannmuren alltid ha User-ID informasjon, som er essensielt i tilgangskontroll til deres data, tjenester, systemer eller løsninger, sammen med App-ID. Alt ligger til rette for solid og god tilgangskontroll og sikkerhet om man alltid starter med GlobalProtect


En lang avhandling, men et viktig element. For å oppsummere:

  • Always-On GlobalProtect med MFA. Alltid.
  • Klienter ut av nettverket, som i at de ikke skal eksistere på «innsiden» av brannmuren, som da drar med seg tilgangskontroll basert på IP, subnet og VLAN, som ikke er brukerbasert tilgangskontroll. En gammel og skummel mentalitet, som bidrar til mange av sikkerhetshendelsene
  • Host Information Policy for realtime compliance sjekk
  • App-ID og User-ID baserte tilgangskontroller

Gøran Tømte

Skrevet av Gøran Tømte

Gøran har bred og lang erfaring fra IT-bransjen, er CISO i Data Equipment, styremedlem i Cloud Security Alliance Norway og beskriver seg selv som en «Zero Trust soldier, working to change and enhance». Gøran har et brennende hjerte for IT-sikkerhet og mener at alt starter med mindset. Målet er et sikrere Norge.

Relaterte artikler