29 juin 2015

Ça y est, la nouvelle version majeure de Palo Alto est annoncée et sa sortie officielle approche grandement. Nous n’avons pas encore pu les tester dans notre lab, mais sur le papier, certaines nouvelles fonctionnalités pourraient avoir de beaux jours devant elles. En avant première, voici un exemple rapide de celles que nous trouvons sympas et qui pourraient vous intéresser :

• Un tout nouveau ACC

Pour les nombreux fans du reporting Palo Alto, l’Application Command Center a été totalement repensée et offre maintenant la visibilité présentée ci-dessous

Capture d’écran 2015-06-29 à 11.36.28

1 – Trois nouveaux onglets sont présents : « Network Traffic », « Threat Activity », « Blocked Activity »
2 – Des Widgets sont maintenant disponibles de la même manière que dans le Dashboard
3 – La notion de temps a été revue dans les rapports.
4 – Permet d’affecter un filtre à l’ensemble des onglets
5 – le Facteur de risques, comme dans les anciennes versions
6 – Le choix du Virtual System
7 – Export des widgets en PDF

 

• Un moteur de corrélation de logs

Cette nouvelle fonctionnalité, disponible sur les gammes 7000, 5000 et 3000, permet comme son nom l’indique de réaliser de la corrélation de logs. Le moteur s’appuie sur la définition de nouveaux objets de type « Objects Correlation ». Ils se composent de différents patterns de types booléens basés sur les logs générés sur le Palo Alto. Par exemple, une attaque pourra être repérée si elle matche l’ensemble des événements : Activité de scanning, exploitation de vulnérabilités, contact d’un domaine considéré comme malicieux.

 

• Une recherche globale des objets

Enfin diront certains. Cette fonctionnalité déjà présente depuis un moment sur d’autres technologies de Firewall permet de faire une recherche globale sur l’équipement et de retrouver dans la configuration candidate tous les appels à l’objet recherché.

Capture d’écran 2015-06-29 à 12.02.31 Capture d’écran 2015-06-29 à 12.02.51

 

 

• Etude d’impact sur les nouvelles signatures

En version 7, les firewalls Palo Alto vous proposeront de prendre plus de précautions au moment des mises à jour de vos signatures d’applications. En effet un grand nombre d’entre vous ont certainement déjà rencontré le problème du mercredi matin, d’une application qui ne matche plus de la même façon et qui ne correspond donc plus à vos politiques en place suite à la mise à jour effectuée automatiquement dans la nuit. Désormais, il sera possible de configurer la prise en compte des nouvelles signatures plus en douceur avec un système de matching transparent, qui permettrait de faire cohabiter les nouvelles et les anciennes versions de certaines applications afin de vérifier son matching dans votre politique.

 

• Utilisation du X-Forwarded-For dans les security policy

Une des problématiques dans l’utilisation de UserID dans les versions précédentes est le passage à travers un proxy qui cache donc l’adresse IP source du client et qui rend l’utilisation du référencement IP/Login impossible dans les politiques de sécurité. Dans la version 7, Palo Alto propose maintenant de s’appuyer sur le header X-Forwarded-For des requêtes http pour établir cette relation. Attention, si vous maîtrisez l’utilisation de ce header particulier, vous savez que sa manipulation n’est jamais évidente. Les développeurs ont ici choisi de se baser uniquement sur la première valeur entrée dans le header.

 

• Granularité dans les actions bloquantes sur les règles de sécurité

Il est désormais possible de définir l’action effectuée par une règle de sécurité en Deny de façon plus granulaire :
Deny – le trafic est bloqué de la façon précisée dans l’application bloquée.
Drop – Bloque le trafic de façon silencieuse, aucun reset n’est envoyé.
Reset Client – Un reset est envoyé côté client
Reset Server – Un reset est envoyé côté serveur
Reset Both – Un reset est envoyé de chaque côté, client et serveur

 

• Global Protect Licensing

La licence « Portal » n’est plus nécessaire pour créer une configuration multi-gateway. Seule la licence Gateway pour le support de HIP et des applications Android et iOS sont nécessaires pour utiliser toutes les fonctionnalités Global Protect

 

Vous avez bien évidemment une liste non exhaustive des nouveautés apportées par cette dernière version.

Nous sommes comme d’habitude disponibles si vous souhaitez discuter de ces nouvelles fonctionnalités.

Partager :

Auteurs