Palo Alto Networks Guide de l administrateur Panorama. Panorama 5.1

Transcription

1 Palo Alto Networks Guide de l administrateur Panorama Panorama 5.1

2 Coordonnées de contact Siège social : Palo Alto Networks 3300 Olcott Street Santa Clara, CA À propos de ce guide Ce guide explique comment installer et utiliser Panorama pour la gestion centralisée ; il est destiné aux administrateurs qui souhaitent bénéficier d une trame de base pour installer rapidement l appareil Panorama virtuel ou l appareil M-100 pour l administration centralisée des pare-feu Palo Alto Networks. Si vous êtes équipé d un appareil M-100, ce guide vous concerne une fois que vous avez procédé au montage en baie de votre appareil M-100. Pour plus d informations, reportez-vous aux sources qui suivent : Guide de l administrateur de Palo Alto Network : donne des instructions sur la configuration des fonctions sur le pare-feu. Le guide de l administrateur de Palo Alto vous assistera avec éléments de Panorama similaires à ceux des pare-feu et qui ne sont pas abordés dans ce guide. : permet d accéder à la base de connaissances, à un ensemble de documentation complets à des forums de discussion et à des vidéos. : permet de contacter le support technique pour avoir des informations sur les programmes d assistance ou pour gérer votre compte ou vos périphériques. Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l adresse : documentation@paloaltonetworks.com. Palo Alto Networks, Inc Palo Alto Networks. Tous droits réservés. Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de Palo Alto Networks, Inc. Toutes les autres marques commerciales sont la propriété de leurs détenteurs respectifs. Réf B ii

3 Table des matières Table des matières Présentation de Panorama À propos de Panorama Plates-formes Panorama À propos de la configuration et de la gestion de déploiement centralisée Changement de contexte : Périphérique ou Panorama Modèles Groupes de périphériques À propos de la journalisation et de la création de rapports centralisées Options de journalisation Collecteurs gérés et groupes de collecteurs Utilisation de collecteurs de journaux dans un groupe de collecteurs Création centralisée de rapports À propos du contrôle d accès basé sur les rôles Rôles administrateur Profils et séquences d authentification Domaines d accès Authentification des administrateurs Déploiement Panorama recommandé Panorama pour la gestion et la création centralisées de rapports Panorama dans une architecture de collecte de journaux distribuée Planification de votre déploiement Déploiement de Panorama : Liste de contrôle des tâches Configurer Panorama Configurer l appareil virtuel Panorama Configuration requise Installer Panorama sur le serveur ESX(i) Exécuter la configuration initiale Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama Configurer l appareil virtuel M Exécution de la configuration initiale Configurer l appareil M-100 en mode Collecteur de journaux Accroître la capacité de stockage de l appareil M Migrer d un appareil virtuel Panorama vers un appareil M Configuration requise Éléments à prendre en compte pour la planification Effectuer la migration Reprendre la gestion des périphériques Installer les licences Enregistrer Panorama Activer/Récupérer les licences Guide de l'administrateur Panorama iii

4 Table des matières Installez les mises à jour de contenu et le logiciel Panorama Naviguez dans l interface utilisateur Panorama Naviguer dans l interface Web Se connecter à l interface Web Se connecter à l interface de ligne de commande Configurer un accès administratif Créer un compte d administrateur Définir des domaines d accès Créer un profil d authentification Définir une séquence d authentification Configurer l authentification administrative Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Ajouter les périphériques gérés Créer des groupes de périphériques Créer des modèles Configurer les pare-feu pour transmettre les journaux à Panorama Valider les modifications sur Panorama Modifier les paramètres de transfert de journaux et de mise en mémoire tampon par défaut Utiliser Panorama pour configurer les périphériques gérés : Un exemple Activer la journalisation Déployer les mises à jour logicielles et gérer les licences Remplacer un périphérique géré par un nouveau périphérique Avant de commencer Restaurer la configuration sur le nouveau périphérique Transition d un périphérique vers une gestion centralisée Surveiller l activité réseau Utiliser Panorama pour la visibilité Surveiller le réseau avec ACC et Portée d application Analyse des données de journaux Générer des rapports Cas pratique : Surveiller des applications en utilisant Panorama Cas pratique : Utiliser Panorama pour remédier à un incident Haute disponibilité Panorama Présentation de la haute disponibilité Déclencheurs de basculement Remarques sur la journalisation en HD Priorité et basculement Quels sont les paramètres qui ne sont pas synchronisés entre les homologues HD? Configurer une paire haute disponibilité Panorama Définir la haute disponibilité sur Panorama Contrôler le basculement Commuter la priorité pour reprendre la journalisation NFS Mettre à niveau Panorama en haute disponibilité iv Guide de l'administrateur Panorama

5 Table des matières Gérer Panorama Gestion des sauvegardes de configuration Programmer l exportation de fichiers de configuration Gestion des sauvegardes de configuration de Panorama Configurer le nombre de sauvegardes stockées sur Panorama Charger une sauvegarde de configuration sur un périphérique géré Comparer les modifications de configuration Restreindre l accès aux modifications de configuration Types de verrous Emplacements où placer un verrou Placer un verrou Afficher les détenteurs de verrous actuels Activer l acquisition automatique du verrou de validation Supprimer un verrou Ajouter des logos personnalisés Afficher l historique des tâches Réaffecter le quota de stockage de journaux Surveiller Panorama Configuration des alertes par message électronique Configurer un accès SNMP Redémarrer ou fermer Panorama Générer des fichiers de diagnostic Configurer les profils et la complexité de mot de passe Remplacer le disque virtuel sur un appareil virtuel Panorama Dépannage Pourquoi la validation de modèle échoue-t-elle? Pourquoi Panorama exécute-t-il un contrôle d intégrité de système de fichiers? Existe t-il une connexion distincte pour la transmission des journaux vers Panorama? Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs indique-t-elle 0 Mo? Pourquoi Panorama est-il à l état suspendu? Où puis-je voir l état de la progression de la tâche? Guide de l'administrateur Panorama v

6 Table des matières vi Guide de l'administrateur Panorama

7 1 Présentation de Panorama Panorama offre la gestion centralisée et une visibilité complète de plusieurs pare-feu de nouvelle génération Palo Alto Networks. Il vous permet de superviser toutes les applications, les utilisateurs et le contenu présents sur le réseau depuis un emplacement unique, puis utilise les informations obtenues pour créer des politiques de mise en œuvre d applications permettant de protéger et de contrôler l ensemble du réseau. L utilisation de Panorama pour la gestion centralisée des politiques et des périphériques accroît l efficacité opérationnelle de la gestion et de l entretien d un réseau distribué de pare-feu. Les sections qui suivent décrivent Panorama et fournissent des instructions permettant de planifier le déploiement de Panorama : À propos de Panorama Plates-formes Panorama À propos de la configuration et de la gestion de déploiement centralisée À propos de la journalisation et de la création de rapports centralisées À propos du contrôle d accès basé sur les rôles Déploiement Panorama recommandé Planification de votre déploiement Déploiement de Panorama : Liste de contrôle des tâches Guide de l'administrateur Panorama 1

8 À propos de Panorama Présentation de Panorama À propos de Panorama Panorama permet la gestion centralisée des pare-feu Palo Alto Networks de nouvelle génération, comme le montre l illustration suivante : Panorama vous permet de configurer, gérer et surveiller efficacement vos pare-feu Palo Alto Networks, grâce à une surveillance centralisée avec contrôle local, comme indiqué. Les trois domaines dans lesquels Panorama représente un progrès sont : la configuration et le déploiement centralisés : pour simplifier la gestion centralisée et le déploiement rapide des pare-feu sur votre réseau, utilisez Panorama pour préparer les pare-feu au déploiement. Vous pouvez regrouper les périphériques en groupes, créer des modèles permettant d appliquer une configuration de réseau et de périphérique de base, puis utiliser ces groupes de périphériques pour administrer des politiques globales partagées et locales. Reportez-vous à la section À propos de la configuration et de la gestion de déploiement centralisée. journalisation agrégée avec surveillance centrale de l analyse et des rapports : collecte des informations sur les activités de l ensemble des pare-feu gérés sur le réseau et analyse, enquête et rapport centralisés sur les données. Cette vue complète du trafic réseau, de l activité utilisateur et des risques associés vous permet de répondre à des menaces potentielles grâce à un ensemble étendu de politiques permettant de mettre en œuvre en toute sécurité les applications sur votre réseau. Reportez-vous à la section À propos de la journalisation et de la création de rapports centralisées. Administration distribuée : vous permet de déléguer ou de restreindre l accès aux configurations et politiques de périphériques globales et locales. Reportez-vous à la section À propos du contrôle d accès basé sur les rôles pour déléguer les niveaux d accès appropriés dans le cadre d une administration distribuée. Panorama est disponible sur deux plates-formes : en tant qu appareil virtuel et en tant qu appareil matériel dédié. Pour plus d informations, reportez-vous à la section Plates-formes Panorama. 2 Guide de l'administrateur Panorama

9 Présentation de Panorama Plates-formes Panorama Plates-formes Panorama Panorama est disponible sur deux plates-formes qui prennent en charge chacune des licences de gestion de périphériques permettant de gérer jusqu à 25 périphériques, jusqu à 100 périphériques ou périphériques. Appareil virtuel Panorama : l appareil virtuel Panorama est installé sur un serveur VMware. Il est simple à installer et facilite la consolidation de serveur sur des sites ayant besoin d un appareil de gestion virtuel. Il prend également en charge l intégration à NFS (Système de fichiers réseau) pour accroître les fonctionnalités de stockage et de conservation des journaux (> 2 To). L appareil virtuel Panorama est mieux adapté aux environnements réunissant moins de 10 pare-feu, avec des vitesses de journalisation inférieures à journaux/secondes. Appareil M-100 : appareil matériel dédié destiné à des déploiements à grande échelle. Dans les environnements avec des exigences élevées en matière de taux de journalisation et de conservation des journaux, cette plate-forme permet de faire évoluer votre infrastructure de collecte des journaux. L appareil prend en charge la mise en copie miroir de RAID 1 pour la protection contre les défaillances de disque, et la configuration par défaut est fournie avec deux lecteurs de 1 To, des paires RAID supplémentaires. L appareil M-100 peut prendre en charge jusqu à 4 To de stockage de journaux. L appareil M-100 permet la séparation de la fonction de gestion centralisée de celle de la collecte des journaux, en prenant en charge les modes de déploiement suivants : Mode Panorama : L appareil exécute à la fois les fonctions de gestion centralisée et celle de la collecte de journaux. Il s agit du mode par défaut. Mode collecteur de journaux : L appareil fonctionne comme un collecteur de journaux dédié pouvant être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama. Lorsqu il est déployé en mode Collecteur de journaux, l appareil n est pas équipé d une interface Web. L accès administratif se fait par l interface de ligne de commande (CLI) uniquement. Le choix de la plate-forme est fonction de vos besoins en matière d appareil virtuel, du nombre de pare-feu Palo Alto Networks que vous prévoyez de gérer et vos exigences de collecte des journaux comme indiqué dans le tableau suivant : Considérations VMware M-100 Appareil virtuel Panorama Mode Panorama Architecture de journaux distribuée avec collecteurs de journaux dédiés. Nombre de périphériques gérés 10 pare-feu ou moins Jusqu à 100 pare-feu Jusqu à pare-feu Taux de collecte de journaux < journaux/ seconde < journaux/seconde > journaux/seconde (Maximum de journaux/seconde par collecteur) Guide de l'administrateur Panorama 3

10 À propos de la configuration et de la gestion de déploiement centralisée Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée Panorama utilise les groupes de périphériques et les modèles pour rassembler les périphériques nécessitent une configuration similaire en ensembles plus petits et plus logiques. Tous les éléments de configuration, politiques et objets présents sur les pare-feu peuvent être gérés de façon centralisée sur Panorama à l aide de groupes de périphériques et de modèles. En plus de gérer la configuration et les politiques, Panorama vous permet de gérer des licences, les logiciels et les mises à jour de contenu associées de manière centralisée : clients SSL-VPN, agents GlobalProtect, mises à jour de contenus dynamiques (applications, menaces, WildFire et antivirus). Changement de contexte : Périphérique ou Panorama L interface Web Panorama vous permet de passer d une vue centrée sur Panorama à une vue centrée sur un périphérique en utilisant un changement de contexte. Vous pouvez choisir de gérer le périphérique de façon centralisée avec Panorama, puis passer au contexte d un périphérique géré spécifique en utilisant l interface utilisateur de ce dernier. La similitude existant entre l interface utilisateur des pare-feu gérés et celle de Panorama vous permet de passer facilement d une interface à l autre pour administrer et surveiller des périphériques en fonction des besoins. Si vous avez configuré des domaines d accès pour restreindre l accès administratif à des périphériques gérés spécifiques, l interface utilisateur n affiche que les périphériques/fonctions pour lesquels l administrateur connecté possède des autorisations. Modèles Les modèles sont utilisés pour configurer les paramètres dont les pare-feu gérés ont besoin pour fonctionner sur le réseau. Ils vous permettent de définir une base de configuration commune en utilisant les onglets Réseau et Périphérique sur Panorama. Par exemple, la configuration d interface et de zone, les profils de serveur pour l accès à la journalisation et à SNMP, les profils utilisateur pour contrôler l accès aux zones et les passerelles IKE peuvent tous être gérés à l aide de modèles. Lorsque vous regroupez des périphériques pour définir des paramètres de modèle, pensez à regrouper les périphériques du même modèle matériel, et demandant un accès à des ressources réseau similaires telles que les passerelles et les serveurs syslog. Avec les modèles, vous pouvez soit appliquer une configuration de base commune pour un groupe de périphériques, puis configurer le reste des paramètres manuellement sur le périphérique, soit appliquer une configuration de base commune plus large, et écraser les paramètres de modèle sur le périphérique pour les adapter aux modifications spécifiques au périphérique. Lorsque vous écrasez un paramètre sur le périphérique, il est enregistré dans la configuration locale du périphérique et n est plus géré par le modèle Panorama. Vous pouvez cependant utiliser Panorama pour forcer la configuration de modèle sur le périphérique ou restaurer les paramètres de modèle sur le périphérique. Par exemple, vous pouvez définir un serveur NTP commun sur le modèle, mais écraser la configuration de serveur NTP sur le périphérique pour l adapter au fuseau horaire local du périphérique. Si vous décidez de restaurer les paramètres du modèle, vous pouvez facilement annuler ou revenir aux modifications locales mises en œuvre sur le périphérique. Les modèles ne peuvent pas être utilisés pour la définition d une modification d état opérationnel telle que le mode FIPS ou pour activer le mode multi-vsys sur les pare-feu. Pour plus d informations, reportez-vous à la section Pourquoi ne peut-on pas utiliser les modèles?. 4 Guide de l'administrateur Panorama

11 Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée Groupes de périphériques Pour utiliser Panorama efficacement, vous devez regrouper les pare-feu sur votre réseau en unités logiques nommées groupes de périphériques. Un groupe de périphériques permet un regroupement en fonction de la segmentation réseau, de l emplacement géographique, ou des besoins pour mettre en œuvre des configurations de politique similaires. Un groupe de périphériques peut inclure des pare-feu physiques, des pare-feu virtuels et/ou un système virtuel. Par défaut, tous les périphériques gérés appartiennent au groupe de périphériques gérés sur Panorama. Les groupes de périphériques permettent la gestion centralisée des politiques et des objets par le biais des onglets Politiques et Objets de Panorama. Les objets sont des éléments de configuration référencés dans les politiques. Parmi les objets que les politiques de pare-feu utilisent, il y a : les adresses IP, les catégories URL, les profils de sécurité, les utilisateurs, les services et les applications. Avec des groupes de périphériques, vous pouvez créer des objets partagés ou des objets spécifiques au groupe, puis utiliser ces objets pour créer une hiérarchie de règles (et des bases de règle) pour contrôler la façon dont les trafics entrants et sortants sont gérés par les pare-feu gérés. Par exemple, une politique d utilisation acceptable d entreprise pourrait être définie en tant qu ensemble de politiques partagées. Ensuite, pour permettre aux seuls bureaux régionaux d accéder au trafic poste-à-poste, vous pouvez créer une règle de sécurité en tant que politique partagée et la cibler sur les bureaux régionaux, ou en faire une règle de groupe de périphériques appliquée aux bureaux régionaux. Reportez-vous à la section Utiliser Panorama pour configurer les périphériques gérés : Un exemple. À propos des politiques Les groupes de périphériques permettent de mettre en œuvre une approche en couche pour gérer les politiques au sein d un réseau de pare-feu gérés. L approche en couche permet le déploiement centralisé de politiques d entreprise, sous forme de politiques partagées, conjointement avec des politiques spécifiques de groupe de périphériques et des politiques gérées en local sur le périphérique. Les politiques partagées et les politiques spécifiques de groupe vous permettent de créer des règles avant et des règles après afin de gérer toutes les bases de règles depuis un emplacement central : sécurité, NAT, qualité de service (QoS), transfert basé sur une politique (PBF), décryptage, contrôle prioritaire sur l application, portail captif, déni de service et politiques de protection DoS. Règles avant : règles ajoutées au début de la liste des règles et évaluées en premier. Vous pouvez utiliser des règles avant pour mettre en œuvre la politique d utilisation acceptable au niveau de l organisation, par exemple, pour bloquer l accès à des catégories d URL particulières ou autoriser le trafic DNS à tous les utilisateurs. Les règles avant peuvent être de deux types : Les règles avant partagées, partagées entre tous les périphériques gérés et groupes de périphériques, et les règles avant de groupe de périphériques, spécifiques à un groupe de périphériques. Règles après : règles ajoutées en fin de liste des règles et évaluées après les règles avant et les règles définies localement sur le périphérique. Les règles après incluent en général des règles servant à refuser l accès au trafic en fonction des App-ID, des User-ID ou du Service. À l instar des règles avant, les règles après sont de deux types : Les règles après partagées, qui sont partagées entre tous les périphériques gérés et groupes de périphériques, et les règles après de groupe de périphériques ne s appliquant qu à un groupe de périphériques. Guide de l'administrateur Panorama 5

12 À propos de la configuration et de la gestion de déploiement centralisée Présentation de Panorama L ordre d évaluation des règles est le suivant : Lorsque le trafic correspond à une règle de politique, l action définie est déclenchée, et toutes les politiques suivantes sont ignorées. Cette capacité à disposer les politiques en couches crée une hiérarchie de règles. Les politiques locales sont placées entre les règles avant et les règles après, et peuvent être modifiées par le passage au contexte de pare-feu, ou l accès au périphérique en localement. Cette cascade de règles est marquée visuellement pour chaque groupe de périphériques (et périphérique géré), et offre la possibilité d analyser un grand nombre de règles. Règles avant Règles locales sur le périphérique Règles après Les règles avant et les règles après appliquées à partir de Panorama peuvent être affichées sur les pare-feu gérés, mais elles ne peuvent être modifiées que sur Panorama. Les règles de périphérique local peuvent être modifiées soit par l administrateur local, soit par l administrateur Panorama ayant basculé sur un contexte de pare-feu local. 6 Guide de l'administrateur Panorama

13 Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée À propos des objets Les objets sont des éléments de configuration référencés dans les politiques. Parmi les objets que les politiques de pare-feu utilisent, il y a : les adresses IP, les catégories URL, les profils de sécurité, les utilisateurs, les services et les applications. Comme les objets peuvent être réutilisés d une politique à l autre, la création d objets partagés ou d objets de groupe de périphériques réduit la duplication de ces éléments de configuration. Par exemple, la création d objets adresse partagés et de groupes d adresses ou d objets de service partagés et de groupes de services vous permet de créer une instance de l objet et de le référencer dans une base de règles afin de gérer les pare-feu sur plusieurs groupes de périphériques. Comme les objets partagés sont définis une seule fois, mais utilisés à plusieurs reprises, ils réduisent les frais administratifs nécessaires, garantissent cohérence et précision partout où l objet partagé est utilisé. Les objets partagés et les objets de groupe de périphériques peuvent être utilisés dans les règles avant, les règles après et les règles localement définies sur un périphérique. Lorsque vous créez un objet sur Panorama, vous pouvez configurer son comportement des façons suivantes : L objet de groupe de périphériques a la priorité sur un objet partagé lorsque deux objets portent le même nom. Par défaut, l objet partagé est prioritaire. Ce comportement garantit qu un objet partagé a toujours la priorité sur un objet de groupe de périphériques portant le même nom. Cependant, si un périphérique est doté d un objet local portant le même nom qu un objet de groupe de périphériques transmis depuis Panorama, un échec de validation se produira. Tous les objets partagés et groupes d objets définis sur Panorama sont appliqués aux périphériques gérés. Par défaut, tous les objets (ceux qui sont référencés ou non référencés dans les politiques) sont appliqués aux périphériques gérés. Guide de l'administrateur Panorama 7

14 À propos de la journalisation et de la création de rapports centralisées Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées Panorama permet d agréger les données de tous les pare-feu gérés, offrant ainsi la visibilité sur tout le trafic du réseau. Il fournit également une piste d audit pour toutes les modifications de politique et de configuration apportées aux périphériques gérés. Le Centre de commande de l application (ACC) sur Panorama présente un volet unique pour des rapports unifiés sur tous les pare-feu. Il vous permet d analyser, d enquêter et de faire des rapports sur le trafic réseau et les incidents de sécurité de façon centralisée. Sur Panorama, vous pouvez afficher des journaux et générer des rapports à partir de journaux transmis à Panorama ou aux collecteurs de journaux gérés s ils sont configurés, ou vous pouvez interroger directement les périphériques gérés. Par exemple, vous pouvez générer des rapports sur le trafic, la menace et/ou l activité utilisateur dans le réseau géré en fonction des journaux stockés sur Panorama (dans les collecteurs de journaux gérés) ou en accédant aux journaux stockés en local sur les périphériques gérés. Si vous choisissez de ne pas configurer les pare-feu gérés pour transmettre des journaux à Panorama, vous pouvez planifier des rapports à exécuter sur chaque pare-feu et transmettre les résultats à Panorama pour obtenir une vue combinée de l activité utilisateur et du trafic réseau. Bien que cette vue ne fournisse pas un examen approfondi granulaire des données et des activités spécifiques, elle offre une approche de rapport unifiée. Options de journalisation L appareil virtuel Panorama et l appareil M-100 peuvent tous les deux effectuer la collecte de journaux transmis à partir des périphériques gérés. Les options de journalisation varient sur chaque plate-forme. Sur un appareil virtuel Panorama, il existe trois options de journalisation : utiliser l espace de stockage interne de 10 Go alloué à la journalisation aussitôt que vous aurez installé l appareil virtuel, ajouter un disque virtuel pouvant prendre en charge jusqu à 2 To de stockage, ou monter un magasin de données de système de fichier réseau (NFS) où vous pouvez déterminer la capacité de stockage affectée à la journalisation. Sur l appareil M-100, la configuration de distribution par défaut inclut des disques d 1 To dans une paire RAID, qui peuvent évoluer une capacité de stockage RAID de 4 To. Lorsque l appareil M-100 est en mode Panorama, vous pouvez activer les disques RAID et les utiliser en tant que collecteur de journaux par défaut. Lorsque l appareil M-100 est en mode Collecteur de journaux, vous devez utiliser Panorama pour affecter les périphériques à (aux) appareil(s) collecteurs de journaux. Dans un déploiement comprenant plusieurs appareils collecteurs de journaux, Panorama interroge tous les collecteurs de journaux gérés pour générer une vue agrégée de rapports de trafic et de cohésion. Pour faciliter l évolution, commencez par un seul Panorama et ajoutez progressivement des collecteurs de journaux dédiés au fur et à mesure que vos besoins augmentent. 8 Guide de l'administrateur Panorama

15 Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées Collecteurs gérés et groupes de collecteurs Un collecteur de journaux est un appareil M-100 configuré pour fonctionner en mode Journal et en mode de collecteurs. Il s agit d un appareil collecteur de journaux dédié configuré et géré par Panorama, et donc appelé Collecteur géré. Il peut être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama. Lorsqu il est ajouté en tant que collecteur géré et connecté à Panorama, le collecteur de journaux peut être administré par le biais de l interface Web Panorama. Autrement, l accès administratif au collecteur de journaux est disponible uniquement via l interface de ligne de commande utilisant le compte utilisateur administrateur par défaut (admin). Les comptes d utilisateur administrateur supplémentaires ne sont pas pris en charge. Un groupe de collecteurs se compose d un ou de plusieurs appareils M-100 qui fonctionnent comme une unité logique de collecte de journaux unique, et les journaux sont uniformément répartis entre l ensemble des disques d un collecteur de journaux et tous les membres du groupe de collecteurs. En déployant les journaux uniformément sur les disques et les collecteurs de journaux, l utilisation de l espace de stockage disponible est optimisée. Chaque système Panorama peut gérer jusqu à 16 groupes de collecteurs. Pour gérer un collecteur de journaux, vous devez l ajouter à un groupe de collecteurs. Bien que le groupe de collecteurs puisse contenir plusieurs collecteurs de journaux, Palo Alto Networks conseille de ne placer qu un collecteur de journaux dans un groupe de collecteurs, à moins que ce dernier ne nécessite plus de 4 To de stockage. La configuration de groupe de collecteurs indique les pare-feu gérés qui peuvent envoyer des journaux aux collecteurs de journaux du groupe. Une fois les collecteurs de journaux configurés et les pare-feu en mesure de transférer les journaux, chaque périphérique transmet ses journaux au collecteur de journaux affectés. Si vous utilisez Panorama pour gérer des pare-feu exécutant à la fois PAN-OS version 5.0 et une version PAN-OS antérieure à 5.0: - Seuls les périphériques exécutant PAN-OS v5.0 peuvent envoyer des journaux à un collecteur de journaux dédié (un appareil M-100 configuré en mode Collecteur de journaux). - Les périphériques exécutant des versions PAN-OS antérieures à 5.0a ne peuvent envoyer des journaux qu à un appareil virtuel Panorama ou à un appareil M-100 en mode Panorama. Les collecteurs gérés ou les groupes de collecteurs sont intégrés à l architecture de collecte de journaux distribuée sur Panorama. L architecture de collecte de données distribuée offre l évolutivité et l ajout progressif de collecteurs de données dédiés au fur et à mesure que vos besoins augmentent. L appareil M-100 en mode Panorama peut se connecter à son propre groupe de collecteurs par défaut et peut être étendu à une architecture de collecte de journaux distribuée qui inclut des appareils M-100 en mode collecteur de journaux. Utilisation de collecteurs de journaux dans un groupe de collecteurs Bien que Palo Alto Networks recommande de ne mettre qu un collecteur de journaux dans un groupe de collecteurs, si vous avez besoin d une capacité de plus de 4 To d espace de stockage dans un groupe de collecteurs, il se peut que vous deviez ajouter plusieurs collecteurs de journaux au groupe de collecteurs. Dans les cas qui suivent, un groupe de collecteurs peut avoir besoin de plusieurs collecteurs de journaux : Un seul pare-feu génère plus de 4 To de journaux. Par exemple, si un pare-feu géré génère 12 To de journaux, vous aurez besoin d au moins trois collecteurs de journaux dans le groupe de collecteurs. Un groupe de pare-feu qui transmet des journaux vers un groupe de collecteurs et les exigences de capacité dépassent 4 To de stockage. Guide de l'administrateur Panorama 9

16 À propos de la journalisation et de la création de rapports centralisées Présentation de Panorama Si un groupe de collecteurs contient plusieurs collecteurs de journaux, l espace de stockage disponible est utilisé en tant qu unité logique, et les journaux sont uniformément distribués entre tous les collecteurs de journaux dans le groupe de collecteurs. La distribution de journaux est basée sur la capacité des collecteurs de journaux (comprise entre 1 To à 4 To, en fonction du nombre de paires de disques) et un algorithme de hachage qui détermine de façon dynamique le collecteur de journaux propriétaire des journaux et écrit sur le disque. Bien que Panorama utilise une liste de préférences pour établir les priorités de la liste des collecteurs de journaux auxquels un pare-feu géré peut transférer les journaux, ces derniers peuvent ne pas être écrits sur le premier collecteur de journaux spécifié dans la liste des préférences. Par exemple, regardez la liste de préférences qui suit : Pare-feu géré Pare-feu1 Pare-feu2 Liste de préférence de transfert de journaux définie sur un groupe de collecteurs L1,L2,L3 L4,L5,L6 En utilisant cette liste, Pare-feu1 transmet les journaux vers L1, son collecteur de journaux principal, mais l algorithme de hachage peut décider que les journaux seront écrits sur L2. Si L2 devient inaccessible, ou en cas de panne de châssis, Pare-feu1 ne sera pas affecté, car il sera toujours en mesure de se connecter à L1, son connecteur de journaux principal. Si un seul un collecteur de journaux est configuré dans un groupe de collecteurs et tombe en panne, le pare-feu stocke les journaux sur son disque dur SSD (l espace de stockage disponible varie en fonction du modèle de matériel) et reprend le transfert des journaux vers le collecteur de journaux là où il s est arrêté au moment de la panne dès que la connectivité est restaurée. 10 Guide de l'administrateur Panorama

17 Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées Avec plusieurs collecteurs de journaux dans un groupe de collecteurs, le pare-feu ne met pas les journaux en mémoire tampon sur un espace de stockage local lorsqu il est en mesure de se connecter à son collecteur de journaux principal. Donc, le pare-feu1 continue d envoyer des journaux à L1. Comme L2 n est pas disponible, le collecteur de journaux L1 met en mémoire tampon les journaux sur son disque dur, qui dispose d un espace de journalisation de 10 Go. Si L2 reste indisponible et si les journaux en attente de L2 ont un volume supérieur à 10 Go, L1 écrase les entrées de journal les plus anciennes pour pouvoir poursuivre la journalisation. Dans ce cas, vous risquez de perdre les journaux. Toutefois, si vous utilisez plusieurs collecteurs de journaux, assurez-vous d avoir une OSS (On-Site-Spare - unité de remplacement sur site) ou une unité de veille à froid permettant un remplacement rapide en cas de panne de collecteur de journaux. Création centralisée de rapports Panorama agrège les journaux de tous les périphériques gérés et permet de créer des rapports sur les données obtenues et d avoir un aperçu de l utilisation de l application, de l activité utilisateur et des schémas de trafic dans l ensemble de l infrastructure réseau. Aussitôt que les pare-feu sont ajoutés à Panorama, l ACC peut afficher l ensemble du trafic circulant dans votre réseau. Lorsque la journalisation est activée, un clic sur une entrée de journal dans l ACC offre un accès direct à des détails granulaires sur l application. Pour générer des rapports, Panorama utilise deux sources : la base de données Panorama locale et les périphériques distants qu il gère. La base de données Panorama fait référence au stockage local sur Panorama affecté au stockage des journaux récapitulatifs et certains journaux détaillés. Si vous disposez d une architecture de collecte de données distribuée, la base de données Panorama inclut le stockage local sur Panorama et tous les collecteurs de journaux gérés. Panorama récapitule les informations (trafic, application, menaces) collectées auprès de tous les périphériques gérés à des intervalles de 15 minutes. L utilisation de la base de données Panorama locale permet des temps de réponse plus courts, cependant, si vous préférez ne pas transmettre les journaux à Panorama, ce dernier peut directement accéder au périphérique distant et exécuter des rapports sur les données stockées localement sur les périphériques gérés. Panorama offre plus de 40 rapports prédéfinis qui peuvent être utilisés tels quels en combinant les éléments d autres rapports pour générer des rapports personnalisés et des groupes de rapports pouvant être sauvegardés. Les rapports peuvent être générés sur demande, selon un schéma récurrent, et peuvent être planifiés pour être distribués par message électronique. Ces rapports fournissent des informations sur l utilisateur et le contexte afin que vous mettiez en relation les événements et les modèles d identification, les tendances et les domaines d intérêt éventuels. Avec l approche intégrée de la journalisation et de la création de rapports, l ACC permet d établir une corrélation des entrées issues de plusieurs journaux relatives au même événement. Guide de l'administrateur Panorama 11

18 À propos du contrôle d accès basé sur les rôles Présentation de Panorama À propos du contrôle d accès basé sur les rôles Le contrôle d accès basé sur les rôles vous permet de spécifier les privilèges et les responsabilités accordés à chaque utilisateur administrateur. Sur Panorama, vous pouvez définir des comptes administrateur avec des rôles, des profils ou des domaines d accès spécifiques pour réguler l accès à des fonctions spéciales de Panorama et aux périphériques gérés. Ces options vous permettent de limiter l accès administratif aux seuls périphériques et zones de gestion de l interface dont chaque administrateur a besoin pour faire son travail. Par défaut, chaque serveur Panorama est livré configuré avec un compte administrateur par défaut (admin) qui offre un accès en lecture et en écriture (également connu sous le nom d accès de super utilisateur). Dans le cadre des meilleures pratiques, créez un compte administrateur pour chaque personne ayant besoin d un accès aux fonctions d administration et de création de rapport sur Panorama. Vous êtes ainsi mieux protégé contre les configurations (ou les modifications) non autorisées et propose la journalisation des opérations de chaque administrateur individuel. Pour chaque utilisateur administrateur, vous pouvez également définir un profil d authentification déterminant la façon dont les informations d identification sont vérifiées. Pour appliquer un accès administratif plus granulaire, utilisez des domaines d accès afin de restreindre l accès administratif à un périphérique, un groupe de périphériques ou un modèle particulier. Rôles administrateur Le mode que vous utilisez pour configurer les comptes administrateur dépend des exigences de sécurité au sein de votre organisation, en fonction des services d authentification existants ou du nombre de rôles administratifs requis. Un rôle définit le type d accès au système dont dispose l administrateur associé. Il existe deux types de rôles : Rôles dynamiques : rôles intégrés qui offrent l accès à Panorama et aux périphériques gérés : Super utilisateur (accès complet), super utilisateur (lecture seule) et administrateur Panorama. L administrateur Panorama ne peut pas effectuer les opérations suivantes : Créer, modifier ou supprimer des administrateurs Créer, modifier ou supprimer des rôles admin ou des domaines d accès Exporter, valider, rétablir, sauvegarder, charger ou importer la configuration depuis l onglet Périphérique > Configurer Configurer la fonctionnalité Exportation programmée des configurations sur l onglet Panorama. Grâce aux rôles dynamiques, il n y a pas besoin de mettre à jour les définitions de rôle, car de nouvelles fonctions sont ajoutées suite à la mise à jour automatique des rôles. Profils de rôle admin : créez vos propres définitions de rôle afin de fournir un contrôle d accès plus granulaire aux différentes zones fonctionnelles de l interface Web, d interface de ligne de commande et/ou d API XML. Les deux profils de rôle administrateur disponibles sont : Panorama, et groupe de périphériques et modèle. Vous pouvez créer pour votre personnel un profil de rôle admin offrant l accès à des groupes de périphériques et/ou à des modèles, afin qu il ait accès au périphérique et aux zones de configuration réseau de l interface Web et un profil distinct pour vos administrateurs de la sécurité qui permet l accès à la définition de la politique de sécurité, aux journaux et aux rapports sur Panorama. Gardez à l esprit qu avec un profil de rôle admin, vous devez mettre à jour les profils pour affecter de façon explicite les privilèges correspondant à de nouveaux composants/fonctions ajoutés au produit. Par défaut, l accès à tous les nouveaux composants et fonctions est désactivé. Consultez la section Configurer un accès administratif pour créer des rôles d administrateur. 12 Guide de l'administrateur Panorama

19 Présentation de Panorama À propos du contrôle d accès basé sur les rôles Profils et séquences d authentification Parmi ses autres utilisations, un profil d authentification définit la façon dont un utilisateur administrateur est authentifié auprès de Panorama après la connexion. Si vous créez un compte utilisateur local sur Panorama, vous pouvez authentifier l utilisateur auprès de la base de données locale, ou utiliser un serveur RADIUS, LDAP ou kerberos pour l authentification. Si vous ne souhaitez pas créer de compte utilisateur local, et voulez gérer à la fois l administration et l authentification de compte à l aide d un mécanisme d authentification externe, vous devez utiliser RADIUS. Pour une présentation détaillée du processus, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. Pour vous authentifier auprès de sources d authentification multiples (local, RADIUS, LDAP et/ou Kerberos) définissez une séquence d authentification. Une séquence d authentification est une liste classée de profils d authentification à laquelle l utilisateur administrateur est comparé. Panorama effectue un contrôle par rapport à la base de données locale dans un premier temps, puis par rapport à chaque profil en la suite, jusqu à ce que l utilisateur ait été authentifié avec succès. L utilisateur se voit refuser l accès par Panorama seulement une fois que l authentification de tous les profils définis dans la séquence d authentification a échoué. Pour créer des profils et des séquences d authentification, reportez-vous aux sections Créer un profil d authentification et Définir une séquence d authentification. Domaines d accès Un domaine d accès définit les fonctions et les autorisations octroyées à un utilisateur administrateur, permettant le contrôle granulaire de la possibilité de l utilisateur administrateur de changer de contexte et d accéder aux fonctions de l interface utilisateur du pare-feu géré. Les domaines d accès peuvent également limiter l accès à un sous ensemble de groupes de périphériques et/ou modèles créés sur Panorama et donc, restreindre la capacité de l utilisateur à configurer et gérer les périphériques. Le domaine d accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n est pris en charge que si un serveur RADIUS est utilisé pour l authentification de l administrateur. Si vous n utilisez pas RADIUS, les paramètres de domaine d accès sont ignorés. Pour plus d informations sur la définition d un domaine d accès, reportez-vous à la section Définir des domaines d accès. Authentification des administrateurs Il existe quatre façons d authentifier les utilisateurs administrateurs : Compte d administrateur local avec authentification locale : les informations d identification du compte d administrateur et les méthodes d authentification se trouvent en local sur le pare-feu. Pour sécuriser davantage le compte d administrateur local, créez un profil de mot de passe définissant une période de validité pour les mots de passe et/ou des paramètres de complexité de mot de passe au niveau du périphérique. Pour plus d informations, reportez-vous à la section Créer un compte d administrateur. Guide de l'administrateur Panorama 13

20 À propos du contrôle d accès basé sur les rôles Présentation de Panorama Comptes d administrateur locaux avec certificat ou authentification basée sur une clé SSH : avec cette option, les comptes administratifs sont en local sur le pare-feu, mais l authentification est basée sur des clés SSH (pour l accès à l interface de ligne de commande) ou des certificats client/cartes d accès communs (pour l interface Web). Pour plus de détails sur la manière de configurer ce type d accès administratif, consultez les sections Activer l authentification basée sur certificat pour l interface Web et Activer l authentification basée sur clé SSH pour l interface de ligne de commande. Compte d administrateur local avec authentification externe : les comptes d administrateur sont gérés sur le pare-feu local, mais les fonctions d authentification sont prises en charge par un service LDAP, Kerberos ou RADIUS. Pour configurer ce type de compte, vous devez d abord créer un profil d authentification définissant l accès au service d authentification externe, puis créer un compte pour chaque administrateur qui fait référence au profil. Pour plus d informations, reportez-vous à la section «Configuration de profils d authentification» du Chapitre 3 du Guide de l administrateur de Palo Alto Networks. Compte d administrateur et d authentification externes : l administration et l authentification de compte sont gérés par un serveur RADIUS externe. Pour utiliser cette option, vous devez définir sur votre serveur RADIUS des attributs VSA correspondant au rôle admin. Pour une présentation détaillée du processus, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. Pour plus de détails sur la façon de configurer ce type d accès administratif, reportez-vous à l article Attributs spécifiques au fournisseur (VSA) RADIUS. 14 Guide de l'administrateur Panorama