Open in app

Sign in

Write

Sign in

PaloAlto Prisma Access定義

本文介紹與 Prisma Access 相關的主要術語。 同時也介紹 Prisma Access 的連結類型(Connection type)及其功能。

本文的重點如下:

  • 什麼是service connection
  • 什麼是compute location
  • 什麼是Prisma Access secure web gateway
  • 如何將日誌傳送到 Cortex Data Lake 以及如何在 Prisma Access 中對流量進行分類

Service Connection

下面兩個Prisma Access的名詞解釋

  • Prisma Access Regions —
    這個概念與AWS/Azure/GCP Regions的概念相同
  • Prisma Access Locations —
    這個概念類似三大公有雲或其他CDN業者的 PoP加速節點。

Service Connection是透過在 Prisma Access 基礎設施和客戶所使用的站點服務之間使用 IPsec connections建立的,這些站點通常包含遠端網路使用者和行動用戶、GlobalProtect 或明確代理程式需要存取的資源。

這些站點可以是實體的或虛擬的。 服務連線通常是與中央站點(例如總部或地端機房)或支援公有雲端中工作負載的VPC的高速連線。 當有地端機房時,通常就會使用Service Connection。 Service Connection最低的技術要求是服務連線終止於 IPsec 相容設備(通常是防火牆)。

Corporate Access Nodes

Prisma Access 在已設定service connection的位置部署企業存取節點(corporate access nodes)。 這些企業存取節點不會強制執行任何安全性政策,只會將流量路由並將User-ID 重新指派到 Prisma Access-connected的目的地。 資料中心資源必須透過Service connection才能連到Internet。 如果我們想要在Service connection上強制執行安全性原則,則必須在終止服務連線的地端防火牆上設定該原則。

Remote Networks

Remote Network用於需要類似於 Palo Alto Networks 新一代平台功能集的功能的辦公室。 遠端網路是按計量的,這意味著被分配到運算位置(compute location)的特定數字的頻寬,並且與此分配的頻寬相關的成本

Security Processing Nodes (RN-SPNs)

Prisma Access 在具有設定的remote network connections的compute location部署安全處理節點(security processing node),如上圖。 遠端網路(如Service Connection)透過 IPSec VPN tunnel在我們的網路上終止。 這些安全處理節點對從遠端站點流出的所有流量實施安全策政策,從而消除了對本地安全設備的需求。 遠端網路的連接設備必須有 IPSec。 預設情況下,所有流出Internet的流量都會啟用NAT功能,無需特別再 NAT 政策規則。

Prisma Access Portal

Prisma Access 在 Prisma Access 環境中使用cloud-based Portal。 Prisma Access portal 儲存所有 Prisma Access GlobalProtect 使用者的設定。 此邏輯入口網站有助於全球範圍內的 Prisma Access GlobalProtect 設定。 Prisma Access Portal必須與 on-premises gateways一起使用

Mobile User Security Processing Node

Prisma Access MU-SPN 是 Prisma Access 中 GlobalProtect Gaetway的進化版。 MU-SPN 是行動用戶 VPN tunnel 連接到 Prisma Access 的終止點。 它是連接其他 Prisma Access 節點和網際網路的安全執行點。

Service Infrastructure Subnet

在開始設定 Prisma Access 以保護remote network和mobile users之前,我們必須設定基礎設施的子網路。 Prisma Access 將使用基礎設施子網路建立network backbone,用於remote network和mobile users之間的通信,以及與我們計劃連接到 Prisma Access 的地端機房的通訊。

上面範例顯示了用於 Prisma Access 基礎設施子網路的 172.16.55.0/23 子網路。 在大多數情況下,/23 子網路就足夠了。 如果我們有超過 100 個站點,則應諮詢經銷商或原廠 以確保服務基礎設施 /23 子網路足夠。

Service Infrastructure Sizing

更改服務基礎設施子網路需要打掉重建; 因此,在 Prisma Access 中建立它之前,我們應該做好sizing。 以下是建議的基礎設施規模:

  • 小型網路 —
    小於50個站點與2500個 mobile user可以用/24的subnet
  • 中型網路 —
    小於100個站點與5000個mobile users可以使用 /23的subnet

Compute Location

Compute Location是託管 RN-SPN、SC-CAN 和 MU-SPN 的雲端位置。 Compute Location也為 RN-SPN 提供頻寬分配。 在將 RN-SPN 加入Compute Location之前分配頻寬。

Remote Networks的頻寬分配

Remote Network的聚合頻寬(Aggregate bandwidth)不是Remote Network的等級,而compute location的等級(也就是用運算能力來算流量處理能力)。 多個位置或remote network可以共用一個compute location。 許多remote network可以共用一個bandwidth pool。 這種從一個bandwidth pool共享的能力為我們提供了一種更有效的方式來向remote network分配頻寬。 位置(location)是進入 Prisma Access Cloud的入口。 Compute Location是 Prisma Access nodes所在的特定雲端位置。

Prisma SASE > Manage > Add Service Connection

Control Bandwidth Allocation

分配給compute location的頻寬可以在設定時候之後在 Remote Networks tab中進行管理。 有多種方法可以控制 Remote Networks 及其關聯的 RN-SPN 的頻寬分配。 在初始加入位置期間,系統將提示我們指派compute location頻寬。 然後,該bandwidth pool將可用於與該compute location關聯的所有 RN-SPN。 如果我們需要修改已指派的bandwidth pool,我們可以在 Prisma Access 雲端服務外掛程式中的設定選單和Remote Networks tab中執行此操作。

Prisma SASE > Manage > Remote Networks > Bandwidth Management

Cloud Secure Web Gateway

SWG能自動縮放。 與 Prisma Access SWG 的connection在自動啟動的 SWG 節點範圍內達到負載平衡。

就其本質而言,SWG 具有非常靈活的連接方法,因此具有多種使用情境。 可以使用PAC(proxy auto-configuration) 檔案將流量強制導到 SWG 節點。 SAML(Security Assertion Markup Language)是目前支援的身份驗證方法。 SWG 使用 cookie 來維護使用者的身分驗證狀態。 因此,必須開啟 SSL 解密,以便擴充的 SWG檢查session是否來自經過驗證的使用者。

使用情境:

  • 地端 Web proxy 設備,無需變更client配置,即可將流量轉送至 Prisma Access secure Web gateway
  • 為員工的公司設備提供簡單的安全性和 URL filtering(work from home)
  • 想更換舊的地端proxy設備的組織希望隨著時間的推移遷移到 Prisma Access 或利用 Prisma Access 可以提供的下一代安全功能

Cortex Data Lake

Cortex Data Lake是一個具安全、韌性且具有容錯能力,可確保日誌記錄資料是最新的並在我們需要時可用。 它提供了可擴展的日誌記錄基礎架構,使我們無需規劃和部署日誌收集器即可滿足日誌保留需求。

Prisma Access 必須設定為將日誌轉送至 Cortex Data Lake。 其他 Palo Alto Networks 產品和服務也可以將日誌傳送到 Cortex Data Lake。 如上圖所示,Data Lake可以從 Palo Alto Networks 新一代防火牆、Prisma Access 和 Palo Alto Networks Cortex XDR 收集日誌。 使用 Prisma SASE app時會log forwarding 是自動設定的。

Trusted and Untrusted Zones

Prisma Access 將所有流量分類為可信任或不可信。 未到達Internet的內部流量位於來源和目的地的受信任區域。 來自或前往Internet的流量將酌情引用來源或目的地中的不受信任區域。

Sase
安全存取服務邊緣
零信任

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

397 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams