Managed Palo Alto 輸出防火牆 - AMS 進階使用者指南
流量控制架構網路流程允許清單修改自訂安全政策CloudWatch PA 輸出儀表板容錯移轉模型擴展備份與恢復更新運算子存取預設日誌事件管理指標CloudWatch Logs 整合全景整合授權限制加入要求定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Managed Palo Alto 輸出防火牆

AMS 提供受管 Palo Alto 輸出防火牆解決方案,可為多帳戶登陸區域環境 (不包括公有服務) 中的所有網路啟用網際網路繫結傳出流量篩選。此解決方案結合了領先業界的防火牆技術 (Palo Alto VM-300) 與 AMS 的基礎設施管理功能,可在合規的操作環境中部署、監控、管理、擴展和還原基礎設施。包括 Palo Alto Networks 在內的第三方無法存取防火牆;它們僅由 AMS 工程師管理。

流量控制

受管傳出防火牆解決方案會管理網域允許清單,其中包含備份和修補程式等服務所需的 AMS 網域,以及您定義的網域。當傳出網際網路流量路由到防火牆時,會開啟工作階段、評估流量,如果符合允許的網域,流量會轉送到目的地。

架構

受管輸出防火牆解決方案遵循高可用性模型,其中會根據可用區域 (AZs) 的數量部署兩到三個防火牆。解決方案利用來自預設輸出 VPC 的部分 IP 空間,但也為管理防火牆所需的其他資源佈建 VPC 延伸 (/24)。

Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.

網路流程

AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.
Traffic key showing different types of AWS network traffic with color-coded lines.

在高階,公有輸出流量路由保持不變,但流量從輸出 VPC 路由到網際網路的方式除外:

  1. 目的地為網際網路的輸出流量會透過 VPC 路由表傳送至傳輸閘道 (TGW)

  2. TGW 會透過 TGW 路由表將流量路由至輸出 VPC

  3. VPC 透過私有子網路路由表將流量路由至網際網路

    1. 在預設的多帳戶登陸區域環境中,網際網路流量會直接傳送到網路位址轉譯 (NAT) 閘道。受管防火牆解決方案會重新設定私有子網路路由表,將預設路由 (0.0.0.0/0) 指向防火牆介面。

防火牆本身包含三個界面:

  1. 信任的界面:用於接收要處理的流量的私有界面。

  2. 不受信任的界面:將流量傳送至網際網路的公有界面。由於防火牆執行 NAT,外部伺服器接受來自這些公有 IP 地址的請求。

  3. 管理界面:防火牆 API、更新、主控台等的私有界面。

在所有路由中,流量都會維持在相同的可用區域 (AZ) 內,以減少跨可用區域流量。流量只會在容錯移轉發生時跨越 AZs。

允許清單修改

加入後,ams-allowlist會建立名為 的預設允許清單,其中包含 AMS 所需的公有端點,以及用於修補 Windows 和 Linux 主機的公有端點。操作完成後,您可以在管理 | 受管防火牆 | 傳出 (Palo Alto) 類別下的 AMS 主控台中建立 RFC 的 ,以建立或刪除允許清單,或修改網域。請注意, ams-allowlist無法修改。RFC 的 是以完全自動化處理 (並非手動)。

自訂安全政策

安全政策會根據流量屬性來決定是否封鎖或允許工作階段,例如來源和目的地安全區域、來源和目的地 IP 地址,以及 服務。全自動化 RFCs支援自訂安全政策。您可以在 Management | Managed Firewall | Outbound (Palo Alto) 類別中找到建立或刪除安全政策CTs,也可以在 Deployment | Managed Firewall | Outbound (Palo Alto) 類別中找到編輯現有安全政策的 CT。您將能夠建立新的安全政策、修改安全政策或刪除安全政策。

注意

ams-allowlist 無法修改預設安全政策

CloudWatch PA 輸出儀表板

您可以在 CloudWatch 中找到兩個儀表板,以提供 Palo Alto (PA) 的彙總檢視。AMS-MF-PA-Egress-Config-Dashboard 提供 PA 組態概觀、允許清單的連結,以及包含其屬性的所有安全政策清單。AMS-MF-PA-Egress-Dashboard 可以自訂來篩選流量日誌。例如,若要建立安全政策的儀表板,您可以使用下列篩選條件建立 RFC:

fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like /<Security Policy Name>/
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country

容錯移轉模型

防火牆解決方案包含兩到三個 Palo Alto (PA) 主機 (每個可用區域一個)。運作狀態檢查 Canary 會以固定排程執行,以評估主機的運作狀態。如果主機識別為運作狀態不良,AMS 會收到通知,並透過路由表變更,自動將該 AZ 的流量轉移到不同 AZ 中運作狀態良好的主機。由於運作狀態檢查工作流程持續執行,如果主機因為暫時性問題或手動修復而再次運作狀態良好,則流量會使用運作狀態良好的主機切換回正確的可用區域。

擴展

AMS 會監控防火牆的輸送量和擴展限制。當輸送量限制超過較低的浮水印閾值 (CPU/網路) 時,AMS 會收到提醒。低浮水印閾值表示資源接近飽和,到達 AMS 將評估一段時間內指標的時間點,並尋求擴展解決方案的建議。

備份與恢復

備份會在初始啟動期間、任何組態變更後,以及定期間隔建立。初始啟動備份是以每個主機為基礎建立,但組態變更和定期間隔備份會在叫用備份工作流程時跨所有防火牆主機執行。AMS 工程師可以在這些時段之外建立其他備份,或應要求提供備份詳細資訊。

如有需要,AMS 工程師可以執行組態備份的還原。如果需要還原,則會在所有主機之間進行,以保持主機之間的組態同步。

當主機需要完整回收執行個體時,也會發生還原。佈建新的 EC2 執行個體時,會自動還原最新的備份。一般而言,主機不會定期回收,並且會保留給嚴重故障或必要的 AMI 交換。主機資源回收會手動啟動,並在資源回收發生之前通知您。

除了防火牆組態備份之外,您的特定允許清單規則會分別備份。修改您定義的允許清單規則時,會自動建立備份。如有必要,AMS 工程師可以執行允許清單備份的還原。

更新

AMS Managed Firewall Solution 需要一段時間的各種更新,才能對系統、其他功能或防火牆作業系統 (OS) 或軟體進行更新。

大多數變更不會影響執行環境,例如更新自動化基礎設施,但防火牆執行個體輪換或作業系統更新等其他變更可能會導致中斷。評估因更新造成的潛在服務中斷時,AMS 會與您協調以適應維護時段。

運算子存取

AMS 運算子會使用其 ActiveDirectory 登入資料登入 Palo Alto 裝置來執行操作 (例如修補、回應事件等)。解決方案會保留標準 AMS Operator 身分驗證和組態變更日誌,以追蹤在 Palo Alto 主機上執行的動作。

預設日誌

根據預設,防火牆產生的日誌位於每個防火牆的本機儲存體中。加班,本機日誌將根據儲存使用率刪除。AMS 解決方案可將日誌從機器即時傳送至 CloudWatch 日誌;如需詳細資訊,請參閱 CloudWatch Logs 整合

AMS 工程師仍然能夠在需要時直接從機器查詢和匯出日誌。此外,日誌可以運送到客戶擁有的 Panorama;如需詳細資訊,請參閱 全景整合

解決方案收集的日誌如下:

RFC 狀態碼
日誌類型 描述

流量

顯示每個工作階段開始和結束的項目。每個項目都包含日期和時間、來源和目的地區域、地址和連接埠、應用程式名稱、套用至流程的安全規則名稱、規則動作 (允許、拒絕或捨棄)、輸入和輸出界面、位元組數,以及工作階段結束原因。

類型欄指出項目是用於工作階段的開始或結束,還是工作階段遭到拒絕或捨棄。"drop" 表示封鎖指定 "any" 應用程式之流量的安全規則,而 "deny" 表示規則已識別特定應用程式。

如果在識別應用程式之前捨棄流量,例如當規則捨棄特定服務的所有流量時,應用程式會顯示為「不適用」。

威脅

顯示防火牆產生之每個安全警示的項目。每個項目都包含日期和時間、威脅名稱或 URL、來源和目的地區域、地址和連接埠、應用程式名稱,以及警示動作 (允許或封鎖) 和嚴重性。

類型欄指出威脅類型,例如「病毒」或「間諜軟體」;名稱欄是威脅描述或 URL;類別欄是威脅類別 (例如「鍵盤記錄器」) 或 URL 類別。

URL 篩選

顯示 URL 篩選條件的日誌,可控制對網站的存取,以及使用者是否可以將登入資料提交至網站。

組態

顯示每個組態變更的項目。每個項目都包含日期和時間、管理員使用者名稱、進行變更的 IP 地址、用戶端類型 (Web 介面或 CLI)、命令執行類型、命令是否成功或失敗、組態路徑,以及變更前後的值。

系統

顯示每個系統事件的項目。每個項目都包含日期和時間、事件嚴重性和事件描述。

警報

警示日誌會記錄系統所產生警示的詳細資訊。此日誌中的資訊也會在警示中報告。請參閱「定義警示設定」。

身分驗證

顯示當最終使用者嘗試存取由身分驗證政策規則控制存取的網路資源時,所發生身分驗證事件的相關資訊。使用者可以使用此資訊來協助疑難排解存取問題,並視需要調整使用者身分驗證政策。搭配相互關聯物件,使用者也可以使用身分驗證日誌來識別使用者網路上的可疑活動,例如暴力攻擊。

或者,使用者可以設定身分驗證規則來記錄身分驗證逾時。這些逾時與使用者只需要對資源進行身分驗證一次,但可以重複存取的時間有關。查看逾時的相關資訊,有助於使用者決定是否及如何調整逾時。

統一

在單一檢視中顯示最新的流量、威脅、URL 篩選、WildFire 提交和資料篩選日誌項目。集體日誌檢視可讓使用者一起調查和篩選這些不同類型的日誌 (而不是分別搜尋每個日誌集)。或者,使用者可以選擇要顯示的日誌類型:按一下篩選欄位左側的箭頭,然後選取流量、威脅、url、資料和/或森林大火,以僅顯示選取的日誌類型。

事件管理

AMS 會持續監控防火牆的容量、運作狀態和可用性。從防火牆產生的指標,以及 AWS/AMS 產生的指標,可用來建立 AMS 操作工程師收到的警示,他們將調查並解決問題。目前的警示涵蓋下列案例:

事件警示:

  • 防火牆資料平面 CPU 使用率

    • CPU 使用率 - 資料平面 CPU (處理流量)

  • 防火牆資料平面封包使用率高於 80%

    • 封包使用率 - 資料平面 (處理流量)

  • 防火牆資料平面工作階段使用率

  • 防火牆資料平面工作階段作用中

  • 防火牆 CPU 使用率彙總

    • 所有 CPU CPUs 使用率

  • 依可用區域進行容錯移轉

    • 在 AZ 中發生容錯移轉時的警示

  • 運作狀態不佳的 Syslog 主機

    • Syslog 主機運作狀態檢查失敗

管理警示:

  • 運作狀態檢查監控失敗警示

    • 當運作狀態檢查工作流程意外失敗時

    • 這是針對工作流程本身,而不是防火牆運作狀態檢查失敗時

  • 密碼輪換失敗警示

    • 當密碼輪換失敗時

    • API/服務使用者密碼每 90 天輪換一次

指標

所有指標都會擷取並儲存在網路帳戶中的 CloudWatch 中。您可以透過取得網路帳戶的主控台存取權,以及導覽至 CloudWatch 主控台來檢視這些內容。您可以在指標索引標籤下檢視個別指標,也可以透過導覽至儀表板索引標籤,然後選取 AMS-MF-PA-Egress-Dashboard 來檢視特定指標和彙總指標的單一窗格儀表板檢視。

自訂指標:

  • 運作狀態檢查

    • 命名空間:AMS/MF/PA/輸出

      • PARouteTableConnectionsByAZ

      • PAUnhealthyByInstance

      • PAUnhealthyAggregatedByAZ

      • PAHealthCheckLockState

  • 防火牆產生

    • 命名空間:AMS/MF/PA/Egress/<instance-id>

      • DataPlaneCPUUtilizationPct

      • DataPlanePacketBuffferUtilization

      • panGPGatewayUtilizationPct

      • panSessionActive

      • panSessionUtilization

CloudWatch Logs 整合

CloudWatch Logs 整合會將日誌從防火牆轉送到 CloudWatch Logs,以降低由於本機儲存使用率而遺失日誌的風險。當防火牆產生日誌時,日誌會即時填入,並且可以透過主控台或 API 隨需檢視。

可以使用 CloudWatch Insights 建置複雜的查詢以進行日誌分析或匯出至 CSV。此外,自訂 AMS Managed Firewall CloudWatch 儀表板也會顯示特定流量日誌查詢的快速檢視,以及一段時間內流量和政策命中次數的圖形視覺化。使用 CloudWatch 日誌也可以原生整合其他 AWS 服務,例如 AWS Kinesis。

注意

PA 日誌無法直接轉送至現有的內部部署或第三方 Syslog 收集器。AMS Managed Firewall 解決方案可將 PA 機器的日誌即時運送到 AWS CloudWatch Logs。您可以使用 CloudWatch Logs Insight 功能來執行臨機操作查詢。此外,日誌可以運送到 Palo Alto 的 Panorama 管理解決方案。CloudWatch 日誌也可以使用 CloudWatch Subscription Filters 轉送到其他目的地。在下一節中進一步了解 Panorama。若要進一步了解 Splunk,請參閱與 Splunk 整合

全景整合

AMS Managed Firewall 可以選擇性地與您現有的 Panorama 整合。這可讓您從 Panorama 檢視防火牆組態,或從防火牆將日誌轉送至 Panorama。與 AMS Managed Firewall 的 Panorama 整合是唯讀的,不允許從 Panorama 對防火牆進行組態變更。Panorama 由您完全管理和設定,AMS 僅負責設定防火牆以與其通訊。

授權

AMS Managed Firewall 的價格取決於所使用的授權類型、每小時或自備授權 (BYOL),以及設備執行的執行個體大小。您必須透過 AWS Marketplace 訂購您偏好的執行個體大小和 Palo Alto 防火牆授權。

  • Marketplace 授權:從 MALZ 中的網路帳戶接受 VM 系列新一代防火牆套件 1 的條款與條件。

  • BYOL 授權:從 MALZ 的網路帳戶接受 VM 系列新一代防火牆 (BYOL) 的條款與條件,並共用購買授權給 AMS 後取得的「BYOL 驗證程式碼」。

限制

目前,AMS 支援 VM-300 系列或 VM-500 系列防火牆。您可以在此處找到組態:AWS EC2 執行個體上的 VM 系列模型

注意

AMS 解決方案會在主動-主動模式下執行,因為其 AZ 中的每個 PA 執行個體都會處理其受尊重 AZ 的輸出流量。因此,使用兩個 AZs,每個 PA 執行個體處理高達 5 Gbps 的輸出流量,並有效地在兩個 AZs 中提供整體 10 Gbps 輸送量。對於每個 AZ 中的所有限制也是如此。如果 AMS 運作狀態檢查失敗,我們會將流量從具有錯誤 PA 的 AZ 轉移到另一個 AZ,並且在執行個體替換期間,容量會減少到剩餘的 AZs限制。

AMS 目前不支援 AWS Marketplace 上可用的其他 Palo Alto 套件;例如,您無法要求「VM 系列新一代防火牆套件 2」。請注意,使用 Palo Alto 的 AMS Managed Firewall 解決方案目前僅提供輸出流量篩選產品,因此使用進階 VM 系列套件不會提供任何額外的功能或優點。

加入要求

  • 您必須檢閱並接受 AWS Marketplace 中來自 Palo Alto 的 VM 系列新一代防火牆的條款與條件。

  • 您必須根據預期的工作負載,確認要使用的執行個體大小。

  • 您必須提供不會與多帳戶登陸區域環境或內部部署中的網路衝突的 /24 CIDR 區塊。它必須與輸出 VPC 的類別相同 (解決方案為輸出 VPC 佈建 /24 VPC 延伸)。

定價

AMS Managed Firewall 基礎基礎設施成本分為三個主要驅動程式:託管 Palo Alto 防火牆的 EC2 執行個體、軟體授權 Palo Alto VM 系列授權,以及 CloudWatch Integrations。

下列定價是以 VM-300 系列防火牆為基礎。

  • EC2 執行個體:Palo Alto 防火牆會以 2-3 個 EC2 執行個體的高可用性模型執行,其中執行個體是以預期的工作負載為基礎。執行個體的成本取決於 AZs 的區域和數量

    • 例如 us-east-1、m5.xlarge、3AZs

      • $0.192 * 24 * 30 * 3 = $414.72

    • https://aws.amazon.com/ec2/pricing/on-demand/

  • Palo Alto 授權:Palo Alto VM-300 新一代防火牆的軟體授權成本取決於 AZ 數量和執行個體類型。

    • 例如 us-east-1、m5.xlarge、3AZs

      • $0.87 * 24 * 30 * 3 = $1879.20

      • https://aws.amazon.com/marketplace/pp/B083M7JPKB?ref_=srh_res_product_title#pdp-pricing

  • CloudWatch Logs 整合:CloudWatch Logs 整合使用 SysLog 伺服器 (EC2 - t3.medium)、NLB 和 CloudWatch Logs。伺服器的成本是根據 AZs 的區域和數量而定,而 NLB/CloudWatch 日誌的成本會根據流量使用率而有所不同。

    • 例如 us-east-1、t3.medium、3AZ

      • $0.0416 * 24 * 30 * 3 = $89.86

    • https://aws.amazon.com/ec2/pricing/on-demand/

    • https://aws.amazon.com/cloudwatch/pricing/