Článek přečtěte do 6 min.

S potěšením oznamujeme obecnou dostupnost zjednodušeného uživatelského prostředí, rozsahu zásad a zvýšení výkonu pro službu Oracle Cloud Infrastructure (OCI) Network Firewall ve všech komerčních oblastech. Cílem těchto významných vylepšení je pomoci zákazníkům OCI efektivně chránit jejich OCI a místní infrastrukturu.

Zjednodušená uživatelská zkušenost

Několik změn v modelu politiky nyní usnadňuje vytváření účinných, přesných a soudržných pravidel v rámci politiky. Vydání obecné dostupnosti zahrnuje následující změny modelu zásad:

  • Služby a seznamy služeb: Služby jsou nyní odděleny od aplikací. Díky této změně uživatelského prostředí jsou aplikace a seznamy aplikací nezávislými zdroji a jsou vytvářeny odděleně od seznamů služeb a služeb, aby se uživatelům usnadnilo vytváření zásad pro služby a aplikace vrstvy 3, 4 nebo 7. Služby jsou nezávislým a opakovaně použitelným zdrojem, kterému odpovídají protokoly a porty aplikační vrstvy 3 a vrstvy 4. Seznamy služeb se vytvářejí pomocí jedné nebo více služeb k povolení nebo omezení provozu na jednu službu nebo kolekci služeb. Chcete-li zjednodušit vytváření zásad zabezpečení, můžete služby, které mají stejné nastavení zabezpečení, zkombinovat do seznamů služeb, abyste získali jednodušší uživatelské prostředí.
  • Aplikace a seznamy aplikací: Aplikace používají technologii identifikace aplikací, která používá několik klasifikačních mechanismů – podpisy aplikací, dekódování aplikačního protokolu a heuristiku – k přesné identifikaci toků provozu ve vaší síti, kde seznamy služeb a služeb identifikují provoz striktně podle protokolu a portu vrstvy 4. Nyní je možná široká škála aplikací napříč různými kategoriemi, jako je procházení webu, e-mail, sdílení souborů, sociální média, streamování videa, vzdálená plocha a hraní her. S tímto oznámením jsou ICMP nebo ICMPv6 a jejich typové kódy jedinými dvěma podporovanými aplikacemi. Stejně jako služby můžete znovu použít aplikace v různých seznamech aplikací a povolit nebo omezit provoz na skupinu aplikací. Vytvářejte seznamy aplikací pomocí jedné nebo více aplikací, abyste povolili nebo omezili provoz na jednu aplikaci nebo kolekci aplikací. Chcete-li zjednodušit vytváření zásad zabezpečení, můžete aplikace, které mají stejné nastavení zabezpečení, zkombinovat do seznamů aplikací pro zjednodušení uživatelského prostředí.
  • Hromadný import komponent zásad: Nyní můžete hromadně importovat komponenty zásad pomocí souboru JSON buď prostřednictvím konzoly, nebo programově pomocí rozhraní API. Můžete importovat maximální povolené součásti pro prostředky v jednom souboru až do velikosti 5 MB. Služba Network Firewall poskytuje šablonu JSON pro každý typ komponenty, kterou si můžete stáhnout a použít k vytvoření souboru importu. Funkce hromadného importu zásad v bráně firewall umožňuje správcům importovat velké sady pravidel nebo konfigurací brány firewall zjednodušeným způsobem.
  • Změna pořadí pravidel zabezpečení a dešifrování: Když vytváříte nebo upravujete pravidlo, můžete určit jeho pozici pravidla ve vztahu k ostatním pravidlům v zásadě. Zadáním pravidla jako prvního nebo posledního pravidla v seznamu můžete také určit vlastní pozici pravidla. Vlastní pozice vám umožňuje nastavit pozici pravidla jako před nebo za jiným pravidlem v seznamu. Snadné přeuspořádání pravidel zabezpečení a dešifrování brány firewall může nabídnout několik výhod a případů použití pro správce sítě a bezpečnostní týmy.
  • Vyhledávání komponent: Vyhledávání je důležitým prvkem pozitivního uživatelského dojmu při řešení rozsáhlých politik. S tímto oznámením můžete pro každý prostředek brány firewall uvedený v části Zdroje zásad použít nově zavedené vyhledávací pole k vyhledání součástí v každém prostředku podle názvu.

Běžné případy použití a výhody

Tyto změny za účelem zjednodušení modelu zásad nabízejí následující funkce a výhody:

  • Lift and shift: Při přechodu od jednoho dodavatele brány firewall k jinému nebo při upgradu na novou verzi zásada hromadného importu zjednodušuje proces migrace stávajících pravidel a konfigurací brány firewall. Správci mohou importovat sady pravidel hromadně, což snižuje manuální úsilí a zajišťuje hladký přechod.
  • Odsouhlasení pravidel: Při konsolidaci více sad pravidel brány firewall, například po sloučení nebo akvizici, mohou správci použít zásady hromadného importu ke spojení pravidel z různých zdrojů. Tato funkce umožňuje správcům porovnávat a sladit sady pravidel, identifikovat duplikáty nebo konflikty a vytvářet jednotné zásady.
  • Obnova po havárii: Zásady hromadného importu pomáhají správcům rychle synchronizovat pravidla a konfigurace brány firewall ze záložních souborů. Tato schopnost umožňuje zákazníkům reprodukovat stejná pravidla a konfigurace brány firewall v rámci a napříč jejich regionálními nasazeními.
  • Šablony pravidel a knihovny šablon: Správci mohou vytvářet šablony pravidel nebo knihovny šablon, které zahrnují často používané konfigurace pravidel. Tyto šablony můžete importovat hromadně, což ušetří čas a úsilí při nasazování konzistentních sad pravidel přes více bran firewall nebo při přidávání nových pravidel do stávajících bran firewall.
  • Upřednostňování provádění pravidel: OCI Network Firewall zpracovává pravidla v sekvenčním pořadí shora dolů. Díky možnosti snadno změnit pořadí pravidel mohou správci upřednostnit provádění určitých pravidel před ostatními. Můžete například posunout kritická bezpečnostní pravidla na začátek pro rychlejší zpracování a zajistit, že důležitý provoz bude kontrolován a kontrolován před méně kritickými pravidly.
  • Řešení konfliktů pravidel:   Změna pořadí pravidel umožňuje správcům řešit konflikty, které mohou vzniknout mezi různými pravidly. Konfliktní pravidla mohou vést k nezamýšleným důsledkům, jako je blokování legitimního provozu nebo povolení neoprávněného přístupu. Přeuspořádáním pravidel mohou správci umístit konfliktní pravidla do správného pořadí, aby zajistili správné vynucování požadovaných zásad zabezpečení.
  • Implementace požadavků na shodu: Předpisy o shodě často vyžadují specifická bezpečnostní opatření, jako je vynucení určitých šifrovacích protokolů nebo blokování konkrétních typů provozu. Změna pořadí pravidel brány firewall pomáhá správcům s těmito požadavky tím, že zajišťuje správné umístění a uplatnění nezbytných pravidel v zásadách brány firewall.
  • Reakce na bezpečnostní hrozby: V případě bezpečnostního incidentu nebo vznikající hrozby může být nutné, aby správci rychle zareagovali a upravili firewall. Snadné změny pořadí umožňují rychlou reakci tím, že umožňují správcům rychle přesouvat kritická pravidla, blokovat konkrétní provoz nebo implementovat další bezpečnostní opatření k ochraně sítě před identifikovanou hrozbou.

Zvýšené limity rozsahu pro zdroje politiky

Rozsah zásad podnikové brány firewall je problémem pro zákazníky, kteří mají složité síťové infrastruktury s mnoha podsítěmi, více datovými centry, pobočkami a významným počtem síťových zařízení. K vyřešení těchto problémů mohou nyní uživatelé těžit z podstatného zvýšení počtu prostředků a komponent zásad, které můžete mít v každé přidružené zásadě. Tabulka 1 zdůrazňuje rozdíly mezi předchozími a současnými škálami politik. V některých případech jsme dosáhli více než 800násobného nárůstu rozsahu. Limity rozsahu pro všechny zdroje a komponenty zásad naleznete v naší  dokumentaci.

Tabulka 1: Škála zásad
Tabulka 1: Tabulka porovnávající předchozí a současnou politickou škálu zdrojů.

Vylepšení výkonu a dostupnosti

S tímto oznámením mohou zákazníci nasazující službu OCI Network Firewall těžit z následujících vylepšení výkonu:

  • Zvýšená propustnost: Propustnost je důležitou metrikou, která představuje množství dat, které lze přenést. Můžete jej použít k měření kapacity infrastruktury pro přenos dat. Vyšší propustnost má za následek více přenesených dat, což má za následek rychlejší komunikaci a lepší výkon. OCI Network Firewall má výchozí agregovanou propustnost 8 Gb/s. Propustnost služeb lze nyní horizontálně třikrát škálovat, aby vyhovovala potřebám zákazníků, kteří požadují větší kapacitu, a to kontaktováním podpory Oracle Cloud nebo vašeho týmu pro účet Oracle (podléhá schválení)
  • Doba aktualizace zásad: Zkrácení doby potřebné k aktivaci změny zásad brány firewall je zásadní pro provozní efektivitu a umožňuje rychle reagovat na vznikající hrozby nebo měnící se požadavky sítě. Jsme nadšeni, že můžeme oznámit pětinásobné zlepšení doby, za kterou se změny ve vytvořených změnách zásad aktivují na bráně firewall.
  • Regionální vysoká dostupnost: Vysoká dostupnost je pro cloudové služby zásadní pro zajištění nepřetržitého provozu, minimalizaci prostojů, snížení ztrát dat a udržení kontinuity podnikání. S tímto oznámením mají nyní zákazníci dva typy nasazení při nasazování OCI Network Firewall v oblastech multidostupných domén; regionální a dostupnost specifické pro doménu. Místní je doporučená a výchozí možnost pro kritické aplikace a zajišťuje nepřetržitou ochranu, a to i v případě selhání jedné nebo více domén dostupnosti. Specifická pro doménu dostupnosti poskytuje redundanci napříč jednou nebo více doménami poruch v rámci jedné domény dostupnosti a je užitečný pro aplikace, které vyžadují kombinaci vysoké dostupnosti a nízké latence. Zákazníci mohou tuto výhodu získat bez potřeby další infrastruktury nebo složité konfigurace. Konfigurace vysoké dostupnosti naleznete v sekci pokročilé možnosti. Na následujícím obrázku je uveden příklad nasazení OCI Network Firewall s vysokou dostupností v rámci oblasti s doménami s více dostupností.
Obrázek 1: Regionální HA
Obrázek 1: Snímek obrazovky okna Create Network Firewall s rozsahem brány firewall pro vysokou dostupnost zvýrazněným červeně

Upgradujte na nový model zásad

Stávající zásady nemohou těžit z vylepšení zásad. Musíte provést upgrade zásad pro všechny existující zásady. Zásady způsobilé pro upgrade jsou označeny poznámkou „K dispozici je upgrade verze“ vedle zásady. Následující obrázek ukazuje příklad existující zásady vhodné pro upgrade.

Obrázek 2: Možnost upgradu zásad
Obrázek 2: Snímek obrazovky se zásadami síťové brány firewall zobrazující zásady v oddílu s červenou šipkou ukazující na upozornění, že zásadu lze upgradovat

Migraci zásad můžete provést automatickým procesem na jedno kliknutí, který spustíte kliknutím na vhodnou zásadu a poté na tlačítko zásad upgradu. Dokončení procesu upgradu trvá několik minut, ale neovlivňuje provoz na žádných bránách firewall, které používají zásady. Přechod na nový model politiky nezpůsobuje žádné prostoje. Samotná zásada však není během fáze migrace k dispozici pro žádné úpravy. Obrázek 3 ukazuje příklad tlačítka zásady upgradu.

Obrázek 3: Upgrade zásad
Obrázek 3: Snímek obrazovky okna Confirm Policy Upgrade s kroky a tlačítky vyznačenými červeně

Po upgradu zásady se aplikace a prostředky seznamů aplikací, které obsahují protokol ICMP (Internet Control message Protocol) a ICMPv6, nemigrují do zdrojů služeb a seznamů služeb. Všechny ostatní aplikace a seznamy aplikací jsou automaticky migrovány do zdrojů služeb a seznamů služeb. Poté, co je brána firewall připojena k upgradované zásadě, již nemůže používat neaktualizovanou zásadu. Všechny nově vytvořené zásady automaticky těží ze všech vylepšení zásad a nevyžadují upgrade.

Zdroj: Oracle