Despliegue del firewall de Palo Alto en Amazon Web Services

Introducción

Este artículo proporciona los pasos iniciales para implementar Palo Alto Firewall en AWS, pero la configuración de características avanzadas en AWS está fuera del alcance de este artículo. 

A medida que el mundo de la computación en nube avanza rápidamente, la seguridad de la red en la nube es de vital importancia. Las empresas necesitan una seguridad coherente en la nube sin sacrificar la flexibilidad de implantación y la capacidad de elección. Junto con las capacidades de prevención de amenazas en línea, la integración del cortafuegos virtualizado Palo Alto de la serie VM con la recién anunciada conexión privada virtual (VPC) de Amazon Web Services (AWS) ofrece a las organizaciones las siguientes opciones:

• Para desplegar el cortafuegos fuera de banda para la visibilidad de las aplicaciones.
• Para implementar la detección avanzada de amenazas en la nube de AWS y ampliar su red corporativa.

Puede mover aplicaciones corporativas a la nube, lanzar servidores web adicionales o añadir más capacidad de cálculo a su red conectando su VPC a su red corporativa. Como puede alojar su VPC detrás de su cortafuegos corporativo, puede trasladar sin problemas sus recursos de TI a la nube sin cambiar la forma en que sus usuarios acceden a estas aplicaciones. 

Visión general

Los siguientes pasos detallados le muestran cómo crear y guardar pares de claves, preparar su VPC para diferentes subredes y crear una instancia de AWS con una imagen de Palo Alto.

Paso 1: Crear los pares de claves

1. Inicie sesión en su cuenta de AWS. 2. En la barra de navegación de la izquierda, seleccione Network Security -> Key Pairs. 3. Cree un par de claves dándole un nombre y guardando el par de claves. En el generador de claves  PuTTY©    , elija el tipo RSA. 4. Elija el archivo PEM que ha creado. 5. Elija Guardar clave privada, pero no ponga la contraseña. 6. Guarde el archivo con una extensión .ppk . 7. Vaya a PuTTY. En el panel izquierdo, seleccione SSH y Auth. 8. Haga clic en Examinar y apunte PuTTY al archivo .ppk que acaba de crear. 9. Guarde la sesión haciendo clic en la sesión en el lado izquierdo de PuTTY    y seleccione Save.

Paso 2: Preparar la VPC

1. En AWS, elija Services -> VPC y elimine las subredes predeterminadas. 2. Cree cuatro subredes nuevas: Management, Inside, Outside y DMZ. Puedes elegir las direcciones IP, pero deben estar en el rango de direcciones de la VPC.

Paso 3: Seleccionar la imagen de Palo Alto

1. Inicie sesión en su cuenta de AWS, vaya a AWS Services -> Under Services -> EC2, y cree una instancia. 2. Elija Amazon Market Place, y busque Palo Alto. 3. Seleccione VM-Series Next Generation Firewall Bundle 2.

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Para elegir una imagen de máquina de Amazon (AMI), vaya a AWS Marketplace. En la parte izquierda, busque Paloalto -> Seleccione VM-Series Next-Generation Firewall Bundle 2
• Haga clic en Seleccionar

Paso 4: Crear una instancia

1. Lance una nueva instancia EC2 haciendo clic en el botón de opción Launch Instance como se muestra en la siguiente imagen:

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Para elegir una imagen de máquina de Amazon (AMI), vaya a AWS Marketplace. En la parte izquierda, busque Paloalto -> Seleccione VM-Series Next-Generation Firewall Bundle 2
• Haga clic en Seleccionar

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Resalte el tipo de instancia M3 Extra Large
• Haga clic en Siguiente: Configurar los detalles de la instancia

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Configure los detalles de la instancia. Seleccione Management para la subred, autoasigne la IP pública y haga clic en Next: Añadir Almacenamiento como se muestra en las siguientes imágenes:

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Seleccione General Purpose SSD (Solid State Drive) (GP2) Volume type y haga clic en Next: Añadir etiquetas. 

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Mantenga la configuración predeterminada para Añadir etiquetas y haga clic en Siguiente: Configure el grupo de seguridad, utilice el grupo de seguridad sin restricciones , y haga clic en Revisar e iniciar.

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Revise todos los detalles de la instancia y haga clic en Launch

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Seleccione el par de claves que creó anteriormente y haga clic en Launch Instances

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

Vaya a Servicios -> EC2 -> Instancias y valide que la nueva instancia se está ejecutando como se muestra en la siguiente imagen:

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

Configurar la VPC

1. Vaya al panel de control de la VPC desde Servicios -> VPC -> Subredes. 2. Seleccione la subred Management y elija la pestaña Route Table . 3. Haga clic en Editar y asóciela a la tabla Enrutamiento externo para acceder a ella desde Internet. Compruebe que la nueva entrada de ruta asociada aparece en Tabla de rutas.

  < entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

Asignar una dirección IP a la instancia

1. Vaya a EC2 y seleccione su instancia. 2. Vaya a Network & Security en la parte izquierda, elija Elastic IPs, y haga clic en Allocate new address.

Haga clic en Acción -> Asociar dirección -> Asignar la instancia en ejecución.

Seleccione una dirección IP en el menú desplegable para asignarla.

Haga clic en Asociado

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

# aplicar la configuración

Dado que la interfaz de gestión está asociada a la IP pública exterior, debería poder conectarse a la interfaz de gestión con la dirección IP pública de AWS interfaz exterior de la instancia EC2 utilizando una sesión PuTTY un navegador web (por ejemplo, https://).

Las siguientes imágenes ofrecen algunos ejemplos de esta prueba:

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

Crear una cuenta de soporte de Palo Alto

1. Vaya a support.paloaltonetworks.com y cree una cuenta. 2. Inicie sesión en su cuenta de soporte de Palo Alto. 3. Haga clic en la pestaña Activos . 4. Haga clic en Registrar nuevo dispositivo. 5. Seleccione Actualizaciones de software para verificar que tiene acceso al software.

Conclusión

Siguiendo los pasos de este artículo, puede implementar y aprovisionar un firewall de Palo Alto en AWS. Tenga en cuenta que AWS no es gratuito para Palo Alto, y se le cobra por hora cuando la instancia está en funcionamiento. Los cargos son por EC2 y una licencia de software para Palo Alto, que ronda los 1,50 dólares la hora. También hay un coste mensual asociado al almacenamiento. Asegúrese de que dispone del presupuesto necesario antes de optar por utilizar Palo Alto.

Cuando haya terminado de trabajar en la instancia, asegúrese de detenerla para no incurrir en más gastos. No terminar la instancia, que elimina la instancia por completo.