Implementar a firewall Palo Alto nos Serviços Web da Amazon

Introdução

Este artigo fornece as etapas iniciais para implantar o Palo Alto Firewall no AWS, mas a configuração de recursos avançados no AWS está além do escopo deste artigo. 

À medida que o mundo da computação em nuvem avança rapidamente, a segurança da rede na nuvem assume uma importância primordial. As empresas exigem segurança consistente na nuvem sem sacrificar a flexibilidade e a escolha da implantação. Juntamente com as capacidades de prevenção de ameaças em linha, a integração da firewall Palo Alto virtualizada da série VM com a recém-anunciada capacidade de espelhamento de tráfego da ligação privada virtual (VPC) da Amazon Web Services (AWS) oferece às organizações as seguintes opções:

• Para implementar a firewall fora de banda para visibilidade da aplicação.
• Para implementar a deteção avançada de ameaças na nuvem AWS e alargar a sua rede empresarial.

Pode mover aplicações empresariais para a cloud, lançar servidores Web adicionais ou adicionar mais capacidade de computação à sua rede, ligando a sua VPC à rede empresarial. Uma vez que pode alojar a sua VPC por trás da sua firewall empresarial, pode mover facilmente os seus recursos de TI para a cloud sem alterar a forma como os seus utilizadores acedem a estas aplicações. 

Visão geral

Os seguintes passos detalhados mostram-lhe como criar e guardar pares de chaves, preparar o seu VPC para diferentes sub-redes e criar uma instância AWS com uma imagem Palo Alto.

Passo 1: Criar os pares de chaves

1. Inicie sessão na sua conta AWS. 2. Na barra de navegação esquerda, selecione Segurança de rede -> Pares de chaves. 3. Crie um par de chaves dando-lhe um nome e salvando o par de chaves. Em    PuTTY© Key Generator, escolha o tipo RSA. 4. Escolha o arquivo PEM que você criou. 5. Escolha Save private key, mas não introduza a palavra-passe. 6. Guarde o ficheiro com uma extensão .ppk . 7. Vá para o PuTTY. No painel esquerdo, escolha SSH e selecione Auth. 8. Clique em Browse e aponte o PuTTY para o ficheiro .ppk que acabou de criar. 9. Salve a sessão clicando na sessão no lado esquerdo do PuTTY    e selecione Save.

Passo 2: Preparar a VPC

1. No AWS, escolha Services -> VPC e exclua as sub-redes padrão. 2. Crie quatro novas sub-redes: Management, Inside, Outside e DMZ. Pode escolher os endereços IP, mas estes devem estar no intervalo de endereços da VPC.

Passo 3: Selecionar a imagem de Palo Alto

1. Inicie sessão na sua conta AWS, aceda a AWS Services -> Under Services -> EC2e crie uma instância. 2. Selecione Amazon Market Place, e procure Palo Alto. 3. Selecione VM-Series Next Generation Firewall Bundle 2.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Para escolher uma imagem de máquina da Amazon (AMI), vá para o AWS Marketplace. No lado esquerdo, procure Paloalto -> Selecione VM-Series Next-Generation Firewall Bundle 2
• Clique em Selecionar

Passo 4: Criar uma instância

1. Inicie uma nova instância do EC2 clicando no botão de rádio Launch Instance , conforme mostrado na imagem a seguir:

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Para escolher uma imagem de máquina da Amazon (AMI), vá para o AWS Marketplace. No lado esquerdo, procure Paloalto -> Selecione VM-Series Next-Generation Firewall Bundle 2
• Clique em Selecionar

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Realce o tipo de instância M3 Extra Large
• Clique em Next (Seguinte): Configurar detalhes da instância

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Configurar os detalhes da instância. Selecione Management para a sub-rede, atribua automaticamente o IP público e clique em Next: Adicionar Armazenamento conforme mostrado nas imagens a seguir:

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Selecione General Purpose SSD (Solid State Drive) (GP2) Tipo de volume e clique em Next: Adicionar etiquetas. 

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Mantenha as predefinições para Adicionar etiquetas e clique em Seguinte: Configurar o grupo de segurança, utilizar o grupo de segurança sem restrições e clicar em Rever e iniciar.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Reveja todos os detalhes da instância e clique em Launch

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

• Selecione o par de chaves que criou anteriormente e clique em Launch Instances

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

Aceda a Services -> EC2 -> Instances e valide se a nova instância está a ser executada, como mostra a imagem seguinte:

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

Configurar a VPC

1. Aceda ao painel de controlo da VPC em Services -> VPC -> Subnets. 2. Selecione a sub-rede Management e escolha o separador Route Table . 3. Clique em Edit e associe-o à tabela Outside Routing para o alcançar a partir da Internet. Verificar se a nova Route Entry associada está listada em Route Table.

  < entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

Atribuir um endereço IP à instância

1. Aceda a EC2 e selecione a sua instância. 2. Aceda a Network & Security no lado esquerdo, escolha Elastic IPse clique em Allocate new address.

Clique em Action -> Associate Address -> Assign the running instance.

Selecione um endereço IP no menu pendente para o atribuir.

Clique em Associado

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

# aplicar a configuração

Uma vez que a interface de gestão está associada ao IP público externo, deverá conseguir ligar-se à interface de gestão com o endereço IP público da AWS na interface externa da instância EC2, utilizando uma sessão PuTTY e um navegador Web (por exemplo, https://).

As imagens seguintes apresentam alguns exemplos deste teste:

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

Criar uma conta de suporte Palo Alto

1. Aceda a support.paloaltonetworks.com e crie uma conta. 2. Inicie sessão na sua conta de apoio Palo Alto. 3. Clique no separador Assets (Ativos). 4. Clique em Registar novo dispositivo. 5. Escolha Actualizações de software para verificar se tem acesso ao software.

Conclusão

Usando as etapas desta postagem, você pode implantar e provisionar um firewall Palo Alto no AWS. Tenha em atenção que o AWS não é gratuito para o Palo Alto, e é cobrado por hora quando a instância está em execução. Os custos são para o EC2 e uma licença de software para Palo Alto, que custa cerca de 1,50 dólares por hora. Existe também um custo mensal associado ao armazenamento. Certifique-se de que dispõe do orçamento necessário antes de optar por utilizar Palo Alto.

Quando tiver terminado de trabalhar na instância, certifique-se de que a pára para não incorrer em mais encargos. Não encerrar a instância, o que elimina a instância por completo.