PA

Palo Alto – vyčítání VM atributů

27.07.2021 | Tag Palo Alto

Přesněji konfigurace VM information sources. Palo Alto mimo mnohého dalšího umožňuje napojit se na virtualizační řešení a vyčítat informace o jednotlivých mašinách. Tyto informace se dají použít pro postavení dynamické adresní skupiny a následně použít v politikách.

Pomocí VM information sources se firewall může napojit na virtualizační platformu, vyčíst z ní údaje o jednotlivých virtuálních strojích a tyto informace si uložit jako dynamické tagy spolu s IP adresou, která je k virtuálce registrovaná. Tagy se dají použít k vytvoření dynamické adresní skupiny a dynamická skupina se může použít dále v pravidlech. V důsledku to umožňuje postavit vlastní pravidla pro VM s Linux OS, členstvím v určité VLAN, umístěním na vybrané virtualizační matce a tak dále. U každé podporované virtualizační platformy Palo specifikuje tagy, které dokáže vyčíst.

Palo Alto se dokáže chytit na AWS, Google, VMware ESXi a VMware vCenter. Já mám ozkoušený právě VCenter. Ve virtualizaci je potřeba pro firewall založit readonly uživatele, přes kterého si box bude vyčítat hodnoty. Dále každá virtuálka musí mít běžící vm tooly, aby byl VCenter (a tedy i Palo) schopný získat údaje o systému. Box dokáže u VMware vyčíst unikátní ID VM, její jméno, stav vyp/zap, typ OS, popisek, informace o síti a informace o umístění ve virtualizaci.

Pro představu, zde je referenční VM z VCentera. Část obrázku podlehla nutné cenzuře, ale jako ukázka to postačí. Palo bude schopné vyčíst název VM, systém a popis. K tomu si přiřadí IP adresu VM.

VM info Vcenter 1

Napojení na virtualizaci se nastavuje pod Device – VM Information Sources. Po vyplnění potřebných atributů a commitu se nově nastavený zdroj objeví ve výpisu a bude ukazovat svůj stav.

VM info source 0
VM info source 1

Interval pro kontaktování virtualizace se určuje ve vteřinách, Palo je tedy schopné se o změně dozvědět relativně rychle. Nicméně, co mám zatím odpozorováno, VM info sources nereflektuje změnu některého z atributů VM za jejího běhu. Konkrétně, pokud změním popisek u VM, změna se registruje až po jejím restartu. To je trochu škoda, zatím jsem nezjistila, zda se to umí chovat i jinak. Z toho vyplývá, že tagy k VM se registrují při jejím zapnutí a odregistrují při jejím vypnutí. Odregistrování tagu na Palu je taky trochu kříž. Palo umožňuje tag odregistrovat, ale pro dokončení procedury je třeba buďto restartovat user-id službu, nebo dokonce restartovat firewall. Ve dvou různých guidách byly zmíněné dvě rozdílné metody.

Registrované tagy je možné vypsat v Monitor - IP-Tag.

VM info source 2

Registrované tagy se následně mohou využít pro postavení dynamické adresní skupiny. Taková skupina tedy neobsahuje pevné IP adresy, ale atributy VM, na základě kterých se vyberou IP, ke kterým atributy patří. Při vytváření skupiny Palo dokáže našeptávat tagy, které zná. Ty se pak dají skládat do různých podmínek.

VM info source 4
VM info source 5

Pro naplnění dynamické skupiny adresami je třeba tuto skupinu použít v pravidle a dát commit. Teprve pak bude možné pod skupinou zobrazit výsledné IP, které Palo díky atributům v dynamické skupině vybralo.

VM info source 6
VM info source 7


Tagy, které Palo dokáže využít, jsou podle mého slušný základ pro stavění politik z různých hledisek. Nicméně docela mi chybí možnost vyčítat z virtualizace také uživatelsky založené tagy. Dalo by se tím v pravidlech řídit oprávnění pro adminy nad jednotlivými VM podle obsahu tagu. Prozatím k tomu používám popis u virtuálky, což je vidět výše, ale není to úplně to pravé. Co by mělo dokázat vyčítat i user tagy, je Panorama a její VMware plugin. Obecně, Panoramu je možné rozšířit o různé pluginy, instalace je jednoduchá přes GUI. Zatím však tuto variantu nemám otestovanou.