Ahoj všichni, koukám na nějakou konfiguraci od mého předchozího kolegy, který náhle odešel, a hledám názory, tak tady to je.
Příběh z pozadí; MFA je povoleno s geolokací na mém tenantovi (AZURE)
Existuje konfigurace SAML s Global Protect v podnicových aplikacích.
Na mých PAN firewallových zařízeních; VPN je nakonfigurováno a SAML je součástí autentifikačního procesu; funguje skvěle.
ALE..
Když se zaměstnanci rozhodnou cestovat mimo USA; považuji za trochu přehnané povolit nejen zemi, do které cestují; ale pak musím přidat region na portál / bránu Global Protect, aby povolil tyto země; je tu něco jiného, co bych měl nebo změnil?
Jaká je bezpečnostní politika vaší organizace? Musíte povolit přístup ze země, do které cestují? Nejlepší by bylo sestavit seznam konkrétních oblastí, odkud mohou uživatelé vzdáleně přistupovat, a přidat pouze tyto oblasti do vašich přístupových politik.
Používáme podmíněný přístup v Azure, uživatel se pokusí přihlásit do GP, dostane SSO přihlášení, bude zamítnuto, pokud nebude otevřen lístek s místem a datem cestování.
Chvíli trvá aktualizovat známé země v CA politice a je hotovo.
Nápad. Než uživatel odejde, nechte je nainstalovat dynamického DNS agenta do jejich zařízení. Zaregistrujte pro ně hostname s dynamickým DNS, který bude aktualizován tímto agentem. Na straně firewallu vytvořte objekt FQDN s tímto DNS hostname a odkažte na něj v bezpečnostní politice, která je nad vašimi politikami blokování GP přístupu. Tímto způsobem jim můžete povolit přihlášení ze země, ale ne celé země, pouze jejich aktuální IP (zjištěná přes dynamický DNS, takže není třeba ručně implementovat, pokud se jejich IP změní).
Vzhledem k tomu, že se jedná o zdravotnické zařízení, povolujeme pouze přístup z Kanady. Ale zjistil jsem, že musím upravit svoji politiku podmíněného přístupu v Azure, protože mé GP je spojeno se SAML a pak musím aktualizovat region na portálu nebo bráně.
Je to trochu otravné pokaždé, když někteří lidé cestují do USA nebo Velké Británie - musím změnit. A ne, nemohu nechat jen US a jsem na trvalé, je to vše dočasné.
Máme stejnou konfiguraci s Azure SAML a GlobalProtect a nějakými cestujícími uživateli. Můžete ponechat nastavení podniku, které povoluje jakoukoli zemi, a kontrolovat povolená místa v PanOs. I když ověření přes podnikové aplikace projde, stále nemohou přihlásit mimo vaše povolené regiony.
Naše pravidla firewallu jsou nastavena tak, že povolují pouze z našich “normálních krajů” a “vlastního regionu”. Dětem cestujícím uživatelům poskytnou jejich veřejnou IP, když dorazí na místo. Poté jsou přidáni do “vlastního regionu” v PAN OS, dokud jejich cesta nevyprší.
Funguje to dobře kromě situací, kdy se jejich IP změní.