* NGFW 도구용 무료 AIOps(답변 A):
* NGFW용 무료 AIOps 도구는 머신 러닝 기반 분석을 사용하여 방화벽 성능을 모니터링하고, 잠재적인 용량 문제를 탐지하고, 사전 관리에 대한 통찰력을 제공합니다.
* 이 도구는 운영 팀이 용량 임계값, 성능 병목 현상, 구성 문제를 식별하는 데 도움이 되며, 일상적인 작업에 대한 수동 전문 지식에 대한 의존도를 줄여줍니다.
* AIOps를 사용하면 해당 도구가 용량 계획에 대한 예측적 통찰력과 권장 사항을 제공하므로 고객은 향후 서둘러 업그레이드 프로젝트를 진행하는 것을 피할 수 있습니다.
* Strata Cloud Manager 내의 AIOps Premium(답변 D):
* AIOps Premium은 Strata Cloud Manager(SCM) 내에서 사용할 수 있는 유료 버전으로, 보다 고급 분석 및 사전 모니터링 기능을 제공합니다.
* 워크플로를 자동화하고 NGFW의 상태와 성능을 보장하여 운영상의 과제를 해결하는 데 도움이 되며, 지속적인 수동 개입의 필요성을 최소화합니다.
* 이는 운영팀이 더 가치 있는 비즈니스 업무에 집중할 수 있도록 하겠다는 CIO의 목표와 일치합니다.
* 왜 B가 아닌가:
* 훈련이 운영팀이 자신감을 얻는 데 도움이 될 수 있지만, 장기적으로는 AIOps와 같은 자동화된 도구를 제공하여 수동 작업 부하를 줄이는 데 중점을 두어야 합니다. CIO의 우려는 지속적인 유지 관리를 위해 수동 전문성에 의존하는 것이 확장 가능한 솔루션이 아니라는 것을 나타냅니다.
* 왜 C가 아닌가:
* PAN-OS 업그레이드로 향상된 기능이 추가되었다는 사실을 CIO에게 알리는 것만으로는 용량 계획 문제를 해결할 수 없고, 수동 문제 해결에 대한 운영 팀에 대한 의존도를 줄일 수 없습니다.
Palo Alto Networks 문서의 참조:
* NGFW를 위한 AIOps 개요
* Strata Cloud Manager 및 AIOps 통합

SASE(Secure Access Service Edge)는 네트워킹과 보안 기능을 결합하여 현대적 기업 요구 사항을 해결하는 클라우드 기반 솔루션입니다. 그러나 온프레미스 솔루션이 더 적합한 시나리오도 있습니다.
기존 합병 및 계획된 합병, 인수 통합으로 높은 성장 단계입니다.
이 시나리오에서는 일반적으로 SASE 솔루션이 적합합니다. SASE 솔루션은 새로 인수한 사업을 통합하는 데 이상적인 유연하고 확장 가능하며 중앙 집중화된 보안을 제공하기 때문입니다.
B: 대부분의 직원과 애플리케이션이 특정 지역 내에서 물리적으로 가까운 곳에 있습니다.
이 시나리오는 온프레미스 솔루션 선택을 지원합니다. 직원과 애플리케이션이 단일 지리적 지역에 집중되어 있는 경우, 기존의 온프레미스 방화벽과 중앙 집중형 보안 어플라이언스는 분산된 클라우드 기반 인프라가 필요 없이 비용 효율적이고 효율적인 보호를 제공합니다.
C: 사이트별 요구 사항이 다른 다양한 위치에서의 하이브리드 작업 및 클라우드 도입.
이 시나리오는 SASE 솔루션과 일치합니다. 하이브리드 작업과 다양한 사이트 요구 사항은 위치에 관계없이 일관된 보안 정책을 제공하는 SASE의 기능으로 더 잘 해결됩니다.
D: 기업이 지리적 영향력을 안전하게 확장할 수 있도록 지원해야 할 필요성.
새로운 지역으로 확장하면 SASE 솔루션의 확장성과 유연성을 활용할 수 있으며, 각 위치에 물리적 어플라이언스를 설치하지 않고도 전 세계적으로 일관된 보안을 제공할 수 있습니다.
주요 내용:
* 온프레미스 솔루션은 클라우드 도입이 최소화된 지리적으로 집중된 네트워크에 이상적입니다.
* SASE는 하이브리드 작업, 클라우드 도입 및 분산 네트워크에 더 적합합니다.
참고문헌:
* Palo Alto Networks SASE 개요
* 온프레미스 대 SASE 배포 가이드

1단계: 모범 사례 평가(BPA) 이해
* 목적: BPA는 보안을 강화하고 기능 도입을 확대하기 위해 CIS(Center for Internet Security)의 중요 보안 제어를 포함한 모범 사례에 대해 NGFW(예: PA 시리즈) 및 Panorama 구성을 평가합니다.
* 프로세스: 보고서를 생성하려면 온보딩된 장치의 기술 지원 파일(TSF) 업로드나 원격 측정 데이터가 필요합니다.
* 진화: 과거에는 고객 지원 포털을 통해 제공되던 BPA는 AIOps 및 Strata Cloud Manager와 같은 새로운 플랫폼으로 전환되었습니다.
* 참고문헌: "BPA는 모범 사례에 대한 보안 태세를 측정합니다."(paloaltonetworks.com, 모범 사례 평가 개요).
2단계: 각 옵션 평가
옵션 A: PANW 파트너 포털
* 설명: Palo Alto Networks 파트너 포털은 파트너(예: 리셀러, 유통업체)가 도구, 리소스 및 고객 관련 서비스에 액세스할 수 있는 플랫폼입니다.
* BPA 기능:
* 과거에는 파트너가 고객 성공 포털(파트너 포털 통합을 통해 접근 가능)을 통해 고객을 대신하여 BPA를 생성할 수 있었지만, 이는 고객을 직접 대상으로 하는 기능이 아니었습니다.
* 2023년 7월 17일부터 고객 지원 포털과 관련 파트너 도구의 BPA 생성 기능이 비활성화되었으며, AIOps와 Strata Cloud Manager에 중점을 두게 되었습니다.
* 파트너는 고객의 BPA 생성을 지원할 수 있지만, 파트너 포털에서 직접 고객이 검토할 수 있는 보고서를 생성할 수는 없습니다. 고객은 자체 인터페이스(예: AIOps)를 통해 보고서에 액세스해야 합니다.
* 확인:
* "BPA가 AIOps로 전환됨; 고객 지원 포털 접속은 2023년 7월 17일 이후 비활성화됨"(live.
paloaltonetworks.com, BPA 전환 발표, 2023년 7월 10일).
* 현재 파트너 포털에서 고객 검토를 위해 BPA를 직접 생성하는 것을 지원하는 문서는 없습니다.
* 결론: BPA를 생성하는 고객이 접근할 수 있는 위치가 아닙니다. 해당 없음.
옵션 B: 고객 지원 포털
* 설명: 고객 지원 포털(support.paloaltonetworks.com)은 고객에게 도구, 사례 관리, 그리고 기존에 BPA 생성 기능을 제공합니다.
* BPA 기능:
* 2023년 7월 17일 이전에는 고객이 "도구 > 모범 사례 평가"에서 TSF를 업로드하여 BPA 보고서(HTML, XLSX, PDF 형식)를 생성할 수 있었습니다.
* 2023년 7월 17일 이후, 이 기능은 AIOps 및 Strata Cloud Manager로 대체되어 더 이상 사용되지 않습니다. 과거 BPA 데이터는 2023년 12월 31일까지 유지되었지만, 새로운 보고서 생성은 중단되었습니다.
* 2025년 3월 8일부터 고객 지원 포털은 더 이상 BPA 생성을 지원하지 않지만 지원 허브 역할은 계속합니다.
* 확인:
* "고객 지원 포털의 BPA에 대한 TSF 업로드는 2023년 7월 17일 이후 비활성화됩니다."(문서)
paloaltonetworks.com/panorama/10-2/panorama-admin/panorama-best-practices).
* "BPA 생성을 위한 AIOps로의 전환"(live.paloaltonetworks.com, BPA에서 AIOps로의 전환,
07-10-2023).
* 결론: 현재로서는 BPA 생성에 더 이상 유효한 위치가 아닙니다. 해당 없음.
옵션 C: AIOps
* 설명: NGFW용 AIOps는 Strata NGFW와 Panorama를 관리하기 위한 AI 기반 운영 플랫폼으로, 실시간 통찰력, 원격 측정 기반 모니터링, BPA 생성을 제공합니다.
* BPA 기능:
* 두 가지 BPA 생성 방법 지원:
* 주문형 BPA: 고객은 "대시보드 > 주문형 BPA"를 통해 TSF(PAN-OS 9.1 이상)를 업로드하여 원격 측정이나 온보딩 없이도 보고서를 생성할 수 있습니다.
* 지속적인 BPA: 원격 측정이 활성화된 온보딩 장치(PAN-OS 10.0+)의 경우, AIOps는 모범 사례 대시보드를 통해 지속적인 모범 사례 평가를 제공합니다.
* 무료 및 프리미엄 계층으로 이용 가능하며, 무료 계층에는 BPA 생성 기능이 포함되어 있습니다.
* 보고서에는 세부적인 결과, 시정 단계, 채택 요약이 포함됩니다.
* 사용 사례: AIOps를 완벽하게 통합하거나 통합하지 않고 방화벽을 관리하는 고객에게 이상적입니다.
* 확인:
* "AIOps에서 TSF를 업로드하여 주문형 BPA 보고서 생성"(docs.paloaltonetworks.com)
/aiops/aiops-for-ngfw/대시보드/온디맨드-bpa).
* "AIOps 모범 사례 대시보드는 구성을 지속적으로 평가합니다"(live.paloaltonetworks.
com, AIOps On-Demand BPA, 2022년 10월 25일).
* 결론: BPA 생성을 위한 현재 고객이 접근 가능한 위치가 적용 가능함.
옵션 D: Strata Cloud Manager(SCM)
* 설명: Strata Cloud Manager는 NGFW 및 SASE를 위한 통합 AI 기반 관리 인터페이스로, AIOps, 디지털 경험 관리, 구성 도구를 통합합니다.
* BPA 기능:
* 원격 측정 데이터를 전송하지 않거나 완전히 온보딩되지 않은 장치의 경우 AIOps와 유사하게 "대시보드 > 주문형 BPA"에서 TSF를 업로드하여 주문형 BPA 생성을 지원합니다.
* 온보딩된 디바이스의 경우 "모범 사례" 대시보드를 통해 실시간 모범 사례 검사를 제공하고 Palo Alto Networks 및 CIS 표준에 따라 정책을 분석합니다.
* Essentials(무료) 및 Pro(유료) 등급으로 제공되며, 두 등급 모두에 BPA 생성 기능이 포함되어 있습니다.
* 사용 사례: 고객이 보안 태세를 관리하고 평가할 수 있는 현대적이고 중앙 집중화된 플랫폼을 제공합니다.
* 확인:
* "TSF 업로드를 사용하여 Strata Cloud Manager에서 직접 BPA 실행"(docs.paloaltonetworks.com)
/strata-cloud-manager/dashboards/on-demand-bpa, 2024년 7월 24일).
* "모범 사례 대시보드는 지침에 대한 자세를 측정합니다"(paloaltonetworks.com, Strata Cloud Manager 개요).
* 결론: BPA 생성을 위한 현재 고객이 접근 가능한 위치가 적용 가능함.
3단계: 두 개의 유효한 위치 선택
* C(AIOps): Palo Alto Networks 허브를 통해 고객이 접근할 수 있는 주문형(TSF 업로드) 및 지속적인 BPA 생성을 모두 지원합니다.
* D(Strata Cloud Manager): 통합 관리 인터페이스로 설계되어 온디맨드 BPA 기능과 실시간 평가를 동일하게 제공합니다.
* 왜 A도 아니고 B도 아닌가?
* A(PANW 파트너 포털): 파트너 중심이며 BPA 생성을 위한 직접적인 고객 도구는 아닙니다.
* B(고객 지원 포털): 2023년 7월 17일 이후 BPA 생성이 중단되었습니다. 2025년 3월 8일부터 더 이상 유효하지 않습니다.
4단계: 검증된 참조
* AIOps BPA: "TSF 업로드를 통한 AIOps의 주문형 BPA"(docs.paloaltonetworks.com/aiops/aiops-for- ngfw/dashboards/on-demand-bpa).
* Strata Cloud Manager BPA: "SCM에서 BPA 보고서 생성"(docs.paloaltonetworks.com/strata-cloud-manager/dashboards/on-demand-bpa).
* 고객 지원 포털 전환: "BPA가 AIOps/SCM으로 전환됨; CSP 액세스는 2023년 7월 17일에 종료됨"(live.paloaltonetworks.com, BPA 전환, 2023년 7월 10일).

악의적인 행위자가 파일 공유 애플리케이션을 남용하여 데이터를 빼내는 것을 방지하기 위해 App-ID는 애플리케이션 트래픽을 관리하는 세부적인 접근 방식을 제공합니다. Palo Alto Networks의 App-ID는 포트, 프로토콜, 암호화(SSL) 또는 회피 전술에 관계없이 네트워크를 통과하는 애플리케이션을 식별하는 기술입니다. App-ID를 활용하면 보안 엔지니어는 직무 기능에 따라 특정 애플리케이션이나 기능의 사용을 제한하는 정책을 구현하여 허가된 사용자나 그룹만 파일 공유 애플리케이션을 사용할 수 있도록 하고 허가되지 않거나 악의적인 사용은 차단할 수 있습니다.
옵션을 이런 방식으로 평가하는 이유는 다음과 같습니다.
* 옵션 A: DNS 보안은 악성 도메인을 식별하고 차단하는 데 중점을 둡니다. 특정 공격(예: 명령 및 제어 트래픽)을 방지하는 데 중요한 역할을 하지만 애플리케이션 사용을 관리하는 데는 효과적이지 않습니다. 따라서 이는 최상의 접근 방식이 아닙니다.
* 옵션 B(정답): App-ID는 파일 공유 애플리케이션(예: Dropbox, Google Drive 또는 OneDrive)을 식별하고 사용을 제한하는 정책을 시행하는 기능을 제공합니다. 예를 들어, HR 또는 마케팅과 같은 특정 직무 기능에 대해서만 파일 공유 앱을 허용하는 보안 규칙을 만들고 다른 사용자에게는 거부할 수 있습니다. 이러한 타겟팅된 접근 방식은 합법적인 비즈니스 요구 사항이 중단되지 않도록 보장하며, 이는 유효한 사용자에게 영향을 미치지 않는다는 요구 사항과 일치합니다.
* 옵션 C: DNS 보안을 사용하여 모든 파일 공유 애플리케이션을 완전히 차단하는 것은 합법적인 사용자에게 무차별적으로 영향을 미치는 광범위한 조치입니다. 이는 특정 사용자가 파일 공유 애플리케이션을 계속 사용할 수 있도록 허용하는 요구 사항을 충족하지 못합니다.
* 옵션 D: App-ID는 파일 공유 애플리케이션을 완전히 차단할 수 있지만, 그렇게 하면 합법적인 사용을 방지하며 직무 기능에 따른 사용을 허용해야 하는 요구 사항과 일치하지 않습니다.
솔루션 구현 방법(App-ID 사용):
* Palo Alto Networks의 사전 정의된 애플리케이션 데이터베이스의 App-ID를 사용하여 관련 파일 공유 애플리케이션을 식별합니다.
* 디렉토리(예: Active Directory)에 정의된 사용자 또는 그룹에만 이러한 애플리케이션을 허용하는 보안 정책을 만듭니다.
* 사용자 정의 앱 ID 필터나 명시적 규칙을 사용하여 업로드나 다운로드와 같은 파일 공유 애플리케이션의 특정 기능을 제어합니다.
* 트래픽을 모니터링하여 승인된 사용자만 애플리케이션에 액세스하고 악의적인 활동이 발생하지 않도록 합니다.
참고문헌:
* Palo Alto Networks 관리자 가이드: 애플리케이션 식별 및 사용 정책.
* App-ID 구성을 위한 모범 사례: https://docs.paloaltonetworks.com

Palo Alto Networks NGFW의 기본 구성에는 명시적 규칙이 정의되지 않은 경우 트래픽을 처리하는 방법을 결정하는 기본 보안 규칙 세트가 포함됩니다. 각 옵션에 대한 설명은 다음과 같습니다.
* 옵션 A: 보안 프로필은 기본적으로 모든 정책에 적용되므로 방화벽을 통과하는 모든 데이터에 대한 암묵적 신뢰가 제거됩니다.
* 보안 프로필(예: 바이러스 백신, 스파이웨어 방지, URL 필터링)은 기본적으로 어떤 정책에도 적용되지 않습니다. 관리자는 보안 규칙에 이를 명시적으로 적용해야 합니다.
* 이 진술은 정확하지 않습니다.
* 옵션 B: 보안 영역 내 트래픽에 대한 기본 정책 작업은 거부로, 보안 영역 내의 암묵적 신뢰를 제거합니다.
* 기본적으로 동일한 영역 내의 트래픽(영역 내 트래픽)은 허용됩니다. 예를 들어, "신뢰" 영역에 있는 장치 간의 트래픽은 관리자가 명시적으로 거부하지 않는 한 허용됩니다.
* 이 진술은 정확하지 않습니다.
* 옵션 C: 기본 정책 동작은 명시적으로 거부되지 않는 한 모든 트래픽을 허용합니다.
* Palo Alto Networks 방화벽에는 "모두 허용" 기본 규칙이 없습니다. 대신, 존 간 트래픽에 대한 기본 "모두 거부" 규칙과 존 내 트래픽에 대한 암묵적 "허용" 규칙이 포함됩니다.
* 이 진술은 정확하지 않습니다.
* 옵션 D: 보안 영역 간 트래픽에 대한 기본 정책 작업은 거부로, 보안 영역 간의 암묵적 신뢰를 제거합니다.
* 기본적으로, 다른 존 간의 트래픽(존 간 트래픽)은 거부됩니다. 이는 제로 트러스트 원칙과 일치하여 존 간에 암묵적으로 트래픽이 허용되지 않도록 합니다.
관리자는 영역 간 트래픽을 허용하기 위해 명확한 규칙을 정의해야 합니다.
* 이 진술은 맞습니다.
참고문헌:
* Palo Alto Networks 보안 정책 기본값에 대한 문서
* 기본 보안 규칙에 대한 지식 기반 문서