Determine el método de gestión. ¿Planea utilizar Panorama para configurar y gestionar las políticas o administrar las actualizaciones de software, contenido y licencia de forma centralizada? ¿O bien para centralizar la creación de logs e informes en todos los cortafuegos gestionados de la red?
Si ya ha implementado y configurado los cortafuegos de Palo Alto Networks en su red, determine si va a realizar la transición de los cortafuegos a la gestión centralizada. Este proceso necesita migrar toda la configuración y las políticas de los cortafuegos a Panorama. Para obtener más detalles, consulte Transición de un cortafuegos a una gestión de Panorama.
Verifique las versiones de software de Panorama y el cortafuegos. Panorama puede gestionar cortafuegos que ejecutan versiones de PAN-OS que coinciden con la versión de Panorama o son anteriores a esta. La excepción es que Panorama 6.1 y posteriores no puede ingresar configuraciones en cortafuegos que ejecuten la versión de PAN-OS 6.0.0 a 6.0.3. Panorama no puede gestionar cortafuegos que ejecutan una versión PAN-OS posterior a la versión de Panorama. Por ejemplo, Panorama 6.0 no puede gestionar cortafuegos que ejecuten PAN-OS 7.0. Para versiones dentro de la misma versión principal, aunque Panorama puede gestionar cortafuegos que ejecuten una versión menor posterior de PAN-OS, se recomienda que Panorama ejecute la misma versión o una versión posterior. Por ejemplo, si Panorama ejecuta 7.0.3, se recomienda que todos los cortafuegos gestionados ejecuten PAN-OS 7.0.3 o versiones anteriores.
Planifique el uso de la misma base de datos de filtrado de URL (BrightCloud o PAN-DB) en todos los cortafuegos gestionados. Si algunos cortafuegos utilizan la base de datos BrightCloud y otros utilizan PAN-DB, Panorama solo gestionará las reglas de seguridad para una de las bases de datos de filtrado de URL. Las reglas de filtrado de URL para la otra base de datos se deben gestionar localmente en los cortafuegos que utilizan esa base de datos.
Planifique utilizar Panorama en una configuración de alta disponibilidad; configúrelo como un clúster en alta disponibilidad activo/pasivo. Seleccione Alta disponibilidad de Panorama.
Calcule la capacidad de almacenamiento de logs que necesita su red para satisfacer los requisitos de seguridad y cumplimiento. Debe tener en cuenta una serie de factores como la topología de red, el número de cortafuegos que envían logs, el tipo de tráfico de log (por ejemplo, logs de filtrado de URL y amenazas frente a logs de tráfico), la velocidad a la que los cortafuegos generan logs y el número de días que desea almacenar los logs en Panorama. Para obtener más información, consulte Determinación de requisitos de almacenamiento de logs de Panorama.
Para obtener informes de alto contenido sobre la actividad de la red, planifique una solución de registro: • ¿Necesita reenviar logs a un servidor Syslog, además de a Panorama?
• Si necesita una solución de almacenamiento a largo plazo, ¿cuenta con una solución de gestión de eventos e información de seguridad (Security Information and Event Management, SIEM), como Splunk o ArcSight, a la que pueda reenviar los logs?
• ¿Necesita redundancia en la creación de logs?
Con los dispositivos virtuales de Panorama en HA, cada peer puede registrar en su disco virtual. Los cortafuegos gestionados pueden enviar logs a los dos peers de un clúster en HA. Esta opción brinda redundancia en la creación de logs. La instancia de Panorama que se ejecuta en vCloud Air o ESXi 5.5 o una versión posterior puede admitir un disco virtual de hasta 8 TB. Las versiones anteriores del servidor ESXi admiten un disco virtual de hasta 2 TB.
Si usa los recopiladores de logs dedicados (dispositivos de la serie M en el modo de recopilación de logs), puede habilitar la redundancia para garantizar que no se pierdan los logs si alguno de los recopiladores de logs del grupo no se encuentra disponible. Cada log tendrá dos copias y cada copia residirá en un recopilador de logs diferente.
• ¿Almacenará los logs en un sistema de archivos de red (NFS)? Solo el dispositivo virtual Panorama admite NFS. Considere usar NFS si Panorama requiere más de 8 TB de capacidad de almacenamiento de logs pero no gestiona recopiladores de logs dedicados. Si se utiliza NFS, observe que los
cortafuegos gestionados pueden enviar logs solo al peer primario de un par de HA y que solo se monta el Panorama activo-primario en el NFS, en el que además se puede escribir.
• Si su solución de logs incluye dispositivos de la serie M, estos usan de manera predeterminada la interfaz de gestión (MGT) para la configuración de logs, recopilación de logs y comunicación con el grupo de recopiladores. Sin embargo, se recomienda usar las interfaces Eth1 o Eth2 para recopilación de logs y comunicación con el grupo de recopiladores para mejorar la seguridad, priorizar el tráfico de control, el rendimiento y la capacidad de ampliación. Determine si su solución se beneficiaría de usar interfaces separadas para estas funciones. Para obtener más detalles, consulte Configuración del dispositivo de la serie M.
Determine qué privilegios de acceso, funciones y permisos necesitan los administradores para acceder a los cortafuegos gestionados y a Panorama. Consulte Configuración del acceso administrativo a Panorama.
Planifique los grupos de dispositivos necesarios. Considere si desea agrupar los cortafuegos según la función, la política de seguridad, la ubicación geográfica o la segmentación de la red. Un ejemplo de grupo de dispositivos basado en funciones es uno que contenga todos los cortafuegos que usa el equipo de I+D. Considere si desea crear grupos de dispositivos más pequeños según las características en común, grupos de dispositivos más grandes para escalar más fácilmente o una jerarquía del grupo de dispositivos para simplificar las capas de administración complejas.
Planifique una estrategia de capa para administrar las políticas. Considere cómo deben heredarse y evaluarse las reglas de políticas de los cortafuegos dentro de la jerarquía del grupo de dispositivos y cómo implementar mejor las reglas compartidas, reglas de grupos de dispositivos y reglas específicas del cortafuegos para cumplir las necesidades de su red. Para tener visibilidad y obtener una gestión de política centralizada, considere utilizar Panorama para administrar reglas, incluso si desea excepciones específicas del cortafuegos para las reglas compartidas o de grupo de dispositivos. Si es necesario, puede ingresar una regla de política a un subconjunto de cortafuegos dentro de un grupo de dispositivos. Planifique la organización de sus cortafuegos según la forma en que heredan los ajustes de configuración de red de plantillas y pilas de plantillas. Por ejemplo, considere asignar cortafuegos a las plantillas
basadas en plataformas de hardware, proximidad geográfica y necesidades de red similares para zonas horarias, servidor DNS y ajustes de la interfaz.