Лицензия GlobalProtect Subscription помимо возможности использования Global Protect на смартфонах (iOS, Android, WP) предоставляет инструменты для сбора и анализа подробной информации о клиентских устройствах.
В данной статье мы рассмотрим предоставление доступа из VPN сети к корпоративным ресурсам только клиентам с включенной антивирусной защитой с версиями баз не старше одной недели, активном сетевом экране и активной службе обновления ОС Windows.
1. Для начала необходимо включить сбор данных с клиентских устройств в параметрах Global Protect Portal.
[ Network – GlobalProtect – Portals – %portal_name% – Agent – %agent_config_name% – HIP Data Collection – Collect HIP Data ]

В данной вкладке также можно исключить из сбора определенные категории объектов или настроить кастомные проверки по ключам реестра и определенным запущенным процесса.
2. Следующим шагом необходимо создать HIP-объекты, которые мы собираемся анализировать.
Для этого переходим в [Objects – GlobalProtect – HIP Objects] и создаём новый объект.
Вариантов выбора собираемых данных несколько:
- General – домен, ОС, версия GP Client и т.д.
- Mobile Device – модель, IMEI, пароль, root/jailbreak, наличие/отсутствие приложений
- Patch Management – определенные приложения и патчи
- Firewall – сетевые экраны
- Anti-Malware – антивирусные системы по определённым критериям
- Disk Backup – системы резервного копирования
- Disk Encryption – шифрование носителей информации
- Data Loss Prevention – DLP системы
- Certificate – проверка сертификатов клиента
- Custom Checks – настраиваемые проверки по процессам и ключам реестра


После создания всех необходимых HIP-объектов в мониторе начнут появляться события сбора требуемой информации о клиентских устройствах.

Нажатием на значок лупы слева от записи открывается окно с подробной информацией о клиентском устройстве.
Здесь представлены все данные, полученные от устройства, независимо от набора созданных HIP-объектов. Также данное окно служит инструментом диагностики клиента при несоответствии с политиками доступа к сети.

В данном примере мы видим:
- активен Kaspersky Endpoint Security
- антивирусные базы обновлены
- неактивны все сетевые экраны
- включена служба обновления системы
- системный раздел зашифрован
3. Следующим шагом в настройке политики доступа к сети будет создание HIP-профиля из имеющихся HIP-объектов.
Для этого переходим в [Objects – GlobalProtect – HIP Profiles] и создаём новый профиль. Профиль создаётся с помощью конструктора в левом окне. Доступны операторы «И», «ИЛИ» и оператор отрицания.

В данном примере HIP-профиль соответствует следующим критериям:
- Установлена, активна и обновлена любая антивирусная система из перечисленных
- Включена служба обновления системы
- Отсутствует любая DLP-система
4. После создания HIP-профиля его можно применить к определенному правилу безопасности сетевого экрана. Для этого необходимо перейти в настройки правила и на вкладке User выбрать HIP-профиль.
В следующем примере мы ограничиваем доступ из зоны VPN_GP к терминальному серверу TERM99 только для клиентских устройств, удовлетворяющих созданному HIP-профилю.

Заключительным шагом будет настройка уведомлений для клиентов GlobalProtect о несоответствии состояния защиты их устройств с политиками доступа к сети.
Для этого перейдём в настройки GP-шлюза [Network – GlobalProtect – Gateways – %gateway_name% – Agent – HIP Notification] и создадим новое уведомление.
В следующем примере мы задаём уведомление о несоответствии с HIP-профилем VPN Policy в виде отдельного окна. Также указываем текст уведомления (гиперссылки поддерживаются).

Важно!
По-умолчанию интервал проверки HIP-объектов составляет 1 час, при желании его можно изменить в CLI. Для этого необходимо:
- debug global-protect portal show – проверка текущих настроек
- debug global-protect portal interval – установка значения
Данные параметры распространяются на все порталы и всех пользователей. Для применения изменений требуется перезагрузка Palo Alto.
На этом внедрение политики доступа к сети на Palo Alto завершено.
Клиент, удовлетворяющий критериям, будет иметь доступ согласно правилам сетевого экрана. Клиенту, не удовлетворяющему критериям, после инициализации подключения Global Protect будет показано уведомление. Доступ к сети появится автоматически после устранения причин блокировки при следующем чтении HIP-объектов или при следующем подключении.