Visão Geral do Firewall de Última Geração da Palo Alto Networks

Transcrição

1 Visão Geral do Firewall de Última Geração da Palo Alto Networks Mudanças fundamentais no uso dos aplicativos, no comportamento do usuário e na infraestrutura da rede colaboraram para uma evolução no cenário das ameaças. Isso acabou expondo pontos fracos na proteção convencional do firewall baseada em porta. Os usuários estão acessando mais aplicativos, em diferentes tipos de dispositivos e com mais frequência para desempenhar suas tarefas, mas dando pouca importância aos riscos para a empresa e à segurança. Na outra ponta, a expansão do datacenter, a segmentação das redes, a virtualização e as iniciativas de mobilidade estão forçando você a repensar como viabilizar o acesso aos aplicativos e aos dados e ao mesmo tempo proteger a sua rede de uma classe nova e mais sofisticada de ameaças avançadas, preparadas para driblar os mecanismos de segurança tradicionais. Antes você tinha duas opções: bloquear tudo em nome da segurança da rede, ou permitir tudo em nome dos negócios. Essas opções deixavam pouco espaço para um acordo. A Palo Alto Networks foi a primeira a trazer um firewall de última geral que permite satisfazer os dois lados: viabilizar o acesso aos aplicativos e proteger contra ameaças conhecidas e desconhecidas. Nosso firewall de última geração atua como alicerce de uma plataforma de segurança corporativa destinada desde o início a responder até as ameaças mais sofisticadas. O firewall de última geração inspeciona todo o tráfego, incluindo os aplicativos, ameaças e conteúdos relacionados com o usuário, independente da sua localização ou do tipo de dispositivo. Aplicativos, usuários e conteúdos são os elementos fundamentais para gerir os negócios e portanto componentes integrais da sua política de segurança empresarial. O resultado é a habilidade alinhar a segurança com as principais iniciativas de negócios. Habilite aplicativos, usuários e conteúdo com segurança, classificando todo o tráfego, determinando a utilidade para os negócios e atribuindo políticas que autorizem e protejam aplicativos relevantes. Evite ameaças eliminando aplicativos não desejados para reduzir a presença de ameaças e aplicando políticas direcionadas de segurança para bloquear explorações, vírus, spyware, botnets e malwares desconhecidos (APTs). Adote a computação móvel segura, estendendo os recursos da plataforma de segurança corporativa aos usuários e dispositivos, onde quer que eles estejam. Proteja seus data centers com a validação de aplicativos, isolamento dos dados, controle de aplicativos não confiáveis e prevenção de ameaças em alta velocidade. Proteja os ambientes de computação em nuvem privada ou pública com maior visibilidade e controle; implemente e mantenha políticas de segurança com o mesmo ritmo das suas máquinas virtuais. Usuários internos Sede Perímetro Internal Datacenter Virtualized Datacenter Filiais Usuários móveis Implemente políticas seguras de ativação em toda a empresa

2 A plataforma de segurança corporativa ajuda a sua empresa a responder a uma série de requisitos de segurança fundamentada em um princípio comum. Usando uma combinação balanceada de segurança da rede com inteligência global de ameaças e proteção endpoint, sua empresa consegue apoiar as iniciativas corporativas, melhorar a postura de segurança como um todo e ainda reduzir o tempo de resposta de incidentes de segurança. APLICATIVOS, CONTEÚDO, USUÁRIOS E DISPOSITIVOS TUDO SOB CONTROLE SQLIA SQLIA Usuário autorizado da área financeira Usuário autorizado da área comercial Usuário autorizado Usuário autorizado Aplicações, conteúdo, usuários e dispositivos - tudo sob o seu controle. Como Usar a Segurança para Diferenciar Sua Empresa O modelo de controle positivo é uma abordagem exclusiva da nossa plataforma que permite que você habilite aplicativos ou funções específicas e bloqueie todo o resto (implicita ou explicitamente). O firewall de última geração faz a inspeção em uma única passagem de todo o tráfego através de todas as portas fornecendo assim um contexto completo do aplicativo, do conteúdo associado e identidade do usuário como base para suas decisões sobre políticas de segurança. Classifique todo o tráfego em todas as portas e o tempo todo. Hoje, os aplicativos e o conteúdo dos mesmos podem facilmente burlar um firewall com controle baseado em porta valendo-se de uma série de técnicas. Nossa plataforma de segurança corporativa aplica vários mecanismos de classificação ao fluxo de dados para identificar os aplicativos, ameaças e malwares. Todo o tráfego é classificado, independente da porta, criptografia (SSL ou SSH) ou técnica de evasão utilizada. Os aplicativos não identificados, normalmente uma pequena porcentagem do tráfego, embora com possível alto risco, são categorizados automaticamente para gerenciamento pelo sistema. Reduza a presença de ameaças e evite ataques cibernéticos. Com o tráfego todo classificado você consegue proteger sua rede contra uma ampla variedade de ataques cibernéticos, autorizando determinados aplicativos e bloqueando os demais, com consequente redução das ameaças na rede. A proteção coordenada contra os ataques cibernéticos pode então ser aplicada ao PÁGINA 2

3 tráfego permitido, bloqueando sites conhecidos de malwares, impedindo explorações de vulnerabilidades, spywares e consultas de DNS maliciosas. Os malwares personalizados ou desconhecidos encontrados nos aplicativos da sua rede são analisados e identificados executando os arquivos e observando diretamente o comportamento malicioso deles em um ambiente de sandbox virtualizado. Se for detectado um malware novo, é gerada e entregue automaticamente a você assinatura para o arquivo infectado e o respectivo tráfego do malware. Mapeie o tráfego do aplicativo e das respectivas ameaças para usuários e dispositivos. Para melhorar a sua postura de segurança e reduzir o tempo de resposta a incidentes, é fundamental que você seja capaz de determinar o uso do aplicativo mapeado de acordo com o usuário e tipo de dispositivo e seja capaz de aplicar esse contexto às políticas de segurança. A integração com uma grande variedade de repositórios de usuário corporativos mostra a identidade do usuário Microsoft Windows, Mac OS X, Linux, Android ou ios e o dispositivo que está acessando o aplicativo. A combinação de visibilidade e controle dos usuários e dispositivos permite que você autorize o uso de qualquer aplicativo que trafegue pela rede, independente de onde o usuário esteja ou do tipo de dispositivo que ele esteja usando. Estabelecendo o contexto completo de quais aplicativos estão sendo usados, qual conteúdo ou ameaça eles podem carregar e o respectivo usuário ou dispositivo, você tem um quadro mais abrangente da atividade da rede, o que pode ajudar a agilizar o gerenciamento de políticas, melhorar sua postura de segurança e acelerar a investigação de incidentes. Visibilidade dos aplicativos: Veja a atividade dos aplicativos em um formato claro e fácil de ler. Adicione e remova filtros e saiba mais sobre o aplicativo, suas funções e quem está usando ele PÁGINA 3

4 Contexto Completo Igual a Políticas de Segurança Mais Rígidas As práticas recomendadas de segurança dizem que as decisões que você toma com relação às políticas, sua habilidade em reportar a atividade da rede e a sua capacidade de análise forense dependem do contexto. O contexto do aplicativo em uso, o site visitado, o conteúdo associado e o usuário são dados valiosos na sua busca por proteção da rede. Saber exatamente quais aplicativos estão trafegando no seu gateway de Internet, quais estão rodando no seu data center ou ambiente na nuvem e quais estão sendo usados pelos usuários remotos em vez de um conjunto enorme de tráfego na porta, significa que você consegue aplicar políticas específicas para esses aplicativos e completar com proteção coordenada contra ameaças. O conhecimento de quem é o usuário, e não só do seu endereço IP, agrega outro elemento contextual que permite que você seja mais detalhista na aplicação das políticas. Um conjunto rico de ferramentas para visualização gráfica e filtragem de registros oferece a você o contexto da atividade do aplicativo, do respectivo conteúdo ou ameaça, quem é o usuário e em que tipo de dispositivo. Cada um desses pontos de dados em si apresenta um quadro parcial da sua rede, que quando colocado em um contexto completo apresenta um quadro completo do possível risco de segurança, permitindo que você tome decisões mais abalizadas com relação as políticas. Todo o tráfego é classificado constantemente enquanto ele muda. Essas mudanças são registradas para análise e os resumos gráficos são atualizados dinamicamente, mostrando as informações em uma prática interface web. No gateway de Internet você consegue investigar aplicativos novos ou desconhecidos e ver uma descrição rápida do aplicativo, suas características de comportamento e que está usando o aplicativo. Você ainda consegue ver as categorias de URL, ameaças e padrões de dados para ter um quadro ainda mais completo do tráfego de rede que passa pelo gateway. Todos os arquivos analisados de um malware desconhecido pelo WildFire são registrados e armazenados, com acesso completo a todos os detalhes, entre eles o aplicativo usado, o usuário, o tipo do arquivo, o SO de destino e os comportamentos maliciosos observados. Dentro do data center, você verifica todos os aplicativos que estão sendo usados e garante que eles estejam sendo usados somente por quem está autorizado. A maior visibilidade da atividade do data center é capaz de confirmar que não há aplicativos mal configurados nem o uso indevido de SSH ou RDP. Editor Unificado de Política: Um visual familiar facilita a rápida criação e implementação de políticas que controlam aplicativos, usuários e conteúdo. PÁGINA 4

5 Em todos os cenários de implementação, os aplicativos desconhecidos, normalmente uma pequena porcentagem em toda rede são colocados para análise e gerenciamento. Em vários casos, pode ser que você fique sabendo quais aplicativos são utilizados, com que frequência e por quem. A visibilidade total dos aspectos relevantes do tráfego da rede para a sua empresa, ou seja, dos aplicativos, do conteúdo e dos usuários, é o primeiro passo para o controle de políticas mais abalizado. Como Reduzir os Riscos Autorizando os Aplicativos Tradicionalmente o processo de redução de risco implicava no acesso mais limitado aos serviços da rede e possível interferência nos negócios. Hoje para reduzir os riscos você autoriza os aplicativos com segurança para usuários específicos e de forma controlada, mas protegida. Esse enfoque mais voltado para os negócios ajuda a chegar a um equilíbrio entre o enfoque negar ou permitir tudo tradicional. Use grupos de aplicativos e criptografia SSL para limitar o uso de webmail e programas de mensagem instantânea a algumas variantes de aplicativos específicas, inspecione-os em busca de ameaças e faça upload dos arquivos desconhecidos suspeitos (.PDFs, documentos do Office, EXEs) para o WildFire para análise e desenvolvimento de assinaturas. Controle a navegação web de todos os usuários, permitindo e varrendo o tráfego a sites relacionados aos negócios e bloqueando o acesso a sites obviamente não relacionados ao trabalho. Supervisione o acesso a sites questionáveis com a ajuda de páginas de bloqueio personalizadas. Bloqueie explicitamente todos os aplicativos para transferência de arquivos ponto a ponto para todos os usuários usando filtros de aplicativos dinâmicos. Use dispositivos móveis e amplie as suas políticas relacionadas à gateway de Internet para usuários remotos com o GlobalProtect. No data Center, suas políticas irão utilizar contexto como uma forma de confirmar que os seus aplicativos no data center estão sendo executados nas suas portas padrões, localizando aplicativos não idôneos, validando usuários, isolando dados e protegendo dados críticos para a empresa de ameaças. Entre os exemplos estão: Usar zonas seguras, isolar um repositório Oracle para os números de cartão de crédito, forçar o tráfego Oracle para as portas padrão e inspecionar o tráfego em buscas de ameaças que tentem entrar e limitar o acesso somente ao grupo financeiro. Criar um grupo de aplicativos de gerenciamento remoto (por exemplo, SSH, RDP, Telnet) somente para uso do departamento de TI dentro do data center. No seu data center virtual, usar objetos dinâmicos para ajudar a automatizar a criação de políticas de segurança quando houver máquinas virtuais SharePoint estabelecidas, removidas ou trafegando pelo seu ambiente virtual. Como Proteger Aplicativos e Conteúdo Quando se aplica políticas para prevenção de ameaças e de varredura de conteúdo, o contexto do aplicativo e o usuário se tornam componentes fundamentais da sua política de segurança. O contexto completo dentro das suas políticas de prevenção de ameaças neutraliza as táticas comuns de evasão como o hop de porta e o encapsulamento. Reduza a superfície de alvo de ataque autorizando um conjunto seleto de aplicativos e depois aplique políticas de prevenção de ameaças e de verificação de conteúdo a esse tráfego. Evite ameaças conhecidas usando IPS e antivírus/anti-spyware de rede. A proteção contra uma série de ameaças conhecidas é feita em um único passo, usando um formato uniforme de assinatura e um mecanismo de varredura de fluxo. Os sistemas de prevenção contra invasão (IPS, Intrusion Prevention System) bloqueiam as explorações de vulnerabilidades na rede e nos aplicativos, sobrecargas de buffers, ataques de negação de serviço e varreduras de porta. A proteção antivírus/anti-spyware bloqueia milhões de variações de malwares, entre elas os malwares ocultos em arquivos compactados ou no tráfego web (HTTP/HTTPS compactado), PÁGINA 5

6 Visibilidade de Conteúdo e Ameaças: Veja a URL, ameaças e a atividade de transferência de arquivos/dados em um formato claro e fácil de entender. Adicione e remova filtros para saber mais sobre cada elemento. assim como vírus conhecidos em PDF. No caso de tráfego codificado com SSL, você pode aplicar decodificação baseada em política seletivamente e depois inspecionar o tráfego em busca de ameaças, independente da porta. Bloqueie malwares desconhecidos ou dirigidos com WildFire. Os malwares desconhecidos ou dirigidos, como as Advanced Persistent Threats, ocultos em arquivos, podem ser identificados e analisados pelo WildFire, que executa diretamente e observa ambientes de sanbdox virtualizados com arquivos na nuvem e no appliance WF-500. O WildFire monitora mais de 100 comportamentos maliciosos. Se for detectado algum malware, é desenvolvida uma assinatura automaticamente e entregue a você em 15 minutos. O WildFire é compatível com os principais tipos de arquivos, entre eles arquivos PE, Microsoft Office (.doc,.xls e.ppt), PDF (Portable Document Format); Java Applet (jar e class) e APK (Android Application Package). Além disso, o WildFire analisa links em s para impedir os chamados ataques spearphishing (APK). Identifique hosts infectados por botnet e interrompa atividades de malwares na rede. A classificação completa e contextual de todos os aplicativos e em todas as portas, inclusive de tráfego desconhecido, normalmente consegue expor anomalias ou ameaças na sua rede. Use App-ID s de comando e controle, reporte de botnet comportamental, sinkholing de DNS e DNS passivo para coorelação rápida de tráfego desconhecido, DNS suspeito e consultas de URL nos hosts infectados. Aplique inteligência global para interceptar e bloquear consultas DNS de domínios maliciosos. PÁGINA 6

7 Limite as transferências de dados e arquivos não autorizadas. A filtragem de dados permite que os seus administradores implementem políticas que irão reduzir os riscos associados a transferências de dados e arquivos não autorizadas. As transferências de arquivos podem ser controladas examinando dentro do arquivo e não só a sua extensão para determinar se a ação de transferência será autorizada VM Manager Coletor de registros Coletor de registros Coletor de registros Panorama pode ser implementado em um appliance dedicado ou de maneira distribuída para maximizar a escalabilidade. ou não. Os arquivos executáveis, normalmente presentes nos downloads, podem ser bloqueados, protegendo assim a sua rede da propagação de malwares que passam despercebidos. A filtragem de dados consegue detectar e controlar o fluxo de padrões de dados confidenciais (números de cartões de crédito ou de documentos, assim como padrões personalizados). Controle a navegação web. Um mecanismo de filtragem web personalizável e totalmente integrado permite que os seus administradores apliquem políticas de navegação detalhadas, complementando visibilidade de aplicativos e políticas de controle e protegendo a empresa de uma grande variedade de riscos legais, regulamentares e de produtividade. As suas políticas de filtragem de URL são aplicadas a todo tráfego web, inclusive aos resultados em cache e resultados de mecanismo de tradução, ambos táticas comuns de evasão de política de filtragem de URL. Se você estiver usando políticas de busca seguras no navegador, as políticas de bloqueio de todos os resultados de busca serão ativadas quando alguma configuração mais rígida for ativada. Além disso, podem ser aplicadas categorias de URL nas políticas para controle mais detalhado da decodificação SSL, QoS ou outras bases de regras. Em muitos casos, a natureza complementar do controle de aplicativos e da filtragem de URL pode ajudar a reduzir os esforços administrativos e o custo total de propriedade como um todo. Política por dispositivo para acesso aos aplicativos. Usando GlobalProtect uma empresa pode definir políticas específicas para controlar quais dispositivos podem acessar determinados aplicativos e recursos de rede. Por exemplo, garanta que os laptops estão em conformidade com a imagem corporativa antes de permitir o acesso ao data center. Verifique se antes de acessar os dados confidenciais o dispositivo móvel está atualizado, pertence a empresa e está com todos os patches necessários. Gerenciamento Centralizado As plataformas de segurança da empresa podem ser gerenciadas individualmente usando uma interface de linha de comando (CLI, command line interface), ou uma interface em navegador com várias funcionalidades. No caso de implementações em maior escala, você pode usar o Panorama para maior visibilidade, edição de políticas, geração de relatórios e registros para todos os seus hardwares e firewalls em equipamentos virtuais. O Panorama oferece a você o mesmo nível de controle contextual sobre a sua implementação global que você tem sobre um único equipamento. A administração por função, combinada com regras pré e pós, permite balancear o controle centralizado com a necessidade de edição de política local e flexibilidade de configuração de dispositivos. Mesmo usando a interface web do Panorama, o visual da interface é idêntico, sem curva de aprendizado na mudança de uma ora outra. Seus administradores podem usar qualquer uma das interfaces disponíveis para fazer as alterações sempre que necessário, sem se preocupar com sincronização. A compatibilidade com ferramentas padrão como SNMP e APIs em REST facilita a integração com ferramentas de gerenciamento de terceiros. PÁGINA 7

8 PALO PALO ALTO ALTO NETWORKS: NETWORKS: Next-Generation Firewall Firewall Feature Feature Overview Overview Relatórios e Registro As práticas recomendadas de segurança possibilitam o equilíbrio entre os esforços contínuos de gerenciamento e ser reativo, que pode envolver a investigação e análise de incidentes de segurança ou geração de relatórios diários. Relatórios: Relatórios predefinidos podem ser usados como estiverem, serem personalizados ou agrupados em um relatório comum para atender a interesses específicos. Todos os relatórios podem ser exportados para o formato CSV ou PDF e serem executados e enviados por de forma programada. Registros: A filtragem de registros em tempo real facilita a investigação forense em cada sessão que trafega pela sua rede. O contexto completo do aplicativo, o conteúdo, inclusive os malwares detectados pelo WildFire e o usuário podem ser usados como critérios de filtragem e os resultados podem ser exportados para um arquivo CSV ou enviados para um servidor syslog para arquivamento e análise extra offline. Os registros agregados pelo Panorama também podem ser enviados para um servidor syslog para mais análise e arquivamento. Hardware Específico ou Plataformas Virtualizadas Nosso firewall de última geração está disponível tanto como uma plataforma de hardware para várias finalidades, escalável de uma filial a um data center de alta velocidade, ou como um componente compacto virtualizado para atender as suas iniciativas de computação em nuvem. A Palo Alto Networks é compatível com a mais ampla variedade de plataformas virtuais para atender aos diferentes requisitos de data center virtualizado e nuvem público e privativa. A plataforma de firewall VM-Series está disponível para hipervisores KVM, VMware ESXi, NSX, Citrix SDX e Amazon AWS. Quando você implementa as nossas plataformas em hardware ou como componente virtual você pode usar o Panorama para gerenciamento centralizado. Hardware Específico ou Plataformas Virtualizadas Nossa plataforma de segurança corporativa está disponível tanto como uma plataforma de hardware para várias finalidades, escalável de uma filial a um data center de alta velocidade, ou como um componente compacto virtualizado para atender as suas iniciativas de computação em nuvem. Quando você implementa as nossas plataformas em hardware ou como componente virtual você pode usar o Panorama, uma solução opcional para gerenciamento centralizado, para ter maior visibilidade dos padrões de tráfego, implementar políticas, gerar relatórios e entregar atualizações de conteúdo a partir de um ponto central Great America Parkway Santa Clara, CA Main: Sales: Support: Copyright 2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks, the Palo Alto Networks Logo, PAN-OS, App-ID and Panorama are trademarks of Palo Alto Networks, Inc. All specifications are subject to change without notice. Palo Alto Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Palo Alto Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. PAN_SS_NGFOV_PT_111014