VM-Series para VMware

Transcrição

1 -Series para ware O -Series para ware oferece suporte ao ware NSX, ao ESXI independente e ao vcloud Air, permitindo que você implante a segurança do firewall de última geração e a prevenção avançada de ameaças nos ambientes de computação em nuvem privada, pública e híbrida baseada em ware. Identifique e controle aplicativos nos seus ambientes virtualizados, limite o acesso com base em usuários e previna ameaças conhecidas e desconhecidas. Isole e segmente aplicativos e dados essenciais ao usar os princípios de Confiança Zero. Simplifique a implantação da política para que a segurança mantenha o mesmo ritmo que o das mudanças dentro de sua nuvem privada, pública ou híbrida. vswitch - SERIES Hypervisor vswitch A tecnologia de virtualização ware está estimulando uma mudança significativa nos modernos centros de dados atuais, resultando em arquiteturas que são geralmente uma combinação de ambientes de computação em nuvem privada, pública ou híbrida. Os benefícios da computação em nuvem são bem conhecidos e significativos. No entanto, assim também são os desafios de segurança, exemplificados pelas várias violações de dados de grande importância. Se armazenados em um centro de dados físico ou em uma nuvem pública, privada ou híbrida, seus dados serão o alvo de criminosos cibernéticos. A proteção de sua nuvem baseada em ware apresenta vários desafios, incluindo a falta de visibilidade do aplicativo, a funcionalidade de segurança inconsistente e a dificuldade de manter o mesmo o ritmo que o das mudanças geralmente encontradas nos ambientes de computação em nuvem. Para serem bem-sucedidas, as organizações precisam de uma solução de segurança de nuvem que: Controle aplicativos, dentro da nuvem, com base na identidade, e não na porta e nos protocolos que eles possam usar. Impeça que malware tenha acesso à nuvem e que se movimente lateralmente (leste-oeste) dentro dela. Defina quem deve ter permissão para usar os aplicativos e dê acesso com base nas necessidades e nas credenciais. Simplifique o gerenciamento e minimize o atraso da política de segurança, à medida que s (máquinas virtuais) são incluídas, removidas ou movimentadas dentro do ambiente de nuvem. O -Series da Palo Alto Networks para ware permite que você proteja os dados que residem nos ambientes do NSX, do ESXi e do vcloud Air contra ameaças cibernéticas com nossa segurança de firewall de última geração e recursos avançados de prevenção de ameaças. O gerenciamento centralizado do Panorama, combinado com os recursos nativos de automação, permite que você simplifique o gerenciamento da política de forma a minimizar o intervalo temporal da política que pode ocorrer à medida que máquinas virtuais são incluídas, movimentadas ou removidas.

2 Aplicação de segurança de última geração a ambientes virtualizados O firewall virtualizado do -Series se baseia no mesmo mecanismo de classificação de tráfego de pilha inteira que pode ser encontrado em nossos firewalls de fator de forma física. O -Series classifica nativamente todo o tráfego, inclusive de aplicativos, ameaças e conteúdo e, em seguida, vincula esse tráfego ao usuário. O aplicativo, o conteúdo e o usuário, ou seja, os elementos que fazem sua empresa funcionar, são então usados como a base de políticas de segurança virtualizadas, resultando em uma postura de segurança melhorada e uma redução no tempo de resposta a incidentes. Isolar aplicativos e dados essenciais usando os princípios de Confiança Zero As melhores práticas de segurança ditam que os aplicativos e dados essenciais devem ser isolados em segmentos seguros usando os princípios de Confiança Zero (nunca confie, sempre verifique) em cada ponto de segmentação. O -Series pode ser implantado em todo seu ambiente virtualizado, residir como um gateway dentro de sua rede virtual ou entre as s em execução em diferentes camadas, protegendo assim o tráfego leste-oeste, exercendo controle com base no aplicativo e na identidade do usuário. Bloquear o movimento lateral de ameaças virtuais As ameaças virtuais atuais geralmente comprometem uma estação de trabalho ou único usuário e, em seguida, se movimentam pela rede, à procura de um alvo. Dentro de sua rede virtual, as ameaças virtuais se movimentarão lateralmente com rapidez de uma para outra, na direção leste-oeste, colocando seus aplicativos e dados essenciais em risco. Exercer o controle em nível de aplicativo usando os princípios de Confiança Zero entre as s reduzirá o volume de ameaças ao mesmo tempo em que se aplica a política para bloquear ameaças conhecidas e desconhecidas. Implantação e provisionamento automatizado e transparente Um rico conjunto de APIs pode ser usado para integrar ferramentas externas de orquestração e gerenciamento, coletando informações relacionadas a mudanças na carga de trabalho que podem ser então usadas para acionar dinamicamente atualizações da política por meio do monitoramento de máquinas virtuais () e grupos de endereços dinâmicos (sigla em inglês - DAGs). APIs RESTful: uma API baseada em REST flexível permite que você integre soluções de orquestração de nuvem de terceiros ou personalizadas. Isso permite que o -Series seja implantado e configurado em sintonia com as cargas de trabalho virtualizadas. Monitoramento de máquinas virtuais: as políticas de segurança devem ser capazes de monitorar e manter o mesmo ritmo que o das mudanças em ambientes virtualizados, incluindo atributos de e a inclusão ou remoção de s. O monitoramento de máquina virtual pesquisa automaticamente seus ambientes de virtualização, tais como vcenter para obter inventário e mudanças de máquinas virtuais, coletando esses dados na forma de tags que podem ser então usadas em grupos de endereços dinâmicos (sigla em inglês - DAGs) para manter as políticas atualizadas. Grupos de endereços dinâmicos (DAGs): à medida que suas máquinas virtuais mudam de função ou se mudam de um servidor para outro, a criação de políticas de segurança baseadas em dados estáticos, como endereço IP, entregam valor limitado e podem conter informações desatualizadas. Os grupos de endereços dinâmicos (DAGs) permitem que você crie políticas usando tags (do monitoramento de ) como um identificador para máquinas virtuais, em vez de uma definição de objeto estático. Várias tags que representam atributos de máquina virtual, tais como endereço IP e sistema operacional, podem ser abordadas dentro de um grupo de endereços dinâmicos (DAGs), permitindo que você aplique com facilidade as políticas às máquinas virtuais, à medida que elas são criadas ou passam pela rede sem intervenção administrativa. Gerenciar centralmente firewalls de fator de forma física e virtualizada O gerenciamento de segurança de rede centralizado do Panorama permite que você gerencie as implantações do -Series, junto com os dispositivos de segurança física, garantindo assim a consistência e a coesão da política. Os ricos e centralizados recursos de log e relatórios oferecem visibilidade dos aplicativos virtualizados, usuários e conteúdo. PÁGINA 2

3 Flexibilidade da implantação O -Series para ware oferece suporte nos ambientes NSX, ESXi e vcloud Air. -Series para ware NSX O -Series para NSX é uma solução altamente integrada que vincula o firewall de última geração do -Series, o Panorama para gerenciamento centralizado e o ware NSX para entregar a promessa de um centro de dados definido por software. À medida que novas cargas de trabalho virtuais são implantadas, o NSX Manager instala de forma simultânea um firewall de última geração do -Series em cada servidor ESXi. Depois de implantadas no servidor ESXI, as políticas de ativação segura de aplicativos que identificam, controlam e protegem seus aplicativos e dados virtualizados podem ser implantadas em cada -Series de uma forma automatizada pelo Panorama. O NSX começará então a direcionar o tráfego dos aplicativos selecionados para o -Series para obter uma segurança em nível de aplicativo mais granular. À medida que novas cargas de trabalho são incluídas, movimentadas ou removidas, o NSX alimenta essas mudanças de atributos no Panorama, onde elas são convertidas em atualizações de política de segurança dinâmica para os firewalls de gateway virtual e de perímetro. O -Series para NSX oferece suporte no modo de interface de rede de fio virtual, o que requer configuração mínima de rede e simplifica a integração da rede. NSX Manager O Panorama registra o -Series como um serviço no NSX Manager Administrador de nuvem Atualizações contextuais em tempo real sobre mudanças de Panorama Administrador de segurança Licenciamento, implantação e atualizações de política automatizados -Series implantado automaticamente pelo NSX; as políticas direcionam então o tráfego selecionado para inspeção do -Series -Series para ESXi (independente): O -Series em servidores ESXi é ideal para redes em que o fator de forma virtualizado pode simplificar a implantação e oferecer mais flexibilidade. Os cenários comuns de implantação incluem: Ambientes de computação em nuvem privada ou pública, em que a virtualização é predominante Ambientes em que o espaço físico é restrito e caro Locais remotos para onde enviar o hardware não é prático O -Series para ESXi permite que você implante políticas de ativação segura de aplicativo que identificam, controlam e protegem seus aplicativos e dados virtualizados. O gerenciamento centralizado do Panorama e um rico conjunto de APIs podem ser usados para integrar ferramentas externas de orquestração e gerenciamento para coletar informações relacionadas a mudanças na carga de trabalho que podem então ser usadas para acionar dinamicamente as atualizações da política por meio de grupos de endereços dinâmicos (DAGs) e do monitoramento de s. Vários tipos de interface, incluindo L2, L3 e fio virtual, permitem que você implante o -Series para ESXi em um modo de interface diferente para cada servidor virtualizado, dependendo de suas necessidades. APIs Interfaces Objetos Políticas Licenciamento PÁGINA 3 Centro Corporate de dados Data corporativos Center

4 -Series para vcloud Air: O -Series para vcloud Air permite que você proteja sua nuvem pública baseada em ware com as mesmas políticas de ativação segura de aplicativo usadas para proteger sua nuvem privada baseada em ESXi. Os casos comuns de uso incluem: Gateway de perímetro: nesse caso de uso, o -Series é implantado como seu firewall de gateway, protegendo seu ambiente vcloud Air com base em aplicativo, independentemente da porta e do protocolo, enquanto previne ameaças conhecidas e desconhecidas e controla o acesso com base na identidade do usuário. Segurança de nuvem híbrida: nesse caso de uso, o -Series é configurado para estabelecer uma conexão IPsec segura baseada em padrões entre sua nuvem privada baseada em ware e sua nuvem pública baseada em vcloud Air. O acesso ao ambiente do vcloud Air pode ser controlado com base em aplicativo, no respectivo conteúdo e identidade do usuário. Segmentação de rede: protege o tráfego leste-oeste entre sub-redes e camadas de aplicativos usando o aplicativo e a identidade do usuário como a base de suas políticas de segurança. O gerenciamento centralizado e um rico conjunto de APIs podem ser usados para integrar ferramentas externas de orquestração e gerenciamento para coletar informações relacionadas a mudanças na carga de trabalho que podem então ser usadas para acionar dinamicamente as atualizações da política por meio de grupos de endereços dinâmicos (DAGs) e do monitoramento de s. O -Series para vcloud Air oferece suporte ao modo de interface de rede L3. vcloud Air APIs Interfaces Objetos Políticas Licenciamento Centro de dados corporativos PÁGINA 4

5 DESEMPENHO E RECURSOS HV Taxa de transferência do firewall (App-ID ativado) 1 Gbps Taxa de transferência de prevenção de ameaças 600 Mbps Taxa de transferência de VPN IPSec 250 Mbps Máx. de sessões por segundo Novas sessões por segundo O desempenho e os recursos são mensurados em condições ideais de teste usando o PAN-OS 7.0 e 4 núcleos de CPU. ESPECIFICAÇÕES DA VIRTUALIZAÇÃO HIPERVISOR SUPORTADO HV ware NSX Manager 6.0, 6.1 com ware ESXi 5.5 ESXi 5.1, ESXi 5.5 DRIVERS DE REDE Todos os -Series ware ESXi: XNet ESXi 5.1, ESXi 5.5 REQUISITOS DO SISTEMA Núcleos de CPU 2, 4 ou 8 Memória (mínimo) 4 GB Capacidade da unidade de disco (mín./máx.) 40 GB/2 TB RECURSOS DE REDE Modos de interface: L2, L3, Tap, fio virtual (modo transparente): -Series para ESXi L3: vcloud Air Fio virtual (modo transparente): -Series para NSX Roteamento (sigla Modos: em OSPF, inglês, RIP, NAT) BGP, estático Modos: Encaminhamento OSPF, RIP, baseado BGP, estático em políticas Encaminhamento Multicast: PIM-SM, baseado PIM-SSM, em IGMP políticas v1, v2 e v3 Multicast: PIM-SM, PIM-SSM, IGMP v1, v2 e v3 Alta disponibilidade Modos: ativo/passivo com sincronização de sessões Detecção de falha: monitoramento de caminho, monitoramento de interface de interface VLANs Etiquetas VLAN 802.1q por dispositivo/por interface: 4.094/ /4.094 Máx. de interfaces: Máx. de interfaces: (-300), (-300), (-200), (-200), (-100) 100 (-100) Conversão de de endereço endereço de de rede rede (sigla em inglês, NAT) Modos de NAT (IPv4): IP estático, IP dinâmico, IP e porta dinâmicos (conversão de endereço de porta) NAT64 Recursos NAT adicionais: reserva de IP dinâmico, reutilização de IP e porta dinâmicos IPv6 L2, L3, Tap, fio virtual (modo transparente) Recursos: App-ID, User-ID, Content-ID, WildFire e decodificação SSL Para visualizar informações adicionais sobre os recursos de segurança e os recursos associados do -Series, visite Great America Parkway Santa Clara, CA Principal: Vendas: Suporte: Copyright 2015, Palo Alto Networks, Inc. Todos os direitos reservados. Palo Alto Networks, o logotipo da Palo Alto Networks, PAN-OS, App-ID e Panorama são marcas registradas da Palo Alto Networks, Inc. Todas as especificações estão sujeitas a alteração sem aviso prévio. A Palo Alto Networks não se responsabiliza por quaisquer imprecisões neste documento, nem tem a obrigação de atualizar as informações nele contidas. A Palo Alto Networks reserva-se o direito de alterar, modificar, transferir ou de revisar esta publicação sem aviso prévio. PAN_DS_S_061215