PRÁTICAS RECOMENDADAS

Transcrição

1 PRÁTICAS RECOMENDADAS PROTEÇÃO DE DADOS NO CENTRO DE DADOS Redução da superfície de ataque e prevenção de ameaças Proteja seu tesouro digital O volume e a sofisticação dos ataques contra centros de dados corporativos e governamentais continuam crescendo em um ritmo alarmante. Uma pesquisa publicada mostra que esses ataques tendem a se concentrar em três categorias principais: criminosos cibernéticos que atacam empresas de varejo e comércio, como lojas, redes de restaurantes, bancos, etc. hacktivistas que buscam destruir a reputação ou causar danos a empresas às quais eles se opõem. ataques patrocinados pelo estado que visam empresas públicas ou comerciais. Tradicionalmente, as organizações têm respondido a esses ataques ao concentrar sua atenção na detecção e prevenção de ameaças no perímetro da rede e no tráfego que entra e sai do centro de dados, o conhecido tráfego norte-sul. Muitos administradores de TI supunham que o tráfego leste-oeste (tráfego entre sistemas e aplicativos dentro de um centro de dados) podia ser confiável e não exigia proteções de segurança. No entanto, em várias violações documentadas, uma vez que um invasor consegue entrar no perímetro da rede, ele pode se movimentar lateralmente sem ser detectado dentro da rede, localizar outros servidores, acessar dados confidenciais e enviá-los para fora do perímetro da rede, pois o nível de segurança aplicado ao perímetro não foi aplicado aos segmentos internos dentro do centro de dados. O acesso a ativos confidenciais dentro do centro de dados deveria ser regulado com o uso de credenciais de identidade não comprometidas e regras baseadas em aplicativos, juntamente com diversas ferramentas de inspeção e prevenção de ameaças, como AV, IPS, antispyware, para proporcionar segurança suficiente dentro do centro de dados. É preciso ter uma arquitetura de segurança extensível e integrada em toda a organização para proteger informações confidenciais contra o acesso não autorizado e vazamento. Isso deve ser feito não apenas no perímetro, mas também na borda do centro de dados e nos segmentos internos do centro de dados. Essa abordagem é conhecida como o modelo de segurança da informação Confiança Zero. Palo Alto Networks Guia de práticas recomendadas 1

2 Dica: identifique o tráfego que seja norte-sul (tráfego entre o centro de dados e sistemas externos) e leste-oeste (tráfego no centro de dados) e foque mais nas fraquezas ocultas de segurança do leste-oeste. O modelo de Confiança Zero (proposto originalmente pela Forrester Research) supõe que todo o tráfego representa uma ameaça, até que se prove em contrário. Em vez de depender de um conjunto de dispositivos de segurança separados e focados em perímetro, a Forrester aconselha a construir uma arquitetura de rede com um gateway de segmentação centralizado, que combine várias operações de segurança e criptografia (firewall, IPS, NAC, filtragem de conteúdo, VPN, etc.) em um único dispositivo de alta velocidade localizado no núcleo da rede. Isso permite que os administradores segmentem a rede em zonas, o que pode isolar o tráfego para um ativo de alto valor do tráfego de rotina para o que é menos confidencial. Isso dificulta muito mais para que um invasor obtenha acesso e mantenha a persistência dentro desses ativos, ou roube dados da rede. A Plataforma de segurança de última geração da Palo Alto Networks, incluindo dispositivos baseados em hardware e virtuais, permite que você implante um modelo de segurança de Confiança Zero eficaz que possibilite a segmentação de sua rede, a criação de listas brancas e negras para aplicativos, o controle do acesso do usuário e a criação de conteúdo específico, bem como a inspeção de todo o tráfego para verificar se há ameaças. Uma abordagem gradual para proteger os dados no centro de dados Quer você tenha começado a implantar produtos da Palo Alto Networks recentemente ou os venha administrando há anos, lembre-se de maximizar seu valor total, ao ler as nossas práticas recomendadas para o uso da abordagem de Confiança Zero para proteger os dados no centro de dados. Assim como com qualquer tecnologia, geralmente há uma abordagem gradual para uma implantação completa, que consiste em fases de implantação cuidadosamente planejadas, criadas para tornar a transição o mais fácil possível, com impacto mínimo para os usuários finais. Pensando nessa transição gradual, recomendamos seguir as nossas práticas recomendadas para centros de dados de três fases, cada uma com base nas recomendações pertinentes. O objetivo final da implantação de seu centro de dados deveria ser a de acabar com a visibilidade granular e proporcionar uma inspeção completa dos tráfegos norte-sul e leste-oeste, de modo a evitar ameaças no centro de dados. ETAPA 1: PLANEJAMENTO DA IMPLANTAÇÃO DO SEU CENTRO DE DADOS Substituir um firewall antigo por um novo sistema ou implantar um firewall para centro de dados pela primeira vez exige um planejamento complexo, pois as duas opções oferecem a oportunidade de começar do zero com uma nova arquitetura de rede (Confiança Zero). Como primeiro passo, faça um inventário e uma avaliação profundos dos ambientes de centros de dados físicos e lógicos. Identifique e documente os vários sistemas no centro de dados, incluindo servidores, roteadores, switches e outra infraestrutura de segurança e de rede. Essa avaliação deve identificar e caracterizar todo o tráfego dos dados: o tráfego entre o centro de dados e sistemas externos (incluindo outros centros de dados dentro da sua organização), bem como o tráfego entre sistemas dentro do centro de dados. DB Dev-DB WEB APP Segmento de recursos Firewall Segmento do usuário Palo Alto Networks Guia de práticas recomendadas 2

3 Dica: há quatro alavancas que você pode puxar para proteger seus ativos do centro de dados: controlar acesso, inspecionar se há abuso dos padrões de uso dos dados, eliminar dados quando a organização não precisar mais deles ou criptografar dados para desvalorizá-los caso sejam roubados. (Fonte: Forrester Research) Planeje implantar as tecnologias básicas a seguir dentro da sua plataforma da Palo Alto Networks. Isso é essencial para ajudar você a entender o tráfego que flui pelo seu centro de dados, no que ele consiste, quais ativos ele tem como alvo e quem está tentando acessar. Tudo isso é fundamental para proteger os seus ativos de alto valor com eficácia. O User-ID verifica a identidade do usuário, e não apenas endereços IP, usando diretórios corporativos, ofertas de serviços de terminal ou o Microsoft Exchange. O User-ID fornece um contexto detalhado sobre os usuários que acessam a rede. O App-ID reconhece e categoriza nativamente milhares de aplicativos, incluindo aplicativos web. O App-ID ajuda a identificar aplicativos que estão em uso, descobrir se os aplicativos estão usando portas padrão ou personalizadas e a encontrar aplicativos desconhecidos ou não autorizados na rede. O Content-ID permite que os clientes apliquem políticas para inspecionar e controlar o conteúdo que passa pela rede. O Content-ID combina mecanismos de prevenção de ameaças em tempo real, banco de dados de URL abrangentes e elementos de identificação de aplicativos para limitar transferências não autorizadas de dados e arquivos e para detectar e bloquear uma vasta gama de explorações, malware e conexões de web perigosas ou não autorizadas (HTTP e DNS). O Content-ID está disponível como parte da assinatura do Threat Prevention e permite que você implante controle de políticas sobre o conteúdo de tráfego não autorizado, limite a transferência não autorizada de arquivos e dados confidenciais, como números de cartão de crédito ou CPF e se defenda contra malware e explorações conhecidas e novas. Tipo de política Segurança NAT QoS Encaminhamento baseado em políticas Decodificação Substituição de aplicativos Portal cativo Proteção DoS Proteção de zona Descrição Define se deve bloquear ou autorizar uma sessão com base nos atributos do tráfego, como a zona de segurança de origem e de destino, o IP de origem e de destino, aplicativo, usuário e serviço. Informa ao firewall sobre quais pacotes precisam de conversão e como fazer a conversão. O firewall suporta a conversão tanto do endereço de origem como de destino e/ou da porta. Identifica o tráfego que precisa de tratamento de QoS (seja tratamento preferencial ou limitante de largura de banda) usando um parâmetro definido ou vários parâmetros e a atribuição de uma classe a eles. Identifica o tráfego que deveria usar uma interface de saída diferente da que seria usada normalmente com base na tabela de encaminhamento. Identifica o tráfego criptografado cuja visibilidade, controle e segurança granular você quer inspecionar. Identifica as sessões que você não quer que sejam processadas pelo mecanismo do App-ID, que é uma inspeção de Camada 7. Identifica o tráfego cujo usuário precise ser conhecido. A política de portal cativo é acionada somente se outros mecanismos do User-ID não identificarem um usuário para associar ao endereço IP de origem. Identifica possíveis ataques de recusa de serviço (DOS - denial of service) e toma medidas protetivas em resposta às correspondências de regras. Fornece proteção adicional entre zonas de rede específica no mesmo firewall para proteger contra ataques, incluindo técnicas de evasão e aderência aos limites de tráfego. Palo Alto Networks Guia de práticas recomendadas 3

4 Dica: instale a plataforma na frente de qualquer dispositivo de proteção antigo para que ela possa examinar todo o tráfego da rede antes que ele passe pelo dispositivo antigo e dar a visibilidade que talvez você não tenha. Dica: a decodificação SSL pode ser executada nas interfaces de fio virtual (VWire), Camadas 2 ou 3, ou no modo TAP. Para uma visualização mais uniforme do seu tráfego do centro de dados, lembre-se de decodificar o máximo possível. Dica: a Plataforma de segurança de última geração Palo Alto Networks pode operar em diversas implantações simultaneamente, pois as implantações ocorrem no nível da interface. O controle e a visibilidade do usuário e do aplicativo proporcionados pelo App-ID e User-ID, combinados com a inspeção de conteúdo proporcionados pelo Content-ID, permite que os departamentos de TI tomem decisões com base em risco que protejam as organizações contra ameaças e habilitem com segurança sistemas e aplicativos necessários para manter a empresa em operação. A tabela abaixo resume os diversos tipos de política com suporte da Plataforma de segurança de última geração da Palo Alto Networks. Determine quais recursos e regras de política você vai implantar, e em que ordem, dando prioridade à sua finalidade no contexto das prioridades do centro de dados da sua organização, como a disponibilidade do sistema, o consumo de largura de banda ou as normas de segurança de dados. Guia do administrador: ativar política com base em grupo e em usuário visão geral do App-ID implantações do VM-Series configurar interfaces e zonas ETAPA 2: VISIBILIDADE TOTAL DO TRÁFEGO DO CENTRO DE DADOS O objetivo dessa etapa é identificar e validar toda a comunicação de aplicativos dentro e fora do centro de dados. Ao instalar a Plataforma de segurança de última geração pela primeira vez, recomendamos implantá-la primeiro no modo Tap. O modo Tap oferece a capacidade de monitorar passivamente o tráfego da rede sem interrupção, mas não impede ou bloqueia qualquer conexão. Isso permite que o tráfego norte-sul e leste-oeste para o centro de dados seja monitorado e perfilado para aplicativos, ameaças e uso de tráfego sem interromper o tráfego de produção. A análise de logs de tráfego e ameaça criados no modo Tap também torna possível verificar os aplicativos, usuários e ameaças que foram identificados pela análise anterior de documentos e configurações existentes. A coleta e análise de tráfego da rede pode permitir que você defina rapidamente o perfil do ambiente e detecte ameaças em tempo real. Esses dados podem ser usados para criar relatórios personalizados e uma Análise de Segurança de Ciclo de Vida (SLR) com rapidez, e inclui: identificação de aplicativos número de sessões e largura de banda consumida relacionados a cada aplicativo redes de origem e de destino leque completo das ameaças desconhecidas observadas porcentagem de malware detectado pela plataforma que não foi detectada por soluções de AV de terceiros malware de dia zero e ameaças persistentes avançadas identificadas pelo WildFire da Palo Alto Networks vetores de ameaças de aplicativos e tipos de arquivos maliciosos comportamento de risco do usuário Depois que os dados de tráfego da rede para o centro de dados são coletados e analisados, você pode criar alertas para ameaças comumente observadas. Isso permitirá que você analise melhor o seu ambiente por meio de recursos de relatórios históricos e de tendências para validação de tráfego para que você possa começar o processo a partir de um desenvolvimento de política mais avançada e abrangente. Quando uma quantidade suficiente de dados for coletada no modo Tap, reconfigure a plataforma no modo VWire ou Camada 2 (L2)/Camada 3 (L3) para começar a agir sobre tráfego indesejado ou arriscado. O VWire proporciona flexibilidade na aplicação de políticas distintas que podem ser usadas para gerenciar o tráfego em várias redes internas e separar e classificar o tráfego em zonas diferentes. Essa configuração isola logicamente um ambiente de ativos de alto valor de outros sistemas menos críticos. No modo VWire, a plataforma é instalada de forma transparente em um segmento de rede por meio da conexão de duas portas. Isso simplifica a instalação e configuração e não exige nenhuma mudança para dispositivos de rede adjacentes. Palo Alto Networks Guia de práticas recomendadas 4

5 Dica: para avaliar o seu tráfego sem análises de log demoradas e manuais, desenvolva relatórios personalizados, como aqueles que cobrem os principais aplicativos, as principais normas de segurança e o tráfego correspondente à regra de segurança catchall permitir qualquer um. Esses tipos de relatórios fornecem uma base de referência histórica dos dados que permite que você e sua equipe definam continuamente o perfil do tráfego dentro e fora do seu centro de dados. Dica: a ordem das regras é fundamental para garantir seus melhores critérios de correspondência. Como a política é avaliada de cima para baixo, as políticas mais específicas devem preceder as mais gerais. Uma regra que é colocada em uma posição mais baixa não será avaliada se o critério de correspondência for atendido por outra regra que a precede. A distribuição de centros de dados e/ou os switches centrais são configurados para enviar de forma seletiva apenas o tráfego de ativos de alto valor relevantes para a plataforma (por VLANs), permitindo que o ambiente mantenha a sua VLAN e o endereçamento IP. O modo VWire redireciona todo o tráfego pela plataforma para permitir o desenvolvimento de políticas iniciais e monitorar todo o tráfego de entrada e saída do ambiente. Use as informações coletadas para desenvolver uma política de segurança inicial que descreva o acesso autorizado, como fontes aprovadas, redes de destino, grupos de aplicativos e de usuários. Depois, crie regras de segurança para a comunicação de entrada e de saída do centro de dados com agrupamentos de aplicativos conhecidos e/ou semelhantes, como banco de dados, web, aplicativo, Microsoft, gerenciamento e infraestrutura. Isso permite que você desenvolva uma estrutura ampla da política de segurança para classificar os aplicativos aprovados. Aplique perfis de proteção de ameaças a todas as políticas para ter uma visibilidade de segurança adicional, para que você esteja preparado para bloquear explorações, malware e tráfego de comando e controle sem afetar a comunicação dos negócios. Para ter certeza de que você não está bloqueando nenhuma comunicação essencial enquanto constrói e testa sua política de centro de dados, implante uma regra de segurança catchall permitir qualquer um no final da hierarquia da política de segurança que permita explicitamente toda comunicação que ainda não estiver incluída em uma regra. Quaisquer aplicativos que usem portas ou protocolos não padrão, ou aplicativos não conhecidos, devem ser especialmente analisados e permitidos somente após a validação com o dono do sistema. Regras de aplicativos validadas devem ser incluídas acima da regra catchall na hierarquia para ativação segura e desenvolvimento de política lógica. TI RH Prod-DB SAP-DB Jurídico Terceirizados Executivos Ao final dessa etapa, a política de segurança deve incluir todos os aplicativos, portas, protocolos, redes de origem e de destino identificados e aprovados, e os usuários e grupos de usuários identificados, aprovados e autorizados a acessá-los. O resultado é que todo o tráfego aprovado é identificado por um aplicativo com uma política de segurança específica. Somente o tráfego aprovado acionará a regra catchall, e você pode então avaliar, validar e criar outra regra para permiti-lo especificamente. Por fim, para reforçar a proteção ativa, suspenda os alertas simples e mude para o bloqueio ativo de ameaças conhecidas, ao incluir perfis de segurança ao seu conjunto de regras. Substitua a regra catchall por uma nova regra negar qualquer um no fim da lista de políticas que está configurada para bloquear e registrar todo o tráfego recusado. Essa mudança de uma lista negra para uma abordagem de lista branca permite que o sistema recuse todo o tráfego que não foi expressamente permitido, enquanto maximiza a visibilidade e a prevenção de ameaças. A partir daí, você pode desativar a plataforma de segurança antiga e tirá-la de serviço. Palo Alto Networks Guia de práticas recomendadas 5

6 Dica: a ordem das regras é fundamental para garantir seus melhores critérios de correspondência. Como a política é avaliada de cima para baixo, as políticas mais específicas devem preceder as mais gerais. Uma regra que é colocada em uma posição mais baixa não será avaliada se o critério de correspondência for atendido por outra regra que a precede. Dica: Como várias camadas de codificação podem ser usadas como uma técnica de evasão, use a codificação de vários níveis para garantir que os arquivos não identificados que não foram processados para a verificação de ameaças não passem pelo firewall para o seu centro de dados. Guia do administrador: monitoramento componentes de uma regra de segurança como configurar um dispositivo da Palo Alto Networks para operação no modo TAP configurar políticas e perfis de segurança decodificação implantações de fio virtual gerar relatórios personalizados ETAPA 3: SEGURANÇA AVANÇADA DE CENTRO DE DADOS Depois de ter sua plataforma de segurança básica configurada, você pode se concentrar em criar relatórios especiais adicionais, refinar regras de política e implantar recursos adicionais de prevenção, como perfis de segurança restrita, ambiente de análise de malware com base em nuvem WildFire, serviço de segurança de força de trabalho móvel GlobalProtect e proteção avançada de terminais Traps. Habilite o encaminhamento para o WildFire para garantir que arquivos desconhecidos, especialmente os tipos de arquivos usados legitimamente, como arquivos Microsoft Office e Adobe Acrobat, não contenham quaisquer ameaças persistentes avançadas (APTs) ou malware de dia zero. O WildFire analisa arquivos desconhecidos e, depois, gera proteções contra malware, comando e controle e de URL quando um arquivo é considerado malicioso. O WildFire executa conteúdo suspeito em várias versões do aplicativo de destino localizado dentro dos sistemas operacionais virtualizados e identifica centenas de comportamentos associados a software malicioso, como modificações no host, tráfego suspeito de rede e técnicas de evasão antianálise. Juntamente com as proteções de aplicativos, esses comportamentos são também entregues dentro de um relatório que pode então ser usado para identificar positivamente os sistemas infectados. Se você tiver ativos que se comunicam externamente, sob qualquer forma, configure os perfis de filtragem de URL para as regras aplicáveis para obter uma camada adicional de segurança para que esses ativos não possam se comunicar com URLs maliciosos e de alto risco. Habilite o GlobalProtect em celulares e laptops corporativos para identificá-los além do seu endereço IP quando eles tentarem acessar ativos remotamente, amplie as proteções de segurança em sua plataforma quando eles estiverem fora da rede e garanta que sua conexão ao seu centro de dados seja segura. O GlobalProtect é uma fonte do User-ID que amplia o alcance da plataforma de segurança para seus usuários, onde quer que estejam, e garante que o acesso a ativos de alto valor no centro de dados esteja em conformidade com a política de segurança. Implante a proteção avançada de endpoint do Traps em todos os servidores Windows e na Virtual Desktop Infrastructure (VDI) em execução no seu centro de dados para obter uma camada adicional de proteção contra exploração. O Traps é um agente que evita a exploração de vulnerabilidades de dia zero e ataques acionados por malware sem assinaturas, e protege os ativos do seu centro de dados de seu comprometimento. O agente Traps se insere em cada processo que é iniciado, e se concentra nas técnicas fundamentais de que um invasor deve se conectar para realizar um ataque. Se o processo tentar executar qualquer uma das principais técnicas de ataque, o Traps bloqueará imediatamente essa técnica, encerrará o processo e notificará o administrador de que um ataque foi evitado. Palo Alto Networks Guia de práticas recomendadas 6

7 Dica: configure a sua plataforma para receber atualizações de proteção do WildFire a cada cinco minutos. Dica: use o recurso de listas dinâmicas externas para deter os invasores, ao importar os endereços IP de origem de invasores reincidentes que aparecem dentro de seus logs de ameaças em um determinado período de tempo e os bloqueie por 24 horas ou mais. Guia do administrador: implantações de VPN filtragem de URL habilitar encaminhamento básico de WildFire usar uma lista dinâmica externa na política Nosso compromisso em dar suporte aos nossos clientes A Palo Alto Networks tem como compromisso garantir uma implantação bem-sucedida e fornece um suporte abrangente por meio da nossa organização de Atendimento Global ao Cliente. Temos plena ciência de que o fracasso não é uma opção. Nossas ofertas de suporte e programas de treinamento foram desenvolvidas para atenuar quaisquer preocupações que você possa ter com a implantação. Serviços de garantia de solução da Palo Alto Networks Planos de suporte ao cliente da Palo Alto Networks Serviços de consultoria da Palo Alto Networks Serviços de treinamento da Palo Alto Networks Junte-se à Comunidade LIVE da Palo Alto Networks para obter discussões de usuários, tutoriais e artigos da base de conhecimento. Guia do administrador PAN-OS, Versão 7.1 Panorama Guia do administrador PAN-OS, Versão 7.0 Panorama Guia do administrador PAN-OS, Versão 6.1 Panorama Junte-se à comunidade Grupo de Usuários do Fuel da Palo Alto Networks para se conectar com profissionais do setor em todos os lugares do globo que estão prontos para discutir suas práticas recomendadas e seus insights conquistados com muito trabalho. Você também pode obter acesso exclusivo a especialistas no assunto para que respondam às suas perguntas mais desafiadoras relacionadas à segurança por meio de eventos online, como webinars e sessões de perguntas e respostas, bem como presenciais Great America Parkway Santa Clara, CA Principal: Vendas: Suporte: Palo Alto Networks, Inc. Palo Alto Networks é uma marca registrada da Palo Alto Networks. Uma lista de nossas marcas registradas pode ser encontrada em paloaltonetworks.com/company/trademarks.html. Todas as outras marcas aqui mencionadas podem ser marcas registradas de suas respectivas empresas. pan-wp-best-practiceschapter7-sddc