GLOBALPROTECT Impede violações e protege a força de trabalho móvel O GlobalProtect amplia a proteção da plataforma de segurança de última geração da Palo Alto Networks para os membros da sua força de trabalho móvel, onde quer que eles estejam. Principais cenários de uso e benefícios VPN de acesso remoto Fornece acesso seguro a aplicativos de negócios internos e baseados em nuvem Prevenção avançada de ameaças Proteção do tráfego da Internet Impede que as ameaças atinjam o endpoint Protege contra phishing e roubo de credencial Filtragem de URL Aplica políticas de uso aceitável Filtra o acesso a domínios maliciosos e conteúdo adulto Impede o uso de ferramentas de evasão e revogação Proteção de acesso a aplicativos SaaS Controla o acesso e aplica as políticas para aplicativos SaaS enquanto bloqueia os aplicativos não autorizados BYOD Suporta VPN no nível do aplicativo para privacidade do usuário Permite acesso seguro sem clientes para parceiros, parceiros de negócios e terceirizados Fortalece a segmentação da rede interna Fornece identificação confiável de usuário Fornece informações de host imediatas e precisas para visibilidade e aplicação de políticas Aplica uma autenticação multifator incremental para o acesso a recursos confidenciais O mundo que você precisa proteger continua a se ampliar na medida que os usuários e aplicativos se deslocam para locais fora do perímetro da rede tradicional. As equipes de segurança enfrentam desafios para manter a visibilidade do tráfego da rede e aplicar as políticas de segurança para bloquear ameaças. As tecnologias tradicionais utilizadas para proteger endpoints móveis, tais como software de antivírus para endpoint de host e VPN de acesso remoto, não são capazes de bloquear as técnicas avançadas utilizadas pelos invasores mais sofisticados de hoje. O cliente de segurança de rede para endpoints GlobalProtect da Palo Alto Networks possibilita que as empresas protejam sua força de trabalho móvel ao ampliar a plataforma de segurança de última geração para todos os usuários, independentemente da localização. Ele protege o tráfego ao aplicar os recursos da plataforma para compreender o uso do aplicativo, associar o tráfego aos usuários e dispositivos e impor as políticas de segurança com tecnologias de última geração. Ampliação externa da proteção da plataforma O GlobalProtect protege a força de trabalho móvel ao inspecionar todo o tráfego usando firewalls de última geração que são implantados como gateways de Internet, seja no perímetro, no DMZ ou na nuvem. Laptops, smartphones e tablets com o aplicativo GlobalProtect estabelecem automaticamente uma conexão SSL/IPsec VPN segura para o firewall de última geração com o melhor desempenho para um determinado local, proporcionando à empresa visibilidade total de todo o tráfego de rede, em aplicativos e em todas as portas e protocolos. Ao eliminar pontos cegos no tráfego da força de trabalho móvel, a empresa mantém uma visualização consistente dos aplicativos. Proteção interna da rede Nem todos os usuários precisam acessar tudo da rede corporativa. As equipes de segurança estão adotando a segmentação de rede para compartimentalizar sua rede e aplicar controles precisos para acesso aos recursos internos. O GlobalProtect fornece as informações mais rápidas e confiáveis de identificação do usuário para a plataforma, permitindo que as empresas criem políticas precisas que permitam ou restrinjam o acesso com base na necessidade dos negócios. Além disso, o GlobalProtect fornece informações do host que estabelecem critérios para dispositivos associados às políticas de segurança. Essas medidas permitem que as empresas realizem ações preventivas para proteger suas redes internas, adotem controles de rede de confiança zero e reduzam a área de superfície do ataque. Quando o GlobalProtect é implantado dessa maneira, os gateways da rede interna podem ser configurados para uso com ou sem um túnel VPN. Palo Alto Networks GlobalProtect Folha de dados 1
Inspeção do tráfego e aplicação das políticas de segurança O GlobalProtect permite às equipes de segurança desenvolver políticas que sejam consistentemente aplicadas, independentemente do usuário ser interno ou remoto. As equipes de segurança podem aplicar todos os recursos da plataforma para a prevenção de ataques cibernéticos, incluindo: Tecnologia App-ID identifica o tráfego do aplicativo, independentemente do número da porta, e permite às empresas estabelecer políticas para gerenciar o uso do aplicativo com base nos usuários e dispositivos. Tecnologia User-ID identifica usuários e membros do grupo para dar visibilidade, bem como a aplicação das políticas de segurança de rede com base na função. Decriptação inspeciona e controla aplicativos que foram criptografados com o tráfego SSL/TLS/SSH. Bloqueia ameaças dentro do tráfego criptografado. Serviço de análise de ameaças baseado em nuvem WildFire automatiza a análise de conteúdo para identificar malware novo, anteriormente desconhecido e altamente direcionado por seu comportamento e gera a inteligência de ameaça para detê-lo quase em tempo real. Prevenção de ameaças para IPS e antivírus a prevenção de invasões bloqueia as explorações baseadas em rede que visam aplicativos e sistemas operacionais vulneráveis, ataques DoS e varreduras de porta. Perfis de antivírus impedem que malware e spyware cheguem ao endpoint utilizando um mecanismo baseado em fluxo. Filtragem de URL com o PAN-DB o PAN-DB classifica URLs com base em seu conteúdo no domínio, nível de arquivo e página, recebe atualizações do WildFire e vincula a mudança de conteúdo da web à mudança das classificações. Bloqueio de arquivos interrompe a transferência de arquivos indesejados e perigosos enquanto examina arquivos permitidos com o WildFire. Filtragem de dados a filtragem de dados permite aos administradores implantar políticas que podem ser usadas para interromper a movimentação de dados não autorizada, tais como a transferência de informações do cliente ou outro conteúdo confidencial. Condições personalizadas de host (ex.: identificação de usuários e dispositivos) Autenticação do usuário O GlobalProtect oferece suporte a todos os métodos de autenticação do PAN-OS, incluindo Kerberos, RADIUS, LDAP, SAML 2.0, certificados do cliente e um banco de dados local de usuários. Depois que o GlobalProtect autentica o usuário, ele fornece imediatamente ao firewall de última geração um mapeamento de endereço de usuário para IP para o User-ID. Opções de autenticação robusta O GlobalProtect oferece suporte a uma gama de métodos de autenticação multifatores de terceiros, incluindo tokens de senha de uso único, certificados e cartões inteligentes através da integração RADIUS. Essas opções ajudam as empresas a fortalecerem a prova de identidade para acesso ao centro de dados interno ou aplicativos SaaS. O GlobalProtect tem opções para tornar a autenticação robusta cada vez mais fácil de usar e implantar: Autenticação baseada em cookie: após a autenticação, uma empresa pode escolher usar um cookie criptografado para acesso subsequente a um portal ou gateway durante toda a vida do cookie. Suporte ao protocolo de registro de certificado simplificado: o GlobalProtect pode automatizar a interação com um PKI corporativo para gerenciamento, emissão e distribuição de certificados para clientes GlobalProtect. Perfil de informações de host O GlobalProtect verifica o endpoint para obter um inventário de como ele está configurado e cria um perfil de informações de host que é compartilhado com o firewall de última geração. O firewall de última geração usa o perfil de informações de host para aplicar políticas de aplicativo que só permitem acesso quando o endpoint está configurado e protegido de maneira adequada. Esses princípios ajudam a reforçar a conformidade com as políticas que governam a quantidade de acesso que um determinado usuário tem com um dispositivo específico. As políticas do perfil de informações de host podem ser baseadas em vários atributos, incluindo: Nível de patch do sistema operacional e do aplicativo Estado e versão do antimalware do host Estado e versão do firewall do host Configuração da criptografia do disco Configuração do produto de backup de dados Condições de host personalizadas (ex.: entradas de registro, software em execução) Controle de acesso a aplicativos e dados As equipes de segurança podem estabelecer políticas baseadas nas informações de aplicativo, usuário, conteúdo e host para manter o controle granular sobre o acesso a um determinado aplicativo. Essas políticas podem ser associadas a usuários ou grupos específicos definidos em um diretório para garantir que as empresas forneçam os níveis corretos de acesso com base na necessidade dos negócios. A equipe de segurança pode ainda estabelecer políticas para incrementar a autenticação multifator a fim de fornecer provas adicionais de identidade antes do acesso a recursos e aplicativos altamente confidenciais. BYOD ativado e seguro Os efeitos de BYOD estão mudando o número de permutações de casos de uso que as equipes de segurança precisam atender. É necessário fornecer acesso a aplicativos a um espectro mais amplo de funcionários e terceirizados que usam uma vasta gama de dispositivos móveis. A integração com soluções de gerenciamento de dispositivos móveis, tais como o AirWatch e o MobileIron, ajudam as empresas a implantarem o GlobalProtect, além de oferecer medidas de segurança adicionais por meio da troca de inteligência e configuração do host. Quando usada em conjunto com o GlobalProtect, a organização é capaz de Palo Alto Networks GlobalProtect Folha de dados 2
manter a visibilidade e a aplicação da política de segurança por aplicativo, mantendo a separação de dados de atividades pessoais para honrar as expectativas de privacidade do usuário em cenários de BYOD. O GlobalProtect oferece suporte a SSL VPN sem clientes para acesso seguro a aplicativos no centro de dados e na nuvem a partir de dispositivos não gerenciados. Esta abordagem oferece conveniência e segurança fornecendo acesso a aplicativos específicos por meio de uma interface da web sem exigir que o usuário instale previamente um cliente ou configure um túnel completo. A arquitetura é importante A arquitetura flexível do GlobalProtect oferece muitos recursos que ajudam as empresas a superar uma série de desafios de segurança. No nível mais básico, as empresas podem usar o GlobalProtect como uma substituição para o gateway de VPN tradicional, eliminando a complexidade e as dores de cabeça de administrar um gateway de VPN autônomo de terceiros. As opções para conexões manuais e seleção de gateway permitem que as empresas ajustem a configuração para suportar os requisitos da empresa conforme necessário. Em uma implantação mais abrangente para proteção do tráfego, o GlobalProtect pode ser implantado com uma conexão VPN sempre ativa com um túnel completo, garantindo que a proteção esteja sempre presente e transparente para a experiência do usuário. Gateways baseados em nuvem As forças de trabalho mudam de um local para outro e geram mudanças na carga do tráfego. Isso é especialmente verdadeiro quando se leva em conta como as empresas evoluem, seja temporariamente (como em caso de um desastre natural em uma região) ou permanentemente (como na entrada em novos mercados). O serviço de nuvem GlobalProtect oferece uma opção co-gerenciada para implantar cobertura nos locais em que as empresas precisam, usando suas políticas de segurança. Ele pode ser usado em conjunto com firewalls existentes, tornando sua arquitetura adaptável às condições da mudança. O serviço de nuvem GlobalProtect suporta dimensionamento automático, que aloca de forma dinâmica novos firewalls com base na carga e na demanda de uma região específica. Conclusão As proteções fornecidas pela plataforma de segurança de última geração da Palo Alto Networks desempenham um papel essencial na prevenção de violações. Use o GlobalProtect para ampliar a proteção da plataforma para os usuários, onde quer que eles estejam. Ao usar o GlobalProtect as organizações podem obter uma aplicação consistente da política de segurança de modo que, mesmo quando os usuários saírem do edifício, a sua proteção contra ataque cibernético continuará ativa. Recursos do GlobalProtect Categoria Conexão VPN IPsec SSL VPN sem clientes VPN por aplicativo em Android, ios, Windows 10 Seleção de gateway Seleção automática Seleção manual Seleção de gateway externo por local de origem Seleção de gateway interno por IP de origem Métodos de conexão Logon de usuário (sempre ativado) Sob demanda Pré-logon (sempre ativado) Pré-logon, em seguida, sob demanda Modo de conexão Modo interno Modo externo Protocolos da camada 3 IPv4 IPv6 Logon único SSO (provedor de credenciais do Windows) SSO do Kerberos Palo Alto Networks GlobalProtect Folha de dados 3
Categoria Túnel dividido Incluir rotas Excluir rotas Métodos de autenticação SAML 2.0 LDAP Certificados do cliente Kerberos RADIUS Autenticação de dois fatores Perfil de informações do host relatórios, aplicação de políticas e notificações Gerenciamento de patch Antispyware do host Antivírus do host Firewall do host Criptografia do disco Backup do disco Prevenção de perda de dados Condições personalizadas do perfil de informações do host (ex.: entradas de registro, software em execução) Autenticação multifator Outros recursos Autenticação avançada para acesso a recursos confidenciais User-ID IPsec para fallback SSL VPN Impor conexão do GlobalProtect para acesso à rede Gerenciamento automático de certificados de usuário com base em SCEP Ações de script que são executadas antes e após as sessões Personalização dinâmica do aplicativo GlobalProtect Configuração do aplicativo com base em usuários, grupos e/ou sistemas operacionais Detecção interna/externa automática Upgrade manual/automático do aplicativo GlobalProtect Seleção de certificado por OID Bloquear acesso de dispositivos perdidos, roubados e desconhecidos Suporte a cartões inteligentes para conexão/desconexão Distribuição transparente de CAs de raiz confiável para decriptação SSL Desativar acesso direto para redes locais Páginas de boas-vindas e de ajuda personalizáveis Conexão RDP para um cliente remoto Palo Alto Networks GlobalProtect Folha de dados 4
Categoria Integração MDM/EMM AirWatch MobileIron Ferramentas de gerenciamento e APIs Plataforma de segurança de última geração da Palo Alto Networks, incluindo fatores de forma física (como PA-7000 Series, PA-3000 Series e PA-200) e virtual (VM-Series) Microsoft InTune Serviço de nuvem GlobalProtect Plataformas suportadas pelo aplicativo GlobalProtect Microsoft Windows e Windows UWP Sistema operacional Apple Mac X Apple ios Sistema operacional Google Chrome OS Sistema operacional Android OS Compatível com Linux usando VPNC de terceiros e cliente StrongSwan IPsec Xauth Cliente IPsec com Apple ios Cliente IPsec com sistema operacional Android Localização do aplicativo GlobalProtect Inglês Espanhol Alemão Francês Japonês Chinês 3000 Tannery Way Santa Clara, CA 95054 Principal: +1.408.753.4000 Vendas: +1.866.320.4788 Suporte: +1.866.898.9087 www.paloaltonetworks.com 2017 Palo Alto Networks, Inc. Palo Alto Networks é uma marca registrada da Palo Alto Networks. Uma relação de nossas marcas registradas pode ser encontrada em https://www.paloaltonetworks.com/ company/trademarks.html. Todas as outras marcas aqui mencionadas podem ser marcas registradas de suas respectivas empresas. globalprotect-ds-082817