Palo Alto firewall nowej generacji

Transkrypt

1 Palo Alto firewall nowej generacji

2 Agenda Wprowadzenie do koncepcji firewall-a nowej generacji Główne funkcjonalności firewalla Palo Alto Dostępne modele sprzętowe Firewall nowej generacji w nawiązaniu do Rekomendacji D Integracja Palo Alto z rozwiązaniem Enterasys NAC

3 Wprowadzenie do koncepcji firewall-a nowej generacji

4 Next-Generation Firewall

5 Konkurencja? Stateful Inspection Przed 2010 NGFW Stateful Inspection * A * Palo Alto *??? * B Networks Gartner: What a Next-Generation Firewall is NOT! * C * D * UTMs are not next-generation firewalls UTM * DLP is not a next-generation Gartner s firewalls Recommendation: Move to * Secure web gateways next-generation are not next-generation firewalls at firewalls the next refresh * Proxies security gateways opportunity UTM are not next-generation whether for firewall, firewalls *??? IPS, or the combination of the two NGFW * Palo Alto Networks * A ** B ** C * D * F * E * F * A * B * C * D * E Proxies

6 Next-Generation Firewall Fundamentalna zasada bezpieczeństwa "Least Privilege" wymaga aby zabezpieczenia sieciowe blokowały KOMUNIKACJĘ, która nie została zdefiniowana w polityce jako DOZWOLONA. Zasada "Least Privilege jest elementem standarów bezpieczeństwa IT (ISO 27001, PCI, itd.). Zgodność z zasadą "Least Privilege" wymaga od zabezpieczeń sieci poprawnej identyfikacji aplikacji sieciowych bez względu na port, protokół, tunelowanie i szyfrowanie.

7 Główne funkcjonalności firewalla Palo Alto

8 Aplikacje działają dynamicznie - Port Aplikacja - Adres IP Użytkownik - Dane pakietu Treść (np. zaszyfrowane) Większość aplikacji internetowych działa na bazie protokołów HTTP i HTTPS, używa dynamicznych portów lub zaszyfrowanych tuneli. Zabezpieczenia sieci identyfikują aplikacje Web (80, 443-tcp), a w rzeczywistości działają tam setki innych aplikacji - P2P, IM, Skype, Gry online, file sharing, poczta, itd.

9 App-ID: Identyfikacja aplikacji Identyfikacja ponad 1800 aplikacji, podzielonych na kategorie Definiowane własnych aplikacji Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki ~ 5-10 nowych aplikacji tygodniowo

10 User-ID: Identyfikacja użytkowników Korelacja adresów IP z użytkownikami aplikacji. Polityki Firewall operują na nazwach/grupach użytkowników. Incydenty przypisane do konkretnych użytkowników. Integracja z Active Directory - PAN Agent komunikuje się z kontrolerami domeny lub stacjami użytkowników. Obsługa Citrix i MS TS agent. Dla gości Captive Portal (Web i NTLM).

11 Content-ID: Skanowanie zawartości Wykrywanie i blokowanie ataków i złośliwego kodu, nielegalnego transferu plików oraz kontrolowanie wykorzystania usług Web Baza uniwersalnych sygnatur dla zabezpieczeń Intrusion Prevention, Anti- Virus, Anti-Spyware, itd. Web Filtering - baza URL dostarczana przez BrightCloud. Data Filtering - identyfikacja wrażliwych danych (m.in. SSN, CC#) dla różnych aplikacji na podstawie wyrażeń regularnych (regex). File Filtering - identyfikacja plików na podstawie typu MIME i nagłówka pliku.

12 Wydajność Odpowiednia architektura Single pass software Udokumentowana wydajność Sygnatury App-ID stale włączone. Dedykowana platforma sprzętowa z odpowiednimi zasobami do przetwarzania sieciowego, bezpieczeństwa, inspekcji zawartości i zarządzania

13 Elastyczność pracy zabezpieczeń WAN Zone DMZ DB Zone Internal Zones WAN File server Untrust Zone server Web, DNS server SQL servers Intranet server Internet L3 - router sniffer VLAN Trunk L2 - transparent ` User workstations ` Właściwa ochrona systemów IT wymaga aby zabezpieczenia były dostosowane do zmian w sieci i nowych zagrożeń. Urządzenia zabezpieczeń powinny posiadać wiele interfejsów sieciowych, które w zależności pod potrzeb mogą pracować w różnych trybach (L2, L3, Tap). Efektywność kosztowa wymaga wirtualizacji zabezpieczeń - interfejsy VLAN, wirtualne rutery, wirtualne systemy.

14 Kontrola aplikacji bez degradacji wydajności IPS module AV module WF module FW module Inspekcja ruchu aplikacyjnego dokonywana na wielu modułach inspekcji (IPS, AV, itd.), które wzajemnie przekazują sobie dane powoduje duże obniżenie wydajności. Potrzebne są zabezpieczenia, które w jednym module inspekcji z wydajnością wielo-gigabitową wykonują identyfikację i pełną kontrolę ruchu aplikacyjnego.

15 Dostępne modele sprzętowe

16 Wydajność Modele sprzętowe Seria PA Gb Seria PA Gb 10Gb 4Gb 2Gb Seria PA Gb 500Mb 250Mb Odziały korporacji/ Średniej wielkości firmy Duże firmy

17 Firewall nowej generacji w nawiązaniu do Rekomendacji D

18 Rekomendacja D Aktualizacja Rekomendacji D z roku 2002 Zalecenia wejdą w życie z dniem 31 grudnia 2014

19 Rekomendacja D

20 Rekomendacja D

21 Integracja Palo Alto z rozwiązaniem Enterasys NAC

22 Integracja Palo Alto z Enterasys NAC

23 Integracja Palo Alto z Enterasys NAC Korzyści wynikające z integracji Palo Alto z Enterasys NAC: dla Palo Alto gwarancja aktualnego mapowania adresu IP do nazwy użytkownika dla Enterasys NAC statystyki z wykorzystywanych przez użytkownika aplikacji

24 Dziękujemy