Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks. Agenda



Podobne dokumenty
Palo Alto firewall nowej generacji

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

OPIS PRZEDMIOTU ZAMÓWIENIA

Wymagania techniczne przedmiotu zamówienia. Część nr III

DLP i monitorowanie ataków on-line

Szczegółowy opis przedmiotu zamówienia

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Specyfikacja techniczna oferowanego sprzętu

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

PARAMETRY TECHNICZNE I FUNKCJONALNE

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Wirtualizacja sieci - VMware NSX

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Producent. Rok produkcji..

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Dostawa urządzenia sieciowego UTM.

Załącznik nr 2 do I wyjaśnień treści SIWZ

CYBEROAM Unified Treatment Management, Next Generation Firewall

OP-IV ELB. 1. Przełącznik Typ II 6 sztuk. Ilość Numer produktu, producent, model/typ oferowanego sprzętu * Nazwa sprzętu OP-IV.

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Formularz Oferty Technicznej nr 2 (Urządzenia firewall) Część II zamówienia

FORMULARZ OFERTOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Minimalne wymagania techniczne dla systemu:

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Opis Przedmiotu Zamówienia

Next Generation Firewall (NGF) kontra Unfied Threat Management (UTM)

Specyfikacja techniczna

Zamawiający: Sąd Okręgowy w Warszawie Al. Solidarności Warszawa PRZETARG NIEOGRANICZONY. na:

Portal Security - ModSec Enterprise

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Zdalne logowanie do serwerów

Opis przedmiotu zamówienia.

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Agenda. Quo vadis, security? Artur Maj, Prevenity

Bezpieczna ochrona perymetru sieci. Paweł Nogowicz

11. Autoryzacja użytkowników

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Część 2: Dostawa i konfiguracja sprzętowej zapory sieciowej (UTM - Unified Threat Management)

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Wirtualizacja sieciowej infrastruktury bezpieczeństwa

OPIS PRZEDMIOTU ZAMÓWIENIA

ZINTEGROWANY SYSTEM OCHRONY SIECI FIRMOWEJ

NOWA SERIA US ZINTEGROWNY SYSTEM OCHRONY SIECI FIREWALL ZINTEGROWANY Z IPS POŁĄCZENIA VPN SKANER WNĘTRZA SIECI

Mikrosegmentacja w sieciach kampusowych Temat slajdu. Aruba 360 Security Fabric

Szczegółowy opis przedmiotu zamówienia Specyfikacja:

Zapytanie ofertowe na aktualizację urządzenia UTM

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

STORMSHIELD NOWA SERIA URZĄDZEŃ UTM OD NETASQ FUNKCJONALNOŚCI

Cyberoam next generation security

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

ArcaVir Home Protection

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

OPIS PRZEDMIOTU ZAMÓWIENIA

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Wprowadzenie do zagadnień związanych z firewallingiem

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

SZCZEGOŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Przedmiotem zamówienia jest dostawa, instalacja oraz wdrożenie sprzętu sieciowego:

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

ZINTEGR O WANY SYSTEM OCHRONY SIECI KLASY

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Ewolucja operatorów od dostawców bitów do dostawców usług

Prezentuje: Seweryn Jodłowski CNSE 4.1

FORMULARZ ASORTYMENTOWO CENOWY

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

U TM U liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych

Opis Przedmiotu Zamówienia

ZADANIE II. DOSTAWA, INSTALACJA I WDROŻENIE URZĄDZENIA FIREWALL UTM NOWEJ GENERACJI. 1. Minimalne parametry urządzenia

OPIS PRZEDMIOTU ZAMÓWIENIA

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

OPIS PRZEDMIOTU ZAMÓWIENIA część I zamówienia. Urządzenie typu Firewall do ochrony systemu poczty elektronicznej.

Kompleksowa ochrona sieci przedsiębiorstwa

Marek Pyka,PhD. Paulina Januszkiewicz

Formularz cenowo-techniczny

Przełączanie i Trasowanie w Sieciach Komputerowych

Check Point Endpoint Security

Załącznik nr 3 do OPZ opis sprzętu i Infrastruktury sieci VPN zabezpieczającej połączenia sieciowe pomiędzy Parterami projektu oraz sprzęt.

LABORATORIUM WIRTUALNE W DYDAKTYCE I BADANIACH NAUKOWYCH

Wymagane minimalne parametry techniczne urządzenia typu firewall. Lp. Nazwa Wymagane minimalne parametry techniczne Opis oferowanego parametru

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

Rozwiązanie Compuware Data Center - Real User Monitoring

Spis treści. Część I Infrastruktura adresowania i przepływu pakietów. 1 Protokół IPv4... 3

Bezpieczeństwo z najwyższej półki

Monitorowanie aplikacji i rozwiązywanie problemów

Prowadzący: Rafał Michalak

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Sprawa numer: BAK.WZP Warszawa, dnia 20 maja 2016 r.

Transkrypt:

Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks Marek Janiczek, Prevenity Agenda Wyzwania i potrzeby w zakresie ochrony w warstwie sieciowej System zabezpieczeo nowej generacji - Next Generation Firewall Rozwiązanie Palo Alto Networks Podsumowanie 1

Wyzwania Dynamika aplikacji File sharing Webmail VoIP Streaming Instant Messaging & Chat Blokowad czy nie blokowad? Aplikacje duża ilośd, różne wykorzystywane porty Użytkownicy brak stałej lokalizacji, przydzielane różne adresy IP Przesyłana treśd inna niż deklarowana, szyfrowana Wyzwania Świadomośd warstwy aplikacji Aplikacje internetowe w większości: Wykorzystują protokoły HTTP i HTTPS Używają dynamicznych portów Stosują mechanizmy kryptograficznej ochrony informacji Standardowe systemy zabezpieczeo sieci: Identyfikują aplikacje Web jako TCP/80, TCP/443 Posiadają ograniczoną świadomośd warstwy aplikacji Nieefektywnie identyfikują aplikacje działające w oparciu o HTTP i HTTPS Firewall Stateful Insp. Intrusion Prev., Web Filtering, etc. 2

Wyzwania Ruch szyfrowany Brak inspekcji zawartości szyfrowanego ruchu Wektor ataków na stronę użytkownika Exploits for Web browser, Spyware, HTTPS Trojans, Bots, etc. redirect Untrusted site Firewall Stateful Insp. Intrusion Prev., Web Filtering, etc. Web browsing Wyzwania Wydajnośd IPS module AV module WF module FW module Standardowo, inspekcja ruchu aplikacyjnego dokonywana jest przez wiele modułów Moduły wzajemnie przekazują sobie dane powodując obniżenie wydajności 3

Stosowane zabezpieczenia Czy jesteśmy bezpieczni? Czy stosowane rozwiązania mogą wykryd i blokowad niebezpieczne aplikacje: Wymiana i dystrybucja plików (BitTorrent, Gnutella, Rapidshare) Podwyższanie poziomu prywatności w sieci (Tor) Zewnętrzne serwery poczty dostępne poprzez web (Gmail, HotMail) Komunikatory (GG, AIM) Portale społecznościowe (blogi, Facebook, LinkedIn, MySpace, Twitter, Youtube) Czy stosowane rozwiązania mogą wykryd i zablokowad ataki w ruchu SSL? Czy stosowane rozwiązania blokują stosowanie zewnętrznych serwerów proxy? Obecne potrzeby Możliwośd tworzenia precyzyjnych polityk filtracji ruchu Identyfikacja i kontrola aplikacji, niezależnie od stosowanego portu/protokołu Identyfikacja i kontrola użytkowników, niezależnie od przypisanego adresu IP Kontrola dostępu do aplikacji i ich funkcji Możliwośd inspekcji ruchu niezaszyfrowanego/zaszyfrowanego (HTTP/HTTPS) Możliwośd ochrony przed wyciekiem wrażliwych informacji Elastycznośd i wydajnośd zabezpieczeo Efektywnośd kosztowa zabezpieczeo Przykład źródeł wymagao bezpieczeostwa w odniesieniu do kontroli dostępu Regulacje, normy, dobra praktyka ISO 27001 A.11.4.1 Zasada minimalnych uprawnieo 4

Next Generation Firewall Platforma inspekcji ruchu sieciowego i wymuszania polityki bezpieczeostwa Cechy zapór ogniowych pierwszej generacji Filtracja pakietów Translacja adresów Analiza stanu połączeo Zdalny dostęp Zarządzanie pasmem Świadomośd warstwy aplikacji Identyfikacja aplikacji i wymuszanie polityk bezpieczeostwa niezależnie od portu/protokołu Blokowanie wybranych funkcji aplikacji (np. blokowanie udostępniania plików) Inspekcja ruchu niezaszyfrowanego/zaszyfrowanego Ochrona przed wyciekiem wrażliwych informacji Integracja z zewnętrznymi systemami Podwyższenie skuteczności mechanizmów kontroli działao użytkowników 5

Palo Alto Networks App-ID Identyfikacja aplikacji Rozwiązanie PAN Technologie ochrony User-ID Identyfikacja użytkowników Content-ID Skanowanie zawartości 6

App-ID: Identyfikacja i klasyfikacja aplikacji Identyfikacja ponad 900 aplikacji, podzielonych na kategorie Możliwośd definiowania własnych aplikacji Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki Kontrola aplikacji Definicja dozwolonych aplikacji 7

User-ID: Identyfikacja użytkowników Korelacja adresów IP z użytkownikami aplikacji Firewall ma możliwośd operowania na nazwach/grupach użytkowników Incydenty przypisane do konkretnych użytkowników Integracja z Active Directory, edirectory (User-ID Agent) Obsługa Citrix i MS Terminal Services (TS Agent) Dla gości Captive Portal (Web i NTLM) Kontrola użytkowników Polityka firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP Firewall transparentnie weryfikuje tożsamośd użytkowników sieci (integracja z Active Directory, Citrix i MS Terminal Services) 8

Content-ID: Skanowanie zawartości Wykrywanie i blokowanie ataków, złośliwego kodu i nielegalnego transferu plików Kontrolowanie wykorzystania usług Web Anti-Virus, Anti-Spyware, Vulnerability Protection - baza uniwersalnych sygnatur URL Filtering - baza URL dostarczana przez BrightCloud File Blocking - identyfikacja plików na podstawie typu MIME i nagłówka pliku Data Filtering - identyfikacja wrażliwych danych na podstawie wyrażeo regularnych Skanowanie zawartości Profile ochrony realizują funkcje inspekcji ruchu 9

Next Generation Firewall NSS Labs Test urządzenia PA-4020 Wskaźnik blokowania zagrożeo: 93.4% Odpornośd na próby oszukania mechanizmów IPS: 100% Wydajnośd na poziomie 115% w stosunku do specyfikacji Inspekcja zawartości szyfrowanego ruchu Inspekcja zawartości SSL Certyfikat PAN Certyfikat serwera Serwer usług Inspekcja zawartości niezaufanego ruchu SSL (wychodzący/przychodzący) Ochrona użytkowników przed atakami w komunikacji szyfrowanej Wewnętrzny urząd certyfikacji do dynamicznego generowania certyfikatów 10

Inspekcja zawartości szyfrowanego ruchu Inspekcja zawartości szyfrowanego ruchu 11

Elastycznośd systemu zabezpieczeo L2 VLAN 20 L2 VLAN 10 Vwire L3 DMZ L3 Internet Tap Core Switch Wiele trybów pracy (w jednym urządzeniu interfejsy mogą działad w różnych trybach) Tap Mode Virtual Wire Layer 2 Layer 3 Wirtualizacja zabezpieczeo - interfejsy VLAN (L2 i L3), wirtualne rutery, wirtualne systemy Kontrola ruchu bez degradacji wydajności Control Plane Dual-core CPU HDD CPU 1 CPU 2 Flash Matching Engine CPU 3 CPU.. 16 SSL IPSec De-Comp. Data Plane Flash Matching HW Engine Uniform signatures matching Multi-Core Security Processor Hardware accelerated SSL, IPSec, decompression QoS Route, ARP, MAC lookup NAT 10 Gig Network Processor Hardware accelerated QoS, route lookup, MAC lookup and NAT Jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur Dedykowana konstrukcja sprzętowa: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe rozdzielenie modułu zarządzania i przetwarzania ruchu 12

Analiza, monitorowanie i raportowanie Dedykowane graficzne narzędzia do wizualizacji ruchu - aplikacje, użytkownicy i zawartośd Monitorowanie i raportowanie w czasie rzeczywistym Szczegółowa analiza działań użytkownika Analiza, monitorowanie i raportowanie 13

Wydajnośd Modele urządzeo 10 Gbps/ 5 Gbps z XFPs 10Gbps/ 5 Gbps 2Gbps/ 2 Gbps 1Gbps/ 500 Mbps 500Mbps/ 200 Mbps 250Mbps/ 100 Mbps Seria PA-500 Odziały firm Średniej wielkości firmy Duże firmy Rozpoznawanie i kontrola aplikacji Podsumowanie PAN Ustalanie tożsamości użytkowników sieci Ochrona przed atakami i złośliwym kodem (również w komunikacji szyfrowanej) Wykrywanie i filtracja niedozwolonych danych przesyłanych przez sied Precyzyjne zarządzie pasmem sieci Monitorowanie i raportowanie Różne tryby pracy Wielo-gigabitowa wydajnośd 14

Kontakt marek.janiczek@prevenity.com info@prevenity.com www.prevenity.com 15

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres