Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks



Podobne dokumenty
Palo Alto firewall nowej generacji

Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks. Agenda

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Szczegółowy opis przedmiotu zamówienia

OPIS PRZEDMIOTU ZAMÓWIENIA

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Formularz Oferty Technicznej nr 2 (Urządzenia firewall) Część II zamówienia

11. Autoryzacja użytkowników

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

PARAMETRY TECHNICZNE I FUNKCJONALNE

WZÓR. W dniu... w Olsztynie pomiędzy:

Next Generation Firewall (NGF) kontra Unfied Threat Management (UTM)

Opis Przedmiotu Zamówienia

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Sieci bezprzewodowe WiFi

Dostawa urządzenia sieciowego UTM.

OP-IV ELB. 1. Przełącznik Typ II 6 sztuk. Ilość Numer produktu, producent, model/typ oferowanego sprzętu * Nazwa sprzętu OP-IV.

Włącz autopilota w zabezpieczeniach IT

Specyfikacja techniczna

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Szanowni Państwo, W bieżącym wydaniu... Juniper Networks Award Ceremony

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

DLP i monitorowanie ataków on-line

FORMULARZ OFERTOWY OPIS PRZEDMIOTU ZAMÓWIENIA

ZADANIE II. DOSTAWA, INSTALACJA I WDROŻENIE URZĄDZENIA FIREWALL UTM NOWEJ GENERACJI. 1. Minimalne parametry urządzenia

CYBEROAM Unified Treatment Management, Next Generation Firewall

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

ASQ: ZALETY SYSTEMU IPS W NETASQ

9. System wykrywania i blokowania włamań ASQ (IPS)

ZINTEGROWANY SYSTEM OCHRONY SIECI FIRMOWEJ

SZCZEGOŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Przedmiotem zamówienia jest dostawa, instalacja oraz wdrożenie sprzętu sieciowego:

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

1.2. Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT.

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Wprowadzenie do zagadnień związanych z firewallingiem

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Zapytanie ofertowe na aktualizację urządzenia UTM

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Wymagania techniczne przedmiotu zamówienia. Część nr III

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Szczegółowy Opis Przedmiotu Zamówienia

Praca w sieci z serwerem

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

OPIS PRZEDMIOTU ZAMÓWIENIA

U TM U liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych

Netia Mobile Secure Netia Backup

OPIS PRZEDMIOTU ZAMÓWIENIA

Wymagane minimalne parametry techniczne urządzenia typu firewall. Lp. Nazwa Wymagane minimalne parametry techniczne Opis oferowanego parametru

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

Zdalne logowanie do serwerów

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

NOWA SERIA US ZINTEGROWNY SYSTEM OCHRONY SIECI FIREWALL ZINTEGROWANY Z IPS POŁĄCZENIA VPN SKANER WNĘTRZA SIECI

Nowe możliwości zapewnienia skutecznej ochrony przed zagrożeniami wewnętrznymi

Produkty. ESET Produkty

Zapory sieciowe i techniki filtrowania.

FORMULARZ ASORTYMENTOWO CENOWY

Bezpieczeństwo z najwyższej półki

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Numer ogłoszenia: ; data zamieszczenia:

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

SAFETICA 7 OCHRONA PRZED WYCIEKIEM DANYCH (DLP)

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

WZP/WO/D /15. FORMULARZ OFERTY (zmodyfikowany) Imiona i nazwiska osób reprezentujących Wykonawcę

OPIS PRZEDMIOTU ZAMÓWIENIA

ZiMSK. VLAN, trunk, intervlan-routing 1

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Znak sprawy: KZp

Przewodnik technologii ActivCard

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

Podstawy bezpieczeństwa

OPIS PRZEDMIOTU ZAMÓWIENIA część I zamówienia. Urządzenie typu Firewall do ochrony systemu poczty elektronicznej.

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Warsztaty KPRM-MF-MG-MPiPS MRR-MSWiA-MSZ 28 kwietnia 2011 r.

FORMULARZ OFERTY (zmodyfikowany w dniu r.)

Producent. Rok produkcji..

SIŁA PROSTOTY. Business Suite

Transkrypt:

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich do aktualnych zagrożeń. Obecnie większość aplikacji internetowych działa na bazie protokołów HTTP i HTTPS, używa dynamicznych portów lub zaszyfrowanych tuneli. Konwencjonalne zabezpieczenia firewall identyfikują aplikacje na podstawie numerów portów, co uniemożliwia wykonywanie właściwej kontroli komunikacji sieciowej. Dla przykładu firewall rozpoznaje ruch Web (80, 443-tcp), a działają w nim setki innych, często niebezpiecznych aplikacji jak P2P, IM, Skype, gry online, file sharing, poczta, itd. W rzeczywistej sieci ponad 60% aplikacji jest ukryta dla firewalli. W ograniczonym zakresie rozwiązaniem mogą być zabezpieczenia Intrusion Prevention System (IPS), które potrafią wykrywać i blokować niektóre aplikacje. Aplikacje identyfikowane są przez IPS za pomocą zdefiniowanych dla nich sygnatur ataków. Jest to rozwiązanie mało efektywne, ponieważ administrator zabezpieczeń musi znać wszystkie niebezpieczne aplikacje i wskazać je w konfiguracji IPS jako ataki. Takie podejście jest niezgodne z zasadami i dobrymi praktykami ochrony sieci. Potrzebne są zabezpieczenia, które właściwe rozpoznają i w swojej polityce wyraźnie ustalają wszystkie dozwolone aplikacje, a pozostałe są zablokowane. Kolejny problem to kontrola aplikacji korzystających z komunikacji szyfrowanej. Dla przykładu, szyfrowane aplikacje P2P (np. BitTorrent, emule) są niewidoczne dla zabezpieczeń firewall i IPS, zaś użytkownicy korzystający z aplikacji Tor mogą swobodnie surfować po dowolnych serwerach Web - zabezpieczenia Web Filtering nie rozpoznają takiego ruchu. Jeszcze większy problem dla bezpieczeństwa systemu informatycznego stanowi powszechnie stosowany protokół HTTPS (HTTP szyfrowane protokołem SSL). Konwencjonalne zabezpieczenia sieci nie potrafią analizować ruchu HTTPS, przez który intruzi i złośliwy kod mogą z łatwością włamać się do sieci wewnętrznych (m.in. atak exploit na przeglądarkę Web, Spyware, Worm, Trojan). Potrzebne są zabezpieczenia, które deszyfrują niezaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, anty-wirus, itd.). 1

Rysunek 1. Koncepcja włamania poprzez połączenie szyfrowane Inne problemy bezpieczeństwa, z którymi nie radzą sobie konwencjonalne systemy zabezpieczeń to m.in.: skuteczna identyfikacja i kontrola użytkowników stacje robocze w sieci posiadają adresy IP nadawane dynamicznie (DHCP), co sprawia trudności w kontroli i rozliczaniu działań użytkowników, kontrola treści przesyłanych informacji niedokładna identyfikacja i kontrola aplikacji w sieci sprawia, że poufne dane mogą łatwo zostać przekazane do Internetu (np. numery kart kredytowych, ważne dokumenty), wydajność zabezpieczeń włączenie inspekcji aplikacyjnej (IPS, AV, itd.) powoduje dużą degradację wydajności zabezpieczeń, elastyczność pracy zabezpieczeń właściwa ochrona sieci wymaga, aby zabezpieczenia działały w zależności od potrzeb w rożnych trybach pracy (L2, L3, Sniffer), co powoduje konieczność zastosowania dużej liczby urządzeń. System zabezpieczeń Palo Alto Networks (PAN) został opracowany z myślą o rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie konwencjonalne zabezpieczenia. Umożliwia wdrożenie dodatkowych mechanizmów ochrony bez konieczności zmiany istniejącej sieci. Rozwiązanie bazuje na sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych wymagań i zagrożeń. PAN jest rozwijany przez światowej klasy ekspertów bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer. Identyfikacja oraz kontrola aplikacji i użytkowników System zabezpieczeń PAN rozpoznaje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki zabezpieczeń w sposób jednoznaczny ustalają, które aplikacje są dozwolone (patrz rysunek 2). Rozpoznawanie aplikacji odbywa się za pomocą sygnatur i heurystyki. Identyfikowanych jest ponad 700 aplikacji - tygodniowo pojawia się 5-10 nowych. 2

Rysunek 2. Reguły polityki zabezpieczeń PAN PAN chroni system informatyczny przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). Oprócz standardowych funkcji ochrony jak Anty-Wirus, Anty-Spyware i Web Filtering realizuje zadania inspekcji i filtrowania danych przesyłanych przez aplikacje w sieci: Data Filtering - blokowanie wycieku wrażliwych informacji (m.in. SSN, CC#) z zaufanego obszaru sieci (obiekty danych definiowane są jako wyrażenia regularne - regex), File Filtering - filtrowanie określonych plików przesyłanych przez aplikacje (identyfikacja na podstawie typu MIME i nagłowka pliku, nie rozszerzenia). System zabezpieczeń PAN transparentnie ustala tożsamość użytkowników sieci (integracja z Active Directory). Polityka zabezpieczeń precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet, gdy użytkownik zmieni lokalizację i adres IP. Polityki operują na nazwach/grupach użytkowników. Dzięki korelacji adresów IP z użytkownikami aplikacji działania i incydenty przypisane są do konkretnych użytkowników. Integracja z Active Directory odbywa się przez PAN Agent, który komunikuje się z kontrolerami domeny lub stacjami użytkowników. Dla gości dostępny jest mechanizm Captive Portal ferujący standardowe uwierzytelnianie użytkowników przez Web lub mechanizm MS Windows (NTLM). Wgląd w aplikacje, użytkowników i zawartość System zabezpieczeń PAN zapewnia szczegółowy wgląd i politykę kontroli aplikacji, 3

użytkowników i zawartości. Administrator otrzymuje dedykowane, graficzne narzędzia do wizualizacji ruchu - patrz rysunek 3. Monitorowanie i raportowanie odbywa się w czasie rzeczywistym. Rysunek 3. Szczegółowe monitorowanie aplikacji, użytkowników i zawartości komunikacji Inspekcja zawartości ruchu szyfrowanego System zabezpieczeń PAN chroni użytkowników surfujących w Internecie przed groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). Rysunek 4 przedstawia koncepcję kontroli zawartości ruchu szyfrowanego. Inspekcja zawartości protokół SSL odbywa się dla ruchu ychodzącego do Internetu jak i przychodzącego do serwerów firmy. PAN utrzymuje wewnętrzny Urząd Certyfikacji do dynamicznego generowania certyfikatów (root CA lub podrzędny względem firmowego CA). Rysunek 4. Koncepcja kontroli zawartości ruchu HTTPS 4

Dla ruchu wychodzącego polityka inspekcji HTTPS precyzyjnie określa, które serwery są niezaufane i wymagają kontroli. Identyfikowanie zaufanych serwerów HTTPS odbywa się z wykorzystaniem pre-definiowanych kategorii Web Filtering (np. Finanase-and-investment, Shopping) lub adresów znanych serwerów. Kontrola aplikacyjna bez degradacji wydajności Inspekcja ruchu aplikacyjnego w konwencjonalnym systemie klasy UTM dokonywana jest na wielu modułach inspekcji (IPS, anty-wirus, itd.), które wzajemnie przekazują sobie dane. Powoduje to bardzo duże obniżenie wydajności. System zabezpieczeń PAN został zaprojektowany w taki sposób, że wykonuje pełną inspekcję aplikacyjną bez degradacji wydajności. Rysunek 5. Konstrukcja sprzętowa zabezpieczeń PAN PAN posiada jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych sygnatur dla kontroli IPS, Anty-Wirus, Anty-spyware, itd. Zastosowana została przy tym dedykowana konstrukcja sprzętowa (patrz rysunek 5) posiadająca następujące własności: zadania ochrony wykonywane przez specjalizowane elementy sprzętowe (Flash Matching HW, SSL/IPSec Enc. HW, Network Processor), rozdzielenie modułu zarządzania i przetwarzania ruchu. System zabezpieczeń PAN wykonuje zadania ochrony na interfejsach sieciowych w rożnych trybach pracy (L2 z VLAN, Vwire - transparentne L2, L3, Tap - sniffer). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w rożnych trybach. Interfejsy VLAN mogą być definiowane dla trybu L2 i L3. W razie urządzenie może zostać podzielone na wiele wirtualnych ruterów i systemów. 5

Unikalne własności zabezpieczeń Palo Alto Networks 1) System zabezpieczeń identyfikuje aplikacje bez względu na numery portów, protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki Firewall w sposób jednoznaczny ustalają, które aplikacje są dozwolone. 2) System zabezpieczeń chroni użytkowników surfujących w Internecie przed Groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji (IPS, AV, itd.). 3) System zabezpieczeń chroni przed atakami sieciowymi i złośliwym kodem jak również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty). 4) Firewall transparentnie ustala tożsamość użytkowników sieci (integracja z Active Directory). Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. 5) System zabezpieczeń wykonuje zadania ochrony na interfejsach sieciowych w rożnych trybach pracy (L2, L3, Tap, VLAN w L2 i L3). Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w rożnych trybach. 6) System zabezpieczeń wykonuje inspekcję aplikacyjną (IPS, AV, itd.) bez degradacji wydajności (wspólna baza uniwersalnych sygnatur, dedykowana konstrukcja sprzętowa). 7) System zabezpieczeń zapewnia szczegółowy wgląd i politykę kontroli aplikacji, użytkowników i zawartości. 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres