Palo Alto Networks, az Új Generációs Tűzfal.

Átírás

1 Palo Alto Networks, az Új Generációs Tűzfal.

2 Palo Alto Networks A vállalatról Komplex hálózati biztonsági platform Biztonságosan futó alkalmazások Hatékony válasz a hálózati biztonsági kihívásokra Folyamatos növekedés, Globális jelenlét $MM $300 $250 $200 $150 $100 $50 $0 FYE July Bevétel $255 $119 $49 $13 FY09 FY10 FY11 FY12 Nagyvállalati ügyfelek alkalmazott Jul-10 Jul-11 Jul-12

3 Tények és adatok egy vizsgálatohoz Mintavételi alap 39 ország 859 hálózata 1,304 vizsgált alkalmazás 4.4 petabyte sávszélesség 1,300 egyedi fenyegetettség észlelése 54 millió fenyegetettség log megfigyelése Vizsgálati eredmények 7 napos átlagos forgalmi adatok alapján

4 Hálózatok-tapasztalatok hate Alkalmazások, melyeket senki sem kedvel... Alkalmazások, melyekre mindenkinek szüksége van Alkalmazások, melyekre kevésbé figyelünk custom tcp pop3 telnet custom udp ftp SSL SMB snmp VNC LDAP Active Directory VPN RDP encrypted tunnel dns

5 Vizsgálati eredmények A nem kedvelt alkalmazások a várakozásokkal ellentétben kisebb rizikót jelentenek. A közösségi alkalmazások az összes alkalmazás 25%-át adják, a sávszélesség 16%-át használják, és fenyegetettségi logok kevesebb mint 1%-át észlelték ezeken. A mindenki számára szükséges alkalmazások nagy mértékben bizonyultak a támadások célpontjainak. 9 alkalmazás tehető felelőssé az észlelt fenyegetettségi logok 99%-ért; ebből 8 üzleti alkalmazás. Azok az alkalmazások, amelyekre kevésbé figyelünk nagy mértékben bizonyultak a malware aktivitás hordozóinak. 5 alkalmazás tehető felelőssé az észlelt malware logok 99.99%-ért; az alkalmazások 25%-a használhat SSL kapcsolatot, sok közülük nem a standard portokon keresztül.

6 Alkalmazások átengedése a tűzfalon A hálózat biztonsági policy érvényesítése a tűzfalon Rálát a teljes forgalomra Kijelöli a határvonalakat Engedélyezi a hozzáférést A hagyományos tűzfalak nem jelentenek többé megoldást

7 Alkalmazások átengedése a tűzfalon: Titkosítás Mi történik, ha a forgalmat titkosítjuk? SSL Egyéb titkosítás

8 Alkalmazások átengedése a tűzfalon: A fenyegetések az alkalmazások ellen irányulnak

9 Alkalmazások átengedése a tűzfalon: Adatszivárgás Az alkalmazásoknál jelen van az adatszivárgás Bizalmas adatok

10 Ismerős? Nem rossz, de nem elég! Több modul nem megoldás a problémára Kevesebb rálátás a forgalomra Bonyolult és költséges bevezetni és fenntartani Nem alkalmazás központú UTM Internet Enterprise Network

11 Az új generációs tűzfal (NGFW) nem egy extra modul + X NGFW SiStateful Inspection UTM Moduláris felépítés, tartalomszűrés, policy, logging, reporting, és gyakran a menedzsment felületen keresztül nem nyerhetők ki döntéshozatalt igénylő információk. NGFW Egyszerű felépítés, tartalomszűrés, policy, logging, reporting, és a menedzsment felület összefüggő, döntéshozatalt igénylő információkat biztosít.

12 Single-Pass Parallel Processing (SP3) felépítés Single Pass Egyszeri művelet csomagonként - Forgalom minősítés (alkalmazás azonosítás) - Felhasználó/csoport mapping - Tartalomszűrés fenyegetések, URL, bizalmas információ Egy policy Párhuzamos feldolgozás Funkció-specifikus, párhuzamos folyamatokat kezelő hardver Különálló adat és vezérlő felület Akár 20Gbps, Alacsony késleltetés

13 Az azonosítási technológiák átalakítják a tűzfalat App-ID Alkalmazás azonosítás User-ID Felhasználó azonosítás Content-ID Tartalomszűrés

14 App-ID L-7, Alkalmazás-alapú, Egyszeri Vizsgálati Pont A TELJES forgalom, az ÖSSZES port, MINDIG

15 User-ID IP címek párosítása a felhasználókkal Felhasználók (Csoportok) Biztonsági Policy szerinti engedélyezése

16 Tartalom-ID IPS Anti-Virus Anti-Malware URL Filtering Stream Based File Extraction DLP Sandbox

17 Hitelesített, harmadik fél általi tesztelés Threat Preven on Performance (Mbps) Firewall + IPS Firewall + IPS +AV Firewall + IPS + AV + Spyware Függetlenül attól, hogy melyik UTM funkciót aktiváltuk behatolás védelem, antispyware, antivirus, vagy ezek bármelyik kombinációját a végeredmény lényegében ugyanaz, mintha csak egyetlen funkció lenne bekapcsolva. Egyszerűen fogalmazva, az extra funkcióknak nincsen teljesítmény áldozata -NetworkWorld, 2012

18 Egyetlen Biztonsági Policy Konzol A policy meghatározza az engedélyezett alkalmazásokat. A profilok által aktiválható tartalomszűrési funkció, mint az AV, IPS, anti-malware, URL and QoS.

19 Alkalmazások biztonságos engedélyezése Engedélyezés meghatározott felhasználóknak Csak bizonyos funkciók engedélyezése Engedélyez és alakít (QoS) Engedélyezés és bizalmas adatok vizsgálata Engedélyez és vizsgál Engedélyezés és limitált hozzáférés Összes engedélyezése Összes tiltása

20 Alkalmazások engedélyezése, Felhasználók és Tartalom

21 Teljes rálátás az alkalmazásokra, Felhasználókra és a Tartalomra Application Command Center (ACC) View applications, URLs, threats, data filtering activity Add/remove filters to achieve desired result Facebook-alapú szűrés PAFacebook-alapú LO A LTO N E Tszűrés W O R K S. PA RFacebook O P R I E TAeltávolítása R Y A N D a és felhasználói jelentés részletes C O N Fjelentéshez I D E N T I A L.

22 Teljes rálátás az alkalmazásokra, Felhasználókra és a Tartalomra

23 A Modern Malware

24 A Malware lehetőségek tárháza A malware első, eredeti példányának elfogásához szükséges idő. A malware aláírás generáláshoz és ellenőrzéshez szükséges idő Teljes időigény Az Anti vírus definíciók frissülésének ideje Napok és hetek telnek el, mire elkészülnek a hagyományos aláírások.

25 WildFire A vállalati hálózatba interneten keresztül bejutó ismeretlen fájlok. A tűzfal továbbküldi a fájlokat a WildFire felhőbe Ismert fájlokkal összehasonlítás Sandbox Környezet Aláírás Generátor Admin Web Portál Új aláírások küldése a tűzfalaknak az ismert fenyegetések rendszeres frissítésével. Malware kriminalisztika.

26 A WildFire felépítése WildFire Analysis Center A Sandbox-alapú analízis több mint 100 rosszindulatú viselkedést elemez. Részletes jelentést készít Antivirus és C&C aláírásokat generál Policy-alapú továbbítás a WildFire cloud részére elemzésre. Védelem az összes ügyfél számára. Potenciálisan rosszindulatú fájlok az internetről

27

28

29 A Modern Malware támadási szakaszai Célzott rosszindulatú küldése a felhasználó részére Aláírás Észlelés A rosszindulatú weboldal kihasználja a felhasználó-oldali sebezhetőségeket. URL Szűrés IPS Viselkedés Elemzés A felhasználó rákattint egy rosszindulatú weboldalra mutató linkre. Drive-by download of malicious payload

30 PAN-OS főbb tűzfal funkciók Az alkalmazásokra történő rálátás és ellenőrzés, a felhasználókkal és tartalmakkal kapcsolatos főbb tűzfal funkciók PA-5000 sorozat PA-5060, PA-5050 PA-5020 PA-4000 sorozat PA-4060, PA-4050 PA-4020 Erős hálózati tulajdonságok Dinamikus routing (BGP, OSPF, RIPv2) Tap mode connect to SPAN port Virtual wire ( Layer 1 ) for true transparent in-line deployment L2/L3 switching foundation Policy-based forwarding VPN Site-to-site IPSec VPN Remote Access (SSL) VPN QoS forgalom shaping Max/guaranteed and priority By user, app, interface, zone, & more Real-time bandwidth monitor Zóna-alapú felépítés All interfaces assigned to security zones for policy enforcement Magas rendelkezésre állás Active/active, active/passive Configuration and session synchronization Path, link, and HA monitoring Virtuális rendszerek Establish multiple virtual firewalls in a single device (PA-5000, PA-4000, PA- 3000, and PA-2000 Series) Egyszerű, rugalmas menedzsment CLI, Web, Panorama, SNMP, Syslog PA-3000 sorozat PA-3050, PA-3020 PA-2000 sorozat PA-2050, PA-2020 PA-500 PA-200 VM-sorozat VM-300, VM-200, VM-100

31 Rugalmas alkalmazási lehetőségek Rálátás Transzparens In-Line Teljes tűzfal csere Alkalmazásokra, felhasználókra és a tartalomra történő rálátás inline alkalmazás nélkül. IPS, valamint az alkalmazások ellenőrzése és felügyelete. Az IPS & URL szűrés konszolidációja. Tűzfal csere valamint az alkalmazások ellenőrzése és felügyelete Tűzfal + IPS Tűzfal + IPS + URL szűrés

32 Rugalmas alkalmazási lehetőségek Ugyanannak a doboznak különböző hálózati módokban történő egyidejű használata. L2 VLAN 20 L2 VLAN 10 Vwire L3 DMZ L3 Internet Tap Core Switch Számos működési mód: Tap Mode, Virtual Wire, Layer 2, Layer 3 with dynamic routing support (RIP, OSPF, BGP) Felhasználó által állítható működési módok egyetlen doboz több port mód egyidejű használatát is támogatja Virtualizáció VLAN interfészek L2-es és L3-as, virtuális routerekhez és virtuális rendszerekhez

33 Palo Alto Networks Újgenerációs Tűzfalak PA L O A LTO N E T W O R K S

34 Palo Alto Networks Újgenerációs Tűzfalak Újgenerációs tűzfal funkciók minden Palo Alto Networks virtuális platformon is elérhetőek

35 A megoldás? A tűzfalnak el kell végeznie a következő feladatokat 1. Alkalmazás felismerés, függetlenül a használt port-tól, protokoltól, felismerés elkerülési taktikától, illetve tiktosítástól 2. Felhasználó felismerése, illetve ellenőrzése függetlenül az IP címtől, helyszíntől, valamint eszköztől 3. Védjen ismert, illetve ismeretlen fenyegetettségektől 4. Mélyreható láthatóság, illetve policy control alkalmazás-szinten 5. Multi Gigabites, alacsony késleltetés, in-line felhasználás

36 2013 Gartner Magic Quadrant for Enterprise Network Firewalls A Palo Alto Networks továbbra is válasz lépésekre kényszeríti versenytársait, illetve az egész tűzfalpiacot előremozdítja. Leaderként pozícionálja főleg az újgenerációs design, a piaci fejlődés iránya, a versenytársakkal szembeni sikerei, illetve gyorsan növekvő árbevétel, piaci részesedés valamint a piaci befolyás miatt mely a versenytársakat válaszadásra, válaszlépésre kényszeríti. Gartner, February 2013

37 Több más vizsgálat hasonló konklúzióval zárult Gartner Enterprise Network Firewall Magic Quadrant Palo Alto Networks irányt mutat a piacon Forrester IPS piac felülvizsgálat Erős IPS megoldás; NetworkWorld Teszt Legszigorúbb újgenerációs teszt eddig; validáltan megbízható teljesítmény NSS Tesztek IPS: Palo Alto Networks NGFW megoldása tesztelésre került a versenytársak IPS célhardwerével szemben: NSS által javasolt megoldás Tűzfal: hagyományos port alapú tűzfal teszt; NSS javasolt NGFW: Tűzfal+IPS teszt; NSS javasolt

38 Ne higgyen nekünk TESZTELJEN BENNÜNKET PA L O A LTO N E T W O R K S