Ramsdata

logo.png

Palo Alto Networks

SIEĆ PALO ALTO

Bezpieczne udostępnianie aplikacji zamiast ich blokowania.

Palo Alto Networks umożliwia osiągnięcie odpowiedniej równowagi pomiędzu blokowaniem i zezwalaniem na użytkowanie aplikacji, a wszystko dzięki politykom firewall wykorzystującym elementy istotne dla procesów biznesowych takie jak: tożsamość aplikacji, tożsamość użytkownika oraz typ zawartości lub zagrożenia. Podejście takie prowadzi do bardziej świadomej kontroli dostępu sieciowego oraz rozwoju działalności biznesowej. Wykorzystanie elementów istotnych dla procesów biznesowych przekształca tradycyjną politykę firewall bazującą na rozróżnieniu zezwalaj-blokuj w coś co my nazywamy „bezpiecznym ułatwieniem użycia aplikacji” (secure application enablemenent). Oznacza to, że możesz budować polityki firewall na podstawie aplikacji/właściwości aplikacji, użytkowników oraz grup, jak również zawartości, w przeciwieństwie do takich elementów jak port, protokół oraz adres IP.

przykłady

Zezwalanie zespołowi IT na wykorzystanie stałego zestawu aplikacji zdalnego zarządzania (np. SSH, RDP, telnet) na standardowych portach tych aplikacji, ale blokowanie ich użycia dla wszystkich innych użytkowników.

Zezwalanie zespołowi IT na wykorzystanie stałego zestawu aplikacji zdalnego zarządzania (np. SSH, RDP, telnet) na standardowych portach tych aplikacji, ale blokowanie ich użycia dla wszystkich innych użytkowników.

Zezwalanie na przeglądanie stron związanych z Facebookiem dla wszystkich użytkowników, blokowanie wszystkich gier oraz pluginów społecznościowych z nim związanych; dodatkowo zezwalanie na umieszczanie postów na Facebooku tylko dla działu marketingu. Skalowanie całości transmisji związanej z Facebookiem w poszukiwaniu oprogramowania złośliwego oraz eksploitów.

Zezwalanie na podstawie kategorii na aplikacje korzystające ze streamingu mediów, ale stosowanie przy tym polityki QoS dla tej właśnie grupy aplikacji (a nie jedynie dla portu) w celu zminimalizowania ich wpływu na aplikacje VoIP.

Zezwalanie na aplikacje webmail ale deszyfrowanie (SSL) powiązanej transmisji, prowadzenie inspekcji w poszukiwaniu oprogramowania złośliwego oraz kontrolowanie funkcji transferu plików.

W transparentny sposób blokowanie wszystkich aplikacji P@P, aplikacji mających na celu uniknięcie wykrycia, szyfrowanych tuneli niezwiązanych z VPN oraz Proxy zewnętrznych bez względu na port, protokół lub taktykę mającą na celu uniknięcie wykrycia.

najlepsze praktyki

Zgodnie z najlepszymi praktykami w zakresie polityki firewall pozwalającej na bezpieczne udostępnianie aplikacji najpierw należy zdobyć szczegółowe informacje na temat aplikacji w twojej sieci. Palo Alto Networks może pomóc w pozyskaniu tych informacji w następujący sposób:

Bezpieczne udostępnianie aplikacji rozpoczyna się w momencie ich identyfikacji.

Firewall następnej generacji Palo Alto Networks zbudowany został na bazie APP-ID, technologi klasyfikacji transmisji, która w natychmiastowy i automatyczny sposób identyfikuje aplikacje przemierzające sieć: bez względu na port, szyfrowanie (SSL lub SSH) lub wykorzystywaną technikę unikania wykrycia. Innymi słowy technologia App-ID jest domyślnie aktywna – włącz firewall, zdefiniuj interfejsy oraz początkową politykę i już w tym momencie uzyskasz wiedzę na temat tego jakie aplikacje przemierzają twoją sieć. Nikt inny nie jest w stanie zaoferować podobnego osiągnięcia. Tożsamość aplikacji jest następnie wykorzystywana jako podstawa dla twojej polityki bezpieczeństwa. App-ID nieustannie monitoruje status aplikacji, sprawdzając czy aktywne są określone właściwości, takie jak transfer plików lub funkcje „posting”. Gdy nastepuje zmiana statusu w tym zakresie, można podjąć odpowiednia decyzję na podstawie polityki bezpieczeństwa. Dodatkowo obszary w aspekcie danych, które biorą udział w podejmowaniu bardziej świadomych decyzji skoncentrowanych na działalności biznesowej, obejmują opis aplikacji, sposób w jaki się zachowuje, porty które może wykorzystywać oraz sposób jej kategoryzacji.

Ochrona przed zagrożeniami aplikacyjnymi.

Ochrona przed zagrożeniami uzależniona od aplikacji rozpoczyna się ograniczeniem zakresu zagrożeń poprzez zaimplementowanie transparentnej polityki blokowania niepożądanych aplikacji, takich jak zewnętrzne Proxy, aplikacje mające na celu uniknięcie wykrycia oraz aplikacje współdzielenia plików P2P. W momencie gdy użycie określonych aplikacji i powiązanych z nimi funkcji zostanie dopuszczone, należy uruchomić funkcje ochrony przed wirusami, wykorzystywaniem podatności, spyware’em oraz nowoczesnym oprogramowaniem złośliwym. Działania te mają na celu rozszerzenie kontekstu specyficznego dla aplikacji w system zapobiegania zagrożeniom. Przykładowo zezwolić można na użycie Oracle RDB jedynie na standardowym porcie w celu zapewnienia ciągłości działań finansowych i operacyjnych, a przy tym zapewnić ochronę przed atakami SQL injection oraz wykorzystaniem podatności charakterystycznych dla Oracle. Funkcje ochrony przed zagrożeniami będące częścią technologii Content-ID wykorzystują pojedynczy, ujednolicony format sygnatur w celu prowadzenia jednorazowego skanowania transmisji (i blokowania, zgodnie z polityką) w poszukiwaniu zagrożeń każdego rodzaju. Obecni dostawcy firewall próbują rozwiązać kwestię ułatwiania użycia aplikacji poprzez dodawanie do mechanizmów stateful firewall funkcji kontroli aplikacji, podobnie jak miało to miejsce z systemami IPS. Istnieje kilka znaczących ograniczeń dla takiego podejścia.

Reguła „zezwalaj” na podstawie danych portu ma pierwszeństwo nad zasadą „blokuj wszystko”.

Nieprzerwana aktywność klasyfikacji transmisji bazującej na portach oznacza, że firewall najpierw będzie musiał otworzyć domyślny port kontrolujący daną aplikację. Aby kontrolować stronę Facebook należy otworzyć port tcp/80 lub tcp/443. W oparciu o raport na temat użycia aplikacji i powiązanych ryzyk (Application Usage and Risk Report) z grudnia 2011 roku, być może zezwolisz tym samym na 297 (25 % zwyczajowego zestawu aplikacji korporacyjnych) innych aplikacji, które znajdują się w obrębie twojej sieci zgodnie lub niezgodnie z twoją wolą. Oznacza to zatem, że siła domyślnej polityki blokującej wszystkie aplikacje jest w znaczący sposób ograniczona. Jak tylko transmisja dosięga firewall Palo Alto Networks, App-ID w natychmiastowy sposób identyfikuje rodzaj danej aplikacji, na wszystkich portach w każdym czasie. Decyzje kontroli dostępu podejmowane są w oparciu o aplikację, a domyślny mechanizm blokowania wszystkich aplikacji może zostać podtrzymany.

Aplikacje korzystające z portów niestandardowych mogą zostać przeoczone.

Nie jest rzadkością, że użytkownicy o większej wiedzy technicznej korzystając z narzędzi dostępu zdalnego na portach niestandardowych. Deweloperzy baz danych są w równy sposób winni prowadzenia sesji SQL na portach niestandardowych. Ścisłe poleganie na klasyfikacji bazującej na portach oznacza, że aplikacje wykorzystujące porty niestandardowe mogą zostać całkowicie przeoczone, pomimo niestandardowych ustawień konfiguracji. Po raz kolejny fundamentalną różnicę stanowi sposób w jaki App-ID przeszukuje wszystkie porty w poszukiwaniu wszystkich aplikacji.

Liczne polityki o powielonych informacjach zwiększają trud związany z zarządzaniem.

Firewall bazujący na portach oraz podejście wykorzystujące dodatkowe mechanizmy kontroli aplikacji oznaczają, że konieczne jest budowanie i zarządzanie polityką firewall obejmującą takie informacje jak źródło, punkt docelowy, użytkownik, port, działanie, itp. Taki sam zestaw informacji znajdzie swoje zastosowanie dla polityki kontrolującej aplikacje i uzupełniony jeszcze zostanie o dane aplikacji oraz działania. Jeśli twoja organizacja przypomina zdecydowana większość innych, z dużym prawdopodobieństwem będziesz korzystać z setek, a nawet tysięcy polityk firewall. Podejście skoncentrowane wokół licznych baz z regułami dla polityki nie tylko zwiększy obciążenie administracyjne – może również niepotrzebnie doprowadzić do eskalacji ryzyka biznesowego oraz ryzyka bezpieczeństwa. Palo Alto Networks wykorzystuje pojedynczy, zunifikowany edytor polityki, który umożliwia użycie danych aplikacji, użytkownika oraz zawartości jako podstawy dla twoich polityk ułatwiających bezpieczne użycie aplikacji.

Systematyczne zarządzanie nieznaną transmisją.

Nieznana transmisja uosabia zasadę 80% – 20% – jest to mała część transmisji w każdej sieci stanowiąca natomiast duże ryzyko. Nieznana transmisja może być powiązana z niestandardową aplikacją, niezidentyfikowaną aplikacją komercyjną lub też z zagrożeniem. Dostawcy nie posiadają sposobu na systematyczne identyfikowanie i zarządzanie taką nieznaną transmisją. Dla jasności sytuacji całość transmisji jest rejestrowana przez firewall poprzez logi, aczkolwiek logi dla aplikacji generowane są osobno i stanowią podzbiór przez co zarządzanie nieznana transmisją jest niemalże niemożliwe. Blokowanie nie wchodzi w grę, ponieważ może negatywnie wpłynąć na procesy biznesowe. Zezwalanie stanowi czynnik wysokiego ryzyka. Palo Alto Networsk natomiast kategoryzuje nieznaną transmisję, dzięki czemu umożliwia odnalezienie aplikacji wewnętrznych i tworzenie niestandardowych elementów App-ID; to z kolei pozwala na przechwytywanie pakietów powiązanych z niezidentyfikowanymi aplikacjami komercyjnymi i korzystanie z nich przy rozwijaniu App-ID; funkcje gromadzenia logów i raportowania wykorzystać można w celu sprawdzenia czy pakiety stanowią zagrożenie. Umożliwiamy zatem systematyczne zarządzanie nieznaną transmisją do poziomu małych elementów stanowiących niewielkie ryzyko – wszystko w oparciu o politykę.