FIREWALL DER NÄCHSTEN GENERATION
Grundlegende Veränderungen im Bereich der Computeranwendungen und -bedrohungen sowie im Benutzerverhalten und in der Netzinfrastruktur führen zu einer allmählichen Schwächung des Schutzes, der früher durch traditionelle, portbasierte Firewalls gewährleistet wurde. Bei ihren täglichen Aufgaben verwenden die Nutzer eine Vielzahl von Anwendungen und Geräten. Das Wachstum von Rechenzentren und Virtualisierungs-, Mobilitäts- und Cloud-Technologien erfordert ein Umdenken darüber, wie sichergestellt werden kann, dass Anwendungen genutzt und Netze gleichzeitig geschützt werden können.
Bei den herkömmlichen Methoden wird beispielsweise versucht, den gesamten Anwendungsverkehr zu blockieren, indem eine immer länger werdende Liste von Punkttechnologien verwendet wird, die als Add-ons zur Firewall dienen. Eine solche Regelung kann den Geschäftsbetrieb behindern. Andererseits kann man versuchen, den Zugriff auf alle Anwendungen zu erlauben, was aufgrund der damit verbundenen Unternehmens- und Sicherheitsrisiken ebenfalls nicht akzeptabel ist. Das Problem ist, dass herkömmliche portbasierte Firewalls, selbst solche, die eine vollständige Sperrung von Anwendungen erlauben, keine Alternative zu diesen Methoden bieten. Um ein Gleichgewicht zwischen einem Ansatz der totalen Abriegelung und einem Ansatz, der einen völlig ungehinderten Zugriff ermöglicht, zu erreichen, müssen Sie Funktionen zur sicheren Anwendungsnutzung auf der Grundlage von geschäftsrelevanten Elementen wie Anwendungsidentität, Anwendungsbenutzerdaten oder Inhaltstyp als Schlüsselkriterien für Firewall-Sicherheitsrichtlinien verwenden.
wichtige Voraussetzungen für die sichere Nutzung der Anwendung
Identifizierung von Anwendungen, nicht von Ports. Klassifizieren Sie den Netzwerkverkehr, sobald er an der Firewall ankommt, um die Identität der Anwendung unabhängig von Protokoll, Verschlüsselung oder Ausweichtaktiken zu bestimmen. Anschließend wird diese Identität als Grundlage für alle Sicherheitsmaßnahmen verwendet.
Verknüpfung der Nutzung der Anwendung mit der Identität des Nutzers und nicht mit einer IP-Adresse, unabhängig von Standort oder Gerät. Verwenden Sie Benutzer- und Gruppendaten aus Verzeichnisdiensten und anderen Benutzerinformationsressourcen, um konsistente Anwendungsnutzungsrichtlinien für alle Benutzer unabhängig von Standort oder Gerät zu implementieren.
Schutz vor allen Bedrohungen – sowohl bekannten als auch unbekannten. Verhindern Sie bekannte Techniken zur Ausnutzung von Schwachstellen und den Einsatz von Malware, Spyware und bösartigen URLs, indem Sie den Datenverkehr auf das Vorhandensein von hochspezifischer und bisher unbekannter Malware analysieren und sich automatisch dagegen schützen.
Vereinfachung der Verwaltung von Sicherheitsrichtlinien. Sicherer Zugriff auf Anwendungen und weniger Verwaltungsaufgaben dank benutzerfreundlicher grafischer Tools, eines einheitlichen Richtlinieneditors, Vorlagen und Gerätegruppen.
Richtlinien, die die sichere Nutzung von Anwendungen gewährleisten, tragen dazu bei, die Sicherheit zu erhöhen, wo auch immer die Bereitstellung erfolgt. Im Edge-Netz können Bedrohungen reduziert werden, indem eine Reihe unerwünschter Anwendungen blockiert wird und die Anwendungen dann nach bekannten und unbekannten Bedrohungen suchen dürfen. Für das Rechenzentrum – ob traditionell oder virtualisiert – bedeutet anwendungsfähige Technologie, dass die Anwendungen des Rechenzentrums nur von autorisierten Nutzern verwendet werden können, wodurch die Inhalte des Zentrums vor Bedrohungen geschützt und Sicherheitsbedenken im Zusammenhang mit der dynamischen Natur der virtuellen Infrastruktur ausgeräumt werden. Zweigstellen und Remote-Benutzer können mit demselben Satz von Anwendungsnutzungsrichtlinien geschützt werden, die in der Hauptniederlassung eingesetzt werden, um die Konsistenz der Richtlinien zu gewährleisten.
Nutzung der App, um das Geschäft voranzutreiben
Die sichere Nutzung von Anwendungen, die von den innovativen Firewalls von Palo Alto Networks angeboten wird, hilft bei der Verwaltung von Abläufen und der Bewältigung von Sicherheitsrisiken, die mit der schnell wachsenden Anzahl von Anwendungen im Unternehmensnetzwerk verbunden sind. Die gemeinsame Nutzung von Anwendungen durch Benutzer oder Benutzergruppen, ob lokal, mobil oder remote, und der Schutz des Netzwerkverkehrs vor bekannten und unbekannten Bedrohungen ermöglicht es Ihnen, die Sicherheit zu erhöhen und gleichzeitig Ihr Unternehmen auszubauen.
Ständige Klassifizierung aller Anwendungen auf allen Häfen
Die sichere Nutzung von Anwendungen, die von den innovativen Firewalls von Palo Alto Networks angeboten wird, hilft bei der Verwaltung von Abläufen und der Bewältigung von Sicherheitsrisiken, die mit der schnell wachsenden Anzahl von Anwendungen im Unternehmensnetzwerk verbunden sind. Die gemeinsame Nutzung von Anwendungen durch Benutzer oder Benutzergruppen, ob lokal, mobil oder remote, und der Schutz des Netzwerkverkehrs vor bekannten und unbekannten Bedrohungen ermöglicht es Ihnen, die Sicherheit zu erhöhen und gleichzeitig Ihr Unternehmen auszubauen.
Berücksichtigung von Nutzern und Geräten in den Sicherheitsrichtlinien, nicht nur von IP-Adressen
Die Erstellung und Verwaltung von Sicherheitsrichtlinien auf der Grundlage der Anwendung und der Identität des Benutzers, unabhängig von Gerät oder Standort, ist eine wirksamere Methode zum Schutz des Netzes als Techniken, die nur Port und IP-Adresse verwenden. Die Integration mit einer Vielzahl von Benutzerdatenbanken des Unternehmens identifiziert die Identität von Microsoft Windows-, Mac OS X-, Linux-, Android- und iOS-Benutzern, die auf die Anwendung zugreifen. Mobile Benutzer und Mitarbeiter, die an anderen Orten arbeiten, werden mit denselben konsistenten Richtlinien geschützt, die auch für das lokale Netzwerk oder das Unternehmensnetzwerk gelten. Die Kombination aus Sichtbarkeit und Kontrolle der Benutzeraktivität in Bezug auf die Anwendung bedeutet, dass Oracle, BitTorrent oder Gmail und jede andere Anwendung sicher über das Netzwerk freigegeben werden können, unabhängig davon, wann oder wie der Benutzer darauf zugreift.
Zugang.
Schutz vor allen bekannten und unbekannten Bedrohungen
Um ein modernes Netzwerk zu schützen, müssen alle Arten von bekannten Angriffsmethoden, Malware und Spyware sowie völlig unbekannte und gezielte Bedrohungen berücksichtigt werden. Am Anfang dieses Prozesses steht die Verringerung der Angriffsfläche des Netzes, indem bestimmte Anwendungen zugelassen und alle anderen abgelehnt werden, sei es implizit durch eine “Alle anderen ablehnen”-Strategie oder durch explizite Richtlinien. Ein koordinierter Bedrohungsschutz kann dann auf den gesamten zugelassenen Datenverkehr angewendet werden, indem bekannte Malware-Websites, Schwachstellenausnutzer, Viren, Spyware und bösartige DNS-Anfragen in einem einzigen Durchgang blockiert werden. Benutzerdefinierte oder andere Arten von unbekannter Malware werden aktiv analysiert und identifiziert, indem unbekannte Dateien ausgeführt und mehr als 100 bösartige Verhaltensweisen in einer virtualisierten Sandbox-Umgebung direkt beobachtet werden. Wenn neue Malware entdeckt wird, wird die Signatur der infizierten Datei und des damit verbundenen Malware-Traffics automatisch erstellt und an den Benutzer weitergeleitet. Diese prädiktive Analyse nutzt den gesamten Kontext von Anwendungen und Protokollen und stellt sicher, dass auch solche Bedrohungen erkannt werden, die versuchen, sich vor Sicherheitsmechanismen in Tunneln, komprimierten Daten oder nicht standardisierten Ports zu verstecken.
Flexibilität bei der Durchführung und Verwaltung
Sichere Anwendungsfunktionen sind als Teil einer maßgeschneiderten Hardware-Plattform oder in virtualisierter Form verfügbar. Wenn Sie mehrere Palo Alto Networks-Firewalls einsetzen, sei es in Hardware oder in virtualisierter Form, können Sie das Panorama-Tool verwenden. Dabei handelt es sich um eine optionale zentralisierte Verwaltungslösung, die Einblicke in die Verkehrsmuster bietet und es Ihnen ermöglicht, von einem zentralen Standort aus Richtlinien zu implementieren, Berichte zu erstellen und Content-Updates bereitzustellen.
Sichere Nutzung von Anwendungen: ein umfassender Ansatz
Die Nutzung von Anwendungen erfordert ein umfassendes Konzept für die Netzsicherheit und die Geschäftsentwicklung, das auf einer gründlichen Kenntnis der Anwendungen im Netz beruht: wer die Nutzer sind, unabhängig von Plattform oder Standort, und welche Kompaktheit die Anwendung gegebenenfalls enthält. Mit einer umfassenderen Kenntnis der Netzwerkaktivitäten können effektivere Sicherheitsrichtlinien erstellt werden, die auf Anwendungselementen, Benutzern und geschäftsrelevanten Inhalten basieren. Der Standort der Benutzer, ihre Plattform und der Ort, an dem die Sicherheit eingesetzt wird – der Sicherheitsbereich, ein herkömmliches oder virtualisiertes Rechenzentrum, eine Zweigstelle oder ein Remote-Benutzer – haben nur minimale oder gar keine Auswirkungen auf die Erstellung von Richtlinien. Jetzt können Sie jede Anwendung und jeden Inhalt auf sichere Weise mit jedem Benutzer teilen.
Nutzung von Anwendungen und Risikominderung
Die Funktion für sichere Anwendungen verwendet richtlinienbasierte Entscheidungskriterien, einschließlich Anwendung/Anwendungsfunktion, Benutzer und Gruppen sowie Inhalt, um ein Gleichgewicht zwischen der vollständigen Sperrung aller Anwendungen und einem risikoreichen Ansatz zu schaffen, der einen völlig freien Zugang ermöglicht.
An der Sicherheitsgrenze, z. B. in Zweigstellen oder bei mobilen und Remote-Benutzern, konzentrieren sich die Anwendungsnutzungsrichtlinien auf die Identifizierung des gesamten Datenverkehrs und die anschließende selektive Zulassung des Datenverkehrs auf der Grundlage der Benutzeridentität sowie die Überprüfung des Netzwerkverkehrs auf Bedrohungen. Beispiele für Sicherheitsmaßnahmen:
- Beschränkung der Nutzung von E-Mail und Instant Messaging auf einige wenige Varianten; Entschlüsselung derjenigen, die SSL verwenden, Untersuchung des Datenverkehrs auf Verstöße und Übermittlung unbekannter Dateien an den WildFire-Dienst zur Analyse und zum Hinzufügen von Signaturen.
- Ermöglichung von Medien-Streaming-Anwendungen und -Sites unter Verwendung von QoS- und Malware-Schutzfunktionen, um die Auswirkungen auf VoIP-Anwendungen zu begrenzen und das Netzwerk zu schützen.
- Kontrolle des Zugangs zu Facebook, indem allen Nutzern das Surfen erlaubt wird, alle Spiele und sozialen Add-ons der Website blockiert werden und Facebook-Posts nur zu Marketingzwecken veröffentlicht werden dürfen. Scannen des gesamten Facebook-Datenverkehrs auf Malware und Versuche, Sicherheitslücken auszunutzen.
- Kontrolle der Internetnutzung durch Zulassen und Scannen des Datenverkehrs zu Websites, die mit der Geschäftstätigkeit des Unternehmens in Verbindung stehen, während der Zugang zu Websites, die eindeutig nichts mit der Geschäftstätigkeit zu tun haben, gesperrt wird; Verwaltung des Zugangs zu fragwürdigen Websites durch anpassbare gesperrte Seiten.
- Schaffen Sie konsistente Sicherheit, indem Sie mit GlobalProtect dieselben Richtlinien für alle Benutzer (lokal, mobil und remote) transparent umsetzen.
- Mit einer impliziten Strategie der Ablehnung von allem anderen" oder der offenen Blockierung unerwünschter Anwendungen wie P2P oder Programmen zur Umgehung der Sicherheit und des Datenverkehrs aus bestimmten Ländern, um den Anwendungsverkehr zu reduzieren, der eine Quelle für Geschäfts- und Sicherheitsrisiken darstellt.
In Rechenzentren – ob traditionell, virtualisiert oder gemischt – dienen die Funktionen der Anwendungsnutzung in erster Linie der Validierung von Anwendungen, der Suche nach bösartigen Anwendungen und dem Schutz von Daten.
- Isolieren Sie das Oracle-basierte Repository für Kreditkartennummern in einer eigenen Sicherheitszone; kontrollieren Sie den Zugriff auf finanzierte Gruppen; leiten Sie den Datenverkehr an Standardports weiter; überprüfen Sie den Datenverkehr auf Anwendungsschwachstellen.
- Erlauben Sie nur dem IT-Team den Zugriff auf das Rechenzentrum über eine festgelegte Anzahl von Fernverwaltungsanwendungen (z. B. SSH, RDP, Telnet) auf Standardports.
- Erlauben Sie nur dem Verwaltungsteam des Unternehmens, die SharePoint-Verwaltungsfunktionen von Microsoft zu nutzen, und erlauben Sie allen anderen Benutzern, SharePoint-Dokumente zu verwenden.
Schutz von gemeinsam genutzten Anwendungen
Zur sicheren Nutzung von Anwendungen gehört es, den Zugriff auf bestimmte Anwendungen zuzulassen und dann spezielle Richtlinien anzuwenden, um bekannten Missbrauch, Malware und Spyware (bekannte und unbekannte) zu blockieren und die Datei- und Datenübertragung sowie das Surfen im Internet zu kontrollieren. Beliebte Sicherheitsumgehungstaktiken wie Port Hopping” und Tunneling werden mit präventiven Richtlinien bekämpft, die den Anwendungs- und Protokollkontext nutzen, der von Decodern in der App-ID-Funktion erzeugt wird. UTM-Lösungen hingegen verwenden silobasierte Methoden zur Bedrohungsabwehr, die auf jede Funktion – Firewall, IPS, Antivirus, URL-Filter – und den gesamten Netzwerkverkehr ohne Kontext angewendet werden, was sie anfälliger für Umgehungstechniken macht.
- Blockieren von bekannten Bedrohungen: IPS und netzwerkbasierte Antiviren-/Antispyware-Software. Das einheitliche Signaturformat und der auf Streaming basierende Scan-Mechanismus ermöglichen den Schutz des Netzwerks vor einer Vielzahl von Bedrohungen. Das Intrusion Prevention System (IPS) verhindert die Ausnutzung von Sicherheitslücken, indem es das Netzwerk blockiert und vor Pufferüberläufen, DoS-Angriffen und Port-Scans schützt, sowie das Auftreten von Sicherheitslücken auf der Anwendungsebene. Der Anti-Virus-/Anti-Spyware-Schutz blockiert Millionen von Malware-Varianten sowie den von ihnen erzeugten Command-and-Control-Verkehr, PDF-Viren und Malware, die in komprimierten Dateien oder im Webverkehr (komprimierte HTTP/HTTPS-Daten) versteckt sind. Die richtlinienbasierte SSL-Entschlüsselung für alle Anwendungen und Ports schützt vor Malware, die SSL-verschlüsselte Anwendungen durchdringt.
- Blockieren von unbekannter, gezielter Malware: Wildfire™. Unbekannte und gezielte Malware wird von WildFire identifiziert und analysiert, das unbekannte Dateien direkt in einer virtualisierten Sandbox-Umgebung in der Cloud ausführt und beobachtet. WildFire überwacht mehr als 100 bösartige Verhaltensweisen, und die Ergebnisse der Analyse werden sofort in Form einer Warnung an den Administrator gesendet. Ein optionales Abonnement für WildFire bietet erweiterten Schutz, Protokollierung und Berichtsfunktionen. Inhaber eines Abonnements erhalten innerhalb einer Stunde nach der Entdeckung neuer Malware überall auf der Welt Schutz, so dass die Verbreitung solcher Software verhindert wird, bevor sie den Nutzer erreicht. Das Abonnement beinhaltet auch den Zugriff auf die integrierten Protokollierungs- und Berichtsfunktionen von WildFire sowie eine API zum Hochladen von Proben in die WildFire-Cloud zur Analyse.
- Identifizierung von Bot-infizierten Wirten. Die App-ID-Funktion klassifiziert alle Anwendungen über alle Ports hinweg, einschließlich des gesamten unbekannten Datenverkehrs, der oft eine Quelle von Bedrohungen oder Anomalien im Netzwerk sein kann. Der Bot Behaviour Report sammelt unbekannten Datenverkehr, verdächtige DNS- und URL-Anfragen sowie eine Reihe verschiedener ungewöhnlicher Verhaltensweisen im Netzwerk und liefert ein Bild von Geräten, die möglicherweise mit Malware infiziert sind. Die Ergebnisse werden in Form einer Liste potenziell infizierter Hosts angezeigt, die als verdächtige Botnet-Elemente analysiert werden können.
- Einschränkung der unbefugten Übertragung von Dateien und Daten. Datenfilterfunktionen ermöglichen es Administratoren, Richtlinien zu implementieren, um das Risiko unbefugter Datei- und Datenübertragungen zu verringern. Die Dateiübertragung kann kontrolliert werden, indem die Kompaktheit der Datei (und nicht nur ihre Erweiterung) geprüft wird, um festzustellen, ob die Übertragung erlaubt werden kann oder nicht. Ausführbare Dateien, die häufig bei Angriffen mit unerwünschten Downloads gefunden werden, können blockiert werden, um das Netzwerk vor der unsichtbaren Verbreitung von Malware zu schützen. Datenfilterungsfunktionen erkennen und kontrollieren den Fluss vertraulicher Daten (Kreditkartennummern, Versicherungsnummern oder andere individuell definierte private Nummern).
- Kontrolle der Internetnutzung. Ein vollständig integrierter, anpassbarer URL-Filtermechanismus ermöglicht es Administratoren, granulare Richtlinien für das Surfen im Internet anzuwenden, die die Richtlinien für die Sichtbarkeit und Kontrolle von Anwendungen ergänzen und das Unternehmen vor allen Arten von Problemen mit der Einhaltung von Vorschriften und Produktivitätsstandards schützen. Darüber hinaus können URL-Kategorien in die Konstruktion von Sicherheitsrichtlinien einbezogen werden, um SSL-Entschlüsselungskontrollen, QoS-Funktionen oder andere Elemente, die die Grundlage für andere Regeln bilden, zusätzlich zu granularisieren.
kontinuierliche Verwaltung und Analyse
Die Erfahrung mit optimalen Sicherheitslösungen zeigt, dass Administratoren ein Gleichgewicht zwischen der proaktiven Verwaltung der Firewall – ob für ein einzelnes Gerät oder Hunderte von Geräten – und der Reaktion durch Untersuchung, Analyse und Meldung von Sicherheitsvorfällen finden sollten.
- Verwaltung: Jede Palo Alto Networks-Plattform kann separat über die Befehlszeilenschnittstelle oder die funktionsreiche GUI verwaltet werden. Für groß angelegte Implementierungen kann das Panorama-Produkt als zentralisierte Managementlösung lizenziert und eingesetzt werden, so dass eine globale, zentralisierte Kontrolle mit der Flexibilität lokaler Richtlinien durch Funktionen wie Vorlagen und gemeinsame Richtlinien in Einklang gebracht werden kann. Zusätzliche Unterstützung für standardbasierte Tools wie SNMP und eine REST-basierte API ermöglichen die Integration mit Verwaltungstools von Drittanbietern. Sowohl die Benutzeroberfläche des Geräts als auch die des Panorama-Produkts haben das gleiche Aussehen und bieten die gleiche Benutzererfahrung, so dass im Falle einer Migration keine zusätzliche Benutzerschulung erforderlich ist. Die Administratoren können jede beliebige Schnittstelle nutzen und jederzeit Änderungen vornehmen, ohne sich um Synchronisationsprobleme sorgen zu müssen. Die rollenbasierte Verwaltung wird in allen Management-Tools unterstützt, so dass Funktionen bestimmten Personen zugewiesen werden können.
- Berichte: Sie können vordefinierte Berichte in unveränderter oder angepasster Form verwenden und je nach Bedarf zu einem einzigen Bericht zusammenfassen. Alle Berichte können in das CSV- oder PDF-Format exportiert, geöffnet und nach einem festgelegten Zeitplan per E-Mail verschickt werden.
- Protokollierung: Mit der Echtzeit-Protokollfilterfunktion kann jede Sitzung im Netz kontrolliert werden. Die Ergebnisse der Protokollfilterung können in eine CSV-Datei exportiert oder zur Offline-Archivierung oder zusätzlichen Analyse an einen Syslog-Server gesendet werden.
kundenspezifisch entwickelte Hardware oder virtualisierte Plattform
Palo Alto Networks bietet eine breite Palette an maßgeschneiderten Hardware-Plattformen an, von der PA-200, die für abgelegene Unternehmensstandorte konzipiert ist, bis zur PA-5060, die für High-End-Rechenzentren entwickelt wurde. Die Architektur der Plattform basiert auf Single-Pass-Software und nutzt funktionsspezifische Verarbeitung für Netzwerkkonnektivität, Sicherheit, Bedrohungsabwehr und Management und zeichnet sich gleichzeitig durch einen stabilen und effizienten Betrieb aus. Die gleiche Firewall-Funktionalität, mit der die Hardware-Plattformen ausgestattet sind, steht in der virtuellen Firewall der VM-Serie zur Verfügung, die virtualisierte und Cloud-basierte Computing-Umgebungen mit den gleichen Richtlinien absichert, die auch auf Edge-Netzwerk-Computer und Remote-Office-Firewalls angewendet werden.
