Ramsdata

logo.png

Palo Alto Netzwerke

PALO ALTO NETZWERK

Sicheres Freigeben von Anwendungen, anstatt sie zu blockieren.

Palo Alto Networks ermöglicht es, das richtige Gleichgewicht zwischen dem Blockieren und Zulassen von Anwendungen zu finden, und zwar durch Firewall-Richtlinien, die geschäftsprozessrelevante Elemente wie die Identität der Anwendung, die Identität des Benutzers und die Art des Inhalts oder der Bedrohung verwenden. Dieser Ansatz führt zu einer fundierteren Kontrolle des Netzzugangs und der Geschäftsentwicklung. Durch die Verwendung von geschäftsprozessrelevanten Elementen wird die traditionelle Firewall-Richtlinie, die auf der Unterscheidung zwischen Erlauben und Sperren basiert, in das umgewandelt, was wir als “sichere Anwendungsfreigabe” bezeichnen. Dies bedeutet, dass Sie Firewall-Richtlinien auf der Grundlage von Anwendungs-/Anwendungseigenschaften, Benutzern und Gruppen sowie Inhalten erstellen können, im Gegensatz zu Elementen wie Port, Protokoll und IP-Adresse.

Beispiele

Ermöglichung der Nutzung einer bestimmten Anzahl von Fernverwaltungsanwendungen (z. B. SSH, RDP, Telnet) durch das IT-Team an den Standardports für diese Anwendungen, aber Blockierung ihrer Nutzung für alle anderen Benutzer.

Ermöglichung der Nutzung einer bestimmten Anzahl von Fernverwaltungsanwendungen (z. B. SSH, RDP, Telnet) durch das IT-Team an den Standardports für diese Anwendungen, aber Blockierung ihrer Nutzung für alle anderen Benutzer.

Ermöglichung des Facebook-bezogenen Surfens für alle Nutzer, Sperrung aller damit verbundenen Spiele und sozialen Plugins; außerdem Zulassung von Facebook-Posts nur für die Marketingabteilung. Skalieren Sie alle Facebook-bezogenen Übertragungen auf Malware und Exploits.

Zulassung von Anwendungen, die Medien-Streaming nutzen, auf der Basis von Kategorien, aber Anwendung einer QoS-Richtlinie für diese spezielle Gruppe von Anwendungen (und nicht nur für den Port), um deren Auswirkungen auf VoIP-Anwendungen zu minimieren.

Ermöglichung von Webmail-Anwendungen, aber Entschlüsselung (SSL) der damit verbundenen Übertragung, Durchführung von Inspektionen auf Malware und Kontrolle der Dateiübertragungsfunktionen.

Transparentes Blockieren aller P@P-Anwendungen, Anwendungen, die darauf ausgelegt sind, die Erkennung zu umgehen, verschlüsselte Nicht-VPN-Tunnel und externe Proxys, unabhängig von Port, Protokoll oder Taktik, um die Erkennung zu umgehen.

beste Praktiken

Gemäß den bewährten Verfahren für Firewall-Richtlinien, die eine sichere gemeinsame Nutzung von Anwendungen ermöglichen, müssen Sie zunächst detaillierte Informationen über die Anwendungen in Ihrem Netzwerk einholen. Palo Alto Networks kann Sie bei der Beschaffung dieser Informationen auf folgende Weise unterstützen:

Die sichere gemeinsame Nutzung von Anwendungen beginnt in dem Moment, in dem sie identifiziert werden.

Die Firewall der nächsten Generation von Palo Alto Networks basiert auf APP-ID, einer Technologie zur Übertragungsklassifizierung, die Anwendungen, die das Netzwerk durchqueren, sofort und automatisch identifiziert: unabhängig von Port, Verschlüsselung (SSL oder SSH) oder der verwendeten Technik zur Vermeidung von Erkennungen. Mit anderen Worten: Die App-ID-Technologie ist standardmäßig aktiviert - schalten Sie die Firewall ein, definieren Sie die Schnittstellen und die anfängliche Richtlinie, und schon wissen Sie, welche Anwendungen Ihr Netzwerk durchqueren. Niemand sonst kann eine ähnliche Leistung bieten. Die Identität der Anwendung wird dann als Grundlage für Ihre Sicherheitspolitik verwendet. App-ID überwacht ständig den Status der Anwendung und prüft, ob bestimmte Eigenschaften, wie z. B. die Dateiübertragung oder die Buchungsfunktionen, aktiv sind. Wenn sich der Status in dieser Hinsicht ändert, kann eine entsprechende Entscheidung auf der Grundlage der Sicherheitspolitik getroffen werden. Zu den Bereichen des Datenaspekts, die für fundiertere geschäftsorientierte Entscheidungen von Bedeutung sind, gehören auch die Beschreibung der Anwendung, ihr Verhalten, die Ports, die sie nutzen kann, und ihre Kategorisierung.

Schutz vor Anwendungsbedrohungen.

Der anwendungsabhängige Schutz vor Bedrohungen beginnt mit der Begrenzung des Umfangs der Bedrohungen durch die Implementierung einer transparenten Richtlinie zum Blockieren unerwünschter Anwendungen wie externer Proxys, Anwendungen, die darauf ausgelegt sind, die Erkennung zu umgehen, und P2P-Filesharing-Anwendungen. Sobald die Nutzung bestimmter Anwendungen und zugehöriger Funktionen genehmigt ist, müssen die Schutzfunktionen gegen Viren, Ausnutzung von Sicherheitslücken, Spyware und moderne Malware aktiviert werden. Diese Aktivitäten zielen darauf ab, den anwendungsspezifischen Kontext zu einem System der Risikoprävention zu erweitern. So können Sie z. B. die Verwendung von Oracle RDB nur an einem Standard-Port zulassen, um die Kontinuität der finanziellen und betrieblichen Aktivitäten zu gewährleisten und gleichzeitig Schutz vor SQL-Injection-Angriffen und der Ausnutzung Oracle-spezifischer Schwachstellen zu bieten. Die Funktionen zum Schutz vor Bedrohungen, die Teil der Content-ID-Technologie sind, verwenden ein einziges, einheitliches Signaturformat, um einmalige Übertragungen auf Bedrohungen jeglicher Art zu prüfen (und je nach Richtlinie zu blockieren). Aktuelle Firewall-Anbieter versuchen, die Nutzung von Anwendungen zu erleichtern, indem sie den Stateful-Firewall-Mechanismen Funktionen zur Anwendungskontrolle hinzufügen, ähnlich wie dies bei IPS-Systemen der Fall ist. Dieser Ansatz weist mehrere erhebliche Einschränkungen auf.

Die Regel "Zulassen", die auf Portdaten basiert, hat Vorrang vor der Regel "Alles blockieren".

Die ununterbrochene Aktivität der portbasierten Übertragungsklassifizierung bedeutet, dass die Firewall zunächst den Standardport öffnen muss, der die betreffende Anwendung kontrolliert. Um die Facebook-Seite zu steuern, öffnen Sie den Port tcp/80 oder tcp/443. Laut dem Application Usage and Related Risk Report vom Dezember 2011 erlauben Sie möglicherweise 297 (25 Prozent der üblichen Unternehmensanwendungen) anderen Anwendungen, sich mit oder gegen Ihren Willen in Ihrem Netzwerk aufzuhalten. Das bedeutet also, dass die Standardrichtlinie nicht mehr in der Lage ist, alle Anwendungen zu blockieren. Sobald eine Übertragung die Firewall von Palo Alto Networks erreicht, identifiziert die App-ID sofort den Typ der betreffenden Anwendung, und zwar auf allen Ports und zu jeder Zeit. Entscheidungen über die Zugangskontrolle werden für jede einzelne Anwendung getroffen, und der Standardmechanismus zur Sperrung aller Anwendungen kann beibehalten werden.

Anwendungen, die nicht standardisierte Anschlüsse verwenden, können übersehen werden.

Es ist nicht ungewöhnlich, dass Benutzer mit mehr technischen Kenntnissen Fernzugriffstools auf nicht standardisierten Ports verwenden. Auch Datenbankentwickler machen sich schuldig, wenn sie SQL-Sitzungen auf nicht standardmäßigen Ports ausführen. Strenges Vertrauen in die portbasierte Klassifizierung bedeutet, dass Anwendungen, die nicht standardisierte Ports verwenden, trotz benutzerdefinierter Konfigurationseinstellungen völlig übersehen werden können. Auch hier besteht der grundlegende Unterschied darin, wie App-ID alle Ports nach allen Anwendungen durchsucht.

Zahlreiche Richtlinien mit doppelten Informationen erhöhen den Verwaltungsaufwand.

Eine portbasierte Firewall und ein Ansatz, der zusätzliche Anwendungskontrollmechanismen verwendet, bedeutet, dass es notwendig ist, eine Firewall-Richtlinie zu erstellen und zu verwalten, die Informationen wie Quelle, Ziel, Benutzer, Port, Aktion usw. enthält. Die gleichen Informationen werden für die Anwendungen zur Kontrolle der Politik verwendet und durch Anwendungs- und Tätigkeitsdaten ergänzt. Wenn Ihr Unternehmen den meisten anderen ähnelt, werden Sie höchstwahrscheinlich Hunderte oder sogar Tausende von Firewall-Richtlinien verwenden. Ein Ansatz, der sich auf mehrere Grundlagen mit Regeln für Richtlinien konzentriert, erhöht nicht nur den Verwaltungsaufwand, sondern kann auch die Geschäfts- und Sicherheitsrisiken unnötig erhöhen. Palo Alto Networks verwendet einen einzigen, einheitlichen Richtlinien-Editor, mit dem Sie Anwendungs-, Benutzer- und Inhaltsdaten als Grundlage für Ihre Richtlinien verwenden können, um die sichere Nutzung von Anwendungen zu erleichtern.

Systematischer Umgang mit unbekannter Übertragung.

Unbekannte Übertragungen verkörpern die 80%-20%-Regel - ein kleiner Anteil an Übertragungen in einem Netz stellt jedoch ein großes Risiko dar. Eine unbekannte Übertragung kann mit einer nicht standardisierten Anwendung, einer nicht identifizierten kommerziellen Anwendung oder einer Bedrohung verbunden sein. Die Anbieter haben keine Möglichkeit, solche unbekannten Übertragungen systematisch zu erkennen und zu verwalten. Um die Situation zu verdeutlichen, werden alle Übertragungen von der Firewall über Protokolle aufgezeichnet, obwohl die Protokolle für die Anwendungen separat erstellt werden und eine Teilmenge darstellen, was es fast unmöglich macht, unbekannte Übertragungen zu verwalten. Eine Sperrung ist keine Option, da sie sich negativ auf die Geschäftsprozesse auswirken kann. Ermöglichung ist ein hoher Risikofaktor. Palo Alto Networsk hingegen kategorisiert unbekannte Übertragungen, so dass interne Anwendungen gefunden und benutzerdefinierte App-ID-Elemente erstellt werden können; dies wiederum ermöglicht es, Pakete, die mit nicht identifizierten kommerziellen Anwendungen verbunden sind, abzufangen und für die Entwicklung von App-IDs zu verwenden; mit Hilfe von Protokollerfassungs- und Berichtsfunktionen kann überprüft werden, ob Pakete eine Bedrohung darstellen. Wir ermöglichen daher ein systematisches Management unbekannter Übertragungen bis hin zu kleinen, risikoarmen Elementen - alles auf der Grundlage von Richtlinien.