RED PALO ALTO
Comparta aplicaciones de forma segura en lugar de bloquearlas.
Palo Alto Networks hace posible alcanzar el equilibrio adecuado entre bloquear y permitir aplicaciones, todo ello mediante políticas de cortafuegos que utilizan elementos relevantes para los procesos empresariales, como la identidad de la aplicación, la identidad del usuario y el tipo de contenido o amenaza. Este planteamiento permite un control más informado del acceso a la red y del desarrollo del negocio. El uso de elementos relevantes para los procesos empresariales transforma la política tradicional de cortafuegos basada en la distinción permitir-bloquear en lo que denominamos “habilitación segura de aplicaciones”. Esto significa que puede crear políticas de cortafuegos basadas en las propiedades de las aplicaciones, los usuarios y los grupos, así como en el contenido, en lugar de en elementos como el puerto, el protocolo y la dirección IP.
ejemplos
Permitir que el equipo de TI utilice un conjunto fijo de aplicaciones de gestión remota (por ejemplo, SSH, RDP, telnet) en los puertos estándar para estas aplicaciones, pero bloquear su uso para todos los demás usuarios.
Permitir que el equipo de TI utilice un conjunto fijo de aplicaciones de gestión remota (por ejemplo, SSH, RDP, telnet) en los puertos estándar para estas aplicaciones, pero bloquear su uso para todos los demás usuarios.
Permitir la navegación relacionada con Facebook para todos los usuarios, bloquear todos los juegos y plugins sociales asociados a él; además, permitir las publicaciones en Facebook sólo para el departamento de marketing. Escala todas las transmisiones relacionadas con Facebook en busca de malware y exploits.
Permitir, por categorías, aplicaciones que utilicen streaming multimedia, pero aplicando una política de calidad de servicio para este grupo concreto de aplicaciones (en lugar de sólo el puerto) para minimizar su impacto en las aplicaciones VoIP.
Permitir las aplicaciones de correo web pero descifrar (SSL) la transmisión asociada, realizar inspecciones en busca de malware y controlar las funciones de transferencia de archivos.
Bloqueo transparente de todas las aplicaciones P@P, aplicaciones diseñadas para eludir la detección, túneles cifrados no VPN y proxies externos, independientemente del puerto, el protocolo o las tácticas diseñadas para eludir la detección.
buenas prácticas
De acuerdo con las mejores prácticas para las políticas de cortafuegos que permiten compartir aplicaciones de forma segura, primero debe obtener información detallada sobre las aplicaciones de su red. Palo Alto Networks puede ayudarle a obtener esta información de las siguientes formas:
El cortafuegos de nueva generación de Palo Alto Networks se basa en APP-ID, una tecnología de clasificación de transmisiones que identifica de forma instantánea y automática las aplicaciones que atraviesan la red: independientemente del puerto, el cifrado (SSL o SSH) o la técnica de evasión de detección utilizada. En otras palabras, la tecnología App-ID está activada por defecto: encienda el cortafuegos, defina las interfaces y la política inicial y ya tendrá conocimiento de qué aplicaciones atraviesan su red. Nadie más puede ofrecer un logro similar. La identidad de la aplicación se utiliza entonces como base para su política de seguridad. App-ID supervisa continuamente el estado de la aplicación, comprobando si determinadas propiedades, como la transferencia de archivos o las funciones de "contabilización", están activas. Cuando se produce un cambio de situación a este respecto, puede tomarse una decisión adecuada sobre la base de la política de seguridad. Además, entre las áreas del aspecto de los datos que intervienen en la toma de decisiones más informadas centradas en el negocio se incluyen la descripción de la aplicación, cómo se comporta, los puertos que puede utilizar y cómo se categoriza.
La protección contra amenazas dependiente de la aplicación comienza por limitar el alcance de las amenazas mediante la aplicación de una política transparente para bloquear aplicaciones no deseadas, como proxies externos, aplicaciones diseñadas para eludir la detección y aplicaciones de intercambio de archivos P2P. Una vez autorizado el uso de aplicaciones específicas y funciones relacionadas, deben activarse las funciones de protección contra virus, explotación de vulnerabilidades, spyware y malware moderno. Estas actividades tienen por objeto ampliar el contexto específico de la aplicación a un sistema de prevención de riesgos. Por ejemplo, sólo puede permitir que Oracle RDB se utilice en un puerto estándar para garantizar la continuidad de las actividades financieras y operativas, al tiempo que proporciona protección contra ataques de inyección SQL y la explotación de vulnerabilidades específicas de Oracle. Las funciones de protección contra amenazas que forman parte de la tecnología Content-ID utilizan un formato de firma único y unificado para realizar escaneos de transmisión única (y bloqueo, según políticas) de amenazas de cualquier tipo. Los proveedores actuales de cortafuegos intentan abordar la cuestión de facilitar el uso de aplicaciones añadiendo funciones de control de aplicaciones a los mecanismos de cortafuegos con seguimiento de estado, de forma similar a lo que se ha hecho con los sistemas IPS. Este enfoque tiene varias limitaciones importantes.
La actividad ininterrumpida de la clasificación de transmisión basada en puertos significa que el cortafuegos tendrá que abrir primero el puerto predeterminado que controla la aplicación en cuestión. Para controlar la página de Facebook, abre el puerto tcp/80 o tcp/443. Según el Informe sobre uso de aplicaciones y riesgos relacionados de diciembre de 2011, es muy posible que esté permitiendo que 297 (el 25% del conjunto habitual de aplicaciones corporativas) otras aplicaciones residan dentro de su red a su antojo o en contra de su voluntad. Por lo tanto, esto significa que el poder de la política por defecto para bloquear todas las aplicaciones se reduce significativamente. En cuanto una transmisión llega al cortafuegos de Palo Alto Networks, el App-ID identifica inmediatamente el tipo de aplicación en cuestión, en todos los puertos y en todo momento. Las decisiones de control de acceso se toman aplicación por aplicación y se puede mantener el mecanismo por defecto para bloquear todas las aplicaciones.
No es raro que los usuarios con más conocimientos técnicos utilicen herramientas de acceso remoto en puertos no estándar. Los desarrolladores de bases de datos son igualmente culpables de ejecutar sesiones SQL en puertos no estándar. La dependencia estricta de la clasificación basada en puertos significa que las aplicaciones que utilizan puertos no estándar pueden pasarse completamente por alto, a pesar de los ajustes de configuración personalizados. Una vez más, la diferencia fundamental es cómo App-ID busca en todos los puertos para todas las aplicaciones.
Un cortafuegos basado en puertos y un enfoque que utilice mecanismos adicionales de control de aplicaciones significa que es necesario crear y gestionar una política de cortafuegos que incluya información como origen, destino, usuario, puerto, acción, etc. El mismo conjunto de información se utilizará para las aplicaciones que controlan las políticas y se completará con datos sobre aplicaciones y actividades. Si su organización se parece a la inmensa mayoría de las demás, lo más probable es que utilice cientos o incluso miles de políticas de cortafuegos. Un enfoque centrado en múltiples bases con normas para las políticas no sólo aumentará la carga administrativa, sino que también puede incrementar innecesariamente los riesgos empresariales y de seguridad. Palo Alto Networks utiliza un editor de políticas único y unificado que le permite utilizar datos de aplicaciones, usuarios y contenidos como base de sus políticas para facilitar el uso seguro de las aplicaciones.
La transmisión desconocida personifica la regla del 80% - 20%: una pequeña proporción de transmisión en cualquier red representa, sin embargo, un gran riesgo. Una transmisión desconocida puede estar vinculada a una aplicación no estándar, a una aplicación comercial no identificada o a una amenaza. Los proveedores no disponen de un medio para identificar y gestionar sistemáticamente estas transmisiones desconocidas. Para aclarar la situación, todas las transmisiones son registradas por el cortafuegos mediante logs, aunque los logs de las aplicaciones se generan por separado y son un subconjunto, lo que hace casi imposible gestionar las transmisiones desconocidas. El bloqueo no es una opción, ya que puede afectar negativamente a los procesos empresariales. La habilitación es un factor de alto riesgo. Palo Alto Networsk, por su parte, categoriza la transmisión desconocida para poder encontrar aplicaciones internas y crear elementos App-ID personalizados; esto, a su vez, permite interceptar paquetes asociados a aplicaciones comerciales no identificadas y utilizarlos para desarrollar App-ID; las funciones de recopilación de registros e informes pueden utilizarse para comprobar si los paquetes suponen una amenaza. Por tanto, permitimos una gestión sistemática de la transmisión desconocida hasta el nivel de pequeños elementos de bajo riesgo, todo ello basado en políticas.