Ramsdata

logo.png

El cortafuegos de nueva generación

CORTAFUEGOS DE NUEVA GENERACIÓN

Los cambios fundamentales que se están produciendo en el ámbito de las aplicaciones informáticas y las amenazas, así como en el comportamiento de los usuarios y la infraestructura de red, están provocando un debilitamiento gradual de la protección que antes proporcionaban los cortafuegos tradicionales basados en puertos. En sus tareas cotidianas, los usuarios utilizan diversas aplicaciones y dispositivos. Mientras tanto, el crecimiento de los centros de datos y las tecnologías de virtualización, movilidad y nube implica replantearse cómo garantizar que las aplicaciones puedan utilizarse y las redes estén protegidas al mismo tiempo.

Los métodos tradicionales consisten, por ejemplo, en intentar bloquear todo el tráfico de aplicaciones utilizando una lista cada vez mayor de tecnologías puntuales que son complementos del cortafuegos. Un acuerdo de este tipo puede entorpecer las operaciones comerciales. Por otro lado, es posible intentar permitir el acceso a todas las aplicaciones, lo que también es inaceptable debido a los riesgos que implica para la empresa y la seguridad. El problema es que los cortafuegos tradicionales basados en puertos, incluso los que permiten bloquear completamente las aplicaciones, no ofrecen una alternativa a ninguno de estos métodos. Para lograr un equilibrio entre un enfoque de bloqueo total y un enfoque que permita un acceso totalmente libre, es necesario utilizar funciones de uso seguro de aplicaciones basadas en elementos relevantes para la empresa, como la identidad de la aplicación, los datos de usuario de la aplicación o el tipo de contenido, como criterios clave para las políticas de seguridad del cortafuegos.

requisitos clave para un uso seguro de la aplicación

Identificación de aplicaciones, no de puertos. Clasifique el tráfico de red en cuanto llegue al cortafuegos para determinar la identidad de la aplicación, independientemente del protocolo, el cifrado o las tácticas evasivas. A continuación, utilizar esta identidad como base para todas las políticas de seguridad.

Vinculación del uso de la aplicación a la identidad de los usuarios y no a la dirección IP, independientemente de la ubicación o el dispositivo. Utilice los datos de usuarios y grupos de los servicios de directorio y otros recursos de información de usuarios para implantar políticas de uso de aplicaciones coherentes para todos los usuarios, independientemente de su ubicación o dispositivo.

Protección contra todas las amenazas, tanto conocidas como desconocidas. Evita las técnicas conocidas de explotación de vulnerabilidades y el funcionamiento de programas maliciosos, programas espía y URL maliciosas, al tiempo que analiza el tráfico para detectar la presencia de programas maliciosos altamente selectivos y desconocidos hasta ahora y proteger automáticamente contra ellos.

Simplificación de la gestión de las políticas de seguridad. Acceso seguro a las aplicaciones y menos acciones administrativas gracias a herramientas gráficas fáciles de usar, un editor de políticas uniforme, plantillas y grupos de dispositivos.

Las políticas que garantizan el uso seguro de las aplicaciones contribuyen a mejorar la seguridad allí donde se despliegan. En la red periférica, las amenazas pueden reducirse bloqueando una serie de aplicaciones no deseadas y, a continuación, permitiendo que las aplicaciones busquen amenazas, tanto conocidas como desconocidas. Cuando se trata del centro de datos -ya sea tradicional o virtualizado-, la tecnología habilitada para aplicaciones significa que las aplicaciones del centro de datos sólo pueden ser utilizadas por usuarios autorizados, protegiendo así el contenido del centro frente a amenazas y resolviendo los problemas de seguridad asociados a la naturaleza dinámica de la infraestructura virtual. Las sucursales y los usuarios remotos pueden protegerse con el mismo conjunto de políticas de uso de aplicaciones desplegadas en la sede central, lo que garantiza la coherencia de las políticas.

Utilizar la aplicación para impulsar la empresa

El uso seguro de las aplicaciones que ofrecen los innovadores cortafuegos de Palo Alto Networks ayuda a gestionar las operaciones y a hacer frente a los riesgos de seguridad asociados al rápido crecimiento del número de aplicaciones en la red corporativa. Compartir aplicaciones con usuarios o grupos de usuarios, ya sean locales, móviles o remotos, y proteger el tráfico de red de amenazas conocidas y desconocidas le permite aumentar la seguridad al tiempo que hace crecer su negocio.

Clasificación permanente de todas las solicitudes en todos los puertos

El uso seguro de las aplicaciones que ofrecen los innovadores cortafuegos de Palo Alto Networks ayuda a gestionar las operaciones y a hacer frente a los riesgos de seguridad asociados al rápido crecimiento del número de aplicaciones en la red corporativa. Compartir aplicaciones con usuarios o grupos de usuarios, ya sean locales, móviles o remotos, y proteger el tráfico de red de amenazas conocidas y desconocidas le permite aumentar la seguridad al tiempo que hace crecer su negocio.

Consideración en las políticas de seguridad de usuarios y dispositivos, no sólo de direcciones IP

La creación y gestión de políticas de seguridad basadas en la aplicación y la identidad del usuario, independientemente del dispositivo o la ubicación, es un método más eficaz para proteger la red que las técnicas que sólo utilizan el puerto y la dirección IP. La integración con una amplia gama de bases de datos de usuarios corporativas identifica la identidad de los usuarios de Microsoft Windows, Mac OS X, Linux, Android e iOS que acceden a la aplicación. Los usuarios móviles y los que trabajan a distancia están protegidos eficazmente con las mismas políticas coherentes aplicadas a la red local o de la empresa. La combinación de visibilidad y control de la actividad del usuario en relación con la aplicación significa que Oracle, BitTorrent o Gmail y cualquier otra aplicación pueden compartirse de forma segura a través de la red, independientemente de cuándo o cómo acceda el usuario.
Acceso.

Protección contra todas las amenazas, tanto conocidas como desconocidas

Para poder proteger la red actual, hay que hacer frente a todo tipo de métodos de violación conocidos, programas maliciosos y programas espía, así como a amenazas completamente desconocidas y selectivas. El inicio de este proceso consiste en reducir la superficie de ataque de la red permitiendo determinadas aplicaciones y rechazando todas las demás, ya sea implícitamente mediante una estrategia de “rechazar todas las demás” o mediante políticas explícitas. A continuación, se puede aplicar una protección coordinada contra amenazas a todo el tráfico admitido mediante el bloqueo de sitios de malware conocidos, explotadores de vulnerabilidades, virus, spyware y consultas DNS maliciosas en una operación de una sola pasada. El malware personalizado u otros tipos de malware desconocido se analizan e identifican activamente mediante la ejecución de archivos desconocidos y la observación directa de más de 100 comportamientos maliciosos en un entorno sandbox virtualizado. Cuando se descubre un nuevo malware, se genera automáticamente la firma del archivo infectado y el tráfico de malware asociado, y se envía al usuario. Todo este análisis predictivo utiliza el contexto completo de aplicaciones y protocolos, garantizando la detección incluso de aquellas amenazas que intentan ocultarse de los mecanismos de seguridad en túneles, datos comprimidos o puertos no estándar.

Flexibilidad de aplicación y gestión

La funcionalidad de aplicaciones seguras está disponible como parte de una plataforma de hardware diseñada a medida o de forma virtualizada. Si está implementando varios cortafuegos de Palo Alto Networks, ya sea en forma de hardware o virtualizada, puede utilizar la herramienta Panorama, que es una solución de gestión centralizada opcional que proporciona visibilidad de los patrones de tráfico y le permite implementar políticas, generar informes y proporcionar actualizaciones de contenido desde una ubicación central.

Uso seguro de las aplicaciones: un enfoque global

el uso de aplicaciones requiere un enfoque integral de la seguridad de la red y del desarrollo empresarial, basado en un conocimiento exhaustivo de las aplicaciones en la red: quiénes son los usuarios, independientemente de la plataforma o la ubicación, y qué compacidad contiene la aplicación, si es que contiene alguna. Con un conocimiento más completo de la actividad de la red, se pueden crear políticas de seguridad más eficaces, basadas en elementos de aplicación, usuarios y contenidos relevantes para la empresa. La ubicación de los usuarios, su plataforma y el lugar donde se despliega la seguridad -el perímetro de seguridad, un centro de datos tradicional o virtualizado, una sucursal o un usuario remoto- tienen un impacto mínimo o nulo en cómo se crean las políticas. Ahora puedes compartir de forma segura cualquier aplicación y contenido con cualquier usuario.

uso de aplicaciones y reducción de riesgos

La funcionalidad de aplicaciones seguras utiliza criterios de decisión basados en políticas, incluida la función de aplicación/aplicación, los usuarios y grupos, y el contenido, para permitir un equilibrio entre el bloqueo completo de todas las aplicaciones y un enfoque de alto riesgo que permita un acceso completamente libre.

En el perímetro de seguridad, por ejemplo en sucursales o usuarios móviles y remotos, las políticas de uso de aplicaciones se centran en identificar todo el tráfico y luego permitirlo selectivamente en función de la identidad del usuario y analizar el tráfico de red en busca de amenazas. Ejemplos de políticas de seguridad:

  • Restringir el uso del correo electrónico y la mensajería instantánea a unas pocas variantes; descifrar los que utilizan SSL, inspeccionar el tráfico en busca de infracciones y enviar archivos desconocidos al servicio WildFire para su análisis y la adición de firmas.
  • Permitir aplicaciones y sitios de streaming multimedia al tiempo que se utilizan funciones de QoS y protección contra malware para limitar el impacto en las aplicaciones VoIP y proteger la red.
  • Controlar el acceso a Facebook permitiendo navegar a todos los usuarios, bloqueando todos los juegos y complementos sociales del sitio y permitiendo que las publicaciones de Facebook se publiquen únicamente con fines de marketing. Escaneo de todo el tráfico de Facebook en busca de malware e intentos de explotar vulnerabilidades de seguridad.
  • Control del uso de Internet permitiendo y escaneando el tráfico relativo a sitios relacionados con la actividad de la empresa, al tiempo que se bloquea el acceso a sitios claramente ajenos a la actividad; gestión del acceso a sitios dudosos mediante páginas bloqueadas personalizables.
  • Establezca una seguridad coherente aplicando de forma transparente las mismas políticas para todos los usuarios (locales, móviles y remotos) mediante GlobalProtect.
  • Utilizar una estrategia implícita de "rechazar todo lo demás" o bloquear abiertamente aplicaciones no deseadas como P2P o programas de elusión de la seguridad y el tráfico procedente de países específicos para reducir el tráfico de aplicaciones que sea fuente de riesgos para la empresa y la seguridad.

En los centros de datos -ya sean tradicionales, virtualizados o mixtos-, las funciones del uso de aplicaciones son principalmente validar las aplicaciones, buscar aplicaciones maliciosas y proteger los datos.

  • Aísle el repositorio de números de tarjetas de crédito basado en Oracle en su propia zona de seguridad; controle el acceso a grupos financiados; dirija el tráfico a puertos estándar; compruebe el tráfico en busca de vulnerabilidades de la aplicación.
  • Permita que sólo el equipo de TI acceda al centro de datos a través de un conjunto fijo de aplicaciones de gestión remota (por ejemplo, SSH, RDP, Telnet) en puertos estándar.
  • Permita que sólo el equipo de administración de la empresa utilice las funciones de administración de SharePoint de Microsoft y que todos los demás usuarios utilicen los documentos de SharePoint.

protección de aplicaciones compartidas

El uso seguro de las aplicaciones implica permitir el acceso a determinadas aplicaciones y, a continuación, aplicar políticas específicas para bloquear los abusos conocidos, el malware y el spyware (conocidos y desconocidos) y controlar la transferencia de archivos o datos y la actividad de navegación por Internet. Las tácticas de evasión de seguridad más populares, como el “salto de puertos” y la tunelización, se combaten con políticas preventivas que utilizan el contexto de aplicaciones y protocolos generado por los descodificadores en la función App-ID. Las soluciones UTM, por el contrario, utilizan métodos de prevención de amenazas basados en silos que se aplican a cada función, cortafuegos, IPS, antivirus, filtrado de URL, todo el tráfico de red fuera de contexto, lo que las hace más susceptibles a las técnicas evasivas.

  • Bloqueo de amenazas conocidas: IPS y software antivirus/antiespía basado en red. El formato de firma uniforme y el mecanismo de escaneado basado en streaming permiten proteger la red frente a una amplia gama de amenazas. El sistema de prevención de intrusiones (IPS) se ocupa de las vulnerabilidades de seguridad que implican el bloqueo de la red y se producen en la capa de aplicación, y protege contra los desbordamientos de búfer, los ataques DoS y el escaneado de puertos. La protección antivirus/anti-spyware bloquea millones de variedades de malware, así como el tráfico de comando y control que generan, virus PDF y malware oculto en archivos comprimidos o tráfico Web (datos HTTP/HTTPS comprimidos). El descifrado SSL basado en políticas en todas las aplicaciones y puertos protege contra el malware que pasa a través de aplicaciones cifradas con SSL.
  • Bloqueo de malware desconocido y dirigido: Wildfire™. El malware desconocido y dirigido es identificado y analizado por WildFire, que ejecuta y observa directamente los archivos desconocidos en un entorno sandbox virtualizado en la nube. WildFire supervisa más de 100 comportamientos maliciosos y los resultados del análisis se envían inmediatamente al administrador en forma de alerta. Una suscripción opcional a WildFire ofrece mayor protección y funciones de registro e informes. Los titulares de una suscripción reciben protección en menos de una hora tras descubrir un nuevo programa malicioso en cualquier parte del mundo, lo que impide eficazmente la propagación de dicho software antes de que llegue al usuario. La suscripción también incluye acceso a las funciones integradas de registro e informes de WildFire y una API para cargar muestras en la nube de WildFire para su análisis.
  • Identificación de anfitriones infectados por bots. La función App-ID clasifica todas las aplicaciones, en todos los puertos, incluido todo el tráfico desconocido, que a menudo puede ser fuente de amenazas o anomalías en la red. El Informe de comportamiento de bots recopila tráfico desconocido, consultas DNS y URL sospechosas y una serie de comportamientos de red inusuales, proporcionando una imagen de los dispositivos que pueden estar infectados con malware. Los resultados se muestran en forma de una lista de hosts potencialmente infectados que pueden ser analizados como elementos sospechosos de botnet.
  • Restricción de la transferencia no autorizada de archivos y datos. Las funciones de filtrado de datos permiten a los administradores aplicar políticas para reducir el riesgo de transferencias no autorizadas de archivos y datos. La transferencia de archivos se puede controlar comprobando la compacidad del archivo (no sólo su extensión) para determinar si se puede permitir o no la operación de transferencia. Los archivos ejecutables, que suelen aparecer en ataques con descargas no deseadas, pueden bloquearse, protegiendo la red de la propagación invisible de programas maliciosos. Las funciones de filtrado de datos detectan y controlan el flujo de datos confidenciales (números de tarjetas de crédito, números de seguros u otros números privados definidos individualmente).
  • Controlar el uso de internet. Un mecanismo de filtrado de URL totalmente integrado y personalizable permite a los administradores aplicar políticas granulares de navegación web que complementan las políticas de visibilidad y control de aplicaciones y protegen a la empresa de todo tipo de problemas de cumplimiento de normativas y estándares de productividad. Además, las categorías de URL pueden incorporarse a la construcción de políticas de seguridad para proporcionar granularidad adicional a los controles de descifrado SSL, características de calidad de servicio u otros elementos que son la base de otras reglas.

gestión y análisis continuos

La experiencia con soluciones de seguridad óptimas sugiere que los administradores deben encontrar un equilibrio entre la gestión proactiva del cortafuegos, ya sea para un único dispositivo o para cientos de ellos, y la respuesta mediante la investigación, el análisis y la notificación de incidentes de seguridad.

  • Gestión: cada plataforma de Palo Alto Networks puede gestionarse por separado a través de la interfaz de línea de comandos o de la interfaz gráfica de usuario con numerosas funciones. Para implantaciones a gran escala, el producto Panorama puede licenciarse e implantarse como una solución de gestión centralizada, lo que permite conciliar el control global y centralizado con la flexibilidad de las políticas locales a través de funciones como plantillas y políticas compartidas. La compatibilidad adicional con herramientas basadas en estándares como SNMP y una API basada en REST permite la integración con herramientas de gestión de terceros. Tanto la GUI del dispositivo como la interfaz del producto Panorama tienen la misma apariencia y ofrecen la misma experiencia de usuario, por lo que no es necesaria una formación adicional de los usuarios en caso de migración. Los administradores pueden utilizar cualquiera de las interfaces y realizar cambios en cualquier momento sin preocuparse por los problemas de sincronización. Todas las herramientas de gestión admiten la administración basada en roles, lo que permite asignar funciones a personas concretas.
  • Informes: Puede utilizar informes predefinidos de forma inalterada o personalizada y agrupados como un único informe según sea necesario. Todos los informes pueden exportarse a formato CSV o PDF, abrirse y enviarse por correo electrónico según un calendario establecido.
  • Registro: La función de filtrado de registros en tiempo real permite controlar todas las sesiones de la red. Los resultados del filtrado de registros pueden exportarse a un archivo CSV o enviarse a un servidor syslog para archivarlos sin conexión o realizar análisis adicionales.

hardware diseñado a medida o plataforma virtualizada

Palo Alto Networks ofrece una gama completa de plataformas de hardware diseñadas a medida, desde la PA-200 -diseñada para oficinas corporativas remotas- hasta la PA-5060 -diseñada para centros de datos de gama alta-. La arquitectura de las plataformas se basa en un software de paso único y utiliza el procesamiento de funciones específicas para la conectividad de red, la seguridad, la prevención de amenazas y la gestión, al tiempo que se caracteriza por un funcionamiento estable y eficiente. La misma funcionalidad de cortafuegos con la que están equipadas las plataformas de hardware está disponible en el cortafuegos virtual de la serie VM, que protege los entornos informáticos virtualizados y basados en la nube con las mismas políticas aplicadas a los equipos de red periféricos y a los cortafuegos de oficinas remotas.