RÉSEAU PALO ALTO
Partager des applications en toute sécurité au lieu de les bloquer.
Palo Alto Networks permet de trouver le bon équilibre entre le blocage et l’autorisation des applications, grâce à des politiques de pare-feu qui utilisent des éléments pertinents pour les processus métier, tels que l’identité de l’application, l’identité de l’utilisateur et le type de contenu ou de menace. Cette approche permet de mieux contrôler l’accès au réseau et le développement des activités. L’utilisation d’éléments relatifs aux processus d’entreprise transforme la politique traditionnelle de pare-feu basée sur la distinction autorisation-blocage en ce que nous appelons “l’activation d’applications sécurisées”. Cela signifie que vous pouvez élaborer des politiques de pare-feu basées sur les propriétés des applications, les utilisateurs et les groupes, ainsi que le contenu, plutôt que sur des éléments tels que le port, le protocole et l’adresse IP.
exemples
Permettre à l’équipe informatique d’utiliser un ensemble fixe d’applications de gestion à distance (par exemple SSH, RDP, telnet) sur les ports standard de ces applications, mais bloquer leur utilisation pour tous les autres utilisateurs.
Permettre à l’équipe informatique d’utiliser un ensemble fixe d’applications de gestion à distance (par exemple SSH, RDP, telnet) sur les ports standard de ces applications, mais bloquer leur utilisation pour tous les autres utilisateurs.
Autoriser la navigation sur Facebook pour tous les utilisateurs, bloquer tous les jeux et les plugins sociaux qui y sont associés ; en outre, n’autoriser les publications sur Facebook que pour le département marketing. Évaluer toutes les transmissions liées à Facebook pour détecter les logiciels malveillants et les exploits.
Autoriser, par catégorie, les applications utilisant le streaming média, mais appliquer une politique de qualité de service pour ce groupe particulier d’applications (plutôt que pour le port) afin de minimiser leur impact sur les applications VoIP.
Autoriser les applications de webmail mais décrypter (SSL) la transmission associée, effectuer des inspections pour détecter les logiciels malveillants et contrôler les fonctions de transfert de fichiers.
Blocage transparent de toutes les applications P@P, des applications conçues pour échapper à la détection, des tunnels non VPN cryptés et des proxies externes, quels que soient le port, le protocole ou les tactiques conçues pour échapper à la détection.
meilleures pratiques
Conformément aux meilleures pratiques en matière de politiques de pare-feu autorisant le partage sécurisé d’applications, vous devez d’abord obtenir des informations détaillées sur les applications présentes sur votre réseau. Palo Alto Networks peut vous aider à obtenir ces informations de la manière suivante :
Le pare-feu de nouvelle génération de Palo Alto Networks repose sur APP-ID, une technologie de classification des transmissions qui identifie instantanément et automatiquement les applications qui traversent le réseau, quels que soient le port, le cryptage (SSL ou SSH) ou la technique d'évitement de la détection utilisée. En d'autres termes, la technologie App-ID est activée par défaut - activez le pare-feu, définissez les interfaces et la politique initiale et vous saurez déjà quelles applications traversent votre réseau. Personne d'autre ne peut offrir un tel résultat. L'identité de l'application sert ensuite de base à votre politique de sécurité. App-ID surveille en permanence l'état de l'application, en vérifiant si certaines propriétés, telles que le transfert de fichiers ou les fonctions d'affichage, sont actives. En cas de changement de statut à cet égard, une décision appropriée peut être prise sur la base de la politique de sécurité. En outre, les domaines de l'aspect des données qui permettent de prendre des décisions plus éclairées, axées sur l'entreprise, comprennent la description de l'application, son comportement, les ports qu'elle peut utiliser et la manière dont elle est classée.
La protection contre les menaces dépendantes des applications commence par limiter la portée des menaces en mettant en œuvre une politique transparente pour bloquer les applications indésirables telles que les proxies externes, les applications conçues pour échapper à la détection et les applications de partage de fichiers P2P. Une fois que l'utilisation d'applications spécifiques et de fonctions connexes est autorisée, les fonctions de protection contre les virus, l'exploitation des vulnérabilités, les logiciels espions et les logiciels malveillants modernes doivent être activées. Ces activités visent à étendre le contexte spécifique de l'application à un système de prévention des risques. Par exemple, vous ne pouvez autoriser l'utilisation d'Oracle RDB que sur un port standard afin de garantir la continuité des activités financières et opérationnelles, tout en assurant une protection contre les attaques par injection SQL et l'exploitation des vulnérabilités spécifiques à Oracle. Les fonctions de protection contre les menaces qui font partie de la technologie Content-ID utilisent un format de signature unique et unifié pour effectuer des analyses de transmission uniques (et des blocages, conformément à la politique) pour les menaces de tout type. Les fournisseurs de pare-feu actuels tentent de résoudre le problème de la facilitation de l'utilisation des applications en ajoutant une fonctionnalité de contrôle des applications aux mécanismes de pare-feu dynamique, à l'instar de ce qui a été fait avec les systèmes IPS. Cette approche présente plusieurs limites importantes.
L'activité ininterrompue de la classification des transmissions par port signifie que le pare-feu devra d'abord ouvrir le port par défaut contrôlant l'application en question. Pour contrôler la page Facebook, ouvrez le port tcp/80 ou tcp/443. D'après le rapport de décembre 2011 sur l'utilisation des applications et les risques associés, il se peut que vous autorisiez 297 (25 % de l'ensemble habituel des applications d'entreprise) autres applications à résider sur votre réseau, à votre insu ou contre votre gré. Cela signifie donc que la capacité de la politique par défaut à bloquer toutes les applications est considérablement réduite. Dès qu'une transmission atteint le pare-feu de Palo Alto Networks, l'App-ID identifie immédiatement le type d'application en question, sur tous les ports et à tout moment. Les décisions de contrôle d'accès sont prises application par application et le mécanisme par défaut de blocage de toutes les applications peut être maintenu.
Il n'est pas rare que des utilisateurs plus expérimentés utilisent des outils d'accès à distance sur des ports non standard. Les développeurs de bases de données sont également coupables d'exécuter des sessions SQL sur des ports non standard. L'utilisation stricte de la classification basée sur les ports signifie que les applications utilisant des ports non standard peuvent être complètement ignorées, malgré des paramètres de configuration personnalisés. Une fois encore, la différence fondamentale réside dans la manière dont App-ID recherche tous les ports pour toutes les applications.
Un pare-feu basé sur les ports et une approche utilisant des mécanismes supplémentaires de contrôle des applications signifient qu'il est nécessaire d'élaborer et de gérer une politique de pare-feu comprenant des informations telles que la source, la destination, l'utilisateur, le port, l'action, etc. Le même ensemble d'informations sera utilisé pour les applications de contrôle des politiques et sera complété par des données sur les applications et les activités. Si votre organisation ressemble à la grande majorité des autres, il est fort probable que vous utilisiez des centaines, voire des milliers de politiques de pare-feu. Une approche centrée sur des bases multiples avec des règles pour les politiques n'augmentera pas seulement la charge administrative - elle peut aussi accroître inutilement les risques pour l'entreprise et la sécurité. Palo Alto Networks utilise un éditeur de politiques unique et unifié qui vous permet d'utiliser les données relatives aux applications, aux utilisateurs et au contenu comme base de vos politiques afin de faciliter l'utilisation sécurisée des applications.
La transmission inconnue est l'exemple même de la règle des 80 % - 20 % - une faible proportion de transmission dans un réseau représente cependant un risque important. Une transmission inconnue peut être liée à une application non standard, à une application commerciale non identifiée ou à une menace. Les fournisseurs n'ont aucun moyen d'identifier et de gérer systématiquement ces transmissions inconnues. Pour clarifier la situation, toutes les transmissions sont enregistrées par le pare-feu via des journaux, bien que les journaux des applications soient générés séparément et constituent un sous-ensemble, ce qui rend presque impossible la gestion des transmissions inconnues. Le blocage n'est pas une option car il peut avoir un impact négatif sur les processus commerciaux. L'habilitation est un facteur de risque élevé. Palo Alto Networsk, quant à lui, catégorise les transmissions inconnues de manière à ce que les applications internes puissent être trouvées et que des éléments App-ID personnalisés puissent être créés ; cela permet à son tour d'intercepter les paquets associés à des applications commerciales non identifiées et de les utiliser pour développer des App-ID ; les fonctions de collecte de journaux et de création de rapports peuvent être utilisées pour vérifier si les paquets représentent une menace. Nous permettons donc une gestion systématique des transmissions inconnues jusqu'au niveau des petits éléments à faible risque, le tout sur la base d'une politique.
