Ramsdata

logo.png

Redes Palo Alto

REDE PALO ALTO

Partilhe aplicações de forma segura em vez de as bloquear.

A Palo Alto Networks torna possível atingir o equilíbrio certo entre bloquear e permitir aplicações, tudo através de políticas de firewall que utilizam elementos relevantes para o processo empresarial, tais como a identidade da aplicação, a identidade do utilizador e o tipo de conteúdo ou ameaça. Esta abordagem conduz a um controlo mais informado do acesso à rede e do desenvolvimento do negócio. A utilização de elementos relevantes para os processos empresariais transforma a política tradicional de firewall baseada na distinção entre permitir e bloquear naquilo a que chamamos “habilitação segura de aplicações”. Isto significa que pode criar políticas de firewall com base nas propriedades da aplicação/aplicação, utilizadores e grupos, bem como no conteúdo, por oposição a elementos como a porta, o protocolo e o endereço IP.

exemplos

Permitir que a equipa de TI utilize um conjunto fixo de aplicações de gestão remota (por exemplo, SSH, RDP, telnet) nas portas padrão para estas aplicações, mas bloquear a sua utilização por todos os outros utilizadores.

Permitir que a equipa de TI utilize um conjunto fixo de aplicações de gestão remota (por exemplo, SSH, RDP, telnet) nas portas padrão para estas aplicações, mas bloquear a sua utilização por todos os outros utilizadores.

Permitir a navegação relacionada com o Facebook a todos os utilizadores, bloqueando todos os jogos e plugins sociais associados; além disso, permitir publicações no Facebook apenas para o departamento de marketing. Escala toda a transmissão relacionada com o Facebook para malware e exploits.

Permitir, numa base de categoria, aplicações que utilizem media streaming, mas aplicando uma política de QoS para este grupo específico de aplicações (e não apenas para a porta) para minimizar o seu impacto nas aplicações VoIP.

Permitir aplicações de webmail mas desencriptar (SSL) a transmissão associada, realizar inspecções para detetar malware e controlar as funções de transferência de ficheiros.

Bloqueio transparente de todas as aplicações P@P, aplicações concebidas para iludir a deteção, túneis não VPN encriptados e proxies externos, independentemente da porta, do protocolo ou das tácticas concebidas para iludir a deteção.

melhores práticas

De acordo com as melhores práticas para políticas de firewall que permitem a partilha segura de aplicações, é necessário obter primeiro informações detalhadas sobre as aplicações na sua rede. A Palo Alto Networks pode ajudar a obter esta informação das seguintes formas:

A partilha segura de aplicações começa no momento em que estas são identificadas.

A firewall de próxima geração da Palo Alto Networks é construída com base na APP-ID, uma tecnologia de classificação de transmissão que identifica instantânea e automaticamente as aplicações que atravessam a rede: independentemente da porta, encriptação (SSL ou SSH) ou técnica de prevenção de deteção utilizada. Por outras palavras, a tecnologia App-ID está activada por defeito - ligue a firewall, defina as interfaces e a política inicial e já terá conhecimento das aplicações que atravessam a sua rede. Mais ninguém pode oferecer um resultado semelhante. A identidade da aplicação é então utilizada como base para a sua política de segurança. O App-ID monitoriza continuamente o estado da aplicação, verificando se determinadas propriedades, como a transferência de ficheiros ou as funções de "lançamento", estão activas. Quando há uma mudança de estatuto a este respeito, pode ser tomada uma decisão adequada com base na política de segurança. Além disso, as áreas do aspeto dos dados que estão envolvidas na tomada de decisões mais informadas e centradas na atividade incluem a descrição da aplicação, o seu comportamento, as portas que pode utilizar e a forma como é categorizada.

Proteção contra ameaças de aplicações.

A proteção contra ameaças dependente da aplicação começa por limitar o âmbito das ameaças através da implementação de uma política transparente para bloquear aplicações indesejadas, como proxies externos, aplicações concebidas para evitar a deteção e aplicações de partilha de ficheiros P2P. Uma vez autorizada a utilização de aplicações específicas e funções relacionadas, devem ser activadas as funções de proteção contra vírus, exploração de vulnerabilidades, spyware e malware moderno. Estas actividades destinam-se a alargar o contexto específico da aplicação a um sistema de prevenção de riscos. Por exemplo, só pode permitir que o Oracle RDB seja utilizado numa porta padrão para garantir a continuidade das actividades financeiras e operacionais, ao mesmo tempo que fornece proteção contra ataques de injeção de SQL e a exploração de vulnerabilidades específicas do Oracle. As funções de proteção contra ameaças que fazem parte da tecnologia Content-ID utilizam um formato de assinatura único e unificado para realizar análises de transmissão únicas (e bloqueio, de acordo com a política) de ameaças de qualquer tipo. Os actuais fornecedores de firewall estão a tentar resolver a questão de facilitar a utilização de aplicações, acrescentando funcionalidades de controlo de aplicações aos mecanismos de firewall com estado, à semelhança do que foi feito com os sistemas IPS. Esta abordagem tem várias limitações significativas.

A regra "permitir" baseada nos dados do porto tem precedência sobre a regra "bloquear tudo".

A atividade ininterrupta da classificação de transmissão baseada em portas significa que a firewall terá primeiro de abrir a porta predefinida que controla a aplicação em questão. Para controlar a página do Facebook, abra a porta tcp/80 ou tcp/443. Com base no Application Usage and Related Risk Report de dezembro de 2011, pode muito bem estar a permitir que 297 (25 por cento do conjunto habitual de aplicações empresariais) outras aplicações residam na sua rede contra a sua vontade. Isto significa, portanto, que o poder da política predefinida para bloquear todas as aplicações é significativamente reduzido. Assim que uma transmissão chega à firewall da Palo Alto Networks, o App-ID identifica imediatamente o tipo de aplicação em questão, em todas as portas, em todos os momentos. As decisões de controlo de acesso são tomadas numa base de aplicação a aplicação e o mecanismo predefinido de bloqueio de todas as aplicações pode ser mantido.

As aplicações que utilizam portas não normalizadas podem não ser tidas em conta.

Não é raro que os utilizadores com mais conhecimentos técnicos utilizem ferramentas de acesso remoto em portas não normalizadas. Os programadores de bases de dados são igualmente culpados de executarem sessões SQL em portas não standard. A dependência estrita da classificação baseada em portas significa que as aplicações que utilizam portas não padrão podem ser completamente ignoradas, apesar das definições de configuração personalizadas. Mais uma vez, a diferença fundamental é a forma como o App-ID procura todas as portas para todas as aplicações.

Numerosas políticas com informação duplicada aumentam o esforço de gestão.

Uma firewall baseada em portas e uma abordagem que utilize mecanismos adicionais de controlo de aplicações implicam a necessidade de criar e gerir uma política de firewall que inclua informações como a origem, o destino, o utilizador, a porta, a ação, etc. O mesmo conjunto de informações será utilizado para as aplicações de controlo das políticas e será complementado por dados relativos às aplicações e às actividades. Se a sua organização se assemelha à grande maioria das outras, é muito provável que esteja a utilizar centenas ou mesmo milhares de políticas de firewall. Uma abordagem centrada em várias bases com regras para a política não só aumentará a carga administrativa, como também poderá aumentar desnecessariamente os riscos comerciais e de segurança. A Palo Alto Networks utiliza um editor de políticas único e unificado que lhe permite utilizar dados de aplicações, utilizadores e conteúdos como base para as suas políticas para facilitar a utilização segura de aplicações.

Gestão sistemática da transmissão desconhecida.

A transmissão desconhecida é o exemplo da regra 80% - 20% - uma pequena proporção de transmissão em qualquer rede representa, no entanto, um grande risco. Uma transmissão desconhecida pode estar associada a uma aplicação não normalizada, a uma aplicação comercial não identificada ou a uma ameaça. Os fornecedores não dispõem de uma forma de identificar e gerir sistematicamente essas transmissões desconhecidas. Para clarificar a situação, todas as transmissões são registadas pela firewall através de logs, embora os logs das aplicações sejam gerados separadamente e sejam um subconjunto, o que torna quase impossível gerir transmissões desconhecidas. O bloqueio não é uma opção, pois pode afetar negativamente os processos empresariais. A habilitação é um fator de alto risco. A Palo Alto Networsk, por outro lado, categoriza a transmissão desconhecida de modo a que as aplicações internas possam ser encontradas e os elementos App-ID personalizados possam ser criados; isto, por sua vez, permite que os pacotes associados a aplicações comerciais não identificadas sejam interceptados e utilizados para desenvolver App-IDs; as funções de recolha de registos e de relatórios podem ser utilizadas para verificar se os pacotes representam uma ameaça. Por conseguinte, permitimos a gestão sistemática da transmissão desconhecida até ao nível de pequenos elementos de baixo risco - tudo com base na política.