Ramsdata

logo.png

NGFW de próxima geração – o que diferencia a firewall da Palo Alto das soluções de rede clássicas

O termo “Next-Generation Firewall” (NGFW) aparece no marketing de muitos fornecedores, mas nem todos os fornecedores têm o mesmo significado. A definição clássica de NGFW (Gartner, 2009) incluía a inspeção do estado, a identificação de aplicações e utilizadores e a integração com sistemas IPS. Desde o início, a Palo Alto Networks teve a sua própria visão, mais ambiciosa, do que deveria ser uma firewall de próxima geração – e esta visão moldou o que distingue a Palo Alto Networks das soluções de rede clássicas actuais.

Índice

  1. O que era a firewall clássica e que limitações tinha?
  2. Como é que a Palo Alto Networks está a redefinir o NGFW?
  3. App-ID – identificação de aplicações em vez de portas
  4. User-ID – políticas baseadas no utilizador
  5. Content-ID – inspeção de conteúdos e riscos
  6. Acesso à rede de confiança zero da Palo Alto
  7. Integração com o ecossistema Palo Alto (Prisma, Cortex)
  8. Principais conclusões
  9. FAQ
  10. Resumo

O que era a firewall clássica e que limitações tinha?

A firewall clássica (stateful inspection) controlava o acesso à rede com base em endereços IP, portas e protocolos de transporte. A regra “permite a porta TCP 80 da LAN para a Internet” parecia sensata numa era em que a porta 80 significava HTTP e HTTP significava navegação. Essa era acabou há muito tempo.

Hoje em dia, absolutamente tudo passa pela porta 443 (HTTPS): Netflix, Dropbox, Salesforce, webmail, aplicações maliciosas, túneis de malware C2, dados roubados. Uma firewall clássica vê: “Tráfego HTTPS para a Internet – permitido”. A NGFW Palo Alto vê: “aplicação X, utilizador Y, contendo ficheiro Z, com perfil de risco W – permitir/bloquear/restringir”.

Esta diferença na visibilidade traduz-se diretamente na capacidade de aplicar políticas de segurança significativas. A combinação com as soluções NAC cria uma proteção abrangente desde a camada de rede até ao terminal.

Como é que a Palo Alto Networks está a redefinir o NGFW?

A Palo Alto Networks construiu o seu NGFW em torno de três motores de identificação: App-ID (identificação de aplicações), User-ID (identificação de utilizadores) e Content-ID (inspeção de conteúdos). Todos os três são executados simultaneamente, em cada pacote, sem a necessidade de configurar módulos separados. Trata-se de uma arquitetura de “passagem única – cada pacote é analisado por todos os motores de uma só vez, em vez de passar por uma cadeia de unidades separadas.

Na prática, isto significa que uma política de segurança pode ser a seguinte: “permite o Salesforce para o grupo Salesforce, apenas durante o horário de trabalho, verificando o conteúdo para DLP, bloqueando uploads de PDF”. Nenhuma firewall clássica ou combinação de firewall + proxy + IPS permitirá que uma regra deste tipo seja definida num único local e aplicada de uma só vez.

App-ID – identificação de aplicações em vez de portas

A App-ID é uma tecnologia da Palo Alto que identifica uma aplicação através da análise do seu comportamento e não do seu número de porta ou protocolo. A App-ID tem uma base de dados com mais de 3000 assinaturas de aplicações – desde aplicações empresariais (Salesforce, SAP, Teams) a redes sociais (Facebook, TikTok) e potencialmente maliciosas (ferramentas de tunelamento, anonimizadores, aplicações P2P).

A identificação é a vários níveis: porta e protocolo de transporte como pista, descodificação do protocolo da aplicação, análise da assinatura da aplicação e, quando insuficiente, análise heurística comportamental. O App-ID funciona mesmo para tráfego HTTPS encriptado, analisando SNI, certificados TLS e padrões de comportamento.

O resultado é a capacidade de escrever políticas orientadas a aplicativos: “bloqueia o BitTorrent independentemente da porta” em vez de “bloqueia a porta 6881-6889” (que o BitTorrent pode contornar de qualquer forma). As políticas orientadas para aplicações são mais semânticas e mais permanentes – não precisam de ser actualizadas quando uma aplicação muda de porta.

User-ID – políticas baseadas no utilizador

O User-ID mapeia endereços IP para identidades de utilizadores do Active Diretory, LDAP, sistemas SSO e outras fontes de identidade. O resultado é a capacidade de escrever políticas baseadas no utilizador e no grupo em vez do endereço IP.

“Permite o YouTube para o grupo de Marketing, bloqueia para todos os outros”. – é uma regra que é impossível de executar corretamente por uma firewall clássica quando os endereços IP dos utilizadores são dinâmicos (DHCP) ou quando vários utilizadores partilham um único dispositivo. O User-ID resolve este problema mapeando continuamente a identidade-IP a partir de registos AD, agentes em estações e integração com sistemas Captive Portal.

A consequência é também uma melhor auditoria: os registos da firewall mostram “John Smith ligou-se ao Dropbox e carregou 500 MB” em vez de “endereço IP 192.168.1.45 ligado ao IP 1.2.3.4 através da porta 443”.

Content-ID – inspeção de conteúdos e riscos

O Content-ID é um motor de inspeção profunda de pacotes (DPI) que inclui: IPS (Intrusion Prevention System) com uma base de dados de assinaturas de exploração e ataque, análise antivírus/anti-malware de ficheiros no tráfego de rede, filtragem de URLs com categorização de milhares de milhões de URLs, bloqueio de ficheiros por tipo (não apenas a extensão, mas o conteúdo real) e deteção de dados sensíveis (DLP básico no tráfego de rede).

Todas estas funções funcionam “em linha” – em tempo real, no fluxo de tráfego. Ao contrário de uma arquitetura multi-caixa (IPS separado, proxy separado, anti-vírus separado), a arquitetura unificada da Palo Alto elimina “lacunas” entre produtos através dos quais as ameaças podem passar despercebidas.

A integração com a segurança Web de próxima geração completa a proteção com filtragem avançada de conteúdos Web.

Acesso à rede de confiança zero da Palo Alto

Zero Trust é um modelo de segurança “nunca confies, verifica sempre”. – Todo o acesso deve ser autorizado, independentemente da localização do utilizador. A Palo Alto Networks implementa o Zero Trust através de vários produtos: Prisma Access (ZTNA para utilizadores remotos), NGFW como um microperímetro que segmenta a rede interna e Prisma Cloud para ambientes de nuvem.

O NGFW da Palo Alto num ambiente Zero Trust serve como o executor de políticas de acesso entre segmentos de rede – substituindo o modelo de rede plana tradicional com tráfego livre este-oeste restringido por políticas App-ID + User-ID.

Integração com o ecossistema Palo Alto (Prisma, Cortex)

O NGFW da Palo Alto não é um produto autónomo, mas faz parte de um ecossistema maior. O Cortex XDR recolhe a telemetria do NGFW para análise de correlação e deteção avançada de ameaças (APT). O Cortex XSOAR utiliza dados do NGFW para automatizar a resposta a incidentes. O Panorama é a gestão central de vários dispositivos NGFW a partir de uma única consola.

Partilha de Threat Intelligence: todos os dispositivos Palo Alto em todo o mundo contribuem para a base de dados de ameaças WildFire – os ficheiros desconhecidos são analisados numa sandbox e as assinaturas de novas ameaças são distribuídas a toda a frota em minutos.

Principais conclusões

  • O NGFW da Palo Alto vai além da definição clássica – combina App-ID, User-ID e Content-ID numa arquitetura de passagem única.
  • O App-ID identifica as aplicações com base no comportamento e não na porta, o que elimina a ocultação de aplicações em portas não padrão.
  • O ID de utilizador mapeia o IP para a identidade do AD – as políticas baseiam-se no utilizador e no grupo, não no endereço IP.
  • O Content-ID é IPS, antivírus, filtragem de URL e DLP num único motor, funcionando em linha.
  • A integração com o Cortex e o Prisma cria um ecossistema no qual o NGFW é o ponto de recolha da telemetria e da execução de políticas.

FAQ

O NGFW da Palo Alto está a substituir um IPS e um proxy dedicados? Em muitos casos, sim – o App-ID, o Content-ID e a inspeção SSL eliminam a necessidade de dispositivos separados. Para aplicações especializadas (por exemplo, proxy Web completo com autenticação Kerberos), as soluções dedicadas podem ser um complemento.

Como é que o Palo Alto NGFW lida com o tráfego encriptado TLS 1.3? Palo Alto suporta a desencriptação SSL/TLS para inspeção de tráfego encriptado, incluindo TLS 1.3 com Perfect Forward Secrecy. A gestão de certificados e as exceções são necessárias para categorias (por exemplo, bancos, saúde) que não devem ser desencriptadas.

Como é que gere vários dispositivos Palo Alto numa grande organização? O Panorama é a consola de gestão central para vários NGFWs, permitindo-lhe aplicar políticas a toda a frota, recolher registos e elaborar relatórios.

O Palo Alto NGFW está disponível como uma VM na nuvem? Sim – VM-Series é uma versão virtualizada do NGFW disponível para AWS, Azure, GCP e ambientes de virtualização (VMware, KVM).

Resumo

A firewall NGFW da Palo Alto é uma categoria de produto que redefine o que deve ser uma firewall moderna – não adicionando funcionalidades a uma arquitetura antiga, mas concebendo desde o início com a visibilidade de aplicações, identidade e conteúdo em mente. Para as organizações que ainda baseiam a segurança da rede em regras de portas e IP, a migração para NGFW é um dos passos mais importantes para uma segurança madura. Contacta a Ramsdata para saberes como a Palo Alto Networks pode reforçar a segurança de rede da tua organização.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!