FIREWALL DE PRÓXIMA GERAÇÃO
As mudanças fundamentais que estão a ocorrer no domínio das aplicações e ameaças informáticas, bem como no comportamento dos utilizadores e nas infra-estruturas de rede, estão a levar a um enfraquecimento gradual da proteção anteriormente fornecida pelas firewalls tradicionais, baseadas em portas. Nas suas tarefas diárias, os utilizadores interagem com uma variedade de aplicações e dispositivos. Entretanto, o crescimento dos centros de dados e das tecnologias de virtualização, mobilidade e nuvem implica repensar a forma de garantir que as aplicações possam ser utilizadas e as redes sejam protegidas ao mesmo tempo.
Os métodos tradicionais envolvem, por exemplo, a tentativa de bloquear todo o tráfego de aplicações utilizando uma lista cada vez maior de tecnologias pontuais que são complementos da firewall. Este tipo de acordo pode dificultar as operações comerciais. Por outro lado, é possível tentar permitir o acesso a todas as aplicações, o que também é inaceitável devido aos riscos empresariais e de segurança envolvidos. O problema é que as firewalls tradicionais baseadas em portas, mesmo as que permitem o bloqueio total das aplicações, não oferecem uma alternativa a nenhum destes métodos. Para conseguir um equilíbrio entre uma abordagem de bloqueio total e uma abordagem que permita um acesso totalmente livre, é necessário utilizar características de utilização segura das aplicações com base em elementos relevantes para a empresa, como a identidade da aplicação, os dados do utilizador da aplicação ou o tipo de conteúdo, como critérios-chave para as políticas de segurança da firewall.
requisitos essenciais para uma utilização segura da aplicação
Identificação de aplicações, não de portos. Classificar o tráfego de rede assim que este chega à firewall para determinar a identidade da aplicação, independentemente do protocolo, encriptação ou tácticas evasivas. Em seguida, utilizar esta identidade como base para todas as políticas de segurança.
Associar a utilização da aplicação à identidade dos utilizadores e não ao endereço IP, independentemente da localização ou do dispositivo. Utilizar dados de utilizadores e grupos de serviços de directórios e outros recursos de informação de utilizadores para implementar políticas de utilização de aplicações consistentes para todos os utilizadores, independentemente da localização ou do dispositivo.
Proteção contra todas as ameaças – tanto conhecidas como desconhecidas. Impedir técnicas conhecidas de exploração de vulnerabilidades e o funcionamento de malware, spyware e URLs maliciosos, ao mesmo tempo que analisa o tráfego para detetar a presença de malware altamente direcionado e previamente desconhecido e se protege automaticamente contra ele.
Simplificar a gestão das políticas de segurança. Acesso seguro a aplicações e menos acções administrativas graças a ferramentas gráficas fáceis de utilizar, um editor de políticas uniforme, modelos e grupos de dispositivos.
As políticas que garantem a utilização segura das aplicações ajudam a reforçar a segurança onde quer que a implantação tenha lugar. Na rede periférica, as ameaças podem ser reduzidas através do bloqueio de um certo número de aplicações indesejadas e, em seguida, das aplicações autorizadas a procurar ameaças, tanto conhecidas como desconhecidas. No que diz respeito ao centro de dados – seja ele tradicional ou virtualizado – a tecnologia de aplicações significa que as aplicações do centro de dados só podem ser utilizadas por utilizadores autorizados, protegendo assim o conteúdo do centro contra ameaças e abordando as preocupações de segurança associadas à natureza dinâmica da infraestrutura virtual. As filiais e os utilizadores remotos podem ser protegidos com o mesmo conjunto de políticas de utilização de aplicações implementadas na sede, garantindo a consistência das políticas.
Utilizar a aplicação para fazer avançar a empresa
A utilização segura de aplicações oferecida pelas firewalls inovadoras da Palo Alto Networks ajuda a gerir as operações e a enfrentar os riscos de segurança associados ao rápido crescimento do número de aplicações na rede empresarial. A partilha de aplicações com utilizadores ou grupos de utilizadores, sejam eles locais, móveis ou remotos, e a proteção do tráfego de rede contra ameaças conhecidas e desconhecidas permitem-lhe aumentar a segurança enquanto faz crescer o seu negócio.
Classificação permanente de todas as aplicações em todos os portos
A utilização segura de aplicações oferecida pelas firewalls inovadoras da Palo Alto Networks ajuda a gerir as operações e a enfrentar os riscos de segurança associados ao rápido crescimento do número de aplicações na rede empresarial. A partilha de aplicações com utilizadores ou grupos de utilizadores, sejam eles locais, móveis ou remotos, e a proteção do tráfego de rede contra ameaças conhecidas e desconhecidas permitem-lhe aumentar a segurança enquanto faz crescer o seu negócio.
Consideração nas políticas de segurança dos utilizadores e dispositivos, e não apenas dos endereços IP
Criar e gerir políticas de segurança baseadas na aplicação e na identidade do utilizador, independentemente do dispositivo ou da localização, é um método mais eficaz de proteger a rede do que as técnicas que utilizam apenas a porta e o endereço IP. A integração com uma vasta gama de bases de dados de utilizadores empresariais identifica a identidade dos utilizadores de Microsoft Windows, Mac OS X, Linux, Android e iOS que acedem à aplicação. Os utilizadores móveis e os que trabalham remotamente estão efetivamente protegidos com as mesmas políticas consistentes aplicadas à rede local ou à rede da empresa. A combinação da visibilidade e do controlo da atividade do utilizador em relação à aplicação significa que a Oracle, o BitTorrent ou o Gmail e qualquer outra aplicação podem ser partilhados em segurança na rede, independentemente de quando ou como o utilizador lhe acede
Acesso.
Proteção contra todas as ameaças, tanto conhecidas como desconhecidas
Para poder proteger a rede atual, é necessário lidar com todos os tipos de métodos de violação conhecidos, malware e spyware, bem como com ameaças completamente desconhecidas e direccionadas. O início deste processo consiste em reduzir a superfície de ataque da rede, permitindo determinadas aplicações e rejeitando todas as outras, quer implicitamente, utilizando uma estratégia de “rejeitar todas as outras”, quer através de políticas explícitas. A proteção coordenada contra ameaças pode então ser aplicada a todo o tráfego admitido, bloqueando sites de malware conhecidos, exploradores de vulnerabilidades, vírus, spyware e consultas DNS maliciosas numa operação de uma só passagem. O malware personalizado ou outros tipos de malware desconhecido são ativamente analisados e identificados através da execução de ficheiros desconhecidos e da observação direta de mais de 100 comportamentos maliciosos num ambiente de sandbox virtualizado. Quando é descoberto novo malware, a assinatura do ficheiro infetado e o tráfego de malware associado são automaticamente gerados e entregues ao utilizador. Toda esta análise preditiva utiliza o contexto completo de aplicações e protocolos, assegurando que mesmo as ameaças que tentam esconder-se dos mecanismos de segurança em túneis, dados comprimidos ou portas não normalizadas são detectadas.
Flexibilidade na implementação e gestão
A funcionalidade de aplicação segura está disponível como parte de uma plataforma de hardware concebida à medida ou de forma virtualizada. Se estiver a implementar várias firewalls da Palo Alto Networks, seja em hardware ou de forma virtualizada, pode utilizar a ferramenta Panorama, que é uma solução de gestão centralizada opcional que fornece visibilidade dos padrões de tráfego e permite-lhe implementar políticas, gerar relatórios e fornecer actualizações de conteúdo a partir de uma localização central.
Utilização segura das aplicações: uma abordagem global
a utilização de aplicações requer uma abordagem global da segurança da rede e do desenvolvimento do negócio, com base num conhecimento profundo das aplicações na rede: quem são os utilizadores, independentemente da plataforma ou da localização, e qual a compacidade, se a houver, da aplicação. Com um conhecimento mais completo da atividade da rede, podem ser criadas políticas de segurança mais eficazes, baseadas em elementos de aplicações, utilizadores e conteúdos relevantes para a empresa. A localização dos utilizadores, a sua plataforma e o local onde a segurança é implementada – o perímetro de segurança, um centro de dados tradicional ou virtualizado, uma sucursal ou um utilizador remoto – têm um impacto mínimo ou nulo na forma como as políticas são criadas. Agora pode partilhar com segurança qualquer aplicação e conteúdo com qualquer utilizador.
utilização de aplicações e redução de riscos
A funcionalidade de aplicação segura utiliza critérios de decisão baseados em políticas, incluindo aplicação/função de aplicação, utilizadores e grupos, e conteúdo, para permitir um equilíbrio entre o bloqueio total de todas as aplicações e uma abordagem de alto risco que permita um acesso totalmente livre.
No perímetro de segurança, por exemplo, nas sucursais ou nos utilizadores móveis e remotos, as políticas de utilização das aplicações centram-se na identificação de todo o tráfego e, em seguida, na autorização selectiva do tráfego com base na identidade do utilizador e na análise do tráfego de rede em busca de ameaças. Exemplos de políticas de segurança:
- Restringir a utilização do correio eletrónico e das mensagens instantâneas a algumas variantes; desencriptar as que utilizam SSL, inspecionar o tráfego para detetar violações e enviar ficheiros desconhecidos para o serviço WildFire para análise e adição de assinaturas.
- Permitir aplicações e sítios de transmissão de multimédia, utilizando simultaneamente funcionalidades de QoS e de proteção contra malware para limitar o impacto nas aplicações VoIP e proteger a rede.
- Controlar o acesso ao Facebook, permitindo que todos os utilizadores naveguem, bloqueando todos os jogos e complementos sociais do sítio e permitindo que as mensagens do Facebook sejam publicadas apenas para fins de marketing. Verificação de todo o tráfego do Facebook em busca de malware e tentativas de exploração de vulnerabilidades de segurança.
- Controlo da utilização da Internet, permitindo e analisando o tráfego relativo a sítios relacionados com a atividade da empresa e bloqueando o acesso a sítios claramente não relacionados com a atividade; gestão do acesso a sítios questionáveis através de páginas bloqueadas personalizáveis.
- Estabelecer uma segurança consistente através da implementação transparente das mesmas políticas para todos os utilizadores (locais, móveis e remotos) utilizando o GlobalProtect.
- Utilizar uma estratégia implícita de "rejeitar tudo o resto" ou bloquear abertamente aplicações indesejadas, como P2P ou programas de contorno da segurança e tráfego de países específicos, para reduzir o tráfego de aplicações que constituem uma fonte de riscos comerciais e de segurança.
Nos centros de dados – sejam eles tradicionais, virtualizados ou mistos – as funções da utilização de aplicações são principalmente validar aplicações, procurar aplicações maliciosas e proteger dados.
- Isolar o repositório de números de cartões de crédito baseado em Oracle na sua própria zona de segurança; controlar o acesso a grupos financiados; direcionar o tráfego para portas padrão; verificar o tráfego quanto a vulnerabilidades da aplicação.
- Permitir que apenas a equipa de TI aceda ao centro de dados através de um conjunto fixo de aplicações de gestão remota (por exemplo, SSH, RDP, Telnet) em portas padrão.
- Permitir que apenas a equipa de administração da empresa utilize as funcionalidades de administração do Microsoft SharePoint e permitir que todos os outros utilizadores utilizem os documentos do SharePoint.
proteção das aplicações partilhadas
A utilização segura das aplicações implica permitir o acesso a aplicações específicas e, em seguida, aplicar políticas específicas para bloquear abusos conhecidos, malware e spyware (conhecidos e desconhecidos) e controlar a transferência de ficheiros ou dados e a atividade de navegação na Internet. As tácticas populares de contornar a segurança, como o “port hopping” e o tunneling, são combatidas com políticas preventivas que utilizam o contexto da aplicação e do protocolo gerado pelos descodificadores na função App-ID. As soluções UTM, por outro lado, utilizam métodos de prevenção de ameaças baseados em silos que são aplicados a todas as funções, firewall, IPS, antivírus, filtragem de URL, todo o tráfego de rede fora de contexto, tornando-os mais susceptíveis a técnicas evasivas.
- Bloqueio de ameaças conhecidas: IPS e software antivírus/anti-spyware baseado em rede. O formato de assinatura uniforme e o mecanismo de verificação baseado em fluxo contínuo permitem que a rede seja protegida contra uma vasta gama de ameaças. O Sistema de Prevenção de Intrusões (IPS) lida com explorações de vulnerabilidades de segurança que envolvem o bloqueio da rede e que ocorrem na camada de aplicação, e protege contra transbordos de memória intermédia, ataques DoS e rastreio de portas. A proteção antivírus/anti-spyware bloqueia milhões de variedades de malware, bem como o tráfego de comando e controlo que geram, vírus PDF e malware escondidos em ficheiros comprimidos ou tráfego Web (dados HTTP/HTTPS comprimidos). A descriptografia SSL baseada em políticas em todos os aplicativos e portas protege contra malware que passa por aplicativos criptografados por SSL.
- Bloqueio de malware desconhecido e direcionado: Wildfire™. O malware desconhecido e direcionado é identificado e analisado pelo WildFire, que executa e observa diretamente ficheiros desconhecidos num ambiente de sandbox virtualizado na nuvem. O WildFire monitoriza mais de 100 comportamentos maliciosos e os resultados da análise são imediatamente enviados para o administrador sob a forma de um alerta. Uma subscrição opcional do WildFire oferece uma proteção melhorada e funcionalidades de registo e comunicação. Os titulares de uma assinatura recebem proteção no prazo de uma hora após a descoberta de novo malware em qualquer parte do mundo, impedindo eficazmente a propagação desse malware antes de chegar ao utilizador. A subscrição também inclui o acesso à funcionalidade integrada de registo e comunicação de produtos do WildFire e uma API para carregar amostras para a nuvem do WildFire para análise.
- Identificação de hospedeiros infectados por bots. A função App-ID classifica todas as aplicações, em todas as portas, incluindo todo o tráfego desconhecido, que pode frequentemente ser uma fonte de ameaças ou anomalias na rede. O Bot Behaviour Report reúne tráfego desconhecido, consultas suspeitas de DNS e URL e uma série de diferentes comportamentos de rede invulgares, fornecendo uma imagem dos dispositivos que podem estar infectados com malware. Os resultados são apresentados sob a forma de uma lista de anfitriões potencialmente infectados que podem ser analisados como elementos suspeitos de botnet.
- Restringir a transferência não autorizada de ficheiros e dados. As funcionalidades de filtragem de dados permitem aos administradores implementar políticas para reduzir o risco de transferências não autorizadas de ficheiros e dados. A transferência de ficheiros pode ser controlada verificando a compacidade do ficheiro (não apenas a sua extensão) para determinar se a operação de transferência pode ou não ser permitida. Os ficheiros executáveis, frequentemente encontrados em ataques que envolvem transferências indesejadas, podem ser bloqueados, protegendo a rede da propagação invisível de malware. As funções de filtragem de dados detectam e controlam o fluxo de dados confidenciais (números de cartões de crédito, números de seguros ou outros números privados definidos individualmente).
- Controlo da utilização da Internet. Um mecanismo de filtragem de URL totalmente integrado e personalizável permite aos administradores aplicar políticas granulares de navegação na Web que complementam as políticas de visibilidade e controlo das aplicações e protegem a empresa de todos os tipos de problemas de conformidade regulamentar e de normas de produtividade. Além disso, as categorias de URL podem ser incorporadas na construção de políticas de segurança para uma granularidade adicional do controlo de desencriptação SSL, funções QoS ou outros elementos que são a base de outras regras.
gestão e análise contínuas
A experiência com soluções de segurança optimizadas sugere que os administradores devem encontrar um equilíbrio entre a gestão proactiva da firewall, seja para um único dispositivo ou para centenas de dispositivos, e a resposta através da investigação, análise e comunicação de incidentes de segurança.
- Gestão: cada plataforma Palo Alto Networks pode ser gerida separadamente através da interface de linha de comandos ou da GUI rica em funcionalidades. Para implementações em grande escala, o produto Panorama pode ser licenciado e implementado como uma solução de gestão centralizada, permitindo que o controlo global e centralizado seja conciliado com a flexibilidade das políticas locais através de funcionalidades como modelos e políticas partilhadas. O suporte adicional para ferramentas baseadas em normas, como SNMP e uma API baseada em REST, permite a integração com ferramentas de gestão de terceiros. Tanto a GUI do dispositivo como a interface do produto Panorama têm o mesmo design e oferecem a mesma experiência de utilizador, pelo que não há necessidade de formação adicional do utilizador em caso de migração. Os administradores podem utilizar qualquer uma das interfaces e efetuar alterações em qualquer altura sem se preocuparem com problemas de sincronização. A administração baseada em funções é suportada em todas as ferramentas de gestão, permitindo que as funções sejam atribuídas a indivíduos específicos.
- Relatórios: Os relatórios pré-definidos podem ser utilizados tal como estão ou personalizados e agrupados num único relatório, conforme necessário. Todos os relatórios podem ser exportados para o formato CSV ou PDF, abertos e enviados por correio eletrónico num horário definido.
- Registo de dados: A função de filtragem de registos em tempo real permite controlar todas as sessões na rede. Os resultados da filtragem de registos podem ser exportados para um ficheiro CSV ou enviados para um servidor syslog para arquivo offline ou análise adicional.
hardware concebido à medida ou plataforma virtualizada
A Palo Alto Networks oferece uma gama completa de plataformas de hardware personalizadas, desde o PA-200 – concebido para escritórios corporativos remotos – até ao PA-5060 – concebido para centros de dados topo de gama. A arquitetura das plataformas baseia-se em software de passagem única e utiliza processamento específico de funções para conetividade de rede, segurança, prevenção e gestão de ameaças, caracterizando-se também por um funcionamento estável e eficiente. A mesma funcionalidade de firewall com que as plataformas de hardware estão equipadas está disponível na firewall virtual da série VM, que protege ambientes informáticos virtualizados e baseados na nuvem com as mesmas políticas aplicadas a computadores de rede periférica e firewalls de escritórios remotos.