Брандмауэр нового поколения

Фундаментальные изменения в вычислительных приложениях и угрозах, поведении пользователей и сетевой инфраструктуре приводят к постепенной эрозии защиты, традиционно обеспечиваемой традиционными межсетевыми экранами на базе портов. Пользователи используют различные приложения и устройства для выполнения своих повседневных задач. Между тем, центры обработки данных, виртуализация, мобильность и "облачные" технологии требуют переосмысления того, как одновременно обеспечить защиту приложений и сети.

Традиционные методы, например, пытаются блокировать весь трафик приложений с помощью постоянно расширяющегося списка точечных технологий, которые являются дополнениями к брандмауэру. Такое решение может затруднить ведение бизнеса. С другой стороны, можно попытаться разрешить доступ ко всем приложениям, что также неприемлемо из-за рисков, связанных с бизнесом и безопасностью. Проблема заключается в том, что традиционные брандмауэры на базе портов, даже те, которые позволяют полностью блокировать приложения, не предлагают альтернативы ни тому, ни другому подходу. Для достижения баланса между подходом тотальной блокады и подходом, обеспечивающим полностью беспрепятственный доступ, необходимо использовать функции безопасного использования приложений, основанные на критических для бизнеса элементах, таких как идентификатор приложения, данные пользователя приложения или тип контента, в качестве ключевых критериев для политик безопасности брандмауэра.

Основные требования для безопасного использования приложения

  • Идентификация приложений, а не портов. Классифицируйте сетевой трафик, как только он поступает на брандмауэр, чтобы определить личность приложения, независимо от протокола, шифрования или тактики уклонения. Затем используйте эту личность в качестве основы всех политик безопасности.
  • Свяжите использование приложения с идентификацией пользователя, а не с IP-адресом, независимо от местоположения или устройства. Используйте данные пользователей и групп из служб каталога и других информационных ресурсов пользователей для реализации последовательных политик использования приложений для всех пользователей, независимо от их местоположения или устройства.
  • Защита от всех угроз - как известных, так и неизвестных. Предотвращение использования известных методов эксплуатации уязвимостей и вредоносных программ, шпионских программ и вредоносных URL-адресов при анализе трафика на предмет выявления и автоматической защиты от узконаправленных и ранее неизвестных вредоносных программ.
  • Упростите управление политиками безопасности. Безопасный доступ к приложениям и меньше усилий по администрированию с помощью простых в использовании графических инструментов, редакторов единых политик, шаблонов и групп устройств.
  • Политики, обеспечивающие безопасное использование приложений, помогают повысить уровень безопасности независимо от места их развертывания. В пограничной сети угрозы могут быть смягчены, блокируя ряд нежелательных приложений, а затем позволяя приложениям сканировать на наличие угроз, как известных, так и неизвестных. Когда речь заходит о центре обработки данных - будь то традиционный или виртуализированный - технология с поддержкой приложений означает, что приложения центра обработки данных могут использоваться только авторизованными пользователями, защищая содержимое центра от угроз и решая проблемы безопасности, связанные с динамической природой виртуальной инфраструктуры. Филиалы и удаленные пользователи могут быть защищены одним и тем же набором прикладных политик, развернутым в штаб-квартире, что обеспечивает согласованность политики.

Использование приложений для управления вашим бизнесом - Инновационные брандмауэры Palo Alto Networks, обеспечивающие безопасность приложений, помогают управлять бизнесом и устранять угрозы безопасности, связанные с быстро растущим количеством приложений в корпоративной сети. Делая приложения доступными для пользователей или групп пользователей, будь то локальные, мобильные или удаленные, и защищая сетевой трафик от известных и неизвестных угроз, вы можете повысить безопасность, развивая свой бизнес.

Возможность постоянной классификации всех приложений по всем портам - Инновационные брандмауэры Palo Alto Networks, обеспечивающие безопасность приложений, помогают управлять бизнесом и устранять угрозы безопасности, связанные с быстро растущим количеством приложений в корпоративной сети. Делая приложения доступными для пользователей или групп пользователей, будь то локальные, мобильные или удаленные, и защищая сетевой трафик от известных и неизвестных угроз, вы можете повысить безопасность, развивая свой бизнес.

Включать пользователей и устройства в политики безопасности, а не только IP-адреса. - Создание и управление политиками безопасности, основанными на идентификации приложений и пользователей, независимо от устройства или местоположения, является более эффективным методом защиты сети, чем методы, использующие только порт и IP-адрес. Интеграция с широким спектром корпоративных пользовательских баз данных идентифицирует идентичность пользователей Microsoft Windows, Mac OS X, Linux, Android и iOS, имеющих доступ к приложениям. Мобильные и удаленные пользователи эффективно защищены теми же последовательными политиками, которые применяются к локальной или корпоративной сети. Сочетание видимости и контроля над активностью пользовательских приложений означает, что Вы можете безопасно совместно использовать Oracle, BitTorrent или Gmail и любое другое приложение в Вашей сети, независимо от того, когда и каким образом пользователь получает к нему доступ.
Доступ.

Защита от всех угроз, как известных, так и неизвестных - Чтобы защитить сегодняшнюю сеть, необходимо обращаться ко всем видам известных методов взлома, вредоносных и шпионских программ, а также к совершенно неизвестным и направленным угрозам. Начало этого процесса заключается в том, чтобы уменьшить незащищенную область сети, разрешив определенные приложения и отвергнув все остальные, будь то имплицитное использование стратегии "отвергнуть все остальное" или явно выраженные политики. Скоординированная защита от угроз затем может быть применена ко всему допустимому трафику путем блокирования известных вредоносных сайтов, уязвимостей, вирусов, шпионских программ и вредоносных DNS-запросов в однопроходной операции. Пользовательские или другие типы неизвестных вредоносных программ активно анализируются и идентифицируются путем выполнения неизвестных файлов и непосредственного наблюдения за более чем 100 вредоносными действиями в виртуализированной среде "песочницы". При обнаружении нового вредоносного ПО автоматически генерируется и доставляется пользователю сигнатура инфицированного файла и связанного с ним трафика вредоносного ПО. Вся эта прогнозирующая аналитика использует полный контекст приложений и протоколов, обеспечивая обнаружение даже тех угроз, которые пытаются скрыться от механизмов безопасности в туннелях, сжатых данных или настраиваемых портов.

Гибкость в реализации и управлении - Функциональность защищенных приложений доступна как часть индивидуально разработанной аппаратной платформы, так и в виртуализированном виде. При развертывании нескольких брандмауэров Palo Alto Networks, как в аппаратной, так и в виртуальной форме, можно использовать инструмент Panorama, который является дополнительным решением централизованного управления, обеспечивающим видимость шаблонов трафика и позволяющим развертывать политики, генерировать отчеты и предоставлять обновления содержимого из центрального офиса.

Безопасное использование приложений: комплексный подход - Использование приложений требует комплексного подхода к обеспечению безопасности сети и развитию бизнеса, основанного на глубоком знании приложений в сети: кто пользователи, независимо от платформы или местоположения, и какой контент, если таковой имеется, содержит приложение. Обладая более полными знаниями сетевой активности, вы можете создавать более эффективные политики безопасности, основанные на элементах приложений, пользователях и контенте, которые имеют значение для вашего бизнеса. Местоположение пользователей, их платформы и места развертывания системы безопасности - периметр безопасности, традиционный или виртуализированный центр обработки данных, филиал или удаленный пользователь - оказывают минимальное влияние или не оказывают никакого влияния на то, как создаются политики. Теперь вы можете безопасно делиться любым приложением и контентом с любым пользователем.

Полные знания означают более эффективные политики безопасности.

Опыт применения оптимальных решений безопасности показывает, что лучшее знание сетевых элементов позволяет применять более жесткие политики безопасности. Например, если администраторы точно знают, какие приложения проходят по сети - что невозможно при более широком сетевом трафике на основе портов - они могут разрешить доступ только к тем приложениям, которые полезны для бизнеса и блокируют нежелательные приложения. Знание того, кто является пользователем, а не просто знание самого IP-адреса, является еще одним критерием, который позволяет вам более точно создавать политики. С помощью расширенного набора инструментов графической визуализации администраторы получают более полное представление о деятельности приложений и ее потенциальном влиянии на безопасность, поэтому они могут принимать лучшие решения, когда речь заходит о политиках безопасности. Приложения непрерывно классифицируются, а графические сводки динамически обновляются по мере изменения их статуса с помощью удобного графического интерфейса.

  • Новые или неизвестные приложения можно быстро проверить одним щелчком мыши, отобразив описание приложения, особенности его деятельности и личность людей, его использующих.
  • Неизвестные приложения, которые обычно представляют небольшой процент трафика, но являются потенциально опасными, классифицируются и анализируются. Это позволяет определить, являются ли они внутренними приложениями, ранее неизвестными коммерческими приложениями или приложениями, представляющими угрозу безопасности.
  • Дополнительные функции видимости для категорий URL-адресов, угроз и моделей данных дают полную картину сетевой активности.
  • Чаще всего пользователям предоставляется доступ к выбранным приложениям, часто необходимым для выполнения ежедневных задач, что делает приложение, пользовательский и связанный с ним контент более важными для бизнеса, чем когда-либо. Имея более полное знание сетевых элементов, администраторы могут создавать политики для безопасного использования приложений.

Использование приложений и снижение риска

Функциональность защищенных приложений использует критерии принятия решений на основе политик, включая функцию приложения/приложения, пользователей и группы, а также контент, чтобы обеспечить баланс между полной блокировкой всех приложений и подходом с высокой степенью риска, обеспечивающим полностью свободный доступ.

На границе безопасности, например, в филиалах или мобильных и удаленных пользователях, политики использования приложений фокусируются на идентификации всего трафика, а затем выборочно разрешают трафик на основе идентификации пользователя и сканирования сетевого трафика на наличие угроз. Примеры политик безопасности:

  • Ограничить использование электронной почты и IM несколькими вариантами; расшифровать те, которые используют SSL, проверить трафик на наличие нарушений и отправить неизвестные файлы на сервис WildFire для анализа и добавления сигнатур.
  • Разрешение потоковой передачи мультимедиа приложений и сайтов при использовании функций QoS и защиты от вредоносного ПО для ограничения воздействия на VoIP-приложения и защиты сети.
  • Контроль доступа к Facebook, позволяя всем пользователям просматривать, блокировать все игры и социальные надстройки на сайте, а также позволяя сообщения Facebook только в маркетинговых целях. Сканирование всего трафика Facebook на наличие вредоносных программ и попыток использования уязвимостей безопасности.
  • Контроль использования Интернета путем разрешения и сканирования трафика на сайты, связанные с бизнесом, при блокировке доступа к сайтам, не связанным с бизнесом; управление доступом к сомнительным сайтам с помощью настраиваемой блокировки.
  • Установите последовательную безопасность, прозрачно применяя одни и те же политики для всех пользователей (локальных, мобильных и удаленных) с помощью GlobalProtect.
  • Использование неявной стратегии "отвергнуть все остальное" или открытое блокирование нежелательных приложений, таких как P2P или программы обхода безопасности и трафика из определенных стран, чтобы уменьшить трафик приложений, который является источником риска для бизнеса и безопасности.

В центрах обработки данных - будь то традиционные, виртуализированные или смешанные - функции использования приложений в первую очередь заключаются в одобрении приложений, поиске вредоносных приложений и защите данных.

  • Изоляция хранилища номеров кредитных карт на базе Oracle в собственной зоне безопасности; контроль доступа к финансируемым группам; маршрутизация трафика к стандартным портам; проверка трафика на наличие уязвимостей в приложениях.
  • Разрешите доступ в центр обработки данных только ИТ-команде, используя фиксированный набор приложений удаленного управления (например, SSH, RDP, Telnet) на стандартных портах.
  • Разрешите только команде корпоративного администрирования использовать функции администрирования Microsoft SharePoint и разрешите всем остальным пользователям использовать документы SharePoint.

Защита общих приложений

Безопасное использование приложений включает в себя разрешение доступа к определенным приложениям, а затем применение специальных политик для блокирования известных злоупотреблений, вредоносных и шпионских программ (известных и неизвестных), а также контроль над передачей файлов или данных и просмотром интернет-страниц. Популярные тактики уклонения от безопасности, такие как перепрыгивание портов и туннелирование, борются с превентивными политиками, использующими контекст приложений и протоколов, генерируемый декодерами в функции App-ID. Решения UTM, с другой стороны, используют разрозненные методы предотвращения угроз, которые применяются к каждой функции, брандмауэру, IPS, антивирусу, фильтрации URL, всему сетевому трафику без учета контекста, что делает их более восприимчивыми к методам уклонения.

  • Блокирование известных угроз: IPS и сетевые антивирусные/антишпионские программы. Унифицированный формат сигнатур и потоковое сканирование защищают вашу сеть от многих типов угроз. Система предотвращения вторжений (IPS) обрабатывает блокировку сети и уязвимости на уровне приложений, а также защищает от переполнения буфера, DoS-атак и сканирования портов. Антивирусная/антишпионская защита блокирует миллионы разновидностей вредоносных программ, а также генерируемый ими командно-контрольный трафик, вирусы PDF и вредоносные программы, скрытые в сжатых файлах или веб-трафике (сжатые данные HTTP/HTTPS). Политико-ориентированная дешифровка SSL во всех приложениях и портах защищает от вредоносного ПО, проходящего через зашифрованные приложения SSL.
  • Блокируйте неизвестные, целевые вредоносные программы: Wildfire™. Неизвестные и целевые вредоносные программы идентифицируются и анализируются WildFire, который непосредственно выполняет и наблюдает за неизвестными файлами в виртуализированной облачной песочнице. WildFire отслеживает более 100 вредоносных действий и результаты анализа немедленно передаются администратору в виде предупреждения. Дополнительная подписка на WildFire обеспечивает улучшенную защиту, протоколирование и отчетность. Подписчики получают защиту в течение часа с момента обнаружения нового вредоносного ПО в любой точке мира, что эффективно предотвращает распространение вредоносного ПО еще до того, как оно попадает к пользователю. Подписка также имеет доступ к интегрированным возможностям WildFire по ведению журналов и созданию отчетов, а также API для загрузки образцов в облако WildFire для анализа.
  • Идентификация зараженных бот-хостов. Функция App-ID классифицирует все приложения по всем портам, включая весь неизвестный трафик, который часто может быть источником угроз или аномалий в сети. Отчет о поведении ботов сопоставляет неизвестный трафик, подозрительные DNS и URL запросы, а также множество различных необычных сетевых поведений, предоставляя картину устройств, которые могут быть заражены вредоносным ПО. Результаты отображаются в виде списка потенциально инфицированных узлов, которые могут быть проанализированы как подозрительные элементы ботнета.
  • Сокращение несанкционированной передачи файлов и данных. Функции фильтрации данных позволяют администраторам внедрять политики, снижающие риск несанкционированной передачи файлов и данных. Передачами файлов можно управлять, проверяя содержимое файла (а не только его расширение), чтобы определить, может ли операция передачи быть разрешена. Исполняемые файлы, часто встречающиеся в незапрашиваемых атаках на скачивание, могут быть заблокированы, защищая сеть от невидимого распространения вредоносных программ. Функции фильтрации данных определяют и контролируют поток конфиденциальных данных (номера кредитных карт, страховых номеров или других индивидуально идентифицируемых частных номеров).
  • Контроль использования Интернета. Полностью интегрированный, настраиваемый механизм фильтрации URL-адресов позволяет администраторам применять гранулированные политики просмотра веб-страниц, которые дополняют политики видимости и контроля приложений и защищают бизнес от всех видов проблем, связанных с нормативно-правовым соответствием и стандартами производительности. Кроме того, категории URL-адресов могут быть включены в построение политик безопасности для дополнительной детализации управления расшифровкой SSL, функциями QoS или другими элементами, лежащими в основе других правил.

Непрерывное управление и анализ

Опыт работы с оптимальными решениями в области безопасности указывает на то, что администраторы должны соблюдать баланс между проактивным управлением брандмауэром, будь то для одного устройства или сотен устройств, и реагированием путем расследования, анализа и сообщения об инцидентах, связанных с безопасностью.

  • Управление: Каждой платформой Palo Alto Networks можно управлять отдельно с помощью интерфейса командной строки или многофункционального графического интерфейса. Для крупных развертываний продукт Panorama может быть лицензирован и развернут в качестве решения централизованного управления для согласования глобального централизованного контроля с гибкостью местных политик с помощью таких функций, как шаблоны и общие политики. Дополнительная поддержка таких инструментов на основе стандартов, как SNMP и API на основе REST, позволяет интегрироваться с инструментами управления сторонних производителей. И графический интерфейс прибора, и интерфейс продукта Panorama имеют одинаковый внешний вид, поэтому нет необходимости в дополнительном обучении пользователей в случае миграции. Администраторы могут использовать любой интерфейс и вносить любые изменения в любое время, не беспокоясь о проблемах синхронизации. Администрирование на основе ролей поддерживается во всех инструментах управления, что позволяет распределить функции между конкретными лицами.
  • Отчетность: Вы можете использовать предопределенные отчеты в том виде, в каком они есть, без изменений или настроек, и при необходимости сгруппировать их в один отчет. Все отчеты можно экспортировать в формат CSV или PDF, открыть и отправить по электронной почте по расписанию.
  • Журнал регистрации: Функция фильтрации журналов в режиме реального времени позволяет вам проводить аудит каждой сессии в вашей сети. Результаты фильтрации журналов могут быть экспортированы в CSV-файл или отправлены на сервер syslog для автономного архивирования или дополнительного анализа.

Индивидуально спроектированная аппаратная платформа или виртуализированная платформа

Palo Alto Networks предлагает полный спектр специализированных аппаратных платформ, начиная с PA-200, предназначенной для удаленных корпоративных офисов, и заканчивая PA-5060, предназначенной для центров обработки данных высокого класса. Архитектура платформ основана на однопроходном программном обеспечении и использует функциональную обработку для подключения к сети, обеспечения безопасности, предотвращения и управления угрозами, обеспечивая при этом стабильную и эффективную работу. Те же самые функции брандмауэра, которыми оснащены аппаратные платформы, доступны в виртуальных брандмауэрах серии VM, которые защищают виртуальные и облачные вычислительные среды с теми же самыми политиками, которые применяются к периферийным сетевым компьютерам, а также к брандмауэрам удаленных офисов.