Palo Alto Networks

Надежно делиться приложениями вместо того, чтобы блокировать их. Palo Alto Networks обеспечивает правильный баланс между блокировкой и разрешением приложений с помощью политик брандмауэра, которые используют важные для бизнеса элементы, такие как идентификатор приложения, идентификатор пользователя, а также контент или тип угрозы. Такой подход ведет к более информированному контролю сетевого доступа и развитию бизнеса. Использование элементов, имеющих отношение к бизнес-процессам, трансформирует традиционные политики брандмауэра, основанные на разграничениях между разрешительными блоками, в то, что мы называем "безопасным включением приложений". (безопасное включение приложения). Это означает, что вы можете строить политики брандмауэра на основе свойств приложений/приложений, пользователей и групп, а также контента, в отличие от таких элементов, как порт, протокол и IP-адрес.

примеры

Позвольте IT команде использовать фиксированный набор приложений удаленного управления (например, SSH, RDP, telnet) на стандартных портах этих приложений, но заблокируйте их использование для всех остальных пользователей.

  • Позвольте IT команде использовать фиксированный набор приложений удаленного управления (например, SSH, RDP, telnet) на стандартных портах этих приложений, но заблокируйте их использование для всех остальных пользователей.
  • Разрешение потокового воспроизведения медиа-приложений по категориям, но применение политик QoS к этой конкретной группе приложений (а не только к порту) для минимизации их влияния на VoIP-приложения.
  • Разрешение Facebook-просмотра для всех пользователей, блокировка всех игр и социальных плагинов, связанных с ним, дополнительно разрешает Facebook-посты только для отдела маркетинга. Масштабирование всего трафика, связанного с Facebook, для обнаружения вредоносных программ и эксплойтов.
  • Разрешение веб-приложений, но дешифровка (SSL) связанной передачи, проведение проверок на наличие вредоносных программ и управление функциями передачи файлов.
  • Прозрачная блокировка всех приложений P@P, приложений, предназначенных для уклонения от обнаружения, зашифрованных не-VPN туннелей и внешних прокси, независимо от порта, протокола или тактики, разработанной для уклонения от обнаружения.

Передовые методы

В соответствии с лучшими практиками для политик брандмауэра, которые позволяют безопасный общий доступ к приложениям, Вы должны сначала получить подробную информацию о приложениях в Вашей сети. Palo Alto Networks может помочь вам получить эту информацию следующими способами:

Безопасное совместное использование приложений начинается с момента их идентификации.
Брандмауэр нового поколения Palo Alto Networks построен на APP-ID, технологии классификации передачи данных, которая мгновенно и автоматически идентифицирует приложения, проходящие через вашу сеть: независимо от используемого порта, шифрования (SSL или SSH) или техники обхода. Другими словами, технология App-ID включена по умолчанию - включите брандмауэр, определите интерфейсы и начальную политику, и Вы будете знать, какие приложения проходят через Вашу сеть. Никто другой не в состоянии предложить подобное достижение. Идентификатор приложения затем используется в качестве основы вашей политики безопасности. App-ID постоянно следит за состоянием приложений, проверяя, активны ли определенные свойства, такие как передача файлов или функции "постинга". При изменении этого статуса, соответствующее решение может быть принято на основе политики безопасности. Кроме того, к областям данных, которые способствуют принятию более обоснованных, ориентированных на бизнес решений, относятся описание приложения, его поведение, порты, которые оно может использовать, и то, как оно классифицируется.

Защита от угроз приложений.
Защита от угроз, зависящих от приложений, начинается с ограничения масштабов угроз путем внедрения прозрачной политики блокирования нежелательных приложений, таких как внешние прокси-серверы, приложения, предназначенные для уклонения от обнаружения, и приложения P2P для совместного использования файлов. Как только разрешено использование конкретных приложений и связанных с ними функций, должны быть включены функции защиты от вирусов, эксплуатации уязвимостей, шпионских и современных вредоносных программ. Эти действия направлены на расширение контекста конкретного приложения в рамках системы предотвращения угроз. Например, Вы можете разрешить использование БДД Oracle только на стандартном порту для обеспечения непрерывности финансовой и операционной деятельности, обеспечивая при этом защиту от атак SQL-инъекций и эксплуатации уязвимостей Oracle. Функции защиты от угроз, являющиеся частью технологии Content-ID, используют единый, унифицированный формат подписи для проведения однократного сканирования (и блокирования, в соответствии с политикой) передачи угроз любого типа. Текущие поставщики брандмауэров пытаются решить проблему облегчения использования приложений путем добавления функциональности контроля приложений к механизмам брандмауэра с контролем состояния соединений, подобно тому, как это было сделано с системами IPS. Этот подход имеет ряд существенных ограничений.

Правило "разрешить", основанное на данных порта, имеет приоритет над правилом "заблокировать все".Непрерывная работа по классификации вещания на основе портов означает, что брандмауэру сначала нужно будет открыть порт по умолчанию, который управляет этим приложением. Для управления страницей Facebook вы открываете либо tcp/80, либо tcp/443 порт. На основании Отчета об использовании приложений и рисках за декабрь 2011 г., вы можете разрешить 297 (25% от обычного набора корпоративных приложений) других приложений, которые находятся в вашей сети по желанию или против вашей воли. Это означает, что способность политики по умолчанию блокировать все приложения значительно снижается. Как только передача данных достигает брандмауэра Palo Alto Networks, App-ID мгновенно определяет тип приложения на всех портах в любое время. Решения по контролю доступа принимаются по каждому приложению, и стандартный механизм блокировки всех приложений может быть поддержан.

Приложения, использующие нестандартные порты, могут быть пропущены.
Нередки случаи, когда пользователи, обладающие большим техническим опытом, используют инструменты удаленного доступа на пользовательских портах. Разработчики баз данных в равной степени виноваты в том, что SQL-сессии выполняются на пользовательских портах. Строгая зависимость от классификации на основе портов означает, что приложения, использующие пользовательские порты, могут быть полностью проигнорированы, несмотря на пользовательские настройки конфигурации. Опять же, фундаментальная разница заключается в том, как App-ID ищет все порты для всех приложений.

Многочисленные политики с дублирующейся информацией дополняют усилия руководства.
Брандмауэр на основе портов и подход, использующий дополнительные механизмы контроля приложений, означают, что необходимо создавать и управлять политиками брандмауэра, которые включают в себя такую информацию, как источник, пункт назначения, пользователь, порт, действие и т.д. Тот же набор информации будет применяться к политикам контроля приложений и будет дополнен данными о приложениях и деятельности. Если ваша организация похожа на подавляющее большинство других, вы, скорее всего, будете использовать сотни или даже тысячи политик брандмауэра. Подход, сосредоточенный на нескольких основах правил для политик, не только увеличит административную нагрузку - он также может привести к неоправданной эскалации рисков для бизнеса и безопасности. Palo Alto Networks использует единый, унифицированный редактор политик, который позволяет использовать данные о приложениях, пользователях и контенте в качестве основы для ваших политик для упрощения безопасного использования приложений.

Систематическое управление неизвестной передачей.
Неизвестная передача воплощает в себе правило 80% - 20% - это небольшая часть передачи в любой сети, представляющая большой риск. Неизвестная передача может быть связана с нестандартным приложением, неопознанным коммерческим приложением или угрозой. Поставщики не имеют возможности систематически идентифицировать такие неизвестные передачи и управлять ими. Для большей ясности, вся передача записывается в журнал брандмауэром, но журналы приложений создаются отдельно и являются подмножеством, что делает практически невозможным управление неизвестными передачами. Блокирование не является вариантом, так как может негативно повлиять на бизнес-процессы. Разрешение - это высокий фактор риска. Palo Alto Networsk, с другой стороны, классифицирует неизвестные передачи так, чтобы можно было найти внутренние приложения и создать пользовательские элементы App-ID; это, в свою очередь, позволяет захватывать пакеты, связанные с неопознанными коммерческими приложениями, и использовать их для разработки App-ID; функции сбора журналов и отчетности могут быть использованы для проверки того, представляют ли пакеты угрозу. Таким образом, мы делаем возможным систематическое управление неизвестными передачами вплоть до уровня маленьких низкорисковых предметов - все это на основе политики.