Firewall di nuova generazione Palo Alto Networks - Panoramica

Transcript

1 PALO ALTO PALO NETWORKS: ALTO NETWORKS: Caratteristiche Caratteristiche del firewall del firewall di nuova di generazione nuova generazione - Panoramica - Panoramica Firewall di nuova generazione Palo Alto Networks - Panoramica Cambiamenti fondamentali nell'utilizzo delle applicazioni, nel comportamento degli utenti e nell'infrastruttura di rete creano un panorama delle minacce che espone le debolezze della sicurezza della rete tradizionale, basata sulle porte. Gli utenti desiderano accedere a un numero crescente di applicazioni funzionanti su un'ampia gamma di tipi di dispositivi, spesso prestando scarsa attenzione ai rischi aziendali o per la sicurezza. Nel frattempo, l'espansione dei data center, la segmentazione della rete, la virtualizzazione e le iniziative di mobilità stanno costringendo a ripensare le modalità di abilitazione dell'accesso ad applicazioni e dati, proteggendo nel contempo la rete da una nuova e più sofisticata classe di minacce avanzate, che eludono i meccanismi di sicurezza tradizionali. Fino a oggi le scelte possibili erano due: bloccare tutte le applicazioni a vantaggio della sicurezza della rete o consentirle tutte nell'interesse del business. Queste scelte lasciavano ben poco margine al compromesso. La piattaforma di sicurezza aziendale di Palo Alto Networks offre un metodo per abilitare in modo sicuro le applicazioni necessarie agli utenti consentendo l'accesso e, al contempo, prevenendo le minacce alla sicurezza informatica. Il nostro firewall di nuova generazione è il cuore della piattaforma di sicurezza aziendale, progettato da zero per affrontare le minacce più sofisticate. Il firewall di nuova generazione controlla la totalità del traffico, incluse applicazioni, minacce e contenuti, e lo collega all'utente, indipendentemente dalla sua posizione o dal tipo di dispositivo utilizzato. L'applicazione, il contenuto e l'utente, gli elementi sui quali si basa l'attività, diventano parte integrante della policy di sicurezza aziendale. Il risultato è la capacità di allineare la sicurezza con le principali iniziative di business. Abilitare in sicurezza le applicazioni, gli utenti e i contenuti classificando tutto il traffico, determinando il business use case e assegnando policy volte a consentire e proteggere l'accesso alle applicazioni rilevanti. Prevenire le minacce eliminando applicazioni indesiderate per ridurre l'impatto delle minacce e applicare policy di sicurezza mirate, per bloccare exploit delle vulnerabilità, virus, spyware, botnet noti al sistema e malware sconosciuti (APT). Proteggere i data center attraverso la convalida delle applicazioni, l'isolamento dei dati, il controllo sulle "applicazioni canaglia" (rogue applications) e la prevenzione delle minacce. Mettere in sicurezza ambienti cloud pubblici e privati grazie a un incremento di visibilità e controllo; distribuire, applicare e gestire le policy di sicurezza di pari passo con le macchine virtuali. Abbracciare un mobile computing sicuro, portando la piattaforma di sicurezza aziendale a utenti e dispositivi, estendendo la loro ubicazione. VM Utenti interni Sede centrale Perimetro Data center interno Data center virtualizzato Filiali Utenti mobili Distribuzione di policy di enablement sicure in tutta l'organizzazione

2 La piattaforma di sicurezza aziendale consente all'organizzazione di affrontare un ampio spettro di requisiti di sicurezza, sulla base di un principio comune. Attraverso una combinazione equilibrata di sicurezza di rete, intelligence globale sulle minacce e protezione degli endpoint, l'organizzazione può supportare le iniziative di business e, al contempo, migliorare la postura generale della sicurezza, ma anche ridurre i tempi di reazione agli incidenti. APPLICATIONS, USERS AND CONTENT ALL UNDER YOUR CONTROL SQLIA SQLIA Utente contabilità autorizzato Utente vendite autorizzato Utente autorizzato Utente autorizzato Applicazioni, utenti, contenuti e dispositivi: tutto sotto controllo. La sicurezza a servizio del potenziamento del business La nostra piattaforma di sicurezza aziendale consente di potenziare il business mediante policy basate su applicazioni, utenti e contenuti. La piattaforma impiega un modello di controllo positivo, esclusivo della soluzione, che consente di abilitare applicazioni o funzioni specifiche, e di bloccare tutto il resto (in modo implicito o esplicito). Il firewall di nuova generazione esegue una verifica full stack e single pass del traffico complessivo su tutte le porte, fornendo così il contesto completo collegato all'applicazione, ai contenuti associati e all'identità dell'utente, come base per le decisioni relative alle policy di sicurezza. Classificazione di tutto il traffico, su tutte le porte, in qualsiasi momento. Oggi, le applicazioni e i relativi contenuti associati possono facilmente bypassare un firewall basato su porte, utilizzando una molteplicità di tecniche. La nostra piattaforma di sicurezza aziendale applica in modo nativo meccanismi di classificazione multipli al flusso di traffico, per identificare le applicazioni, le minacce e i malware. Viene classificato tutto il traffico indipendentemente da porta, crittografia (SSL o SSH) o impiego di tecniche di evasione. Le applicazioni non identificate, che costituiscono di norma una percentuale ridotta del traffico, ma rappresentano pur sempre un potenziale di rischio elevato, vengono automaticamente categorizzate, per consentirne una gestione sistematica. Riduzione dell'impatto delle minacce; prevenzione degli attacchi informatici. Una volta classificato integralmente il traffico, è possibile ridurre l'impatto delle minacce sulla rete accettando applicazioni specifiche e rifiutando tutte le altre. La prevenzione coordinata degli attacchi potrà quindi essere applicata per bloccare i siti malware noti e impedire exploit, virus, spyware e query DNS dannose. I malware personalizzati o sconosciuti vengono analizzati e identificati attivamente PAGINA 2

3 attraverso l'esecuzione dei file e l'osservazione diretta del relativo comportamento dannoso in un ambiente sandbox virtualizzato. Nel momento in cui vengono rilevati nuovi malware, viene generata e inviata una firma per il file infetto e il traffico correlato. Mapping del traffico delle applicazioni e delle minacce associate a utenti e dispositivi. Per migliorare la postura di sicurezza e ridurre i tempi di risposta agli incidenti, è fondamentale associare l'utilizzo delle applicazioni all'utente e al tipo di dispositivo, ed essere in grado di applicare questo contesto alle policy di sicurezza. L'integrazione con una vasta gamma di repository utente aziendali garantisce la verifica delle identità degli utenti Microsoft Windows, Mac OS X, Linux, Android o ios che accedono alle applicazioni. La visibilità e il controllo combinati su utenti e dispositivi consentono di abilitare in modo sicuro l'utilizzo di qualsiasi applicazione presente sulla rete, indipendentemente dalla posizione e dal tipo di dispositivo utilizzato dagli utenti per l'accesso. Stabilire il contesto delle applicazioni specifiche in uso, il contenuto o la minaccia che possono veicolare, e l'utente o il dispositivo associato, consente di ottimizzare la gestione delle policy, migliorare la postura di sicurezza e accelerare l'indagine sugli incidenti. Completezza del contesto per policy di protezione più rigorose Le best practice di sicurezza impongono che le decisioni assunte in merito a policy, capacità di reporting sulle attività di rete e capacità forensi dipendano dal contesto. Il contesto dell'applicazione in uso, il sito Web visitato, il payload associato e l'utente, sono tutti dati validi nell'ambito delle iniziative di protezione della rete. Sapere esattamente quali applicazioni attraversano il gateway Internet, sono attive all'interno dell'ambiente di data center o cloud, o vengono utilizzate da utenti remoti, significa poter applicare policy specifiche a tali applicazioni, e insieme a esse, una protezione coordinata contro le minacce. La disponibilità di informazioni sull'identità degli utenti, e non solo sul relativo indirizzo IP, permette di aggiungere un ulteriore elemento contestuale, per rendere l'assegnazione delle policy maggiormente granulare. Visibilità delle applicazioni: Visualizzazione dell'attività dell'applicazione in un formato chiaro e di facile lettura. Aggiunta e rimozione dei filtri per acquisire ulteriori informazioni sull'applicazione, sulle relative funzioni e sugli utenti che la utilizzano. PAGINA 3

4 Un insieme efficace di strumenti di visualizzazione grafica e filtri di registro fornisce il contesto delle attività dell'applicazione, il contenuto o la minaccia associata, l'identità dell'utente e il tipo di dispositivo utilizzato. Ciascuno di questi dati, preso singolarmente, traccia un quadro parziale della rete. Tuttavia, inserito nel contesto generale, offre una vista completa del rischio potenziale per la sicurezza, che consente di prendere decisioni più consapevoli sulle policy. Il traffico viene classificato costantemente e, nel momento in cui il relativo stato cambia, le modifiche vengono registrate a scopo di analisi e grafici di riepilogo aggiornati dinamicamente, per mostrare le informazioni in un'interfaccia Web. A livello di gateway Internet, è possibile analizzare applicazioni nuove o poco note per visualizzarne rapidamente la descrizione, le caratteristiche comportamentali e gli utenti che le utilizzano. Una maggiore visibilità sulle categorie di URL, le minacce e gli schemi di dati, offre una panoramica più completa e dettagliata del traffico di rete che attraversa il gateway. Tutti i file analizzati alla ricerca di malware sconosciuti da WildFire vengono registrati on-box con accesso completo a dettagli come applicazione utilizzata, utente, tipo di file, sistema operativo di destinazione e comportamenti dannosi osservati. All'interno del data center, vengono verificate tutte le applicazioni in uso, per garantire che siano utilizzate solo dagli utenti autorizzati. La visibilità aggiuntiva sull'attività del data center consente di confermare l'assenza di applicazioni non correttamente configurate o l'impiego rogue di SSH o RDP. In ambienti cloud pubblici e privati, attraverso la piattaforma di sicurezza aziendale le policy vengono applicate e le applicazioni protette, mantenendo al contempo il passo con la creazione e la circolazione dei server virtuali. In tutti gli scenari di distribuzione, le applicazioni sconosciute (in genere una percentuale esigua rispetto al totale presente sulla rete) possono essere classificate per l'analisi e la gestione sistematica. In molti casi, non sarà possibile essere totalmente informati sulle applicazioni in uso, sull'intensità con cui vengono utilizzate e sull'identità dei rispettivi utenti. La visibilità completa sugli aspetti del traffico di rete rilevanti per il business (applicazione, contenuti e utente) è il primo passo per un controllo delle policy più avveduto. Riduzione del rischio tramite abilitazione dalle applicazioni Tradizionalmente, il processo di riduzione del rischio implicava una limitazione dell'accesso ai servizi di rete e, in ultima analisi, una serie di ostacoli per il business. Oggi, ridurre il rischio significa poter Editor unificato delle policy: un'utility dall'aspetto intuitivo consente la rapida creazione e l'immediata implementazione di policy per il controllo di applicazioni, utenti e contenuti. PAGINA 4

5 abilitare in modo sicuro le applicazioni adottando un approccio business-centric, che consente di trovare un equilibrio tra il tradizionale approccio deny-everything e allow-everything. Impiego di gruppi di applicazioni e decrittografia SSL per restringere webmail e messaggistica istantanea a un numero limitato di varianti specifiche di applicazione; controllo di tali varianti per verificare l'assenza di minacce, e caricamento di file sospetti sconosciuti (EXE, DLL, ZIP, documenti PDF, documenti di Office, Java e APK Android) su Wildfire, per l'analisi e lo sviluppo di firme. Controllo della navigazione sul Web, consentendo e analizzando il traffico verso siti correlati all'attività aziendale e bloccando l'accesso a quelli che esulano in modo evidente dall'attività; accesso controllato a siti dubbi attraverso pagine di blocco personalizzate. Blocco esplicito di tutte le applicazioni di trasferimento di file peer-to-peer per tutti gli utenti, utilizzando filtri applicativi dinamici. Protezione dei dispositivi mobili estendendo le policy dei gateway Internet e le capacità di prevenzione delle minacce agli utenti remoti con GlobalProtect. Nel data center, utilizzo del contesto per: confermare che le applicazioni del data center stesso sono in esecuzione sulle porte standard; individuare applicazioni rogue; convalidare gli utenti; isolare i dati e proteggere le informazioni business-critical dalle minacce. Ecco alcuni esempi: Impiego di aree di sicurezza per isolare il repository dei numeri di carte di credito basato su Oracle, forzare il traffico Oracle sulle porte standard, analizzare il traffico alla ricerca di vulnerabilità in ingresso e limitare l'accesso solo al gruppo finanziario. Creazione di un gruppo di applicazioni di gestione remota (ad esempio, SSH, RDP, Telnet) che solo il reparto IT potrà utilizzare all'interno del data center. Nel data center virtuale, utilizzo di oggetti dinamici per automatizzare la creazione di policy di sicurezza di pari passo con la configurazione, la rimozione o lo spostamento di macchine virtuali SharePoint in tutto l'ambiente virtuale. Protezione delle applicazioni e dei contenuti abilitati Quando si applicano le policy di prevenzione delle minacce e di analisi dei contenuti, il contesto dell'applicazione e l'utente diventano parte integrante della policy di sicurezza. La completa integrazione tra contesto e policy di prevenzione delle minacce neutralizza le tattiche di evasione, come ad esempio il port-hopping e tunneling. È necessario ridurre l'area dello spazio di destinazione delle minacce abilitando un insieme selezionato di applicazioni, quindi definire criteri di prevenzione delle minacce e di analisi dei contenuti per il traffico in questione. Le componenti di protezione dalle minacce e di analisi dei contenuti disponibili all'interno delle policy comprendono: Prevenzione delle minacce note mediante antivirus/antispyware IPS e di rete. La protezione da una gamma di minacce note si ottiene mediante verifica single pass, utilizzando un formato uniforme per le firme e un motore di analisi basato sui flussi. Le funzionalità IPS (Intrusion Prevention System, sistema di prevenzione delle intrusioni) bloccano exploit a livello di rete e applicativo, buffer overflow, attacchi DoS e scansioni delle porte. La protezione antivirus/antispyware blocca milioni di varianti malware, inclusi i virus nascosti all'interno di file compressi o all'interno del traffico Web (HTTP/HTTPS compressi), nonché quelli noti contenuti nei file PDF. Per il traffico crittografato con SSL, è possibile applicare selettivamente la decrittazione basata su policy, e quindi analizzare il traffico alla ricerca di minacce, a prescindere dalla porta. Blocco dei malware sconosciuti o mirati con Wildfire. I malware mirati o sconosciuti (ad esempio APS) nascosti all'interno dei file possono essere identificati e analizzati da WildFire, che esegue e verifica direttamente i file sconosciuti in un ambiente sandbox virtualizzato nel cloud o sull'appliance WF-500. WildFire controlla più di 100 comportamenti dannosi e, se viene rilevato un malware, sviluppa e trasmette automaticamente una firma in soli 15 minuti. WildFire supporta tutti i principali tipi di file, tra cui: File PE;.doc,.xls e.ppt Microsoft Office; Portable Document Format (PDF); Applet Java (jar e class); e Android Application Package (APK). Inoltre, WildFire analizza i collegamenti all'interno dei messaggi di posta elettronica per bloccare gli attacchi spearphishing. PAGINA 5

6 Visibilità sui contenuti e sulle minacce: Visualizzazione di URL, minacce e attività di trasferimento file e dati in un formato chiaro e di facile lettura. Aggiunta e rimozione di filtri per acquisire ulteriori informazioni sui singoli elementi. Identificazione degli host infettati da bot e interruzione dell'attività di rete collegata a malware. La classificazione contestuale e completa di tutte le applicazioni sull'interezza delle porte, includendo il traffico sconosciuto, può spesso portare all'esposizione di anomalie o minacce sulla rete. L'utilizzo di App-ID command & control, del report sui botnet comportamentali, dei sinkholing DNS e dei DNS passivi consente di mettere rapidamente in correlazione traffico sconosciuto, DNS sospetti e query URL con host infetti; consente inoltre di applicare l'intelligence globale per intercettare e bloccare query DNS a domini dannosi. Limitazione di trasferimenti non autorizzati di file e dati. Le funzionalità di filtraggio dei dati consentono agli amministratori di implementare policy per ridurre i rischi associati ai trasferimenti non autorizzati di file e dati. I trasferimenti di file possono essere controllati attraverso un'analisi approfondita del contenuto dei file (e non della semplice estensione), al fine di stabilire se consentire o meno l'operazione di trasferimento. I file eseguibili, di norma presenti nei download non intenzionali, vengono bloccati per proteggere la rete dalla propagazione di malware invisibili. Infine, le funzionalità di filtraggio dei dati consentono di rilevare e controllare il flusso di pattern di dati riservati (numero di carte di credito, numeri di documenti di identità, ma anche pattern personalizzati). Controllo della navigazione sul Web. Un motore di filtraggio degli URL personalizzabile e completamente integrato consente agli amministratori di implementare policy granulari per il controllo della navigazione sul Web. Tale funzionalità completa la capacità di visibilità delle applicazioni e dell'applicazione di policy di controllo, proteggendo al contempo l'azienda da una vasta gamma di rischi legali, normativi e legati alla produttività. PAGINA 6

7 Policy basata su dispositivo per l'accesso all'applicazione. Utilizzando GlobalProtect, un'organizzazione può impostare policy specifiche per controllare quali dispositivi possono accedere a particolari applicazioni e risorse di rete. Ad esempio, è possibile assicurarsi che i computer portatili siano conformi all'immagine aziendale prima di consentirne l'accesso al data center; ma anche controllare se il dispositivo mobile è aggiornato, di proprietà aziendale e dotato di tutte le patch richieste, prima Manager di consentire l'accesso a dati sensibili. Utilità di raccolta registri Utilità di raccolta registri Utilità di raccolta registri VM Panorama può essere implementato su appliance dedicata o in modo distribuito per massimizzare la scalabilità. Gestione centralizzata Le piattaforme di sicurezza aziendale possono essere gestite singolarmente attraverso un'interfaccia a riga di comando (CLI, Command Line Interface), o tramite un'interfaccia Web completa basata su browser. Per le implementazioni su larga scala, è possibile utilizzare Panorama per erogare globalmente funzionalità di visibilità, modifica delle policy, reporting e registrazione per tutti i firewall di appliance hardware e virtuali. Panorama offre lo stesso livello di controllo contestuale sulla distribuzione globale disponibile per la singola appliance. L'amministrazione basata sui ruoli, in combinazione con regole pre- e post-, permette di bilanciare controllo centralizzato ed esigenza di modifica locale delle policy, nonché flessibilità nella configurazione del dispositivo. L'aspetto dell'interfaccia di gestione è identico indipendentemente dal formato utilizzato (Web o Panorama), assicurando che il passaggio da un formato all'altro non richieda alcuna curva di apprendimento. Gli amministratori potranno utilizzare una qualunque delle interfacce supportate per apportare modifiche in qualsiasi momento, senza doversi preoccupare di problematiche a livello di sincronizzazione. Il supporto aggiuntivo per strumenti basati su standard quali SNMP e REST API consente l'integrazione con tool di gestione di terze parti. Generazione di report e registrazione Applicare le best practice di sicurezza significa trovare un equilibrio tra iniziative di gestione in corso e reattività, che può includere l'indagine e l'analisi degli incidenti di sicurezza o la generazione di report quotidiani. Generazione di report: è possibile utilizzare i report predefiniti senza modificarli oppure personalizzarli o raggrupparli in un unico report in modo che rispondano a requisiti specifici. Tutti i report possono essere esportati in formato CSV o PDF ed eseguiti e inviati tramite , in base a una determinata pianificazione. Registrazione: il filtraggio dei registri in tempo reale garantisce funzionalità di analisi dettagliate per ogni sessione che attraversa la rete. Il contesto completo dell'applicazione, i contenuti, inclusi malware rilevati da Wildfire, e l'utente possono essere utilizzati come criteri di filtro, e i risultati esportati in un file CSV o inviati a un server syslog, per l'archiviazione offline o a scopo di ulteriore analisi. Anche i registri aggregati da Panorama possono essere inviati a un server syslog per l'analisi aggiuntiva o l'archiviazione. Oltre alle funzionalità di generazione di report e di registrazione fornite dalla piattaforma di sicurezza aziendale di Palo Alto Networks, è disponibile l'integrazione con strumenti SIEM di terze parti, come Splunk per Palo Alto Networks. Questi strumenti forniscono ulteriori funzionalità di reporting e visualizzazione dei dati, e consentono di mettere in correlazione gli eventi di protezione su più sistemi all'interno dell'azienda. PAGINA 7

8 PALO ALTO PALO NETWORKS: ALTO NETWORKS: Caratteristiche Caratteristiche del firewall del firewall di nuova di generazione nuova generazione - Panoramica - Panoramica Hardware ad hoc o piattaforme virtualizzate Il firewall di prossima generazione è disponibile sia su piattaforma hardware ad hoc, adatta alla piccola filiale come al data center ad alta velocità, sia in forma virtualizzata per supportare le iniziative di cloud computing. Palo Alto Networks supporta la più ampia gamma di piattaforme virtuali per gestire requisiti diversificati in relazione a data center virtualizzati e a cloud pubblici e privati. La piattaforma firewall VM-Series è disponibile per VMware ESXi, NSX, Citrix SDX, Amazon AWS e hypervisor KVM. Nella distribuzione delle piattaforme Palo Alto Networks in fattori di forma hardware o virtualizzati, è possibile utilizzare Panorama per la gestione centralizzata Great America Parkway Santa Clara, CA Telefono: Vendite: Assistenza: Copyright 2014, Palo Alto Networks, Inc. Tutti i diritti riservati. Palo Alto Networks, il logo Palo Alto Networks, PAN-OS, App-ID e Panorama sono marchi di Palo Alto Networks, Inc. Tutte le specifiche sono soggette a modifica senza preavviso. Palo Alto Networks non si assume alcuna responsabilità in merito a eventuali inesattezze presenti nel documento e non ha alcun obbligo di aggiornare le informazioni ivi contenute. Palo Alto Networks si riserva il diritto di modificare, trasferire o altrimenti correggere la presente pubblicazione senza preventiva notifica. PAN_SS_NGFOV_102914