Palo Alto Networks - Firewally příští generace. Klíčové vlastnosti Next-Generation Firewall.

Transkript

1 Palo Alto Networks - Firewally příští generace Díky změnám v chování aplikací a novým způsobům použití dochází k obcházení tradičních firewallů. Uživatelé přistupují k libovolným aplikacím z libovolných míst. Mnoho aplikací používá nestandardní porty, hop porty nebo používají šifrování pro zefektivnění přístupu uživatelů přes standardní firewall. Tento trend vývoje počítačových aplikací dovoluje počítačovým pirátům vytvářet novou generaci přesně cílených moderních malware. Výsledkem je, že klasický firewall nedokáže zabránit těmto hrozbám v přístupu do vaší sítě. Pokusy většiny administrátorů vedou k dvojení lokální a vzdálené bezpečnostní politiky. Tento přístup přináší nesrovnalosti v bezpečnostní politice a neřeší přehled a kontrolu nad problémy v důsledku nesprávných nebo neúplných klasifikacích provozu. Těžkopádně se řídí a velmi obtížně se hledají problémy. S tímto problémem si dokáží poradit pouze firewally nové generace (Next-Generation Firewall) Klíčové vlastnosti Next-Generation Firewall Identifikace aplikace nikoliv portu, na kterém je provozována. Identifikace aplikace respektive komunikačního protokolu, šifrování nebo dalších úhybných taktik a samozřejmě použití této identifikace jako základu pro bezpečnostní politiky. Možnost tvorby vlastních signatur pro aplikační detekci. Identifikace uživatele jménem, nikoliv jen dle IP adresy. Využití informací o zaměstnanci z podnikových služeb pro zviditelnění a zjednodušení při tvoření bezpečnostních politik, reportingu, a forenznímu dohledání bez ohledu na to kde se uživatel nachází. Blokování hrozeb v reálném čase. Chrání síť před zranitelnostmi, malware, vysoce riskantními URL adresami, a velkým množstvím hrozeb ze souborů nebo obsahu. Zjednodušení správy bezpečnostních politik. Bezpečné a jednoduché použití grafického nástroje pro editaci bezpečnostních politik. Jednoduché principy fungování, například: Možnost rozdělení jednotlivých interface do bezpečnostních zón a použití těchto zón pro tvorbu pravidel. Využití multi-gigabitové propustnosti kombinované s hardwarovým a softwarovým zařízením k získání nízké latence. Využití multi-gigabitového výkonu se všemi službami. Virtualizace - v rámci jednoho fyzického boxu více virtuálních firewallů. Každý virtuální systém je plně funkčním firewallem se samostatnou správou. Palo Alto Networks next-generation firewall umožňuje nebývalý přehled a kontrolu aplikací, uživatelů a obsahu pomocí tří jedinečných identifikačních technologií: App-ID, User-ID a Content-ID. Tyto identifikační technologie najdete v každém Palo Alto Networks next-generation firewallu. To dovoluje podnikům bezpečné používání aplikací, a zároveň výrazně snížení celkových nákladů na bezpečnost.

2 App-ID: Klasifikace všech aplikací, všech portů, vždy Přesná klasifikace provozu je srdcem každého firewallu, což je základ bezpečnostní politiky. Tradiční firewally klasifikovaly provoz podle portu a protokolu, což bylo dostačující. V současné době ale dokáže aplikace snadno obejít port-based firewall, hopping porty pomocí SSL a SSH, tunelování přes port 80, nebo s použitím jiných než standardních portů. App-ID automaticky použije čtyři různé mechanismy klasifikace provozu pro identifikaci aplikace. (Detekci aplikačního protokolu a dešifrování, dekódování aplikace, otisk aplikace a heuristickou analýzu). Dokáže identifikovat více než 1427 (tento počet se neustále zvětšuje) aplikací, bez ohledu na port nebo šifrování SLL protokolu. App-ID nepřetržitě monitoruje stav aplikace, re-klasifikuje provoz, a určuje různé funkce, které jsou používány aplikací. Bezpečnostní politika určuje, jak zacházet s touto komunikací můžeme jí například: zablokovat, povolit, nebo bezpečně povolit (pouze skenování, blokovat vložené hrozby, kontrola neoprávněných přenosů souborů a datových vzorů, nebo omezení šířky pásma, a podobně). Detailní aktuální přehled a informace o identifikovatelných aplikacích můžete nalézt zde: User-ID: Povolování aplikací uživatelům nebo skupinám Tradičně bylo zabezpečení pro uživatele založeno na IP adresách. Díky stále dynamičtější povaze uživatelů a počítačů se tento přístup stal neefektivním pro sledování a kontrolu aktivit uživatelů. USER-ID umožňuje organizacím monitorovat a zaznamenávat události typu přihlášení i z klientů platforem MAC OS, Apple ios, Linux/UNIX atd Informace o uživatelích může být získána např. z Microsoft AD, edirectory, nebo LDAP. Content-ID: Chránění povoleného provozu Mnoho z dnešních aplikací poskytuje významné výhody, ale jsou také používány pro šíření moderní malware a jiných bezpečnostních hrozeb. Content-ID, ve spojení s App-ID, poskytuje správcům řešení pro ochranu sítě. App-ID určí a povolí jednoznačně aplikaci. Content-ID

3 zkontroluje, zda je obsah komunikace správný (není infikován virem a podobně). Application Command Center: Vědění je síla Application Command Center (ACC), graficky znázorňuje log databáze. V první řadě ukazuje aplikace používané v síti a znázorňuje jejich potenciální dopad na zabezpečení. Nové nebo neznámé aplikace, které se objeví v ACC lze rychle vysledovat pomocí jediného kliknutí, které zobrazuje popis aplikace, její hlavní rysy, její chování, a uživatele, kteří ji používají. S ACC se může správce velmi rychle dozvědět více o provozu na síti a pak použít tyto informace na vylepšení bezpečnostní politiky.

4 Redundance a Odolnost Jsou podporovány active / active nebo active / pasive high availability metody doplněné o synchronizaci sessions a nastaveni. Heartbeat mezi dvěma stejně nakonfigurovanými zařízeními zajišťuje bezproblémové převzetí služeb při selhání zařízení. Active / pasive: Konfigurace se synchronizuje z pasivního nodu clusteru při změně konfigurace master nodu. Heartbeat zajišťuje bezproblémové převzetí služeb při selhání aktivního zařízení. Active / Active: výkon je redistribuován do dvou stejně nakonfigurovaných zařízení, kdy master nod z části předává datový provoz k filtraci a zpracovaní slave nodu. Aktivní / aktivní a asymetrické směrování: pro lepší podporu asymetrického směrování, mohou být oba přístroje nasazeny v HA konfiguraci buď s virtuálním rozhraním, nebo layer 3 rozhraním. App-ID a Content-ID jsou plně podporovány v asymetrickém prostředí. Tato možnost poskytuje také flexibilní nasazení layer 3 a podporuje sdílení zátěže a převzetí služeb při selhání na IP rozhraní. Redundance komponent Aby bylo zajištěno, že management je dostupný i při vysoké zátěži, je datová a ovládací sběrnice fyzicky oddělena, každá s dedikovaným zpracováním a pamětí. Řada PA-5000 podporuje duální napájení, SSD pevné disky, které jsou vyměnitelné za provozu. Jediný větrák, který je také hot-swap. Řada PA-4000 podporuje duální napájecí zdroje, které jsou hot-swap. Produktové řady, modely a jejich parametry PA-200 PA-200 je malý a tichý dost na to aby ležel na stole, ale zároveň dostatečně výkonný. Tato nová platforma rozšiřuje přehled, kontrolu nad aplikacemi, jejich obsahem a uživateli na pobočkách podniku. 100 Mbps firewall throughput 50 Mbps threat prevention throughput 50 Mbps IPSec VPN throughput 64,000 max sessions 1,000 new sessions per second 25 IPSec VPN tunnels/tunnel interfaces 25 SSL VPN Users 3 virtual routers 10 security zones 250 max number of policies

5 PA-500 PA-500 přináší zabezpečení internetových bran v rámci středních až velkých poboček nebo středně velkých podniků. PA-500 chrání podnikové sítě pomocí velkého výkonu a vyhrazené paměti pro síťové služby, zabezpečení, prevencí hrozeb, filtrování URL a management. 250 Mbps firewall throughput 100 Mbps threat prevention throughput 50 Mbps IPSec VPN throughput 64,000 max sessions 7,500 new sessions per second 250 IPSec VPN tunnels/tunnel interfaces 100 SSL VPN Users 2 virtual routers N/A virtual systems (base/max*) 20 security zones 1,000 max number of policies Řada PA-2000 PA-2000 Série se skládá ze dvou vysoce výkonných platforem, PA-2020 a PA-2050, oba modely se ideálně hodí pro rychlé nasazení v rámci velkých poboček a středních podniků k zajištění bezpečnosti sítě. PA-2000 série přináší novou generaci zabezpečení pomocí vyhrazené paměti pro zpracování sítí, zabezpečení, prevencí hrozeb, filtrování URL a řízení. Vysokorychlostní sběrnice zajišťuje, že management je k dispozici vždy, bez ohledu na zatížení. PA-2050 PA Gbps firewall throughput 500 Mbps threat prevention throughput 300 Mbps IPSec VPN throughput 250,000 max sessions 15,000 new sessions per second 2,000 IPSec VPN tunnels/tunnel interfaces 1,000 SSL VPN Users 10 virtual routers 1/6* virtual systems (base/max*) 40 security zones 5,000 max number of policies 500 Mbps firewall throughput 200 Mbps threat prevention throughput 200 Mbps IPSec VPN throughput 125,000 max sessions 15,000 new sessions per second 1,000 IPSec VPN tunnels/tunnel interfaces 500 SSL VPN Users 10 virtual routers 1/6* virtual systems (base/max*) 40 security zones 2,500 max number of policies

6 Řada PA-4000 PA-4000 Série se skládá ze tří vysoce výkonných modelů, PA-4060, PA-4050 a PA-4020, z nichž všechny jsou vhodné pro vysoké rychlosti a nasazení v podnikových prostředích. Tyto vysoce výkonné platformy jsou šité na míru k poskytování ochrany korporátních firewallů na propustnost až 10 Gbps s použitím speciálního zpracování sítí, zabezpečení, kontrolu obsahu a řízení. PA-4000 řada využívá 10 Gbps sběrnici pro komunikaci mezi procesory a fyzické oddělení dat zajišťuje, že management je k dispozici vždy, bez ohledu na zatížení. PA-4060 PA-4050 PA Gbps firewall throughput 5 Gbps threat prevention throughput 2 Gbps IPSec VPN throughput 2,000,000 max sessions 60,000 new sessions per second 4,000 IPSec VPN tunnels/tunnel interfaces 10,000 SSL VPN Users 125 virtual routers 25/125* virtual systems (base/max*) 500 security zones 20,000 max number of policies 10 Gbps firewall throughput 5 Gbps threat prevention throughput 2 Gbps IPSec VPN throughput 2,000,000 max sessions 60,000 new sessions per second 4,000 IPSec VPN tunnels/tunnel interfaces 10,000 SSL VPN Users 125 virtual routers 25/125* virtual systems (base/max*) 500 security zones 20,000 max number of policies 2 Gbps firewall throughput 2 Gbps threat prevention throughput 1 Gbps IPSec VPN throughput 500,000 max sessions 60,000 new sessions per second 2,000 IPSec VPN tunnels/tunnel interfaces 5,000 SSL VPN Users 20 virtual routers 10/20* virtual systems (base/max*) 80 security zones 10,000 max number of policies

7 Řada PA-5000 PA-5000 řada je určena k ochraně datových center, velkým podnikovým branám. Tyto vysoce výkonné platformy jsou šité na míru a mají propustnost až 20 Gbps. Ideálně se hodí pro nasazení do datového centra nebo pro poskytovatele služeb. Tuto řadu pohaní více než 40 procesorů rozdělených ve čtyřech funkčních oblastech: síťové služby, zabezpečení, kontrola obsahu a řízení. Spolehlivost a odolnost je dodávána active / active nebo active / pasive high availability, fyzický oddělením datové a řídicí sběrnice. Redundantními a za provozu vyměnitelnými komponentami. PA-5060 PA-5050 PA Gbps firewall throughput 10 Gbps threat prevention throughput 4 Gbps IPSec VPN throughput 4,000,000 max sessions 120,000 new sessions per second 8,000 IPSec VPN tunnels/tunnel interfaces 20,000 SSL VPN Users 225 virtual routers 25/225* virtual systems (base/max*) 900 security zones 40,000 max number of policies 10 Gbps firewall throughput 5 Gbps threat prevention throughput 4 Gbps IPSec VPN throughput 2,000,000 max sessions 120,000 new sessions per second 4,000 IPSec VPN tunnels/tunnel interfaces 10,000 SSL VPN Users 125 virtual routers 25/125* virtual systems (base/max*) 900 security zones 20,000 max number of policies 5 Gbps firewall throughput 2 Gbps threat prevention throughput 2 Gbps IPSec VPN throughput 1,000,000 max sessions 120,000 new sessions per second 2,000 IPSec VPN tunnels/tunnel interfaces 5,000 SSL VPN Users 20 virtual routers 10/20* virtual systems (base/max*) 80 security zones 10,000 max number of policies

8 Srovnání s konkurencí Palo Alto Networks a Cisco ASA Cisco ani s několika prvky nedokáže to, co Palo Alto. Cisco nemůže vyřešit přehled a kontrolu nad problémy, kterým dnes firewally čelí. Údajně dokáže srovnatelné funkce pomocí multi-boxového řešení (FW + IPS + IronPort + Proxy + MARS + NAC), ale ve skutečnosti stále nedokáže určit a kontrolovat aplikace, jejich obsah a uživatele. Palo Alto networks next-generation-firewall přináší přehled a kontrolu nad uživateli aplikacemi i obsahem (App-ID, user-id a Content-ID). ASA vidí pouze porty a protokoly - nikoliv aplikace. ASA používá stavovou inspekci, port-based klasifikaci k identifikaci provozu. Palo Alto Networks používá čtyři různé techniky pro identifikaci aplikace (detekci aplikačního protokolu a dešifrování, dekódování aplikace, otisk aplikace a heuristickou analýzu). Dokáže identifikovat více než 820 aplikací, bez ohledu na port nebo šifrování SLL protokolu. ASA nevidí uživatele ASA používá IP adresy Palo Alto Networks používá USER-ID (viz výše) ASA má možnost 3 rozšíření (volitelný HW) rozšíření I/O portů, IPS, AV ale má pouze jeden slot pro toto rozšíření. Palo Alto Networks používá 8 až 24 standardních portů a dokáže zapnout URL filtrování, Antivirus a IPS, vše v jednom pravidle pro jakýkoliv počet aplikací. ASA je založena na serverové platformě s rozšiřujícími kartami a tak je limitována výkonem při zátěži. Palo Alto Networks využívá paralelní architektury a výhod z toho plynoucích s multi-gbps propustností a minimální latencí. Palo Alto Networks a Juniper ISG ISG ani s několika prvky nedokáže to, co Palo Alto. ISG OS již dlouho nemá nové funkce. Všechny nové bezpečnostní HW Juniper platformy používají JUNOS a ScreenOS. Obdobně jako ASA nedokáže to, co Palo Alto a to ani s několika prvky. ISG nemůže vyřešit přehled a kontrolu nad problémy, kterým dnes firewally čelí. Údajně dokáže srovnatelné funkce pomocí multi-boxového řešení (FW + IPS + UAC controller + UAC agent + NSM), ale ve skutečnosti stále nedokáží určit a kontrolovat aplikace, jejich obsah a uživatele. Palo Alto networks next-generation-firewall přináší přehled a kontrolu nad uživateli aplikacemi i obsahem (App-ID, user-id a Content-ID).

9 ISG vidí pouze porty a protokoly - nikoliv aplikace. ISG používá stavovou inspekcí, port-based klasifikaci k identifikaci provozu. Palo Alto Networks používá čtyři různé techniky pro identifikaci aplikace. (detekci aplikačního protokolu a dešifrování, dekódování aplikace, otisk aplikace a heuristickou analýzu). Dokáže identifikovat více než 820 aplikací, bez ohledu na portu nebo šifrování SLL protokolu. ISG nevidí uživatele ISG používá IP adresy Palo Alto Networks používá USER-ID (viz výše) PA-4000 Series a ISG Series - srovnání parametrů Feature ISG 1000 PA-4020 ISG 2000 PA-4050 / PA-4060 Traffic classification Stateful Inspection App-ID Stateful Inspection App-ID 100 with IDP Applications Identified 100 with IDP Add-ons 820+ Add-ons 820+ SSL Decryption & Inspection NO Yes - Integrated NO Yes - Integrated Firewall Throughput 1 Gbps 2 Gbps 4 Gbps 10 Gbps Threat Prevention Throughput Not stated 2 Gbps Not stated 5 Gbps IPSec VPN Throughput 1 Gbps 1 Gbps 2 Gbps 2 Gbps 0 I/O is added via expansion 24 (PA-4050), 8 (PA- Traffic Interfaces Included 4 24 slots 4060) Expansion slots for more I/O 2 N/A 4 N/A Yes add-on IDP Yes add-on IPS blades Yes - Integrated IDP blades Yes - Integrated AV/spyware NO Yes - Integrated NO Yes - Integrated Yes in the URL Filtering Yes in the cloud Yes - Integrated cloud Yes - Integrated SSL VPN NO Yes - Integrated NO Yes - Integrated Palo Alto Networks a Juniper SSG SSG ani s několika prvky nedokáže to, co Palo Alto. Všechny nové bezpečnostní HW Juniper platformy používají JUNOS a ScreenOS. Obdobně jako ASA nedokáže to, co Palo Alto a to ani s několika prvky. ISG nemůže vyřešit přehled a kontrolu nad problémy, kterým dnes firewally čelí. Údajně dokáže srovnatelné funkce pomocí multi-boxového řešení (FW + IPS + UAC controller + UAC agent + NSM), ale ve skutečnosti stále nedokáží určit a kontrolovat aplikace, jejich obsah a uživatele. Palo Alto networks next-generation-firewall přináší přehled a kontrolu nad uživateli aplikacemi i obsahem (App-ID, user-id a Content-ID). ISG vidí pouze porty a protokoly - nikoliv aplikace. ISG používá stavovou inspekcí, port-based klasifikaci k identifikaci provozu. Palo Alto Networks používá čtyři různé techniky pro identifikaci aplikace. (detekci aplikačního protokolu a

10 dešifrování, dekódování aplikace, otisk aplikace a heuristickou analýzu). Dokáže identifikovat více než 820 aplikací, bez ohledu na portu nebo šifrování SLL protokolu. ISG nevidí uživatele ISG používá IP adresy Palo Alto Networks používá USER-ID (viz výše) PA-2000 Series a SSG 500 Series - srovnání parametrů Feature SSG 520 PA-2020 SSG 550 PA-2050 Traffic classification Stateful Inspection App-ID Stateful Inspection App-ID 20 with Deep 20 with Deep Applications Identified Inspection 820+ Inspection 820+ SSL Decryption & Inspection NO Yes - Integrated NO Yes - Integrated Firewall Throughput 650 Mbps 500 Mbps 1 Gbps 1 Gbps Threat Prevention Throughput Not stated 200 Mbps Not stated 500 Mbps IPSec VPN Throughput 300 Mbps 200 Mbps 500 Mbps 300 Mbps Traffic Interfaces Included Expansion slots for more I/O 6 N/A 6 N/A Yes - limited Yes - limited IPS coverage with DI Yes - Integrated coverage with DI Yes - Integrated AV/spyware Yes Yes - Integrated Yes Yes - Integrated URL Filtering Yes in the cloud Yes - Integrated Yes in the cloud Yes - Integrated SSL VPN NO Yes - Integrated NO Yes - Integrated Palo Alto Networks a Fortinet Přehled nad aplikacemi, uživateli a obsahem komunikace je nezbytný pro získání kontroly nad síťovou aktivitou. Fortinet nabízí omezený přehled o aktivitách na síti (grafické znázornění aktivity aplikací je limitováno několika widgety). Filtrování a vyhledávání v seznamech aplikací, je obecně méně komfortní s ohledem na přehlednost a ovládání. Palo Alto Networks využívá Application Command Center (viz výše), které administrátorovi umožňuje detailní přehled nad síťovou aktivitou, aplikacemi, uživateli, případnými hrozbami atd., na pár kliknutí myší dokáže administrátor zjistit, kdo používá danou aplikaci, kolik dat přenesla a odkud kam. Dokáže také velmi jednoduše zjistit definici aplikace, popis jejího chování, potencionální riziko a informace z třetích stran. Díky těmto informacím se dokáže administrátor během několika okamžiků zorientovat a podniknout potřebné kroky. Pro ovládání ve Fortinet se používá kombinace port-based firewall pravidel a profilů. Ovládaní je limitováno na volby povolit nebo zakázat, nedokáže na základě identifikace aplikace například použít QoS nebo jiné funkce.

11 Logování Fortinet Logování probíhá do paměti zařízení a tudíž pro analýzu logů je vidět jen posledních 1000 řádků. Pro záznam kompletního logu a jeho následné grafické vyhodnocení je třeba si dokoupit další zařízení - FortiAnalyzer Palo Alto Networks loguje přímo v boxu i s podporou exportu Reporting Fortinet dokáže jen omezeně a jen některé platformy. K plnohodnotnému grafickému reportingu je nutno dokoupit další zařízení FortiAnalyzer Palo Alto Networks má v základu zabudovaný plnohodnotný modulární reporting, jehož výsledky lze exportovat například do CSV, PDF a následné automaticky odesílat em Fortinet QoS a definice šířky pásma jen na základě front a profilu nelze přiřadit QoS a šířku pásma pro každou konkrétní aplikaci zvlášť třeba v rámci jednoho pravidla, skupině aplikací atd. Palo Alto Networks dovoluje garantovat šířku pásma uživatelům, cílům, zdrojům, interface, nebo například VPN tunelům ale i např. jednotlivé specifické aplikaci. Hardwarová architektura Fortinet není postavena na podporu ovládání aplikací Řešení bylo vyvinuto jako typický firewall. Aplikační analýza byla přidána až později jako modul. Řešení od Palo Alto Networks je od počátku postaveno a vyvíjeno na základu jednoznačné identifikace aplikace (používá paralelní zpracování atd.) Fortinet nepodporuje SSH decryptions není tedy schopen kontrolovat a monitorovat datový provoz protékající skrz SSH tunel. Palo Alto Networks plně podporuje SSH decryptions a dokáže tak odhalit i aplikace, které pro svoje skrytí používají metodu zvanou SSH tunneling. Palo Alto Networks a Check Point Identifikace a kontrola a kontrola SSH využití Check Point o nedokáže žádným způsobem ověřit, že se SSH používá pro svůj zamýšlený účel Palo Alto Networks je první firewall dekryptující, kontrolující a ovládající SSL a SSH. SSH kontrola zjišťuje, zda se přes SSH netunelují ostatní aplikace Ovládání neznámého provozu Check Point o není schopný detekovat neznámé aplikace o model negativ znamená, že neznámé aplikace jsou standardně povoleny o nelze si přizpůsobit signatury pro interní aplikace Palo Alto Networks používá App-ID (viz výše)

12 Monitorování změn chování aplikací Check Point o nedokáže identifikovat změny v chování (například Google Mail, Google Talk, Google Docs nebo SharePoint admin na SharePoint Docs) o nedokáže identifikovat jednotlivé funkce aplikace (například ve Skype chat, posílání souborů) Palo Alto Networks používá App-ID (viz výše) a lze např. povolit Skype, ale zamezit posílání souborů přes Skype Policy management Check Point o pouze omezené možnosti (povolit, zakázat) o nelze použít QoS o používá precedence tzn. nejdříve povolí provoz na portech a až poté identifikuje provoz, který nemusí rozpoznat Palo Alto Networks definují se povolené aplikace, tzn. na základě detekce aplikace je propuštěn provoz pouze u povolených, pro jednotlivé aplikace lze definovat QoS (rezervovaná šířka pásma aj.) Povolování aplikací Check Point Check point je postaven tak, že má najít aplikaci a tu zablokovat. Aplikaci, kterou nerozpozná, standardně povolí. Palo Alto Networks nejprve detekuje aplikaci a poté se aplikuje platná politika pro tuto aplikaci.