Prezentacja Oferty - IT w Administracji
Transkrypt
Prezentacja Oferty - IT w Administracji
Jak skutecznie zabezpieczyć sieć Firewallami Nowej Generacji Prezentuje: Seweryn Jodłowski CNSE 4.1 • Palo Alto Networks is the Network Security Company • World-class team with strong security and networking experience - Founded in 2005, first customer July 2007, top-tier investors • Builds next-generation firewalls that identify / control 1,600+ applications - Restores the firewall as the core of enterprise network security infrastructure - Innovations: App-ID™, User-ID™, Content-ID™ • Global momentum: 10,000+ customers - July 2012: IPO on NYSE A few of the many enterprises that have deployed more than $1M • The firewall is the right place to enforce policy control • Sees all traffic • Defines trust boundary • Enables access via positive control BUT…applications have changed • Ports ≠ Applications • IP Addresses ≠ Users • Packets ≠ Content Applications Have Changed; Firewalls Have Not Applications can be “threats” • P2P file sharing, tunneling applications, anonymizers, media/video Applications carry threats • Qualys Top 20 Vulnerabilities – majority result in application-level threats Applications Carry Risk Internet “More stuff” doesn’t solve the problem Firewall “helpers” have limited view of traffic Complex and costly to buy and maintain Technology Sprawl & Creep Are Not The Answer Next Generation Firewall • • • • Integrated IPS Application Control SSL Decryption User Identification Identyfikacja ponad 1600 aplikacji, podzielonych na kategorie Definiowane własnych aplikacji Rozpoznawanie aplikacji za pomocą sygnatur i heurystyki ~ 5 - 10 nowych aplikacji tygodniowo • Korelacja adresów IP z użytkownikami aplikacji. • Polityki Firewall operują na nazwach/grupach użytkowników. • Incydenty przypisane do konkretnych użytkowników. • Integracja z Active Directory - PAN Agent komunikuje się z kontrolerami domeny lub stacjami użytkowników. • Obsługa Citrix i MS TS agent. • Dla gości „Captive Portal” (Web i NTLM). • Wykrywanie i blokowanie ataków i złośliwego kodu, nielegalnego transferu plików oraz kontrolowanie wykorzystania usług Web • Baza uniwersalnych sygnatur dla zabezpieczeń Intrusion Prevention, Anti-Virus, Anti-Spyware, itd. • Web Filtering - baza URL dostarczana przez BrightCloud. • Data Filtering - identyfikacja wrażliwych danych (m.in. SSN, CC#) dla różnych aplikacji na podstawie wyrażeń regularnych (regex). • File Filtering - identyfikacja plików na podstawie typu MIME i nagłówka pliku. Application Control as an Add-on Traffic • Port-based FW + App Ctrl (IPS) = two policies Port Firewall IPS Applications Port Policy Decision App Ctrl Policy Decision • Applications are threats; only block what you expressly look for Implications • Network access decision is made with no information • Cannot safely enable applications NGFW Application Control • Application control is in the firewall = single policy • Visibility across all ports, for all traffic, all the time Implications • Network access decision is made based on application identity • Safely enable application usage Traffic Application Firewall IPS Applications App Ctrl Policy Decision Scan Application for Threats Why Visibility & Control Must Be In The Firewall Interfejs użytkownika • Dedykowane graficzne narzędzia do wizualizacji ruchu - aplikacje, użytkownicy i zawartość • Monitorowanie i raportowanie w czasie rzeczywistym Wgląd w aplikacje, użytkowników i zawartość Szczegółowa analiza działań użytkownika Page 12 | Palo Alto Networks PA-200 PA-200 Purpose-Built Architecture PA-200 Key Specifications PA-500 Key Specifications PA-500 ◦ 250 Mbps firewall throughput ◦ 100 Mbps threat prevention throughput ◦ 50 Mbps IPSec VPN throughput ◦ 250 IPSec VPN tunnels and tunnel interfaces ◦ 7,500 new sessions per second ◦ 64,000 max sessions ◦ (8) 10/100/1000 ◦ (1) 10/100/1000 out of band management interface ◦ (1) 1 RJ-45 console interface Roczne subskrypcje Threats prevention +20% URL filtering +20% Support +16% Performance Seria PA-2000 10Gb z XFPs 10Gb 2Gb Seria PA-4000 i PA-5000 1Gb 500Mb 250Mb Odziały korporacji/ Średniej wielkości firmy Duże firmy Elastyczność pracy zabezpieczeń Analiza / Monitorowanie • Podłączenie do span port • Zapewnia monitorowanie sieci i aplikacji bez wdrożenia in-line Dodatkowa warstwa ochrony Główna warstwa ochrony • Transparentne wdrożenie zabezpieczeń • Firewall tworzy strefy bezpieczeństwa w sieci • Zapewnia monitorowanie i funkcje ochrony bez modyfikacji sieci • Zapewnia monitorowanie oraz funkcje sieciowe i zabezpieczeń Elastyczność pracy zabezpieczeń L2 – VLAN 20 L2 – VLAN 10 Vwire L3 – DMZ L3 – Internet Tap – Core Switch • Wiele trybów pracy - Tap Mode, Virtual Wire, Layer 2, Layer 3 z obsługą dynamicznego rutingu. • Tryb prac zabezpieczeń dostosowany do potrzeb - w jednym urządzeniu interfejsy mogą działać w różnych trybach. • Wirtualizacja zabezpieczeń - interfejsy VLAN dla warstwy 2 i 3, wirtualne rutery, wirtualne systemy. FUNKCJE BEZPIECZEŃSTWA • Firewall poziomu sieci i aplikacji • Inspekcja ruchu SSL • NAT (portów, adresów) • Zarządzanie pasmem - DiffServ - QoS (8 kolejek per interfejs wyjściowy) • Technologie ochrony - App-ID, User-ID, Content-ID • Kontrola zawartości - Anty-Wirus - IPS i Anty-Spyware - Web Filtering - Data & File Filtering • Transparentne uwierzytelnianie użytkowników i kontrola • IPSec VPN - Route-based VPN (site-to-site) • SSL VPN Innowacje a Bezpieczeństwo The Evolving Threat Landscape Hacktivism and Affiliates Low to medium sophistication, politically motivated sabotage and theft Examples: Anonymous, LulzSec, Pr0j3ct M4yh3m Organized Cybercrime Medium to high sophistication, large-scale theft of financial data, hack-for-profit Examples: Russian Business Network Nation-State Actors Highly sophisticated, persistent, and well funded intelligence gathering. Examples: Aurora, Titan Rain, Shady RAT, GhostNet Server-Side The systems are well protected by advanced mechanisms (known target of the attack) Client-Side - Credential stealing - Remote Control Time required to capture 1st sample of malware in the wild Time required to create and verify malware signature Total Time Exposed Time before antivirus definitions are updated Days and weeks until users are protected by traditional signatures Architektura systemu WildFire Compare to Known Files Sandbox Environment Signature Generator Admin Web Portal Unknown Files From the Internet Coming into the Enterprise Firewall Submits File to WildFire Cloud Results available in minutes. New Signatures Delivered to ALL Firewalls via regular threat updates. Wildfire Portal - Reports Analiza Malware Architektura systemu WildFire WildFire Analysis Center • Sandbox-based analysis looks for over 80 malicious behaviors • Generates detailed forensics report • Creates antivirus and C&C signatures Policy-based forwarding to WildFire for analysis Potentially malicious files from Internet 28 Protection delivered to all customer firewalls ✓ ✓ ✓ Attack Drive-by download Targeted malicious email sent to user Signature Detection Malicious website exploits client-side vulnerability IPS URL Filtering User clicks on link to a malicious website Behavioral Analysis Drive-by download of malicious payload An Integrated Approach to Threat Prevention To have a chance to protect users GLOBAL PROTECT your users • Users always remain logically connected to the network and network policy • Policies are consistent with existing network security policies • Tight integration of user, application, and content in policy • Simple to purchase, deploy, and manage GLOBAL PROTECT your users Podsumujmy New Requirements for the Firewall 1. Identify applications regardless of port, protocol, evasive tactic or SSL 2. Identify users regardless of IP address 3. Protect in real-time against threats embedded across applications 4. Fine-grained visibility and policy control over application access / functionality 5. Multi-gigabit, in-line deployment with no performance degradation The Right Answer: Make the Firewall Do Its Job Dziękuję Wykorzystane w prezentacji materiały są własnością Palo Alto Networks.