Resumen del firewall de nueva generación

Transcripción

PA L O A LT O N E T W O R K S : R e s u m e n d e l a s f u n c i o n e s
del firewall de nueva generación
Resumen del firewall de nueva generación
Los recientes cambios en el comportamiento de las aplicaciones y en los patrones de
uso han ido mermando de manera continua la protección que antes proporcionaba
el firewall tradicional. Los usuarios acceden a cualquier aplicación, desde cualquier
ubicación, en muchas ocasiones, para hacer su trabajo. Muchas de estas aplicaciones
utilizan puertos no estándar, puertos intermedios, o utilizan codificación para simplificar
y facilitar el acceso del usuario y evitar el firewall. Los ciberdelincuentes aprovechan
al máximo este uso sin restricciones de las aplicaciones para difundir una nueva clase
de moderno software malicioso con objetivos muy específicos. El resultado es que el
firewall tradicional, que se apoyaba en puertos y protocolos, ya no puede identificar ni
controlar las aplicaciones y las amenazas que circulan por la red.
Los intentos de recuperar el control sobre el uso de las aplicaciones y de proteger los activos digitales para
todos los usuarios han producido políticas de seguridad duplicadas, locales y remotas, con el apoyo de un
sector de ayudantes de firewall integrados autónomos o alternativos de terceras partes. Este enfoque introduce
incoherencia entre políticas y no resuelve los problemas de visibilidad y control debido a una clasificación del
tráfico imprecisa o incompleta, una gestión complicada y varios procesos de exploración provocados por la
latencia. El restablecimiento de la visibilidad y del control requiere un enfoque nuevo, renovado y completo
para la habilitación segura de aplicaciones que solo puede ofrecer un firewall de nueva generación.
Requisitos clave que deben cumplir los firewalls de nueva generación:
• Identificación de aplicaciones, no de puertos. Identificación de las aplicaciones, independientemente del protocolo,
la codificación o la táctica evasiva y uso de la identidad como base para todas las políticas de seguridad.
• Identificación de usuarios y no de direcciones IP. Aprovechar la información de usuarios y grupos
almacenada en los directorios de empresa para la visibilidad, creación de políticas, generación de
informes e investigación forense, con independencia de dónde se encuentre el usuario.
• Bloqueo de las amenazas en tiempo real. Protección del ciclo de vida completo frente a ataques, incluyendo
aplicaciones peligrosas, vulnerabilidades, software malicioso, URL de alto riesgo y una amplia gama de
archivos y contenidos maliciosos.
• Simplificar la gestión de políticas. Habilitación segura de las aplicaciones con herramientas gráficas
fáciles de usar y un editor de políticas unificado.
• Habilitación de un perímetro lógico. Garantizar a todos los usuarios, incluidos los que viajan y los
teletrabajadores, una seguridad constante que se extienda del perímetro físico al perímetro lógico.
• Proporcionar un rendimiento multi-gigabit. Combinar hardware y software creados especialmente para
permitir un rendimiento multi-gigabit de baja latencia con todos los servicios activados.
Los firewalls de nueva generación de Palo Alto Networks permiten una visibilidad y un control sin
precedentes de las aplicaciones, los usuarios y el contenido gracias a tres tecnologías de identificación
exclusivas: App-IDTM, User-ID e Content-ID. Estas tecnologías de identificación, que se encuentran en todos
los firewalls empresariales de Palo Alto Networks, permiten a las empresas habilitar el uso de aplicaciones
de forma segura, al tiempo que se reduce significativamente el coste total de propiedad gracias a la
consolidación de dispositivos.
App-ID: Clasificación de todas las aplicaciones, de todos los
puertos, en todo momento
La clasificación precisa del tráfico es la clave de cualquier
firewall y en ello se basará la política de seguridad. Los firewalls
tradicionales clasifican el tráfico por puerto y protocolo,
lo que, en un momento dado, era un mecanismo satisfactorio
para asegurar la red. Actualmente, las aplicaciones pueden
esquivar con facilidad un firewall basado en puertos mediante
su evasión, el uso de SSL y SSH, el acceso a través del puerto
80 o el uso de puertos no estándar. App-ID hace frente a las
limitaciones de visibilidad en la clasificación del tráfico que
afectan a los firewalls tradicionales mediante la aplicación de
varios mecanismos de clasificación al flujo de tráfico, tan pronto
como lo detecta el firewall, para determinar la identidad exacta
de las aplicaciones que recorren la red.
A diferencia de las ofertas adicionales que se basan únicamente
en firmas IPS, implementadas tras la clasificación basada
en puertos, cada App-ID utiliza automáticamente hasta
cuatro mecanismos diferentes de clasificación de tráfico para
identificar la aplicación. App-ID supervisa continuamente el
estado de la aplicación, reclasificando el tráfico e identificando
las diferentes funciones que se están utilizando. La política
de seguridad determina cómo tratar la aplicación: bloquear,
permitir o habilitar de forma segura (explorar y bloquear
amenazas, inspeccionar la transferencia no autorizada de
archivos y patrones de datos o “moldear” el tráfico mediante
QoS (Quality of Service o calidad de servicio).
Detección y descodificación
del protocolo de aplicaciones
Descodificación del
protocolo de aplicaciones
Firma de la aplicación
Heurística
User-ID: Habilitación de aplicaciones por usuarios y grupos
Tradicionalmente, las políticas de seguridad se aplicaban
en función de las direcciones IP, pero la naturaleza cada vez
más dinámica de los usuarios y la informática implica que las
direcciones IP por sí solas han dejado de ser un mecanismo
eficaz para supervisar y controlar la actividad del usuario.
User-ID permite que las organizaciones extiendan políticas de
habilitación de aplicaciones basadas en usuarios o en grupos
entre usuarios de Microsoft Windows, Apple Mac OS X,
Apple iOS y Linux.
PÁGINA 2
La información de los usuarios se puede recoger de directorios
empresariales (Microsoft Active Directory, eDirectory
y Open LDAP) y de ofertas de servicios de terminal (Citrix
y Microsoft Terminal Services), mientras que la integración
con Microsoft Exchange, un Portal cautivo y una API XML
permite a las organizaciones extender la política a usuarios
de Apple Mac OS X, Apple iOS y UNIX que residen
habitualmente fuera del dominio.
10.0.0.227
10.0.0.211 Supervisión
10.0.0.232 de conexión
10.0.0.220 10.0.0.239
10.0.0.242
10.0.0.245 10.0.0.209
10.0.0.217 Sondeo de
10.0.0.232 terminal
10.0.0.221
Detección
de función
Steve I Financiero
Paul I Ingeniería
User-ID
Portal
cautivo
Nancy I Marketing
Grupo financiero
Content-ID: Protección del tráfico permitido
Muchas de las aplicaciones actuales proporcionan ventajas
significativas, pero también se están utilizando como
herramienta de entrega para moderno software malicioso
y amenazas. Content-ID, junto con App-ID, proporciona a los
administradores una solución de dos frentes para proteger la
red. Después de utilizar App-ID para identificar y bloquear
aplicaciones no deseadas, los administradores pueden
habilitar de manera segura las aplicaciones autorizadas evitando
que exploits de vulnerabilidad, software malicioso moderno,
virus, botnets y otros tipos de software malicioso se propaguen
a través de la red, todo ello independientemente del puerto,
el protocolo o el método de evasión. Como complemento de los
elementos de control que ofrece Content-ID, existe una extensa
base de datos URL para controlar la navegación por Internet
y las funciones de filtrado de datos.
DATOS
N.º de tarjeta de crédito
N.º de la Seguridad
Social
Archivos
AMENAZAS
Exploits de
vulnerabilidad
Virus
Spyware
Content-ID
URL
Filtrado de
Internet
Habilitación segura de aplicaciones
La perfecta integración de App-ID, User-ID y Content-ID
permite a las organizaciones establecer políticas coherentes
de habilitación de aplicaciones, hasta el nivel funcional
de la aplicación en muchos casos, que van más allá de la
autorización o la denegación básicas. Con GlobalProtect™,
las mismas políticas que protegen a los usuarios dentro
de la sede corporativa se extienden a todos los usuarios, con
independencia de dónde se encuentren, con lo que se establece
un perímetro lógico para los usuarios fuera de la red.
Las políticas de habilitación segura se inician con la determinación,
por parte de App-ID, de la identidad de la aplicación, que se
asigna entonces al usuario asociado con User-ID, mientras
que Content-ID explora el contenido del tráfico en busca de
amenazas, archivos, patrones de datos y actividad de Internet.
Estos resultados se muestran en Application Command Center
(ACC), donde el administrador puede conocer, casi en tiempo
real, lo que sucede en la red. A continuación, en el editor de
políticas, la información que se ve en ACC sobre aplicaciones,
usuarios y contenido se pueden convertir en políticas de
seguridad adecuadas que bloquean las aplicaciones no deseadas,
al tiempo que permiten y habilitan otras de forma segura.
Por último, cualquier análisis detallado, generación de informes
o investigación forense se puede realizar, de nuevo, a partir de
aplicaciones, usuarios y contenido.
Application Command Center: La información es poder
Application Command Center (ACC) resume gráficamente la
base de datos de registro para resaltar las aplicaciones que
recorren la red, quién las utiliza y el impacto que pueden
tener en la seguridad. ACC se actualiza dinámicamente,
utilizando la continua clasificación del tráfico que realiza
App-ID; si una aplicación cambia los puertos o el
comportamiento, App-ID sigue observando el tráfico y muestra
los resultados en ACC. Las aplicaciones nuevas o desconocidas
que aparecen en ACC se pueden investigar rápidamente con
Visibilidad de aplicaciones
Visualice la actividad de la
aplicación en un formato claro
e inteligible. Añada y elimine filtros
para obtener información adicional
sobre la aplicación, sus funciones
y quién las utiliza.
PÁGINA 3
un solo clic que mostrará una descripción de la aplicación,
sus funciones clave, sus características de comportamiento
y quién la está utilizando. La visibilidad adicional de las
categorías de URL, las amenazas y los datos proporciona
un panorama completo y detallado de la actividad de la red.
Con ACC, los administradores pueden obtener de forma
rápida información adicional sobre el tráfico que recorre la
red y, después, convertir dicha información en una política de
seguridad con mayor fundamento.
Editor de políticas: Conversión de la información
en políticas de habilitación segura
La información sobre qué aplicaciones recorren la red, quién
las utiliza cuáles son los riesgos potenciales de seguridad,
permite a los administradores desplegar rápidamente políticas
de habilitación de aplicaciones, funciones de aplicaciones
y funciones basadas en puertos de una manera sistemática
y controlada. Las políticas incluyen respuestas que pueden ir
desde abiertas (permitir), pasando por moderadas (habilitación
de ciertas aplicaciones o funciones), hasta cerradas (denegar).
Algunos ejemplos serían:
• Proteger una base de datos Oracle con una limitación de
acceso a grupos financieros, forzando el tráfico a través de
los puertos estándar, e inspeccionar el tráfico en busca de
vulnerabilidades de aplicaciones.
• Permitir sólo al grupo de TI el uso de un conjunto
establecido de aplicaciones remotas de gestión (ej., SSH,
RDP, Telnet) a través de sus puertos estándar.
• Definir e imponer una política corporativa que permita
e inspeccione el uso específico de webmail y mensajería
instantánea pero bloquee sus respectivas funciones de
transferencia de archivos.
• Permitir el uso de Microsoft SharePoint Administration solo
al equipo de administración, y permitir el acceso a Microsoft
SharePoint Documents a todos los demás usuarios.
Editor de políticas unificado
Su aspecto familiar permite
crear y desplegar de
forma rápida políticas que
controlen las aplicaciones,
los usuarios y el contenido.
• Desplegar políticas de habilitación web que permitan
y exploren el tráfico a sitios web relacionados con el trabajo
mientras se bloquea el acceso a sitios web obviamente no
relacionados con el trabajo, y “controlar” el acceso a otras
mediante páginas de bloqueo personalizadas.
• Implementar políticas de QoS (Quality of Service o calidad
de servicio) que permitan tanto el uso de aplicaciones como
de sitios web que hagan un uso intensivo del ancho de banda
pero que limiten su impacto en aplicaciones VoIP.
• Descodificar el tráfico SSL a redes sociales y sitios de
webmail, y explorarlo para detectar software malicioso
y exploits.
• No permitir las descargas de archivos ejecutables
procedentes de sitios web sin clasificar si la autorización del
usuario, para evitar descargas ocultas mediante exploits de
día cero.
• Denegar todo el tráfico procedente de determinados
países o bloquear aplicaciones no deseadas, como el uso
compartido de archivos P2P, circumventors y proxies
externos.
La perfecta integración del control de aplicaciones, basado
en usuarios y grupos, y la capacidad de explorar el tráfico
permitido para detectar un gran número de amenazas, permite
a las organizaciones reducir drásticamente el número de
políticas desplegadas junto con el número de incorporaciones,
movimientos y cambios de empleados que pueden ocurrir
a diario.
PÁGINA 4
Editor de políticas: Protección de aplicaciones habilitadas
La habilitación de aplicaciones de forma segura significa
permitir el acceso a las aplicaciones y, a continuación, aplicar
la prevención de amenazas específicas y políticas de filtrado de
archivos, datos o URL. Cada uno de los elementos incluidos en
Content-ID se puede configurar aplicación por aplicación.
• Sistema de prevención de intrusiones (IPS): La protección
de vulnerabilidades integra un completo conjunto de
funciones del sistema de prevención de intrusiones
(Intrusion Prevention System, IPS) para bloquear exploits
de vulnerabilidad en la capa de aplicación y en la red,
desbordamientos en la memoria intermedia, ataques DoS
y exploraciones de puertos.
• Antivirus de red: La protección frente a virus basada en
flujos protege frente a millones de variantes de software
malicioso, incluidos virus en PDF y software malicioso
oculto en archivos comprimidos o tráfico de Internet
(HTTP/HTTPS comprimido). La descodificación SSL
basada en políticas permite a las organizaciones protegerse
frente al software malicioso que se desplaza a través de las
aplicaciones con codificación SSL.
• Filtrado de URL: Una base de datos de filtrado de
URL personalizable y totalmente integrada permite
a los administradores aplicar políticas granulares de
navegación por Internet, complementar la visibilidad de las
aplicaciones y las políticas de control, además de proteger
a la empresa de todo un espectro de riesgos legales,
reguladores y de productividad.
• Filtrado de archivos y datos: Las funciones de filtrado de
datos permiten a los administradores implementar políticas
que reduzcan los riesgos asociados a las transferencias
de archivos y datos. Las transferencias y descargas de
archivos se pueden controlar observando el interior del
archivo (en lugar de observar simplemente la extensión
del archivo), para determinar si se debe permitir o no.
Los archivos ejecutables, que por lo general se encuentran
en descargas ocultas, se pueden bloquear para proteger la
red de la propagación de software malicioso oculto. Por
último, las funciones de filtrado de datos pueden detectar
y controlar el flujo de patrones de datos confidenciales
(números de tarjetas de crédito o de la Seguridad Social).
Visibilidad de contenido y amenazas
Visualice la URL, la amenaza y la
actividad de transferencia de datos
o archivos en un formato claro
e inteligible. Añada y elimine filtros para
obtener información adicional sobre
elementos individuales.
Detección y prevención de software malicioso moderno
El software malicioso ha evolucionado para convertirse en una
aplicación que puede extenderse en la red con un nivel de acceso
y control sin precedentes dentro de la red objetivo. A medida
que la potencia del software malicioso moderno aumenta,
resulta crítico que las empresas puedan detectar inmediatamente
estas amenazas, incluso antes de que la amenaza tenga una
firma definida. Los firewalls de nueva generación de Palo Alto
Networks ofrecen a las organizaciones un enfoque con varias
facetas, basado en el análisis directo tanto de los archivos
ejecutables como del tráfico de red, para proteger sus redes
incluso antes de que estén disponibles las firmas.
• WildFire™: Utilizando un enfoque basado en la nube, WildFire
expone archivos de software malicioso nunca antes vistos
observando su comportamiento en un entorno virtualizado
seguro. WildFire busca acciones maliciosas dentro de archivos
ejecutables de Microsoft Windows, tales como el cambio de
valores del registro o de archivos del sistema operativo, la
desactivación de mecanismos de seguridad, o la inyección de
código en procesos en funcionamiento. Este análisis directo
identifica con rapidez y precisión el software malicioso
aunque no haya ningún mecanismo de protección disponible.
Los resultados se entregan inmediatamente al administrador
para responder de la manera adecuada y, automáticamente,
se genera y se entrega una firma a todos los clientes en la
próxima actualización de contenido disponible.
• Detección de botnet basada en comportamiento: App-ID
clasifica todo el tráfico en el nivel de aplicación,
exponiendo así cualquier tráfico desconocido en la red,
que con frecuencia es una indicación de software malicioso
u otra actividad de amenaza. El informe de botnet basado
en comportamiento analiza el comportamiento de la red
que indica una infección por botnet, tal como la visita
repetida a sitios de software malicioso, el uso de DNS
dinámico, IRC y otros comportamientos potencialmente
sospechosos. Los resultados se muestran en forma de
una lista de hosts potencialmente infectados que pueden
investigarse como posibles miembros de una botnet.
PÁGINA 5
Supervisión del tráfico: Análisis, generación de
informes e investigación forense
Las prácticas recomendadas sobre seguridad establecen que
los administradores deben mantener un equilibrio entre una
actitud proactiva, mediante el aprendizaje y la adaptación
continuos para proteger los activos corporativos, y una
reactiva, mediante la investigación, el análisis y la generación
de informes sobre incidentes de seguridad. ACC y el editor de
políticas se pueden utilizar para aplicar de forma proactiva
políticas de habilitación de aplicaciones, al mismo tiempo
que un completo conjunto de herramientas de supervisión
y generación de informes proporciona a las organizaciones
los medios necesarios para analizar e informar sobre la
aplicación, los usuarios y el contenido que fluye a través del
firewall de nueva generación de Palo Alto Networks.
• App-Scope: Para complementar la vista en tiempo real
de aplicaciones y contenido proporcionada por ACC,
App-Scope ofrece una vista de la aplicación dinámica que
el usuario puede personalizar, así como la actividad del
tráfico y las amenazas a lo largo de un periodo de tiempo.
• Generación de informes: Los informes predefinidos se
pueden utilizar tal como están, o bien pueden personalizarse
o agruparse en un solo informe con el fin de adaptarse
a los requisitos específicos. Todos los informes se pueden
exportar a formato CSV o PDF y se pueden ejecutar
y enviar por correo electrónico de forma programada.
• Generación de registros: El filtrado de registros en tiempo
real facilita la rápida investigación forense de cada sesión
que recorre la red. Los resultados del filtro de registro
pueden exportarse a un archivo CSV o enviarse a un
servidor syslog para poder archivarlos fuera de línea
o realizar análisis adicionales.
• Herramienta de seguimiento de sesión: Acelera la
investigación forense o de incidentes con una vista
centralizada y correlacionada a través de todos los
registros de tráfico, amenazas, URL y aplicaciones
relacionadas con una sesión individual.
GlobalProtect: Seguridad coherente en todos sitios
Las aplicaciones no son las únicas fuerzas de cambio en
la empresa. Cada vez más, los usuarios finales esperan,
simplemente, conectarse y trabajar desde cualquier ubicación,
con cualquier dispositivo que elijan. Como resultado,
los equipos de TI se esfuerzan por extender la seguridad
a estos dispositivos y estas ubicaciones, que pueden estar
claramente fuera del perímetro tradicional de la empresa.
GlobalProtect afronta este desafío mediante la extensión
de políticas de seguridad coherentes a todos los usuarios
independientemente de su ubicación y su dispositivo.
Además, GlobalProtect puede aplicar controles
adicionales sobre la base del estado del dispositivo
del usuario final. Por ejemplo, un usuario podría ver
denegado su acceso a determinadas aplicaciones o áreas
sensibles de la red si el dispositivo tuviera un antivirus
caducado o no tuviera la codificación de disco activada.
Esto permite que TI habilite la aplicación de manera
segura en diversos tipos de dispositivo de usuario final,
al tiempo que se mantiene un enfoque coherente de
nueva generación para la seguridad.
En primer lugar, GlobalProtect garantiza la conectividad
segura para todos los usuarios con una VPN transparente
que admite diversos dispositivos, entre los que se incluyen
Microsoft Windows, Apple Mac OS X, y Apple iOS. Una
vez conectado, el firewall clasifica todo el tráfico, se aplican
políticas de habilitación, se explora el tráfico para detectar
amenazas, y se protege la red y el usuario.
Road Warrior
(usuario
remoto)
GlobalProtect
Aplique políticas coherentes de
habilitación segura de aplicaciones
para todos los usuarios,
con independencia de
dónde se encuentren.
Usuario en
sucursal
3300 Olcott Street
Santa Clara, CA 95054
Central:
Ventas:
Soporte:
+1.408.573.4000
+1.866.320.4788 +1.866.898.9087
www.paloaltonetworks.com
Usuario en
sede central
Usuario en
despacho
Copyright ©2011, Palo Alto Networks, Inc. Todos los derechos reservados. Palo
Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama
son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones
están sujetas a modificaciones sin previo aviso. Palo Alto Networks no se hace
responsable de las imprecisiones que pudiera contener este documento ni
asume ninguna obligación de actualizar la información del mismo. Palo Alto
Networks se reserva el derecho a cambiar, modificar, transferir o revisar de
alguna otra forma esta publicación sin previo aviso. PAN_DS_FFOV_090111

Resumen del firewall de nueva generación

Transcripción

Documentos relacionados

seguridad de próxima generación