P A L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i r e w a l l d e Ú l t i m a G e r a ç ã o
Visão Geral do Firewall de Última Geração da Palo Alto Networks
Mudanças fundamentais no uso dos aplicativos, no comportamento do usuário e na infraestrutura da rede
colaboraram para uma evolução no cenário das ameaças. Isso acabou expondo pontos fracos na proteção
convencional do firewall baseada em porta. Os usuários estão acessando mais aplicativos, em diferentes
tipos de dispositivos e com mais frequência para desempenhar suas tarefas, mas dando pouca importância
aos riscos para a empresa e à segurança. Na outra ponta, a expansão do datacenter, a segmentação das
redes, a virtualização e as iniciativas de mobilidade estão forçando você a repensar como viabilizar o acesso
aos aplicativos e aos dados e ao mesmo tempo proteger a sua rede de uma classe nova e mais sofisticada de
ameaças avançadas, preparadas para driblar os mecanismos de segurança tradicionais.
Antes você tinha duas opções: bloquear tudo em nome da segurança da rede, ou permitir tudo em
nome dos negócios. Essas opções deixavam pouco espaço para um acordo. A Palo Alto Networks
foi a primeira a trazer um firewall de última geral que permite satisfazer os dois lados: viabilizar o
acesso aos aplicativos e proteger contra ameaças conhecidas e desconhecidas.
Nosso firewall de última geração atua como alicerce de uma plataforma de segurança corporativa
destinada desde o início a responder até as ameaças mais sofisticadas. O firewall de última
geração inspeciona todo o tráfego, incluindo os aplicativos, ameaças e conteúdos relacionados
com o usuário, independente da sua localização ou do tipo de dispositivo. Aplicativos, usuários
e conteúdos são os elementos fundamentais para gerir os negócios e portanto componentes
integrais da sua política de segurança empresarial. O resultado é a habilidade alinhar a segurança
com as principais iniciativas de negócios.
• Habilite aplicativos, usuários e conteúdo com segurança, classificando todo o tráfego, determinando
a utilidade para os negócios e atribuindo políticas que autorizem e protejam aplicativos relevantes.
• Evite ameaças eliminando aplicativos não desejados para reduzir a presença de ameaças e
aplicando políticas direcionadas de segurança para bloquear explorações, vírus, spyware,
botnets e malwares desconhecidos (APTs).
• Adote a computação móvel segura, estendendo os recursos da plataforma de segurança
corporativa aos usuários e dispositivos, onde quer que eles estejam.
• Proteja seus data centers com a validação de aplicativos, isolamento dos dados, controle de
aplicativos não confiáveis e prevenção de ameaças em alta velocidade.
• Proteja os ambientes de computação em nuvem privada ou pública com maior visibilidade
e controle; implemente e mantenha políticas de segurança com o mesmo ritmo das suas
máquinas virtuais.
Sede
Virtualized Datacenter
Usuários internos
Internal Datacenter
Perímetro
Filiais
Implemente políticas seguras de ativação em toda a empresa
Usuários móveis
PA L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i re w a l l d e Ú l t i m a G e r a ç ã o
A plataforma de segurança corporativa ajuda a sua empresa a responder a uma série de requisitos
de segurança fundamentada em um princípio comum. Usando uma combinação balanceada de
segurança da rede com inteligência global de ameaças e proteção endpoint, sua empresa consegue
apoiar as iniciativas corporativas, melhorar a postura de segurança como um todo e ainda reduzir
o tempo de resposta de incidentes de segurança.
APLICATIVOS, CONTEÚDO, USUÁRIOS E DISPOSITIVOS – TUDO SOB CONTROLE
SQLIA
SQLIA
Usuário autorizado
da área financeira
Usuário autorizado
da área comercial
Usuário autorizado
Usuário autorizado
Aplicações, conteúdo, usuários e dispositivos - tudo sob o seu controle.
Como Usar a Segurança para Diferenciar Sua Empresa
O modelo de controle positivo é uma abordagem exclusiva da nossa plataforma que permite que
você habilite aplicativos ou funções específicas e bloqueie todo o resto (implicita ou explicitamente).
O firewall de última geração faz a inspeção em uma única passagem de todo o tráfego através de
todas as portas fornecendo assim um contexto completo do aplicativo, do conteúdo associado e
identidade do usuário como base para suas decisões sobre políticas de segurança.
• Classifique todo o tráfego em todas as portas e o tempo todo. Hoje, os aplicativos e o
conteúdo dos mesmos podem facilmente burlar um firewall com controle baseado em porta
valendo-se de uma série de técnicas. Nossa plataforma de segurança corporativa aplica vários
mecanismos de classificação ao fluxo de dados para identificar os aplicativos, ameaças e
malwares. Todo o tráfego é classificado, independente da porta, criptografia (SSL ou SSH)
ou técnica de evasão utilizada. Os aplicativos não identificados, normalmente uma pequena
porcentagem do tráfego, embora com possível alto risco, são categorizados automaticamente
para gerenciamento pelo sistema.
• Reduza a presença de ameaças e evite ataques cibernéticos. Com o tráfego todo classificado você
consegue proteger sua rede contra uma ampla variedade de ataques cibernéticos, autorizando
determinados aplicativos e bloqueando os demais, com consequente redução das ameaças
na rede. A proteção coordenada contra os ataques cibernéticos pode então ser aplicada ao
PÁGINA 2
PA L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i re w a l l d e Ú l t i m a G e r a ç ã o
tráfego permitido, bloqueando sites conhecidos de malwares, impedindo explorações de
vulnerabilidades, spywares e consultas de DNS maliciosas. Os malwares personalizados ou
desconhecidos encontrados nos aplicativos da sua rede são analisados e identificados executando
os arquivos e observando diretamente o comportamento malicioso deles em um ambiente de
sandbox virtualizado. Se for detectado um malware novo, é gerada e entregue automaticamente
a você assinatura para o arquivo infectado e o respectivo tráfego do malware.
• Mapeie o tráfego do aplicativo e das respectivas ameaças para usuários e dispositivos. Para
melhorar a sua postura de segurança e reduzir o tempo de resposta a incidentes, é fundamental
que você seja capaz de determinar o uso do aplicativo mapeado de acordo com o usuário e tipo
de dispositivo e seja capaz de aplicar esse contexto às políticas de segurança. A integração com
uma grande variedade de repositórios de usuário corporativos mostra a identidade do usuário
Microsoft Windows, Mac OS X, Linux, Android ou iOS e o dispositivo que está acessando o
aplicativo. A combinação de visibilidade e controle dos usuários e dispositivos permite que você
autorize o uso de qualquer aplicativo que trafegue pela rede, independente de onde o usuário
esteja ou do tipo de dispositivo que ele esteja usando.
Estabelecendo o contexto completo de quais aplicativos estão sendo usados, qual conteúdo ou
ameaça eles podem carregar e o respectivo usuário ou dispositivo, você tem um quadro mais
abrangente da atividade da rede, o que pode ajudar a agilizar o gerenciamento de políticas,
melhorar sua postura de segurança e acelerar a investigação de incidentes.
Visibilidade dos aplicativos: Veja a atividade dos aplicativos em um formato claro e fácil de ler. Adicione e remova filtros e saiba mais
sobre o aplicativo, suas funções e quem está usando ele
PÁGINA 3
PA L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i re w a l l d e Ú l t i m a G e r a ç ã o
Contexto Completo Igual a Políticas de Segurança Mais Rígidas
As práticas recomendadas de segurança dizem que as decisões que você toma com relação às
políticas, sua habilidade em reportar a atividade da rede e a sua capacidade de análise forense
dependem do contexto. O contexto do aplicativo em uso, o site visitado, o conteúdo associado e o
usuário são dados valiosos na sua busca por proteção da rede. Saber exatamente quais aplicativos
estão trafegando no seu gateway de Internet, quais estão rodando no seu data center ou ambiente
na nuvem e quais estão sendo usados pelos usuários remotos em vez de um conjunto enorme de
tráfego na porta, significa que você consegue aplicar políticas específicas para esses aplicativos e
completar com proteção coordenada contra ameaças. O conhecimento de quem é o usuário, e não
só do seu endereço IP, agrega outro elemento contextual que permite que você seja mais detalhista
na aplicação das políticas.
Um conjunto rico de ferramentas para visualização gráfica e filtragem de registros oferece a você
o contexto da atividade do aplicativo, do respectivo conteúdo ou ameaça, quem é o usuário e
em que tipo de dispositivo. Cada um desses pontos de dados em si apresenta um quadro parcial
da sua rede, que quando colocado em um contexto completo apresenta um quadro completo
do possível risco de segurança, permitindo que você tome decisões mais abalizadas com relação
as políticas. Todo o tráfego é classificado constantemente enquanto ele muda. Essas mudanças
são registradas para análise e os resumos gráficos são atualizados dinamicamente, mostrando as
informações em uma prática interface web.
• No gateway de Internet você consegue investigar aplicativos novos ou desconhecidos e ver
uma descrição rápida do aplicativo, suas características de comportamento e que está usando
o aplicativo. Você ainda consegue ver as categorias de URL, ameaças e padrões de dados para
ter um quadro ainda mais completo do tráfego de rede que passa pelo gateway.
• Todos os arquivos analisados de um malware desconhecido pelo WildFire são registrados
e armazenados, com acesso completo a todos os detalhes, entre eles o aplicativo usado, o
usuário, o tipo do arquivo, o SO de destino e os comportamentos maliciosos observados.
• Dentro do data center, você verifica todos os aplicativos que estão sendo usados e garante
que eles estejam sendo usados somente por quem está autorizado. A maior visibilidade da
atividade do data center é capaz de confirmar que não há aplicativos mal configurados nem o
uso indevido de SSH ou RDP.
Editor Unificado de Política: Um visual familiar facilita a rápida criação e implementação de políticas que controlam aplicativos, usuários e conteúdo.
PÁGINA 4
PA L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i re w a l l d e Ú l t i m a G e r a ç ã o
• Em todos os cenários de implementação, os aplicativos desconhecidos, normalmente uma pequena
porcentagem em toda rede são colocados para análise e gerenciamento.
Em vários casos, pode ser que você fique sabendo quais aplicativos são utilizados, com que
frequência e por quem. A visibilidade total dos aspectos relevantes do tráfego da rede para a sua
empresa, ou seja, dos aplicativos, do conteúdo e dos usuários, é o primeiro passo para o controle de
políticas mais abalizado.
Como Reduzir os Riscos Autorizando os Aplicativos
Tradicionalmente o processo de redução de risco implicava no acesso mais limitado aos serviços
da rede e possível interferência nos negócios. Hoje para reduzir os riscos você autoriza os
aplicativos com segurança para usuários específicos e de forma controlada, mas protegida. Esse
enfoque mais voltado para os negócios ajuda a chegar a um equilíbrio entre o enfoque “negar ou
permitir tudo” tradicional.
• Use grupos de aplicativos e criptografia SSL para limitar o uso de webmail e programas de
mensagem instantânea a algumas variantes de aplicativos específicas, inspecione-os em busca
de ameaças e faça upload dos arquivos desconhecidos suspeitos (.PDFs, documentos do Office,
EXEs) para o WildFire para análise e desenvolvimento de assinaturas.
• Controle a navegação web de todos os usuários, permitindo e varrendo o tráfego a sites
relacionados aos negócios e bloqueando o acesso a sites obviamente não relacionados ao trabalho.
Supervisione o acesso a sites questionáveis com a ajuda de páginas de bloqueio personalizadas.
• Bloqueie explicitamente todos os aplicativos para transferência de arquivos ponto a ponto para
todos os usuários usando filtros de aplicativos dinâmicos.
• Use dispositivos móveis e amplie as suas políticas relacionadas à gateway de Internet para
usuários remotos com o GlobalProtect.
No data Center, suas políticas irão utilizar contexto como uma forma de confirmar que os seus
aplicativos no data center estão sendo executados nas suas portas padrões, localizando aplicativos
não idôneos, validando usuários, isolando dados e protegendo dados críticos para a empresa de
ameaças. Entre os exemplos estão:
• Usar zonas seguras, isolar um repositório Oracle para os números de cartão de crédito, forçar o
tráfego Oracle para as portas padrão e inspecionar o tráfego em buscas de ameaças que tentem
entrar e limitar o acesso somente ao grupo financeiro.
• Criar um grupo de aplicativos de gerenciamento remoto (por exemplo, SSH, RDP, Telnet) somente
para uso do departamento de TI dentro do data center.
• No seu data center virtual, usar objetos dinâmicos para ajudar a automatizar a criação de políticas
de segurança quando houver máquinas virtuais SharePoint estabelecidas, removidas ou trafegando
pelo seu ambiente virtual.
Como Proteger Aplicativos e Conteúdo
Quando se aplica políticas para prevenção de ameaças e de varredura de conteúdo, o contexto
do aplicativo e o usuário se tornam componentes fundamentais da sua política de segurança.
O contexto completo dentro das suas políticas de prevenção de ameaças neutraliza as táticas
comuns de evasão como o hop de porta e o encapsulamento. Reduza a superfície de alvo de ataque
autorizando um conjunto seleto de aplicativos e depois aplique políticas de prevenção de ameaças e
de verificação de conteúdo a esse tráfego.
• Evite ameaças conhecidas usando IPS e antivírus/anti-spyware de rede. A proteção contra
uma série de ameaças conhecidas é feita em um único passo, usando um formato uniforme de
assinatura e um mecanismo de varredura de fluxo. Os sistemas de prevenção contra invasão
(IPS, Intrusion Prevention System) bloqueiam as explorações de vulnerabilidades na rede e
nos aplicativos, sobrecargas de buffers, ataques de negação de serviço e varreduras de porta.
A proteção antivírus/anti-spyware bloqueia milhões de variações de malwares, entre elas os
malwares ocultos em arquivos compactados ou no tráfego web (HTTP/HTTPS compactado),
PÁGINA 5
PA L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i re w a l l d e Ú l t i m a G e r a ç ã o
Visibilidade de Conteúdo e Ameaças: Veja a URL, ameaças e a atividade de transferência de arquivos/dados em um formato claro e fácil de entender.
Adicione e remova filtros para saber mais sobre cada elemento.
assim como vírus conhecidos em PDF. No caso de tráfego codificado com SSL, você pode aplicar
decodificação baseada em política seletivamente e depois inspecionar o tráfego em busca de ameaças,
independente da porta.
• Bloqueie malwares desconhecidos ou dirigidos com WildFire. Os malwares desconhecidos ou
dirigidos, como as Advanced Persistent Threats, ocultos em arquivos, podem ser identificados e
analisados pelo WildFire, que executa diretamente e observa ambientes de sanbdox virtualizados
com arquivos na nuvem e no appliance WF-500. O WildFire monitora mais de 100 comportamentos
maliciosos. Se for detectado algum malware, é desenvolvida uma assinatura automaticamente e
entregue a você em 15 minutos. O WildFire é compatível com os principais tipos de arquivos, entre
eles arquivos PE, Microsoft Office (.doc, .xls e .ppt), PDF (Portable Document Format); Java Applet
(jar e class) e APK (Android Application Package). Além disso, o WildFire analisa links em e-mails
para impedir os chamados ataques spearphishing (APK).
• Identifique hosts infectados por botnet e interrompa atividades de malwares na rede.
A classificação completa e contextual de todos os aplicativos e em todas as portas, inclusive de tráfego
desconhecido, normalmente consegue expor anomalias ou ameaças na sua rede. Use App-ID™s de
comando e controle, reporte de botnet comportamental, sinkholing de DNS e DNS passivo para
coorelação rápida de tráfego desconhecido, DNS suspeito e consultas de URL nos hosts infectados.
Aplique inteligência global para interceptar e bloquear consultas DNS de domínios maliciosos.
PÁGINA 6
PA L O A LT O N E T W O R K S : V i s ã o G e r a l d o s R e c u r s o s d o F i re w a l l d e Ú l t i m a G e r a ç ã o
• Limite as transferências de dados e arquivos não autorizadas. A filtragem de dados
permite que os seus administradores implementem políticas que irão reduzir os riscos
associados a transferências de dados e arquivos não autorizadas. As transferências de
arquivos podem ser controladas examinando dentro do arquivo e não só a sua extensão
para determinar se a ação de
transferência será autorizada
ou não. Os arquivos
Manager
executáveis, normalmente
presentes nos downloads,
podem ser bloqueados,
protegendo assim a sua rede
da propagação de malwares
Coletor de registros
Coletor de registros
Coletor de registros
que passam despercebidos. A
filtragem de dados consegue
detectar e controlar o
fluxo de padrões de dados
confidenciais (números de
cartões de crédito ou de
Panorama pode ser implementado em um appliance dedicado ou de
documentos, assim como
maneira distribuída para maximizar a escalabilidade.
padrões personalizados).
VM
• Controle a navegação web. Um mecanismo de filtragem web personalizável e totalmente
integrado permite que os seus administradores apliquem políticas de navegação detalhadas,
complementando visibilidade de aplicativos e políticas de controle e protegendo a empresa de
uma grande variedade de riscos legais, regulamentares e de produtividade. As suas políticas
de filtragem de URL são aplicadas a todo tráfego web, inclusive aos resultados em cache e
resultados de mecanismo de tradução, ambos táticas comuns de evasão de política de filtragem
de URL. Se você estiver usando políticas de busca seguras no navegador, as políticas de
bloqueio de todos os resultados de busca serão ativadas quando alguma configuração mais
rígida for ativada. Além disso, podem ser aplicadas categorias de URL nas políticas para
controle mais detalhado da decodificação SSL, QoS ou outras bases de regras. Em muitos
casos, a natureza complementar do controle de aplicativos e da filtragem de URL pode ajudar a
reduzir os esforços administrativos e o custo total de propriedade como um todo.
• Política por dispositivo para acesso aos aplicativos. Usando GlobalProtect uma empresa
pode definir políticas específicas para controlar quais dispositivos podem acessar determinados
aplicativos e recursos de rede. Por exemplo, garanta que os laptops estão em conformidade com
a imagem corporativa antes de permitir o acesso ao data center. Verifique se antes de acessar os
dados confidenciais o dispositivo móvel está atualizado, pertence a empresa e está com todos os
patches necessários.
Gerenciamento Centralizado
As plataformas de segurança da empresa podem ser gerenciadas individualmente usando uma
interface de linha de comando (CLI, command line interface), ou uma interface em navegador com
várias funcionalidades. No caso de implementações em maior escala, você pode usar o Panorama
para maior visibilidade, edição de políticas, geração de relatórios e registros para todos os seus
hardwares e firewalls em equipamentos virtuais. O Panorama oferece a você o mesmo nível de
controle contextual sobre a sua implementação global que você tem sobre um único equipamento.
A administração por função, combinada com regras pré e pós, permite balancear o controle
centralizado com a necessidade de edição de política local e flexibilidade de configuração de
dispositivos. Mesmo usando a interface web do Panorama, o visual da interface é idêntico, sem
curva de aprendizado na mudança de uma ora outra. Seus administradores podem usar qualquer
uma das interfaces disponíveis para fazer as alterações sempre que necessário, sem se preocupar
com sincronização. A compatibilidade com ferramentas padrão como SNMP e APIs em REST
facilita a integração com ferramentas de gerenciamento de terceiros.
PÁGINA 7
L OO ANLETTOWNO ERTKW
Neenxet r- aGtei on ne rFai tr ieowna lFl i rF e w
P A L OPAALT
S :O R
NK
e xSt:- G
a taulrle FOevaetruvri e wO v e r v i e w
Relatórios e Registro
As práticas recomendadas de segurança possibilitam o equilíbrio entre os esforços contínuos
de gerenciamento e ser reativo, que pode envolver a investigação e análise de incidentes de
segurança ou geração de relatórios diários.
• Relatórios: Relatórios predefinidos podem ser usados como estiverem, serem
personalizados ou agrupados em um relatório comum para atender a interesses específicos.
Todos os relatórios podem ser exportados para o formato CSV ou PDF e serem executados
e enviados por e-mail de forma programada.
• Registros: A filtragem de registros em tempo real facilita a investigação forense em cada
sessão que trafega pela sua rede. O contexto completo do aplicativo, o conteúdo, inclusive os
malwares detectados pelo WildFire e o usuário podem ser usados como critérios de filtragem
e os resultados podem ser exportados para um arquivo CSV ou enviados para um servidor
syslog para arquivamento e análise extra offline. Os registros agregados pelo Panorama
também podem ser enviados para um servidor syslog para mais análise e arquivamento.
Hardware Específico ou Plataformas Virtualizadas
Nosso firewall de última geração está disponível tanto como uma plataforma de hardware
para várias finalidades, escalável de uma filial a um data center de alta velocidade, ou como um
componente compacto virtualizado para atender as suas iniciativas de computação em nuvem.
A Palo Alto Networks é compatível com a mais ampla variedade de plataformas virtuais para
atender aos diferentes requisitos de data center virtualizado e nuvem público e privativa. A
plataforma de firewall VM-Series está disponível para hipervisores KVM, VMware ESXi, NSX,
Citrix SDX e Amazon AWS. Quando você implementa as nossas plataformas em hardware ou
como componente virtual você pode usar o Panorama para gerenciamento centralizado.
Hardware Específico ou Plataformas Virtualizadas
Nossa plataforma de segurança corporativa está disponível tanto como uma plataforma
de hardware para várias finalidades, escalável de uma filial a um data center de alta
velocidade, ou como um componente compacto virtualizado para atender as suas iniciativas
de computação em nuvem. Quando você implementa as nossas plataformas em hardware
ou como componente virtual você pode usar o Panorama, uma solução opcional para
gerenciamento centralizado, para ter maior visibilidade dos padrões de tráfego, implementar
políticas, gerar relatórios e entregar atualizações de conteúdo a partir de um ponto central.
4401 Great America Parkway
Santa Clara, CA 95054
Main:+1.408.753.4000
Sales:
+1.866.320.4788 Support:+1.866.898.9087
www.paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks,
the Palo Alto Networks Logo, PAN-OS, App-ID and Panorama are trademarks of
Palo Alto Networks, Inc. All specifications are subject to change without notice.
Palo Alto Networks assumes no responsibility for any inaccuracies in this document
or for any obligation to update information in this document. Palo Alto Networks
reserves the right to change, modify, transfer, or otherwise revise this publication
without notice. PAN_SS_NGFOV_PT_111014