Solution Guide: Beyond the Firewall
Guia de Soluções
Place graphic in this box
Além do Firewall
Novas Ameaças Exigem Novas Estratégias
para a Proteção Total da Rede e Dos Aplicativos
Introdução
Em nosso recém-publicado whitepaper, “Tendências em data center e impactos sobre a
segurança de rede”, falamos sobre desenvolvimentos recentes que estão mudando o
cenário da segurança de rede e a forma como ela é implementada. Agora, neste
whitepaper, vamos dar um passo à frente no que toca a examinar e explicar em
profundidade as tendências relativas às ameaças capazes de burlar as proteções
oferecidas por firewalls e IPS (Intrusion Prevention Systems).
Firewalls de perímetro, segmentação de rede principal, BYOD/BYOA, virtualização e SDN
são elementos que afetam as implementações de firewalls e sistemas de prevenção de
invasões (IPS). Novas ameaças visando aplicativos, servidores e usuários representam
desafios que obrigam a segurança da rede a se ampliar para além do firewall. Firewalls de
última geração (NGFWs - Next Generation Firewalls) e IPSs com recursos avançados,
como antivírus, antimalware, controle de aplicativos e inspeção detalhada de pacotes,
podem oferecer proteções contra ameaças conhecidas. Entretanto, não podem proteger
completamente contra ataques de zero dia, eventos DDoS na sétima camada da rede,
ameaças persistentes avançadas e vulnerabilidades de e-mail.
Vamos examinar detalhadamente essas ameaças à segurança e apresentar informações
sobre produtos e serviços disponíveis que podem se integrar à sua infraestrutura de
segurança de rede para conter essas ameaças.
Novas Ameaças que Atacam Além do Firewall
Não há dúvida de que um firewall é a principal defesa para segurança de rede. As
tecnologias de firewall mais recentes são quase à prova de bala, pelo menos nos níveis
das camadas 2 e 3. Invasores e cibercriminosos sabem disso e precisaram adaptar suas
técnicas. Isso não significa que eles deixarão de tentar encontrar vulnerabilidades no
firewall; mas eles sabem que alvos importantes, como instituições financeiras, lojas de
varejo e agências de governo reforçaram suas políticas de segurança, e hoje não deixam
brechas em seus firewalls.
1
www.fortinet.com
Desafios Corporativos
• Ameaças avançadas
• Ataques a aplicativos
• Vulnerabilidades de e-mail
• Ameaças avançadas de
DDoS
• Crescimento do tráfego de
SSL
Segmentos
• Empresas
• Governo
• Serviços gerenciados
Guia de Soluções: Além do Firewall
Os tipos de ataque e violação de dados que crescem mais
rapidamente são os dirigidos a aplicativos, a serviços na
camada de aplicativos e a usuários inexperientes. Eles
representam a grande maioria dos pontos fracos hoje, e há
incontáveis possibilidades no que diz respeito a explorar
vulnerabilidades de código, módulos de aplicações e
usuários ingênuos, que creem ser legítimos e-mails
solicitando a confirmação das credenciais de suas contas.
Ataques a Aplicativos Web
O relatório da Verizon sobre violações de dados (Data
Breach Investigations Report), de março de 2014, relata
que mais de 35% das violações de dados observadas
eram dirigidas a vulnerabilidades de aplicativos. O Open
Web Application Security Project (OWASP) vem reportando
de maneira consistente, desde 2010, os riscos à
segurança – e quase todos os aplicativos baseados na
Web têm uma ou mais vulnerabilidades apontadas em sua
lista dos 10 maiores riscos à segurança de 2013. Além
disso, o OWASP relata que, no último ano, 95% de todos
os sites da Web foram atingidos por um ou mais ataques
de scripts ou injeção de SQL. E segundo o Gartner em seu
relatório de 2014 sobre firewalls para aplicativos Web (Web
Application Firewall Magic Quadrant), mais de 80% das
empresas terão em 2018 um firewall desse tipo, contra
60% em 2014.
Ataques DDoS na Camada de Aplicativos
Os ataques de negação distribuída de serviço (DDoS Distributed Denial of Service) são um dos tipos mais
antigos de ameaça à segurança. No entanto, eles
evoluíram na última década para se voltarem para os
serviços de aplicação. Os grandes ataques volumétricos de
larga escala ainda são manchetes dos jornais, mas a
categoria que mais cresce entre os ataques DDoS são
eventos na camada 7, que atingem apenas alguns
megabits de pacotes e causam tanto dano quanto um
ataque de centenas de gigabits.
Ameaças Persistentes Avançadas
As APTs (Advanced Persistent Threats) são ataques
customizados, com direcionamento específico. Eles podem
burlar a detecção utilizando malware até então
desconhecido (ou zero dia), explorar vulnerabilidades
(brechas de segurança sem patches) ou vir de URLs ou IPs
aparentemente inocentes. Sua meta é comprometer o
sistema visado com técnicas avançadas de código que
tentam ultrapassar as barreiras de proteção e evitar
qualquer possibilidade de identificação.
As “Portas Dos Fundos” de Firewall e IPS
es.
Os invasores se adaptaram para explorar as vulnerabilidades que esses sistemas não foram projetados para detectar.
Ataques às
Camadas
2 e 3 da
Rede
Pontos Fracos de E-mail
Email
Usuários que recebem phishing e spam para
proporcionar acesso à sua rede
Ataques de DDoS de Camada 7
FIREWALL
Apps Web
Ultrapassam as defesas tradicionais com eventos
dirigidos à camada de serviços de aplicação
Malware Avançado
Fontes
Conhecidas
de Ataques
Ataques com alto nível de engenharia que usam
IPS
Autenticação
Vulnerabilidades de Aplicativos
Mantém aplicativos abertos a ataques como
injeção de SQL e script em todo o site
Tipos de
Ataques
Conhecidos
2
www.fortinet.com
Bases da Dados
Sobrecarga de SSL
Rápido crescimento de aplicativos seguros,
sobrecarregando servidores e ADCs
Guia de Soluções: Além do Firewall
As empresas vêm sendo atacadas por ameaças cada vez
mais sofisticadas. Em 2013 e 2014, muitas grandes
empresas sofreram ataques à sua segurança, como Target
Corporation, Adobe, Tesco, Snecma, LaCie, KT Corp,
Yahoo Japão e The New York Times. As pesquisas
confirmam esta tendência: a PwC1 informou que 18% das
organizações confirmaram uma invasão bem-sucedida a
suas redes; a Verizon2 relatou que violações que
permaneceram sem detecção durante meses, e, em
pesquisa realizada pela Forrester para a Fortinet, 44% das
organizações mencionaram uma violação interna à
segurança como determinante para a implementação de
projetos de firewall de última geração (NGFW - Next
Generation Firewalls). De fato, o Gartner recomenda que
“todas as empresas partam do pressuposto de que estão
em constante estado de perigo”.
E-mail: a “Porta Dos Fundos” que Permite Invadir
sua Fortaleza
Os profissionais de rede passam grande parte de suas
carreiras criando, implementando e mantendo as melhores
e mais recentes defesas para suas empresas. Mas até
mesmo com os mais avançados sistemas de segurança de
firewall, basta o clique de um usuário em um link ou um
e-mail malicioso para cruzar a barreira da mais elaborada
proteção à rede. Os cibercriminosos cada vez mais
sofisticam suas táticas. Muitos dos e-mails de spam e
phishing podem enganar até mesmo usuários mais
cautelosos, pois parecem originados de fontes confiáveis
ou até mesmo do departamento de TI da empresa.
O e-mail é um dos principais vetores de ataque de
engenharia social. Os invasores agora podem facilmente
acessar conexões no Facebook, LinkedIn e outras redes
sociais para obter informações de contato. Em seguida,
criam e-mails que parecem enviados por amigos e colegas
reais, em uma tentativa de enganar usuários e fazer com
que baixem anexos maliciosos ou acessem sites em que o
malware está instalado.
Crescimento do Tráfego de Aplicativos Seguros
Embora isso não constitua uma ameaça, muitas empresas
estão estendendo a SSL a todos os aplicativos que
interagem com a Web. Até mesmo os aplicativos
aparentemente inofensivos estão obtendo tratamento de
“seguros” para evitar vulnerabilidades conhecidas ou
desconhecidas em outros sistemas, mais importantes. O
mais recente relatório global sobre o fenômeno Internet da
Sandvine demonstra que o tráfego criptografado está
crescendo a uma velocidade sem precedentes. Na
América do Norte, o tráfego com criptografia SSL
aumentou de 2,9% 2013 para 3,8% até maio de 2014. No
mesmo período, esse tipo de tráfego cresceu quatro vezes
na Europa, passando de 1,47% para 6,1 por cento. O
tráfego de SSL da América Latina saltou de 1,8% para
10,37%.
3
www.fortinet.com
Até mesmo as redes móveis experimentam um significativo
aumento no tráfego criptografado. Os números são
impressionantes quando se considera que o tráfego de
Internet continua crescendo anualmente a uma taxa de
23%. Combinada com essa expansão no tráfego, a
complexidade de movimentação para chaves de
criptografia mais avançadas – já que a tecnologia passou
de 1.024 chaves para 2.048 e, agora, chega a 4.096 – está
duplicando e até quadruplicando os tamanhos dos pacotes
seguros. Os servidores e balanceadores de carga estão
lutando para atender à demanda gerada com nova geração
de soluções para entrega de aplicativos seguros.
Proteção Adicional, Além do Firewall e do IPS
Há em cada uma das áreas apresentadas na seção anterior
desafios específicos, que não podem ser enfrentados
apenas com sistemas de firewall ou IPS. Hoje, a maioria
dos sistemas de IPS e firewall, incluindo nossas linhas de
produtos FortiGate, tem funcionalidades capazes de
resolver muitos desses novos problemas. Porém, em geral
eles se limitam à detecção de assinatura e precisam de
soluções adicionais para oferecer proteção completa a
ataques desconhecidos e de zero dia. O FortiGate oferece
vários serviços que podem ser ativados, como inspeção
detalhada de pacotes e proteção contra o vazamento de
dados – mas, mesmo com esses serviços, ainda existem
brechas potenciais; além disso, há impactos no
desempenho que devem ser considerados em
implantações corporativas.
As funcionalidades do FortiGate e de outros firewalls mais
utilizadas para proteção no nível de aplicativos são a
reputação de IP e a detecção de assinatura. Em geral, os
serviços por assinatura, a reputação de IP e as assinaturas
de ataque são medidas eficientes para bloquear ataques
antes de qualquer processamento pelo firewall. Se um
ataque for proveniente de fonte conhecida ou corresponder
a uma assinatura predefinida, será bloqueado
automaticamente, sem que o firewall precise executar
nenhuma inspeção. O FortiGate oferece esses serviços por
meio de nosso premiado FortiGuard Labs.
Embora esses sistemas de detecção sejam muito eficientes
para bloquear ataques de fontes conhecidas e
correspondentes a padrões anteriores, ameaças de zero
dia e ameaças persistentes avançadas (APTs) conseguem
burlá-los. Em alguns casos, as APTs são tão
personalizadas que o código malicioso é desenvolvido
especificamente em um único destino, sem nenhum aviso,
até que o malware seja implantado. As assinaturas e
reputação de IP também não podem proteger
completamente os aplicativos Web de ataques, pois muitas
vulnerabilidades baseadas em códigos têm formas
praticamente ilimitadas de evitar a identificação por
assinaturas predefinidas.
Diante dessas ameaças, as empresas do setor de
segurança de TI, incluindo a Fortinet, desenvolveram
soluções específicas para complementar as proteções em
firewalls e plataformas IPS.
Guia de Soluções: Além do Firewall
Conformidade com PCI, firewalls e WAFs
Seguem dados demonstrando que você precisará de mais
que um firewall para proteger totalmente seus aplicativos
e dados. Se sua empresa atua em e-commerce ou lida
com informações bancárias, você deve levar em conta a
conformidade com as normas PCI (Payment Card Industry)
para segurança de rede e de aplicativos.
Embora os padrões DSS ( Data Security Standards) do PCI
não sejam obrigatórios por lei, muitas leis, especialmente
entre as locais, exigem especificamente a conformidade
com PCI para atender a determinados requisitos. Um
firewall não será suficiente. Para estar em conformidade
com as especificações DSS 6 do PCI, você precisará de
um firewall para aplicativo Web – só assim conseguirá
evitar todas as dez principais ameaças de aplicativo Web
da OWASP mencionadas nesta seção. Veja abaixo quais
são essas ameaças e a comparação entre as
funcionalidades oferecidas por WAFs e firewalls.
Ameaças de Aplicação: The OWASP Top 10-2013
Injeção (SQL, OS e LDAP)
Autenticação Corrompida
e Gerenciamento de Sessão
Script No Site
Referência a Objeto
Indireto Inseguro
Configuração de Segurança Incorreta
Exposição de Dados Confidenciais
Ausência de Controle de
Acesso Baseado em Função
Falsificação de Solicitações (CSRF)
Utilizando Componentes com
Vulnerabilidades Conhecidas
Encaminhamentos e Redirecionamentos
sem Validação
Firewall
Não
Não
WAF
Sim
Sim
Não
Não
Sim
Sim
Não
Sim
Não
Sim
Sim
Sim
Não
Não
Sim
Sim
Não
Sim
Essas soluções incluem firewalls para aplicativos Web;
appliances para mitigar ataques DDoS; controladores
avançados de entrega de aplicações para atender às
demandas do tráfego de aplicativos seguros; Sandbox
capaz de isolar códigos maliciosos para inspeção, e
gateways de segurança de e-mail que possam detectar e
gerenciar ameaças trazidas por e-mails antes de chegarem
aos usuários.
Em um mundo perfeito, todas essas medidas de
segurança estariam contidas em um único appliance. No
entanto, mesmo com o melhor hardware disponível hoje, o
impacto desses serviços sobre o desempenho
inviabilizariam a criação de um “superfirewall”. O FortiGate
oferece muitos serviços avançados que chegam perto
disso, mas ainda existem falhas. Discutimos a inspeção
aprofundada de pacotes anteriormente.
4
www.fortinet.com
A maioria dos gerentes de data center não ativa esse
serviço, pois ele pode demandar muito uso de processador
e afetar a taxa de transferência do firewall. Nesses casos,
simplifica-se a utilização do FortiGate que, empregando
apenas seus recursos básicos, permite manter o máximo
desempenho enquanto outros dispositivos gerenciam as
camadas adicionais de segurança. Empresas menores e de
médio porte ativam os muitos recursos avançados do
FortiGate NGFW para o Gerenciamento Unificado de
Ameaças (UTM - Unified Threat Management), em que uma
única caixa consegue lidar com as taxas de transferência –
facilitando o trabalho quando são escassos os recursos de
TI.
Portanto, como gerente de um data center, provavelmente
você precisará considerar recursos além de seu firewall
para oferecer proteção completa à rede e aos aplicativos e
enfrentar os desafios que sua organização enfrenta.
Para organizações de grande porte, é difícil optar entre
consolidar todas as funcionalidades com um só fornecedor,
ou reunir as melhores soluções pontuais disponíveis no
mercado. Existem argumentos a favor e contra cada um
dos dois lados. Pode-se dizer que “fornecedores únicos
são mais fáceis de gerenciar”, ou que “soluções pontuais
oferecem o melhor em segurança e funcionalidades”.
Quando você ponderar as opções, deve pesar pontos
cruciais para sua organização – como funcionalidades,
interoperabilidade, gerenciamento e suporte – antes de
escolher um fornecedor que possa preencher o máximo
desses critérios com uma solução completa para o seu
data center.
O restante deste documento discute importantes desafios
e oferece as informações sobre como a Fortinet pode
ajudá-lo a resolver esses problemas enquanto fornecedor
exclusivo para atender a todas as suas necessidades de
segurança de rede e aplicativos.
Soluções Avançadas de Segurança
para Data Center
A Fortinet oferece muito mais que os firewalls FortiGate.
Oferecemos soluções que vão muito “além do firewall” para
proporcionar completa segurança de rede e de aplicativos.
A seção a seguir trata de algumas das ameaças e dos
desafios enfrentados por data centers atualmente, e das
soluções oferecidas pela Fortinet. Para obter mais detalhes
sobre os produtos apresentados, documentos, estudos de
caso e outras informações úteis, visite o site Fortinet.com.
Segurança de aplicativos
Os aplicativos Web são alvos atrativos para hackers, pois
não exigem do usuário uma abertura para a Internet. Como
muitos deles constituem ferramentas de negócios e de
comércio eletrônico, podem conter dados de titulares de
cartões de crédito, por exemplo, assim como dados de
empresas e outras informações confidenciais.
Guia de Soluções: Além do Firewall
As tecnologias de segurança de perímetro, como IPS e
firewalls, se concentraram nos ataques às camadas de rede
e transporte. Muitos fornecedores, inclusive a Fortinet,
acrescentaram aprimoramentos voltados para proteção à
camada de aplicativos. Esses aprimoramentos, conhecidos
como “Inspeção Aprofundada de Pacotes” (DPI, Deep
Packet Inspection), têm como objetivo melhorar a detecção
de assinaturas nessa camada.
Embora a DPI seja útil para proteger contra ataques à
infraestrutura de servidores Web propriamente ditos (IIS,
Apache, etc.), ela não pode
Ameaças à
proteger contra ataques
voltados a códigos de
Segurança de
aplicativos Web
Aplicativos
personalizados, como
• Os aplicativos voltados ao
HTML e SQL.
público são alvos atrativos
• Dados confidenciais e de
propriedade de clientes são
expostos
• Quase todos os aplicativos
Web têm vulnerabilidades
• Firewalls só podem detectar
ameaças conhecidas
• 95% de todos os sites já
sofreram ataques de script e
injeção de SQL
Firewalls para
Aplicativos Web (WAFs)
A proteção a aplicativos
Web requer uma
abordagem totalmente
diferente da detecção por
assinatura por si só.
Somente um Firewall para
Aplicativo Web pode
oferecer proteção aos
aplicativos, por compreender sua lógica e a dos elementos
existentes nos aplicativos Web – como URLs e parâmetros,
e cookies utilizados. Com o monitoramento comportamental
do uso do aplicativo, o WAF pode inspecionar
detalhadamente todos os aplicativos do data center, criando
parâmetros de comportamentos normais e disparando
ações para proteger os aplicativos quando ocorrerem
anomalias provocadas por ataques.
Firewalls para aplicativos Web FortiWeb
O firewall para aplicativos Web FortiWeb oferece proteção
especializada contra ameaças à camada de aplicativos para
data centers corporativos. O uso da detecção bidirecional
proporciona segurança completa dos aplicativos contra
ameaças de fontes maliciosas, ataques DoS na camada de
aplicativos e ataques sofisticados, como injeção de SQL e
script em todo o site. A plataforma FortiWeb se destina a
evitar o roubo de identidade, fraudes financeiras e negação
de serviço. Ela oferece a tecnologia necessária para
monitorar e implementar regulamentações governamentais,
políticas internas e melhores práticas do mercado. O
FortiWeb oferece:
• Módulo de varredura de vulnerabilidades no firewall de
aplicativo Web para atender aos requisitos DSS das
normas PCI 6.6.
• Bloqueio a ameaças como scripting, injeção de SQL,
transbordamento de dados, inclusão de arquivos, negação
de serviço, envenenamento de cookies, e outros ataques a
aplicativos.
5
www.fortinet.com
• Proteção contra as 10 principais vulnerabilidades de
aplicativos listadas pela OWASP.
• Serviço de Reputação de IP, protegendo contra ataques
Web automatizados pela identificação do acesso de
botnets e outras fontes maliciosas.
• Criação de perfil da atividade dos usuários de forma
automática e dinâmica, criando parâmetros para ações
permitidas.
• Proteção contra ataques DoS/DDoS nas camada de
aplicativos e da rede.
• Processamento conjunto de criptografia SSL, acelerando
tempos de transação, descarregando funções de
criptografia e reduzindo a carga de processamento do
servidor Web.
• Balanceamento da carga da camada 7 e o roteamento
baseado em conteúdo, aumentando as velocidades do
aplicativo, aprimorando a utilização de recursos do
servidor e estabilizando aplicativos.
Proteção Contra Ataques DDoS
Os ataques DDoS foram umas das primeiras ameaças
conhecidas a data centers, e evoluíram tornando-se hoje a
principal ameaça enfrentada por gerentes desses centros.
Os novos ataques de DDoS se destinam a serviços de
aplicativos da camada 7 e podem causar tantos danos
quanto ataques volumétricos maciços. Em vez de
simplesmente sobrecarregarem a rede com tráfego ou
sessões, esses ataques se direcionam a aplicativos ou a
serviços específicos, esgotando lentamente seus recursos.
Os ataques na camada de aplicativos podem ser muito
eficientes utilizando pequenos volumes de tráfego, e,
assim, parecendo completamente normais para a maioria
dos métodos de detecção de DDoS tradicionais. A maioria
dos provedores de Internet usa métodos básicos para
proteger o usuário contra ataques de larga escala. Em
geral, não contam com ferramentas sofisticadas de
detecção, capazes de interceptar ameaças no nível do
aplicativo e normalmente
deixam que eles passem
Ameaças DDoS
para as redes dos
usuários.
Avançadas
Soluções para Mitigar
Ataques DDoS
Existem várias opções
disponíveis para mitigar
ataques DDoS, variando
de simples configurações
do servidor até soluções
avançadas de hardware
baseadas em data
centers. A maioria dos
provedores de Internet
oferece proteção contra
ataques DDoS nas
camadas 3 e 4, para
• Tipo de ameaça mais antiga,
mas com a mais rápida
evolução
• Permanece a ameaça nº 1 para
os gerentes de data centers
• Categoria com crescimento
mais rápido entre as ameaças
à camada 7
• Firewalls só podem detectar
ameaças DDoS conhecidas
• Pequenos ataques à camada 7,
de menos de 50 Mbps, podem
causar tanto dano quanto
ataques de centenas de
gigabits
Guia de Soluções: Além do Firewall
impedir que seus links sejam inundados em eventos
volumétricos. No entanto, eles não têm a capacidade de
detectar os ataques bem menores à camada 7. Os data
centers não podem depender apenas dos provedores para
contar com uma solução contra atraques DDoS que inclua
proteção à camada de aplicativos.
Os appliances para mitigar ataques DDoS são appliances
dedicados, capazes de bloquear ataques às camadas 3, 4
e 7. Eles são oferecidos em versões para operadores de
serviços e para redes corporativas. Na maioria dos casos,
as organizações que desejam proteger seus data centers
preferem os modelos voltados para o mercado corporativo,
que detectam e mitigam ataques DDOS com boa relação
custo-benefício. As opções de que dispomos oferecem
alternativas para conter ataques volumétricos com total
proteção às camadas 3, 4 e 7, ou para complementar a
proteção contra ataques DDoS maciços já proporcionada
pelo provedor de Internet, com detecção e mitigação
avançadas de ataques à camada 7.
Appliances Anti-Ataque DDoS FortiDDoS
A Fortinet é a única empresa a usar uma abordagem ASIC,
totalmente customizada, para seus produtos anti-ataque
DDoS, o que elimina a sobrecarga e os riscos associados à
utilização de CPU ou sistemas híbridos CPU/ASIC. O
processador de tráfego FortiASIC-TP2 de segunda
geração oferece detecção e mitigação de ataques DDoS
nas camadas 3, 4 e 7, para tráfego de entrada e saída. O
FortiDDoS usa um método baseado em comportamento
100% adaptável para identificar ameaças.
Ele “aprende” os parâmetros da atividade normal do
aplicativo e efetua a monitoração comparando o tráfego a
esses parâmetros. Ao se iniciar um ataque, o FortiDDoS o
considerará uma anomalia e agirá imediatamente para
mitigá-la.
Os usuários ficam protegidos contra ataques conhecidos e
desconhecidos, de zero dia, pois o FortiDDoS não precisa
esperar uma assinatura para ser atualizado. O FortiDDoS
tem as seguintes características:
• Desempenho ímpar: usando detecção baseada em
comportamento e processadores ASIC, o FortiDDoS
detecta e mitiga um maior número de ameaças de DDoS,
incluindo ataques sofisticados de baixo volume na
camada de aplicativos. Ele atua com mais rapidez que
qualquer outra solução disponível no mercado.
• Proteção contra congestionamento causado por DDoS:
com modelos de até 24 Gbps de taxa de transferência
full duplex, você obtém a capacidade de que precisa
para se defender contra ataques de DDoS de maior
escala.
• Fácil de usar e gerenciar: com as ferramentas de
configuração automática e opções padrão
pré-configuradas do FortiDDoS, acrescentar a mitigação
de ataques DDoS à sua rede leva apenas alguns
minutos. Sua interface de usuário intuitiva CLI e a
geração de relatórios avançada oferecem ferramentas
para você gerenciar facilmente as defesas contra ataques
DDoS e obter relatórios e análises detalhadas.
• TCO mais baixo: em média, o custo total de propriedade
(TCO - Total Cost of Ownership) dos dispositivos
FortiDDoS é 50% mais baixo que o de dispositivos
semelhantes de outros fabricantes.
• Menor latência: seu mecanismo de detecção e mitigação
de ataques DDoS em camada única e baseado em
hardware oferece uma taxa de latência inferior a 50
microssegundos.
• Melhor sistema no que toca a evitar falsos positivos: os
métodos de reavaliação contínua de ataques em
períodos curtos de bloqueios, inferiores a um minuto,
identificam e mitigam apenas o tráfego que realmente
configura ameaça.
Utilizando o FortiDDoS com seu Provedor de Internet
Assim como qualquer outro dispositivo para mitigar ataques DDoS, o FortiDDoS está sujeito a grandes ataques volumétricos nas camadas 3 e 4.
Quando usado juntamente com as proteções de filtragem DDoS de seu provedor de Internet, torna-se uma solução capaz de minimizar o impacto desses ataques
e oferecer a seu data center proteção completa e avançada à camada 7.
Provedor de Internet
FortiDDoS
Data Center
Proteção em Massa
Mitigação na Camada 7
Solução Completa Anti-DDoS
Seu provedor de Internet pode oferecer
filtragem de ataques das camadas
3 e 4 em larga escala para minimizar
o tráfego passado para o FortiDDoS
Com sua detecção baseada em comportamento,
o FortiDDOS verifica se há ameaças DDoS
na camada de aplicativo do tráfego restante
A combinação de defesas do seu provedor
de Internet e do FortiDDoS minimiza
interrupções para usuários e data center
Grandes Volumes
Ataques DDos à Camada 7
Tráfego Legítimo
6
www.fortinet.com
Guia de Soluções: Além do Firewall
Entrega de Aplicativos Seguros
Os usuários esperam contar com a disponibilidade e a
velocidade de resposta dos aplicativos. Agora, eles também
esperam que você esteja protegendo os dados confidenciais
da empresa, assim como os seus dados pessoais. Para
oferecer a segurança de que quase todo aplicativo precisa,
os gerentes de data center estão implementando SSL na
maioria dos aplicativos, embora isso tenha um custo em
termos de utilização, velocidade e latência.
Como mencionado anteriormente, suprir a demanda gerada
pelo crescimento de tráfego seguro pressiona até mesmo os
data centers de melhor arquitetura. Além disso, as chaves
de criptografia de SSL estão ficando mais complicadas,
passando das chaves mais antigas de 1.024 bits para 2.048
e, agora, 4.096 bits.
Crescimento do
Tráfego SSL
ADCs com
descarregamento de
SSL
• Muitas organizações
Os
Controladores de
implementando, em ritmo
Entrega
de Aplicativos
acelerado, criptografia SSL para
(ADCs - Appplication
proteger todos os aplicativos
Delivery Controllers) hoje
• Tráfego seguro aumentando
oferecem o recurso de
rapidamente
descarregar o tráfego
• Infraestrutura de entrega de
SSL de servidores para o
aplicações sobrecarregada para
próprio ADC. A maioria
atender à demanda do tráfego
dos fabricantes pode
• Firewalls normalmente têm
funcionalidades limitadas para a
fazer isso usando
entrega de aplicações
criptografia e
• Expansão de chaves de
descriptografia de
criptografia complexas (2.048 e
software. No entanto,
4.096) pressionam os recursos
somente os appliances
dos data centers
com aceleração de
hardware possuem
processadores ASIC dedicados, capazes de entregar as
velocidades exigidas por um data center moderno. A maioria
dos dispositivos baseados em software pode lidar com
dispositivos que manipulam de centenas a algumas milhares
de transações por segundo, em comparação aos appliances
baseados em hardware,que podem gerenciar dezenas de
milhares de transações seguras por segundo.
Deslocando o descarregamento desse tráfego, intensivo no
uso de processadores, dos servidores para o ADC, os
aplicativos seguros podem ser escalonados em até cem
vezes, reduzindo ao mesmo tempo as taxas de resposta
para usuários finais.
Controladores de entrega de aplicativos FortiADC
A linha FortiADC de hardware e Controladores de Entrega
de Aplicativos virtuais oferece um desempenho ímpar no
balanceamento de carga do servidor, não importa se sua
necessidade for apenas distribuir determinado aplicativo por
servidores de um só data center ou entregar vários
aplicativos para milhões de usuários em todo o mundo.
7
www.fortinet.com
Incluindo descarregamento de SSL até 31 mil transações
por segundo, compactação de HTTP, balanceamento de
carga de servidores, firewall e links, os esquipamentos
dessa linha oferecem ao mesmo tempo recursos
avançados, desempenho e segurança. Os modelos de
ponta incluem portas 10-GE SFP+, SSL baseado em
hardware (ASIC), canais de gerenciamento dedicados e
fornecimentos de energia duplos para atender às
demandas de ambientes de data center com taxa de
transferência de L4 de até 50 Gbps. O FortiADCs conta
com as seguintes características:
• Balanceamento avançado de carga de servidor,
proporcionando escalabilidade e resiliência à sua
infraestrutura ao distribuir a carga de aplicativos por
vários servidores.
• Armazenamento em cache do conteúdo estático,
reduzindo a carga do servidor e a infraestrutura de rede
e, ao mesmo tempo, aumentando a resposta do
aplicativo e reduzindo atrasos de entrega.
• Compactação dinâmica de HTTP, acelerando o
desempenho da rede sem usar recursos vitais do
servidor.
• Descarregamento de SSL baseado em hardware e
software, reduzindo o impacto de desempenho sobre
seus servidores.
• Balanceamento de carga de links, distribuindo o tráfego
entre vários provedores de Internet para aumentar a
resiliência e reduzir a necessidade de dispendiosos
upgrades na largura de banda utilizada.
• Balanceamento de carga global de servidores para
gerenciamento do tráfego em diferentes geografias,
proporcionando recuperação de desastres e melhores
tempos de resposta de aplicativos.
Proteção Avançada Contra Ameaças
O malware pode surgir em qualquer formato, tornando
difícil sua identificação. A detecção de algumas formas de
malware pode até ser mais simples, o que é o caso quando
o usuário é encaminhado para um site de onde baixa um
código malicioso. Entretanto, métodos mais recentes são
mais sofisticados e contam com diferentes vetores para
infectar usuários ou elementos da infraestrutura de data
centers.
Essa complexidade, combinada a opções quase ilimitadas
de ataques de malware de zero dia, tornam praticamente
impossível que firewalls e sistemas de provedores de
Internet detectem todas as ameaças. Além disso, muitas
delas podem estar escondidas em códigos aparentemente
inocentes que, em alguns casos, levam anos para serem
descobertos.
Sandboxing
Mesmo com as melhores defesas para detecção de
ameaças, às vezes é melhor deixar o código “explodir” para
ver o que acontecerá. Nesse caso, a sandbox atua como
Guia de Soluções: Além do Firewall
um esquadrão antibombas. O código suspeito é isolado
em uma câmara virtual de “detonação de bomba” e tem
permissão para fazer o que pretende.
A diferença é que a sandbox é totalmente isolada de sua
rede e de seus aplicativos. Portanto, se o código for um
malware, não causará nenhum dano ao seu ambiente real.
Quando o código é extraído e instalado na sandbox, é fácil
examinar as alterações que ele provoca para causar o dano
que pretendia. Se ele for considerado uma ameaça, o
malware entrará em quarentena e será bloqueado para não
penetrar na rede.
Crescimento das
Ameaças Avançadas
• Malware cada vez mais complexo
• Muitas ameaças levam dias e até
anos para aparecer
• Ameaças específicas podem
mirar precisamente organizações
únicas sem avisos prévios
• Firewalls não podem detectar
problemas, a menos que
conhecidos anteriormente
• Torna-se necessária uma solução
capaz de deixar as ameaças se
desenvolverem em ambiente
controlado
FortiSandbox –
Detecção avançada
de ameaças
O FortiSandbox é uma
plataforma para
detecção avançada de
ameaças, projetada
para identificar os
elaborados ataques
direcionados que cada
vez mais burlam as
defesas tradicionais e
penetram nas redes.
Oferecendo exclusiva
sandbox dupla para
inspeção de todos os protocolos e funcionalidades em um
só appliance e podendo ser integrado à sua infraestrutura
FortiGate já existente, o FortiSandbox proporciona
proteção altamente eficiente contra esses novos tipos de
ameaças de maneira econômica. Além disso, oferece
simplicidade em sua implementação e gerenciamento.
Complemente suas defesas com os recursos de nossa
sandbox, capaz de analisar arquivos em um ambiente
controlado, de modo a identificar ameaças ainda desconhecidas e revelar todo o ciclo de vida do ataque. A rica
inteligência sobre ameaças que proporciona, direcionando
corretamente suas ações, além da opção de compartilhar
informações com o FortiGuard Labs para receber automaticamente as atualizações de proteção, contribui para que as
empresas reduzam o risco de comprometimentos e
violações a suas redes.
Características do FortiSandbox :
• Examina a atividade, e não atributos: executa objetos em
um seguro ambiente de máquina virtual (“sandbox”) para
analisar atividades – como alterações em sistemas,
tentativas de exploração de vulnerabilidades, visitas a
sites e downloads subsequentes e comunicações de
botnet, entre outras – visando expor as ameaças
sofisticadas.
8
www.fortinet.com
• Inspeciona todos os ambientes operacionais: por meio de
emulação de código, examina e executa instruções de
modo a avaliar a atividade pretendida,
independentemente do ambiente operacional,
proporcionando ampla cobertura de segurança.
• Oferece pré-filtragem para redução de carga e latência:
utiliza os reconhecidos antimalwares da Fortinet, bem
como outras inteligências contra ameaças, para detectar
ameaças previamente desconhecidas economizando
tempo e esforços.
• Oferece inteligência contra ameaças: revela informações
relacionadas a todo o ciclo de vida da ameaça (e não
apenas o código inicial) para acelerar a solução do
problema. Opcionalmente integra-se ao FortiGuard Labs
para obter atualizações automáticas de prevenção a
ameaças.
• Entrega componentes Microsoft com licença oficial: o
produto inclui licenças do Microsoft Windows
incorporadas, regidas por termos e condições especiais.
Proteção ao E-mail
O e-mail é um serviço corporativo fundamental, sem o qual
nenhuma organização vive. Mas constitui também uma das
maiores vulnerabilidades no que diz respeito à segurança
corporativa. Ele é o principal alvo de criminosos para tirar
proveito de políticas de segurança incipientes e usuários
inexperientes.
As ameaças via e-mail ocorrem de duas formas principais:
entrada e saída. As de entrada são as ameaças tradicionais,
como spam e ataques de phishing ,que tentam iludir os
usuários para que forneçam informações confidenciais,
como credenciais de login ou informações do cartão de
crédito. Na saída, não há propriamente um ataque; o
problema aí são os riscos às informações confidenciais da
empresa. Funcionários, contratados e consultores podem
enviar informações da
empresa a qualquer
E-mail Continua a ser
pessoa, em qualquer
Um Objetivo Maior
lugar. Às vezes, isso
• Até mesmo os usuários
acontece por engano, às
experientes estão sendo alvo dos
vezes, não.
esquemas avançados de phishing
Gateway de Correio
Seguro
Esses gateways são
dispositivos dedicados
de hardware ou virtuais
que oferecem proteção
para spam de e-mail ou
malware, além de
oferecerem inspeção de
conteúdo de e-mail de
saída e criptografia.
• O vazamento de dados
confidenciais é um sério risco para
as organizações
• E-mails com links para sites
expõem facilmente sua rede a
ameaças de segurança
• Firewalls não impedem usuários
de cometer erros
• Faz-se necessária uma solução
que possa verificar spam, phishing
e links suspeitos para que os
usuários não se prestem a
ataques
Guia de Soluções: Além do Firewall
Produtos Fortinet para Proteção Avançada Contra Ameaças
A Fortinet oferece uma linha completa de produtos para proteger você das ameaças que atacam diretamente a aplicativos e usuários.
Com uma plataforma Fortinet de segurança de rede, você obtém proteção avançada e uma solução de fácil gerenciamento,
fornecida por uma marca na qual você pode confiar para todas as necessidades de seu data center – que vão além da proteção
oferecida por firewalls e provedores de Internet
FortiWeb
FortiSandbox
FortiDDoS
FortiADC
FortiMail
Firewalls para Aplicativos Web
Appliances para Proteção
Avançada Contra Ameaças
Dispositivos para Mitigar
Ataques DDoS
Controladores de
Entrega de Aplicativos
Gateways de Segurança
de E-mail
FortiGuard
Serviços de Pesquisa
de Ameaças
FortiGate
Firewalls para Data Center
de Alto Desempenho
Utilizando filtragem de reputação examina os e-mails de
saída, e por meio de detecção avançada de phishing
verifica os e-mails que passam pela rede e determina se há
ameaças.
Os e-mails suspeitos podem ser bloqueados ou colocados
em quarentena para revisão posterior dependendo da
forma como o gateway foi configurado.
Os gerentes de data center podem definir regras
detalhadas para verificar os dados confidenciais de todos
os e-mails de saída. Se algum dado confidencial for
detectado, poderá ser bloqueado ou automaticamente
criptografado, dependendo da configuração das políticas
de segurança
FortiMail – Gateways de correio seguro
O FortiMail é uma plataforma completa de proteção de
e-mails da Fortinet para organizações de qualquer porte.
Trata-se de uma solução única para proteção de ataques
de entrada e de ameaças de saída e perda de dados,
oferecendo uma série de recursos de segurança. Esses
recursos incluem: antispam, antiphishing, antimalware,
prevenção contra vazamento de dados, criptografia
baseada em identidade (IBE - Identity Based Encryption),
arquivamento de mensagens e antilista negra.
O mecanismo de filtragem de entrada do FortiMail bloqueia
o spam e o malware antes de eles inundarem sua rede e
afetarem usuários. Sua tecnologia de inspeção de saída
(incluindo tráfego móvel em 3G) reduz a perda de
informações confidenciais e impede que outros gateways
antispam coloquem seus usuários em listas negras. O
FortiMail ganhou o prêmio VBSpam Platinum 20 vezes
9
www.fortinet.com
FortiOS
Sistema Operacional de
Segurança de Rede
consecutivas por oferecer uma das maiores taxas de
detecção de ameaças do mercado, assim como das mais
baixas de falsos positivos.
Além disso, o antimalware FortiMail conquistou mais de 27
prêmios VB100. Estas são as características do FortMail:
• Solução antispam e antimalware robusta, bidirecional e
altamente precisa, incluindo a integração com o
FortiSandbox para detectar as ameaças dirigidas mais
sofisticadas.
• Proteção de informações confidenciais e conformidade:
DLP (Data Loss Prevention) e criptografia de e-mail
integrados, incluindo dicionários personalizáveis e
predefinidos e criptografia baseada em identidade (IBE)
juntamente com suporte para TLS (Transport Layer
Security) e SMIME (Small, Medium and Micro Enterprises)
além de arquivamento de mensagens de e-mail.
• Proteção de reputação: a tecnologia sofisticada de
inspeção controla e bloqueia spam e malware de entrada
e saída, garantindo que o servidor de correio do seu
domínio não seja comprometido nem colocado em lista
negra e mantendo a comunicação por e-mail eficiente e
limpa.
• Alto desempenho: a arquitetura exclusiva do FortiMail
fornece análise e bloqueio em tempo real das ameaças,
com o mínimo de impacto sobre recursos, geralmente no
nível da conexão. A arquitetura também elimina a
necessidade de enfileiramento de mensagem, se o
servidor de correio de destino estiver disponível,
proporcionando proteção a mais de 28 milhões de
mensagens por hora em um único dispositivo.
Guia de Soluções: Além do Firewall
Ecossistema de Segurança de Rede da Fortinet
Para proporcionar uma solução completa de proteção a redes e aplicações, a Fortinet oferece,
juntamente com firewalls de aplicativos Web, appliances para mitigar ataque DDoS, controladores
de entrega de aplicativos, gateways seguros de e-mail e soluções de sandbox. A Fortinet oferece
a você anos de pesquisa e conhecimento em segurança, assim como a expertise necessária
para proteger seu ambiente de data center.
FortiDDoS
Como porta de entrada da
sua rede, o FortiDDoS verifica
todo o tráfego de entrada e saída
das camadas 3 e 4 e as ameaças
avançadas a seus data centers e
aplicativos na camada 7.
FortiSandbox
Trabalhando juntamente
com o FortiGate, o FortiSandbox
coloca códigos e anexos
suspeitos em quarentena e os
executa em ambiente controlado
para examinar potenciais ameaças.
SANDBOX
DDoS
FIREWALL/IPS
MAIL
FortiMail
FortiGate
No centro de sua rede, um firewall FortiGate de alto
desempenho protege seu data center de invasões
e ameaças de fontes e ataques conhecidos pela
utilização de nossos premiados serviços de pesquisa
de ameaça FortiGuard.
WAF
ADC
O FortiMail é a segunda linha
de defesa depois do FortiGate
para verificação de spam e
phishing, visando proteger as
informações proprietárias das
empresas e dos usuários.
FortiADC
O FortiADC oferece a seu data
center entrega de aplicativos
incrivelmente rápida e balanceamento
de carga do servidor, com superior
desempenho em descarregamento
de SSL.
FortiWeb
A verificação avançada e o
contínuo monitoramento
de parâmetos protegem seus
aplicativos de ameaças conhecidas
e de zero dia visando as vulnerabilidades
das aplicações Web.
Servidor de Correio
Servidor de Banco de Dados
Servidor de Aplicativos
10
www.fortinet.com
Solução Completa de Um Único Fornecedor
Só a Fortinet pode oferecer uma solução avançada completa contra ameaças,
de fácil gerenciamento e projetada para as demandas de seu data center.
Guia de Soluções: Além do Firewall
Appliances virtuais Fortinet
A Fortinet oferece muitos de seus produtos em appliances de hardware ou virtuais. A maioria deles é
compatível com as mais importantes plataformas de virtualização do mercado, incluindo VMware,
Microsoft Hyper-V, Citrix XenServer e Amazon Web Services. Na tabela abaixo, veja as versões virtuais
dos produtos mencionados neste documento e as plataformas com que operam.
FortiGate VM
FortiWeb VM
FortiADC VM
FortiMail VM
• Flexibilidade de implantação: implementação na nuvem
ou nas instalações da empresa, gateways, nos modos
em linha e servidor; appliances físicos ou virtuais
garantem integração a todos os ambientes, de médias
empresas até provedores de serviço e operadoras.
Fortinet: Segurança Total para Rede e Aplicativos
Só a Fortinet pode oferecer desempenho e
interoperabilidade em uma completa plataforma de
segurança de rede e aplicativos capaz de atender a todas
as necessidades de seu data center. Oferecendo como
base o premiado firewall FortiGate, a Fortinet também
proporciona os produtos e serviços adicionais necessários
a uma proteção integral, além de firewalls, para seus
aplicativos, usuários e dados confidenciais.
Seja qual for a complexidade de suas necessidades, as
abrangentes soluções de segurança da Fortinet, incluindo
WAF, DDoS, entrega de aplicativos, sandbox e segurança
de e-mail, são fáceis de configurar e gerenciar.
Fornecemos ferramentas para gerenciar de modo
centralizado suas soluções Fortinet e ferramentas capazes
de consolidar análise e geração de relatórios sobre as
ameaças.
Os produtos da Fortinet foram criados para operar de
modo transparente em conjunto com outros produtos e
serviços da marca, potencializando seus recursos.
Otimizamos e testamos nossos produtos para minimizar
gargalos e aprimorar seu desempenho quando eles são
utilizados em conjunto em ambientes de data center
corporativo.
11
www.fortinet.com
VMware
•
•
•
•
Hyper-V
•
•
XenServer
•
•
AWS
•
•
A maioria dos produtos Fortinet suporta o gerenciamento e
a geração de relatórios centralizados, por meio de nossos
produtos FortiManager e FortiAnalyzer. Em uma única tela,
os usuários têm uma visão geral de seus produtos Fortinet,
para gerenciamento simplificado e visibilidade completa de
incidentes ocorridos em um ou mais dispositivos.
Finalmente, a expertise faz a diferença. Somos líderes em
tecnologias de segurança corporativa. Nossos engenheiros
de pré-venda podem oferecer assistência para uma revisão
de suas necessidades de proteção contra ameaças
avançadas e projetar soluções para as demandas
específicas da sua empresa. Como cliente, você tem
suporte ininterrupto, consultoria on-line e outros serviços
de classe corporativa, prestados por nosso premiado
atendimento ao cliente FortiCare.
Guia de Soluções: Além do Firewall
Resumo
Um firewall é a primeira linha de defesa da rede em seu
data center. Mas novas tendências, que visam diretamente
a segurança de aplicativos e usuários finais, exigem
proteções adicionais – que não podem ser oferecidas por
um firewall ou provedor de Internet. A detecção baseada
em assinatura, reputação de IP e inspeção detalhada do
pacotes pode bloquear algumas dessas ameaças
avançadas, mas ainda é limitada. Produtos como firewalls
de aplicativos Web, appliances para mitigar ataque DDoS,
sandboxes, gateways de segurança de e-mail e
controladores de entrega de aplicativos são necessários
para lidar com as novas ameaças a data centers e
usuários.
A Fortinet oferece aos gerentes de data centers uma ampla
linha de produtos que, além de complementar os firewalls
FortiGate, líderes no setor, foram também projetados para
operar em conjunto, de maneira transparente, compondo
uma estrutura de completa proteção e segurança para
aplicativos e rede. Para mais informações sobre os
produtos apresentados neste documento, visite
Fortinet.com.
SEDE GLOBAL
Fortinet Inc.
899 Kifer Road
Sunnyvale, CA 94086
United States
Tel: +1.408.235.7700
Fax: +1.408.235.7737
www.fortinet.com/sales
ESCRITÓRIO DE
VENDAS EMEA
120 rue Albert Caquot
06560, Sophia Antipolis,
France
Tel: +33.4.8987.0510
Fax: +33.4.8987.0501
ESCRITÓRIO DE
VENDAS APAC
300 Beach Road 20-01
The Concourse
Singapore 199555
Tel: +65.6513.3730
Fax: +65.6223.6784
ESCRITÓRIO DE
VENDAS LATIN AMERICA
Prol. Paseo de la Reforma 115 Int. 702
Col. Lomas de Santa Fe,
C.P. 01219
Del. Alvaro Obregón
México D.F.
Tel: 011-52-(55) 5524-8480
Copyright © 2014 Fortinet, Inc. Todos os direitos reservados. Fortinet, FortiGate®, FortiCare® e FortiGuard® e outras marcas são marcas registradas da Fortinet, Inc. Todos os outros nomes de produtos ou
empresas podem ser marcas registradas de seus respectivos proprietários. As métricas de desempenho e outras métricas contidas neste documento foram obtidas em testes de laboratório, em condições ideais, e
o desempenho real e outros resultados podem variar. As variáveis de rede, diferentes ambientes de rede e outras condições podem afetar os resultados de desempenho. Nada neste documento representa qualquer
vínculo ou compromisso da Fortinet, e a Fortinet se exime de todas as garantias, explícitas ou implícitas, exceto nos casos em que haja um contrato escrito com um comprador, assinado pelo Conselho Geral da
Fortinet, garantindo expressamente que o produto identificado irá operar conforme métricas de desempenho expressamente identificadas e, em tal caso, apenas as métricas específicas de desempenho identificadas
no referido contrato escrito obrigatório, será de responsabilidade da Fortinet. Para clareza absoluta, qualquer garantia será limitada ao desempenho nas mesmas condições ideais dos testes realizados em
laboratórios internos da Fortinet. A Fortinet se exime integralmente de qualquer acordo ou garantia relacionada explícita ou implicitamente a este documento. A Fortinet se reserva o direito de alterar, modificar ou
revisar esta publicação sem aviso prévio, sendo válida sua versão mais atual.