White Paper
Como obter o máximo aproveitamento do firewall
de última geração
Visibilidade e controle de rede abrangentes aumentam a eficiência dos negócios e
permitem o crescimento empresarial ao mesmo tempo que maximizam a segurança.
Para enfrentar esse desafio empresarial:
O firewall de última geração deve:
Manter a conformidade regulamentar
Executar inspeção determinística de estado
Oferecer controle e visibilidade intensos
Identificar e controlar os aplicativos e microaplicativos, independentemente das portas
e protocolos usados
Identificar os usuários por meio de métodos de autenticação ativa e passiva
Oferecer suporte às necessidades de negócio
ao mesmo tempo que restringe o
comportamento de risco
Identificar e controlar comportamentos específicos nos microaplicativos permitidos
Autorizar o uso apropriado de dispositivos
pessoais
Oferecer suporte ao acesso diferenciado para uma ampla variedade de dispositivos móveis
Proteger contra ameaças da Internet
Controlar os sites e aplicativos baseados na Web com base na análise de reputação dinâmica
Habilitar o legítimo acesso à Internet ao mesmo tempo que bloqueia as categorias da Web
indesejáveis
Proteger contra ameaças de dia zero em tempo quase real
Habilitar o uso seguro de criptografia
Descriptografar e inspecionar o tráfego criptografado baseado em políticas
Equilibrar os requisitos de
segurança e de desempenho
Manter as expectativas de desempenho quando vários serviços de segurança estão
habilitados
Os administradores da rede estão encontrando os mais altos níveis de mudança da história enquanto tentam
equilibrar a segurança com a produtividade. As tendências de negócios em rápida evolução lhes impõem desafios
para que forneçam amplo acesso à Internet, porém seguro, permitindo que os funcionários usem aplicativos
corporativos legítimos ao mesmo tempo que usam os dispositivos de sua escolha.
Os aplicativos evoluíram para serem altamente dinâmicos e multifacetados, dificultando a distinção entre os
aplicativos corporativos legítimos e aqueles que desperdiçam o tempo e aumentam a exposição da empresa às
ameaças baseadas na Internet. No passado, o uso aceitável era relativamente bem definido, mas a mídia social, o
compartilhamento de arquivos e os aplicativos de comunicações da Internet evoluíram para servirem a mesma
quantidade de casos de uso empresariais que os casos estritamente pessoais; esses aplicativos agora são
amplamente usados em todos os níveis de uma organização. Para complicar ainda mais a situação, a força de
trabalho atual está se tornando cada vez mais móvel, com usuários que necessitam de acesso à rede em
qualquer lugar, a qualquer hora, de uma variedade de dispositivos móveis pessoais e de propriedade da empresa.
Isso fez com que as empresas de todos os portes e tipos adotassem as políticas “traga seu próprio dispositivo”
(BYOD) para aumentar a produtividade e a satisfação do funcionário.
Devido a essas e outras tendências de negócios, os administradores da rede enfrentam um desafio cada vez
maior: aplicar as políticas de uso aceitáveis necessárias para proteger a rede ao mesmo tempo que permite a
flexibilidade de alcançar e manter o nível de produtividade necessário para promover o crescimento empresarial.
Uma nova abordagem de segurança é necessária – sem abandonar os métodos testados no tempo – para
melhorar a visibilidade de rede e o controle, acelerar a inovação empresarial e proteger proativamente contra as
ameaças novas e emergentes. No entanto, em vez de abandonar seus firewalls de inspeção de estado já
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 1 de 7
utilizados, os administradores precisam complementar esse dispositivo de segurança comprovado com controles
adicionais de segurança baseados em rede, para operações de segurança otimizadas e inteligência de rede de
ponta a ponta.
Desafios empresariais
Conforme discutido anteriormente, a mídia social, o compartilhamento de arquivos e os aplicativos de
comunicações da Internet que foram uma vez banidos das redes corporativas, agora, estão sendo adotados como
métodos legítimos, eficientes e econômicos para acessar os clientes e os parceiros em todo o mundo. Conforme o
Relatório Anual de Segurança Cisco 2013, 22% de todas as solicitações no trabalho são para a visualização online de vídeos e um adicional de 20% são visitas a sites de redes sociais. Como resultado, empresas de todos os
tamanhos estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem
presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos. De
maneira semelhante, embora os dispositivos que “tocavam” a rede fossem limitados aos dispositivos que eram de
propriedade ou rigidamente controlados pelo departamento de IT, agora uma vasta gama de dispositivos pessoais
também pode ganhar acesso seguro.
Apesar dos benefícios de produtividade comercial, essas tendências de rede também apresentam graves novos
riscos à segurança. Como resultado, os principais desafios comerciais que as organizações enfrentam atualmente
são como aplicar políticas de uso aceitáveis, controlar aplicativos evasivos, autorizar dispositivos pessoais e
proteger contra ameaças da Internet.
Como aplicar políticas de uso aceitáveis
Duas das principais organizações de problemas comerciais precisam resolver as políticas de uso aceitáveis
centrais. Primeiro, uma filtragem robusta de URL baseada em conteúdo é necessária para bloquear os sites
possivelmente ilegais, impróprios e ofensivos, como aqueles com conteúdo adulto, violento ou com injúria racial;
aqueles que reduzem a produtividade ou consomem quantidades exorbitantes de largura de banda, como
YouTube; e aqueles que podem colocar em risco a conformidade legal da empresa, como BitTorrent e eDonkey.
De maneira semelhante, uma inspeção profunda do aplicativo é necessária para bloquear softwares malintencionados conhecidos, como o gerador de anônimos no proxy, que pode ser usado pelos funcionários para
ignorar os controles do departamento de IT.
A aplicação do uso aceitável ficou ainda mais complicada com aplicativos como Facebook, Twitter, LinkedIn e
Skype. Eles evoluíram para aplicativos empresariais legítimos, mas várias organizações estão relutantes em
permiti-los na rede, porque sua utilização pode difundir o mau uso da largura de banda e perda da produtividade
do funcionário.
Como controlar aplicativos evasivos
Em relação a esse desafio, vêm ganhando visibilidade e controle de salto de protocolo e porta, aplicativos como
Skype e BitTorrent. Como a natureza desses aplicativos é encontrar uma saída, independente do que está
acontecendo na rede, eles podem apresentar desafios únicos para os administradores que estão tentando
bloquear sua utilização. Na realidade, os administradores podem criar dezenas de políticas que tentam bloquear
apenas um desses aplicativos evasivos, ainda assim falham em controlá-los adequadamente.
Como autorizar dispositivos pessoais
O Relatório Anual de Segurança Cisco 2011 revelou que 81% dos estudantes universitários acreditam estar aptos
a escolher o dispositivo de que precisam em suas funções profissionais. Além disso, 77% dos funcionários
entrevistados no mundo todo usam diversos dispositivos para acessar a rede corporativa e mais de um terço deles
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 2 de 7
usam pelo menos três dispositivos para o trabalho. Como resultado, de acordo com o Relatório Cisco 2012 Global
IBSG Horizons, 84% dos líderes de IT relataram que os departamentos de IT de suas empresas estão se tornando
mais baseados no consumidor. O Relatório Anual de Segurança Cisco 2013 sustenta tais descobertas,
observando que, somente nos últimos dois anos, a Cisco viu um aumento de 79% no número de dispositivos
móveis em uso por seus funcionários - e que a grande maioria destes dispositivos é do tipo "traga o seu".
Essas tendências fizeram com que o BYOD se tornasse uma prioridade para a maioria das organizações. Esperase que as iniciativas de mobilidade consumam uma média de 23 % dos orçamentos de IT até 2014, em
comparação aos 18 % em 2012. Há alguns anos uma organização apenas precisava determinar quem teria
acesso à rede e dados corporativos confidenciais, mas o BYOD incluiu novas camadas de complexidade a essas
decisões. Agora as organizações devem determinar se os funcionários que receberam acesso a esses dados
terão apenas acesso enquanto estiverem usando os dispositivos que são mantidos e de propriedade da empresa,
ou se os seus dispositivos pessoais também podem ser usados. Se os dispositivos pessoais forem aceitos, todos
os dispositivos são aceitáveis ou apenas alguns? Os funcionários precisam ser localizados na LAN da empresa ou
as conexões VPN remotas também oferecem o nível de segurança apropriado?
Como se proteger contra ameaças da Internet
As ameaças da Internet são outra preocupação para organizações de todos os portes. Embora ferramentas como
aplicativos de compartilhamento de arquivos e de mídia social tenham causado um efeito positivo na produtividade
do funcionário, elas carregam riscos inerentes, pois podem ser exploradas por hackers e outros criadores malintencionados para obter acesso não autorizado ou espalhar malware pela rede. Os aplicativos de controle remoto,
como TeamViewer e PC Anywhere, podem melhorar expressivamente a produtividade individual e da equipe, mas
os criadores de malware podem usar as vulnerabilidades desses aplicativos para assumirem o controle dos ativos
da rede. Além disso, o uso de aplicativos de compartilhamento de arquivo como Dropbox e o iCloud abrem a
possibilidade de que dados confidenciais da empresa possam ser transferidos por upload para a nuvem, onde a
organização não tem mais controle sobre sua distribuição.
O malware também pode ser mascarado como aplicativos bem conhecidos que são executados em portas abertas;
podem ser integrados em aplicativos legítimos onde as vulnerabilidades foram descobertas; ou podem ser
instalados como um download “drive-by” de sites fraudulentos ou de sites legítimos que tenham sido infectados.
As técnicas de engenharia social que visam usuários de mídia social também provaram ser eficazes; esses
aplicativos ensinaram os funcionários que é perfeitamente normal clicar nos links integrados do e-mail e fazer
download de conteúdo de sites desconhecidos, apesar dos avisos persistentes do departamento de IT para
evitarem esse comportamento.
É necessário desenvolver uma abordagem abrangente e proativa para a segurança da rede
Os líderes empresariais entendem que a flexibilidade é essencial para maximizar a produtividade. Mas, como eles
aproveitam os benefícios da produtividade e de custo oferecidos pelas tendências comerciais e tecnológicas, ao
mesmo tempo que se protegem dos desafios de segurança que essas tendências apresentam? A resposta está
na capacidade de maximizar a visibilidade de uma organização em seu tráfego de rede através do
reconhecimento total do contexto. Os administradores poderão tomar decisões mais inteligentes quando puderem
observar claramente os detalhes do tráfego de rede. A visibilidade dos aplicativos e do ID do usuário, embora
valiosa, não permite o reconhecimento total do contexto para habilitar com segurança os novos aplicativos,
dispositivos e casos empresariais. O reconhecimento total do contexto inclui, além da filtragem de URL de classe
empresarial, a reputação dinâmica da web, o reconhecimento do dispositivo e um entendimento de onde o usuário
e o dispositivo estão localizados.
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 3 de 7
Visibilidade e controle de aplicativos
Conforme mencionado anteriormente, o reconhecimento do aplicativo é um requisito essencial para qualquer
firewall de última geração. No entanto, é essencial para o firewall reconhecer mais do que apenas os próprios
aplicativos; ele também deve reconhecer e oferecer a capacidade de bloquear microaplicativos que constituem
esse aplicativo. Isso é especialmente importante para os aplicativos de mídia social, como Facebook e LinkedIn. O
mero reconhecimento desses aplicativos oferece apenas a capacidade de bloquear ou permitir o aplicativo em sua
totalidade. Por exemplo, uma organização talvez queira permitir o acesso ao Facebook para que a equipe de
vendas e marketing publique a página corporativa da empresa no Facebook e se comunique com clientes e
parceiros, mas ao mesmo tempo nega o acesso aos Jogos do Facebook. Ao reconhecer cada microaplicativo
separadamente, os administradores podem conceder privilégios de acesso diferentes a cada um.
Além disso, ao reconhecer os comportamentos específicos nesses microaplicativos, o firewall pode oferecer ainda
mais controle granular aos administradores. Por exemplo, os comportamentos específicos no microaplicativo
“Facebook Messages and Chat” são “upload de anexo”, “download de anexo” e “video chat”. Embora a maioria
desses comportamentos possa ser considerada atividade comercial apropriada, o comportamento de “download
de anexo” provavelmente será exibido pela equipe de segurança como inerentemente arriscado. Ao usar um
firewall que possa reconhecer comportamentos específicos em um microaplicativo, os administradores podem
permitir “Facebook Messages and Chat”, enquanto negam o “download de anexo”.
Aplicativos evasivos como Skype também podem ser efetivamente controlados, se o firewall puder monitorar
todas as portas e protocolos e habilitar que a definição de política seja baseada unicamente na identificação do
próprio aplicativo. Como os aplicativos como Skype sempre carregam a mesma ID de aplicativo,
independentemente da porta ou do protocolo que estão usando para sair da rede, adicionar uma política para
“Bloquear o Skype” pode oferecer uma aplicação mais efetiva enquanto requer menos políticas, em comparação a
criar dezenas de políticas de firewall de estado para bloquear cada combinação possível. Isso economiza o tempo
dos administradores no desenvolvimento inicial e no gerenciamento contínuo das políticas, que é traduzido em
eficiências operacionais para a empresa.
Finalmente, ao controlar quem tem acesso aos aplicativos de compartilhamento de arquivo, além de quais
comportamentos de aplicativo possuem permissão de uso, os administradores podem proteger os dados críticos
da organização enquanto permitem que os funcionários utilizem as poderosas ferramentas empresariais.
Identificação do usuário avançado
O reconhecimento do usuário é outro componente fundamental de qualquer firewall de última geração; a maioria
oferece autenticação passiva via serviço de diretório corporativo como Active Directory (AD). Esse recurso permite
que os administradores apliquem as políticas com base em quem um usuário é ou a qual grupo ou grupos ele
pertence. Embora essa identificação tenha pouco valor por si só, quando combinada ao reconhecimento do
aplicativo destacado acima, os administradores podem usá-la para habilitar o acesso diferenciado a certos
aplicativos. Por exemplo, os departamentos marketing e vendas podem ter uma necessidade de negócio legítima
de acessar as ferramentas de mídia social, enquanto o departamento de finanças não.
Além da autenticação passiva, alguns firewalls de última geração ampliaram esta capacidade para incluir o
suporte para autenticação ativa em casos de uso empresarial que exigem medidas de segurança mais fortes.
Embora a autenticação passiva dependa de uma simples consulta do serviço de diretório e confie que identificou
corretamente o usuário através do mapeamento de endereço IP do nome do usuário, a autenticação ativa requer
uma camada adicional de segurança usando mecanismos como Kerberos e NT LAN Manager (NTLM). Isso pode
ser realizado perguntando ao navegador, que por sua vez envia uma resposta uniforme com base nas credenciais
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 4 de 7
de login do usuário ou desafiando o usuário com um prompt de autorização. Em qualquer dos casos, o
administrador de segurança está autenticando o usuário em vez de contar com o mapeamento de endereço IP do
nome do usuário. Isso é importante para as organizações que precisam oferecer acesso à informação confidencial,
como dados de cartão de crédito do cliente ou um banco de dados que contém informações dos serviços de
saúde.
Reconhecimento do dispositivo
Para organizações que adotaram o BYOD como uma realidade de negócios, encontrar um equilíbrio entre
produtividade e segurança requer visibilidade granular dos dispositivos específicos que estão tentado acessar a
rede, permitindo que os administradores apliquem políticas diferenciadas com base em cada dispositivo usado.
Por exemplo, uma organização pode decidir permitir que os dispositivos iPhone 4 ganhem acesso à maioria dos
recursos de rede, enquanto nega ou restringe o acesso a versões anteriores do iPhone, ou pode conceder acesso
a um iPhone 4, mas não a um 4S. De maneira semelhante, a organização pode conceder acesso a computadores
baseados em Windows enquanto nega o acesso aos Macs. Além disso, se o firewall estiver equipado com
reconhecimento de local, diferentes políticas podem ser aplicadas considerando se o dispositivo está localizado
dentro da LAN ou se está efetuando login remotamente.
Segurança da Web
Os recursos de filtragem da Web e de URL permitem acesso aos aplicativos e conteúdo apropriados enquanto
evitam o uso daqueles que podem aumentar o risco, drenar a produtividade ou causar uma perda de informações
confidenciais. A maioria dos aplicativos de segurança da Web oferece filtragem básica baseada em amplas
categorias, além da capacidade de colocar sites específicos na lista negra e branca. Vários fornecedores também
incluem um banco de dados de URLs “ruins” conhecidas no próprio dispositivo. No entanto, devido à natureza
dinâmica da Internet, esses recursos não são suficientes. De acordo com a organização sem fins lucrativos
stopbadware.org, mais de um milhão de sites atualmente distribuem malware e outro software que executa ação
sem a permissão de um usuário (também conhecidos como “greyware”). Como milhares de novas URLs são
incluídas na lista toda semana, a segurança da Web, que está limitada a uma lista estática predefinida, nunca
conseguirá acompanhar o ritmo. Portanto, além desses recursos, as organizações necessitam da filtragem de
URL que é continuamente atualizada para proteção em tempo quase real do cenário de ameaça que está sempre
evoluindo.
Além disso, o firewall deve conseguir identificar e parar o malware que é mascarado em aplicativos bem
conhecidos que são executados nas portas abertas, sem inibir o valor de negócios de ferramentas corporativas
legítimas que utilizam essas portas. Esse recurso pode ser reforçado usando dados globais e tráfego do aplicativo
para fornecer informações de ambientes de ameaça em tempo quase real, incluindo a análise de reputação que é
baseada no comportamento exibido por um site ou aplicativo da Web específico. Se um provedor estiver
recebendo o tráfego de um grande número de fontes de todo o mundo e disponibilizando atualizações com uma
frequência suficientemente alta, os dados globais também podem ajudar a proteger a organização de ameaças de
dia zero.
Para habilitar esses casos de uso sem colocar a segurança em risco, algumas organizações de IT substituíram
suas linhas de produto de firewall de estado por aquelas que fornecem níveis adicionais de visibilidade - e,
portanto, controle superior. Embora a visibilidade adicional raramente seja considerada um aspecto negativo, a
maioria dos firewalls de última geração vem com compensações, que são importantes para o entendimento dos
administradores e líderes empresariais antes de tomarem uma decisão de compra.
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 5 de 7
Visibilidade limitada: um problema quase resolvido
Não há dúvida de que a disponibilização de visibilidade adicional ao tráfego da rede traz vantagens de segurança
enormes. A visibilidade de rede avançada oferece aos administradores a capacidade de desenvolver e aplicar
políticas de segurança mais granulares para proteção superior de ativos corporativos. É por esse motivo que os
recursos de reconhecimento de ID do usuário e do aplicativo são essenciais para os firewalls de última geração.
Contudo, muitos dos firewalls de última geração centralizam a solução inteira exclusivamente nesses dois
elementos em detrimento de todo o restante. Certamente, qualquer visibilidade é melhor do que nenhuma, mas,
conforme descrito neste artigo, há tanta coisa acontecendo em uma rede corporativa típica que apenas o
reconhecimento do ID do usuário e do aplicativo não chegam a atingir o que é necessário para fornecer a
visibilidade suficiente para tomar decisões de segurança inteligentes. Além desses recursos, uma solução de
segurança abrangente deve oferecer aos administradores a capacidade de controlar comportamentos específicos
nos microaplicativos permitidos, restringir a Web e o uso de aplicativo da Web com base na reputação do site,
proteger-se proativamente contra as ameaças da Internet e aplicar políticas diferenciadas com base no usuário,
dispositivo, função e tipo de aplicativo.
Buscar o melhor dos dois mundos
Apesar de vários benefícios, algumas desvantagens também devem ser consideradas ao utilizar um firewall de
última geração. Portanto, os líderes empresariais devem avaliar totalmente suas opções antes de tomar uma
decisão de compra. Muitos dos fornecedores de firewall de última geração forçam os clientes a abandonarem
seus firewalls já utilizados e todas as políticas de segurança associadas para que possam “começar do zero” com
todas as novas políticas de segurança que são desenvolvidas especialmente para a plataforma de firewall de
última geração. Esse “corta e substitui” é necessário porque a maioria dos firewalls de última geração é
fundamentalmente diferente dos firewalls existentes clássicos ou de estado, operando em uma camada de
computação completamente diferente.
Embora os firewalls de estado operem nas camadas de rede e de transporte da arquitetura de computação, os
firewalls de última geração operam na camada do aplicativo. Como resultado, as políticas de firewall já utilizadas
na organização serão inúteis no novo paradigma e, portanto, devem ser completamente recriadas. De forma
alguma essa tarefa é rápida e fácil - a maioria das organizações possui milhares de políticas e as organizações
maiores podem ter dezenas de milhares. Pode levar meses e uma grande alocação do orçamento para que fique
pronto. Além disso, a segurança realizada na camada do aplicativo é, por sua natureza, um nível mais profundo
de inspeção e pode fazer com que o desempenho da rede seja prejudicado.
Substituir o firewall de inspeção de estado de uma organização por um que seja construído exclusivamente para a
camada do aplicativo também pode arriscar potencialmente a conformidade da organização com os regulamentos
do setor, uma vez que várias agências reguladoras estipulam especificamente a necessidade da inspeção de
estado. Como as políticas de firewall baseadas em aplicativo e ID do usuário não são deterministas, depender
exclusivamente de um firewall de última geração pode colocar a organização em risco de uma auditoria com falha.
No entanto, alguns provedores de firewall oferecem uma abordagem híbrida, na qual os recursos de firewall de
estado e de última geração trabalham juntos. Como esses firewalls são compatíveis com ambos os recursos, de
estado e de última geração, as organizações podem continuar usando suas políticas enquanto desenvolvem
novas regras de última geração; elas não são forçadas a abandonar uma pela outra; portanto, podem substituir as
antigas políticas com o tempo, conforme fizer mais sentido para suas necessidades de segurança. Além disso,
nem todo o tráfego exige o nível mais profundo de inspeção realizado por firewalls de última geração; portanto, o
modelo híbrido permite que as organizações preservem mais de seu desempenho da rede, executando apenas o
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 6 de 7
nível mais profundo de inspeção no tráfego e casos de uso que necessitam dele. Dessa maneira, as organizações
podem alcançar um nível superior de segurança enquanto maximizam a flexibilidade empresarial.
Conclusão
Tendências como BYOD e a adoção da mídia social e outros aplicativos grey como ferramentas legítimas de
negócios têm apresentado efeitos profundos em organizações de todos os portes. No entanto, os firewalls de
última geração que oferecem apenas reconhecimento do aplicativo e da ID do usuário são ineficazes na
disponibilização do nível de visibilidade de rede necessário para habilitá-los com segurança. Em vez disso, ao
examinar o contexto completo do tráfego na rede, os administradores recebem o poder da aplicação de segurança
acionável baseada em um alto nível de visibilidade de rede e inteligência. Ao empregar um firewall que combina
os recursos de estado com o reconhecimento de contexto completo, as organizações podem trabalhar em um
equilíbrio entre o alto nível de segurança da rede necessário para comportar esses novos casos de negócios e a
flexibilidade necessária para maximizar sua agilidade nos negócios.
Impresso nos EUA
© 2012 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
C11-726002-00
02/13
Página 7 de 7