Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
Alguns fatos
• Em 2012, 9 bilhões de dispositivos
estavam conectados à Internet, e
estima-se que 50 bilhões estejam
conectados até 2020.
• Espera-se que o tráfego global de
data centers seja quadruplicado
nos próximos cinco anos e o
componente de crescimento mais
rápido serão os dados em nuvem.
• Aplicativos SaaS e B2B possuem
chance 15 vezes maior que a
pornografia de disponibilizar
conteúdo malicioso e chance 8
vezes maior do que um software
pirata. (Fonte: Relatório de
Segurança Anual da Cisco de 2013)
White paper da Cisco
A inovação em TI está motivando mudanças em todo o
mundo. De acordo com o estudo Cisco Visual Networking
Index (VNI) 2013, até o final de 2013 o número de
dispositivos com conexão remota ultrapassará o número de
pessoas na Terra. Um bilhão de pessoas usam Facebook
e Twitter. Novos tablets, smartphones e outros dispositivos
móveis estão sendo introduzidos em um ritmo muito
acelerado, atraindo os consumidores com um suprimento
infinito de dispositivos, aplicativos e serviços essenciais.
A mobilidade derrubou as barreiras entre as atividades comerciais e as pessoais,
aumentando a produtividade corporativa e possibilitando o equilíbrio entre o trabalho e
a vida pessoal. O fenômeno "traga seu próprio dispositivo" (bring-your-own-device BYOD) é uma maneira de estar sempre conectado ao trabalho, à família e à diversão.
As empresas que não se adaptarem e não permitirem que as pessoas trabalhem
onde, quando e como quiserem, correm o risco de perder seus funcionários altamente
qualificados e podem não atrair a mais nova geração de talentos do mercado de trabalho.
A nuvem se tornou rapidamente uma parte integrante das estratégias de TI em empresas
de todos os tamanhos, e os serviços em nuvem pública estão obtendo um crescimento
de dois dígitos. A Gartner prevê que o mercado de nuvem pública seja de US$ 131
bilhões em 2013, com a infraestrutura como serviço (infrastructure-as-a-service - IaaS)
crescendo mais rápido que o software como serviço (software-as-a-service - SaaS).1
O conteúdo e os modelos de aplicativos também estão se modernizando, visto que
as pessoas estão buscando as vantagens da nuvem. A demanda por vídeo, seja para
entretenimento ou colaboração, é aparentemente insaciável. Estima-se que os vídeos
quadripliquem o tráfego de IP até 2014, e que 70% do tráfego de dispositivos móveis do
mundo será de vídeo até 2016.2
1
2
1
“Forecast Overview: Public Cloud Services, Worldwide, 2011-2016, 4Q12 Update,” Gartner. 8 de fevereiro de 2013. ID G00247462
Cisco Visual Networking Index: prognóstico global do tráfego de dispositivos portáteis de 2012 a 2017 6 de fevereiro de 2013.
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
"A segurança adaptativa e
com reconhecimento de
contexto será a única forma
de oferecer suporte seguro
a infraestruturas dinâmicas
de TI e de empresas que
surgirão nos próximos
10 anos. O futuro da
segurança da informação
oferece reconhecimento de
contexto e é adaptativo"
Neil MacDonald, vice-presidente
e membro da Gartner
White paper da Cisco
Um novo dia para a segurança
Com as mudanças culturais de grande impacto causadas pela consumerização de TI,
ficou claro que os planos de segurança cuidadosamente construídos pelas empresas
precisam ser repensados. Mais de 1 milhão de websites, incluindo muitos sites usados
para uso profissional legítimo, estão comprometidos com alguma forma de malware.3
Na verdade, os trabalhadores correm maior risco de ser infectados por malware por um
anúncio em um site confiável do que por sites considerados arriscados.
Com quatro malwares criados a cada segundo, a segurança da informação é uma corrida
de alta velocidade. Tentar acompanhar o ritmo com abordagens de segurança antigas e
políticas estáticas é algo que esgota constantemente os recursos do departamento de TI.
Mas os administradores dedicados continuam tentando: um típico firewall possui mais de
cinco regras para cada funcionário e essas regras mudam diariamente. Decidir quem pode
acessar quais aplicativos é muito difícil para um administrador de segurança, e esse risco
não é pequeno em um mundo com complexas estruturas de conformidade e regulamentos.
O desafio é imenso. O departamento de TI precisa proteger tudo, desde a propriedade
intelectual da empresa a um smartphone esquecido em um táxi. Apesar do crescimento
da mobilidade e do BYOD, o departamento de TI deve garantir a aplicação das políticas
de uso aceitável, independentemente de onde os funcionários estejam; seja usando o
smartphone, laptop ou tablet pessoal ou da empresa; ou sejam os aplicativos para uso
comercial ou pessoal.
É improvável que haja um aumento inesperado dos recursos de segurança, e o
departamento de TI não pode continuar desperdiçando recursos preciosos ao corrigir
constantemente assinaturas de malware e atualizar listas de bloqueio. Adicionar o
firewall de um segundo fornecedor também não é a solução. Isso apenas aumenta a
complexidade e o risco de erros de configuração. "Há um risco maior ao configurar
e gerenciar firewalls de mais de um fornecedor em vez de um único fornecedor", de
acordo com a Gartner.4
O departamento de TI precisa de meios mais eficientes para adaptar práticas de
segurança e proteções para as mudanças nos padrões de trabalho, uso de dispositivo
e aplicativos. Para enfrentar esse desafio, a segurança deve levar em consideração
as identidades dos usuários e os aplicativos utilizados, além do contexto em que são
usados.
3
4
2
1.159.000 sites comprometidos em março de 2012. www.stopbadware.com
“Uma única marca de firewall é uma prática recomendada para a maioria das empresas”, Greg Young, Gartner Research, novembro de 2012. ID G00217262
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
White paper da Cisco
Firewall de próxima geração - segurança em contexto
Os firewalls de próxima geração Cisco ASA 5500-X Series oferecem a mais abrangente
proteção contra ataques direcionados e malware na Web e podem se adaptar à evolução
constante das ameaças. Os firewalls de próxima geração da Cisco aplicam a força do
firewall de inspeção de estado mais implantado do mundo (o ASA 5500 Series), VPN
líder do setor Cisco AnyConnect® e prevenção contra invasões de rede, e ampliam
esse sucesso com novos recursos de controle de aplicativo e segurança da Web com o
suporte de Cisco Security Intelligence Operations (SIO).
A Gartner prevê que,
até 2015, 90% das
soluções de segurança
corporativas contarão
com reconhecimento de
contexto.
5
Com essa ampla aplicação da política, o ASA 5500-X Series oferece segurança em toda
a rede sem comprometer o desempenho. As empresas podem garantir que aplicativos
colaborativos e da Web 2.0, geralmente usados para fins pessoais e comerciais, sejam
monitorados e controlados com base em políticas com reconhecimento de contexto. As
empresas podem ter certeza de que suas políticas de segurança serão aplicadas em
domínios físicos e virtuais, para garantir proteção completa e simplificar a administração.
O ASA 5500-X Series agrega à política o contexto de identidade do usuário, o tipo e
a localização do dispositivo, o tipo do aplicativo, a reputação na Web e as informações
sobre ameaças. Com visibilidade completa dos usuários e dos dispositivos que estão
acessando a rede, os administradores podem aplicar as políticas por dispositivo e por
usuário, em vez de um ou o outro. As políticas são aplicadas de forma uniforme e dentro
do contexto em toda a rede, sem afetar o desempenho.
Inteligência de ameaça global incomparável
A proteção de última geração com reconhecimento de contexto está baseada na mais
recente inteligência de ameaças em todo o mundo. Funcionando constantemente,
o Cisco SIO oferece inteligência de ameaças em tempo real da nuvem para seus
firewalls e demais infraestruturas seguras, para que você possa tomar decisões com
base nas últimas informações sobre ameaças e na reputação do domínio, do IP, da
URL e do remetente. A combinação de inteligência baseada em nuvem e de firewall
com reconhecimento de contexto proporciona uma vantagem exclusiva: a Cisco pode
proteger a sua empresa meses antes da ameaça.
Por exemplo, em setembro de 2012, quando pesquisadores de segurança deram o
alerta sobre uma vulnerabilidade de dia zero no Internet Explorer (IE), que permitiria a
um invasor obter acesso de administrador completo em uma máquina vulnerável que
executasse o IE versão 6, 7 ou 9, os provedores de segurança apressaram-se em
desenvolver e publicar assinaturas tradicionais para se proteger contra um possível
ataque. No entanto, mais de duas semanas antes, o Cisco SIO já havia bloqueado
automaticamente o site malicioso que hospedava a ameaça. A Cisco também agiu
rapidamente para bloquear o acesso a domínios que foram usados posteriormente para
espalhar o malware e identificou mais de 40 domínios estacionados registrados pelo
mesmo invasor. Com inteligência baseada na nuvem e análise de reputação, a Cisco
interrompeu o ataque na fonte e desarmou o invasor semanas antes de as soluções
concorrentes agirem.
5
3
“O futuro da segurança da informação oferece reconhecimento de contexto e é adaptativo”, Gartner, 14/05/2010. ID G00200385
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
Destaques da Cisco Security
Intelligence Operation
• 100 TB de inteligência de segurança
diariamente
• Mais de 1000 aplicativos e mais de
150.000 microaplicativos
• 1,6 milhão de dispositivos de
segurança implantados
• 13 bilhões de solicitações da Web
diárias
• 35% do tráfego de e-mail corporativo
mundial
• 93 bilhões de mensagens de e-mail
diárias
• Mais de 5.500 assinaturas IPS
• Atualizações a cada 3 a 5 minutos
White paper da Cisco
Interrompa ameaças em todo lugar
A proteção abrangente contra ameaças proporcionada pelos firewalls de próxima
geração da Cisco permite que as empresas interrompam ameaças em todo lugar. O
ASA 5500-X Series oferece a melhor proteção da categoria contra malware, ataques
direcionados, botnets e ameaças na Web. Com proteção integrada baseada em
reputação, sua empresa está protegida muito antes contra exploits e as ameaças são
bloqueadas antes que possam ser implantadas.
A proteção contra malware baseado na Web garante que os mais de 1 milhão de
websites comprometidos não espalhem malware. Todo o tráfego da Web é inspecionado
na nuvem para proporcionar ótima eficiência e simplicidade de implantação.
O ASA 5500-X Series também integra o único sistema de prevenção contra violação
baseado em reputação do mundo que garante que os invasores não possam penetrar
no firewall e em seus sistemas críticos. Usando feeds de telemetria de quase 2 milhões
de dispositivos de segurança da Cisco e 150 milhões de dispositivos de endpoint em
todo o mundo, o Cisco SIO analisa e correlaciona esses dados para avaliar a reputação
de websites e oferece proteção quase em tempo real contra ameaças de dia zero. O
Cisco SIO atualiza essas informações e as disponibiliza para todos os dispositivos de
segurança da Cisco globais a cada três a cinco minutos - 24 horas por dia, sete dias por
semana.
Da mesma forma, o Cisco IPS é o único IPS com reconhecimento de contexto que usa
reconhecimento de dispositivo, reputação de rede na fonte, valor alvo e identidade do
usuário para tomar decisões de mitigação - para que os administradores possam aplicar
políticas proativas para agir com maior agressividade contra ameaças que são um risco
mais sério ou imediato aos recursos de rede.
O ASA 5500-X Series também identifica botnets, de modo que, se um dispositivo em
sua empresa estiver comprometido (por exemplo, através de um USB infectado), ele
pode ser rapidamente identificado e colocado em quarentena, limitando os danos.
O investimento no firewall de próxima geração fica protegido, mesmo que as exigências
de negócios mudem. Os firewalls de próxima geração Cisco ASA 5500-X Series
combinam o firewall de inspeção de estado mais implantado do setor com serviços
abrangentes de segurança de rede de próxima geração, de modo que as empresas
podem começar com a proteção de que precisam no momento e adicionar mais
serviços de segurança quando necessário. Mas mesmo que você adicione definições de
ameaça, controle de aplicativo e gerenciamento de ameaças, a segurança abrangente
não compromete o desempenho.
Visibilidade e controle de aplicativos granulares
Como a fronteira entre os aplicativos pessoais e de negócios é cada vez menos visível,
a TI não pode mais declarar de forma unilateral que o Facebook, Twitter e LinkedIn
são "maus" e bloquear seu uso. Quando o uso de aplicativos de mídia social se torna
essencial para os negócios, a TI precisa de controles mais flexíveis e granulares sobre os
aplicativos e seus componentes.
4
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
White paper da Cisco
O módulo de software Cisco Application Visibility and Control (AVC) oferece os maiores
níveis de visibilidade e controle sobre aplicativos móveis, colaborativos e da Web 2.0 - e
até sobre microaplicativos, como jogos do Facebook. O AVC identifica mais de 1.000
aplicativos e 150.000 microaplicativos, de modo que os administradores possam permitir
ou negar facilmente categorias inteiras de aplicativos, ou permitir o acesso a alguns
microaplicativos mas não a outros.
O AVC também pode identificar comportamentos de aplicativos e até mesmo identificar
ações individuais que um usuário realiza em um aplicativo. Por exemplo, é possível
permitir que os trabalhadores visualizem o Facebook, mas não que façam posts.
Também é possível impedir que trabalhadores em uma conexão de celular 3G ouçam
músicas ou assistam vídeos por streaming ou façam compras. O AVC também garante
a segurança de aplicativos como Skype e BitTorrent, que passam por diferentes portas
TCP, o que torna inútil a prática de usar números de porta como proxy para aplicativos.
Isso confere aos administradores novos níveis de controle sobre a mídia social, mídia de
transmissão e outros aplicativos.
Proteção da Web baseada em reputação
O Cisco Web Security Essentials (WSE) oferece proteção baseada em reputação contra
ameaças da Web, muitas vezes meses antes que elas sejam detectadas por antivírus.
Usando a correlação de ameaças globais do Cisco SIO, o WSE oferece proteção de
reputação para URL, domínio e endereços IP. Isso ajuda a proteger empresas contra
ataques de dia zero vindos de sites comprometidos, sem exigir atualizações de
assinatura ou correções de sistema de emergência. Os feeds de reputação da Web do
Cisco SIO permitem criar políticas mais granulares com base na reputação do host, além
da cobertura mais efetiva e com maior tempo hábil disponível.
Além disso, o Cisco WSE possibilita uma robusta filtragem de URLs com base em
conteúdo, usando políticas de acesso diferenciadas considerando usuários, grupos,
dispositivos e funções. Ele oferece 65 categorias de URL e um amplo banco de dados
de URLs que abrange sites em mais de 200 países e mais de 60 idiomas.
5
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
White paper da Cisco
Identidade garantida e acesso ao dispositivo
Com a mobilidade e BYOD avançando, a TI precisa de uma maneira de diferenciar
facilmente acessos com base em dispositivos móveis e em localização. Por exemplo, os
trabalhadores podem ter acesso mais limitado ao usar seus tablets pessoais do que ao
usar laptops de propriedade da empresa ou desktops virtuais. E o acesso pode ser ainda
mais restrito quando se usa um laptop pessoal. O acesso pode mudar, dependendo se o
usuário está na sede da empresa, em uma filial ou usando o Wi-Fi de casa ou o celular
na rua.
Juntos, o Cisco ASA 5500-X Series e o Cisco AnyConnect Secure Mobility Client
facilitam a disponibilização de acesso flexível, que pode ser diferenciado pela identidade
do usuário, localização da rede e dispositivo específico usado. Dessa maneira, quando o
vice-presidente de produção se conecta com um novo tablet Android ou remotamente
pelo VPN, a TI pode ter certeza de que as políticas de acesso serão aplicadas dentro do
novo contexto.
Além de métodos de autenticação passiva, a utilização do agente Active Directory
e Lightweight Directory Access Protocol (LDAP), Kerberos e NT LAN Manager pode
oferecer autenticação ativa para controle de acesso diferenciado com base em usuário,
grupo e função.
O Cisco ASA 5500-X Series integra-se com o Cisco TrustSec®, permitindo que
administradores usem a identidade de dispositivo e de usuário já disponível na rede.
Essas informações podem ser usadas para identificar e rotular o tráfego dos funcionários,
prestadores de serviço e convidados e, em seguida, controlar o acesso. Por exemplo, o
tráfego de convidados pode ser limitado a uma rede de convidados, e o firewall do Cisco
ASA 5500-X Series pode limitar os aplicativos ou sites que os convidados podem usar.
Nenhum outro firewall de próxima geração pode oferecer mecanismos tão diversos de
controle de acesso.
6
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Segurança sem abrir mão do desempenho:
firewalls adaptativos de próxima geração
e com reconhecimento de contexto
White paper da Cisco
Construído sobre uma base sólida
A segurança com reconhecimento de contexto oferece proteção contra ameaças
avançadas no novo mundo da mobilidade, da nuvem e da colaboração. As empresas
podem confiar no conjunto abrangente de serviços de firewall de próxima geração
Cisco ASA, que podem ser adicionados sem sacrificar a proteção comprovada do
firewall de inspeção de estado mais confiável, e mais implantado, ao contrário de outros
fornecedores "de próxima geração". Os administradores podem usar seu know-how de
rede para maximizar sua eficácia ao criar políticas flexíveis e com reconhecimento de
contexto. Os firewalls de próxima geração Cisco ASA 5500-X Series foram projetados
para aumentar em escala de acordo com as necessidades de pequenas empresas e de
corporações globais, e para simplificar a manutenção e a auditoria de políticas, mesmo
em milhares de sites.
Segurança sem abrir mão do desempenho
As redes corporativas estão enfrentando mudanças sem precedentes, pois o trabalho
está se tornando uma atividade em vez de um lugar físico. Com mais trabalhadores
precisando de acesso aos recursos corporativos e de nuvem a qualquer momento e
em qualquer lugar, a TI precisa de uma abordagem nova para garantir que a empresa
continue protegida sem impedir a inovação dos negócios. Os firewalls de próxima
geração Cisco ASA 5500-X Series oferecem recursos de segurança em escala e
também disponibilizam níveis superiores de visibilidade e controle de aplicativos,
segurança da Web, prevenção contra invasões, acesso remoto e proteção contra
ameaças baseada na nuvem - para proporcionar segurança corporativa flexível hoje e
amanhã.
Saiba mais
Firewalls do Cisco ASA 5500-X Series de próxima geração
Serviços de firewall de próxima geração do Cisco ASA
A Cisco e o logotipo da Cisco são marcas comerciais ou marcas comerciais registradas da Cisco e/ou de suas afiliadas nos EUA e em outros países. Para ver uma lista de
marcas comerciais da Cisco, acesse: www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos proprietários. O uso do termo
"parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (1110R)
DDM13CS3947 05/13