Solution Guide: Beyond the Firewall Guia de Soluções Place graphic in this box Além do Firewall Novas Ameaças Exigem Novas Estratégias para a Proteção Total da Rede e Dos Aplicativos Introdução Em nosso recém-publicado whitepaper, “Tendências em data center e impactos sobre a segurança de rede”, falamos sobre desenvolvimentos recentes que estão mudando o cenário da segurança de rede e a forma como ela é implementada. Agora, neste whitepaper, vamos dar um passo à frente no que toca a examinar e explicar em profundidade as tendências relativas às ameaças capazes de burlar as proteções oferecidas por firewalls e IPS (Intrusion Prevention Systems). Firewalls de perímetro, segmentação de rede principal, BYOD/BYOA, virtualização e SDN são elementos que afetam as implementações de firewalls e sistemas de prevenção de invasões (IPS). Novas ameaças visando aplicativos, servidores e usuários representam desafios que obrigam a segurança da rede a se ampliar para além do firewall. Firewalls de última geração (NGFWs - Next Generation Firewalls) e IPSs com recursos avançados, como antivírus, antimalware, controle de aplicativos e inspeção detalhada de pacotes, podem oferecer proteções contra ameaças conhecidas. Entretanto, não podem proteger completamente contra ataques de zero dia, eventos DDoS na sétima camada da rede, ameaças persistentes avançadas e vulnerabilidades de e-mail. Vamos examinar detalhadamente essas ameaças à segurança e apresentar informações sobre produtos e serviços disponíveis que podem se integrar à sua infraestrutura de segurança de rede para conter essas ameaças. Novas Ameaças que Atacam Além do Firewall Não há dúvida de que um firewall é a principal defesa para segurança de rede. As tecnologias de firewall mais recentes são quase à prova de bala, pelo menos nos níveis das camadas 2 e 3. Invasores e cibercriminosos sabem disso e precisaram adaptar suas técnicas. Isso não significa que eles deixarão de tentar encontrar vulnerabilidades no firewall; mas eles sabem que alvos importantes, como instituições financeiras, lojas de varejo e agências de governo reforçaram suas políticas de segurança, e hoje não deixam brechas em seus firewalls. 1 www.fortinet.com Desafios Corporativos • Ameaças avançadas • Ataques a aplicativos • Vulnerabilidades de e-mail • Ameaças avançadas de DDoS • Crescimento do tráfego de SSL Segmentos • Empresas • Governo • Serviços gerenciados Guia de Soluções: Além do Firewall Os tipos de ataque e violação de dados que crescem mais rapidamente são os dirigidos a aplicativos, a serviços na camada de aplicativos e a usuários inexperientes. Eles representam a grande maioria dos pontos fracos hoje, e há incontáveis possibilidades no que diz respeito a explorar vulnerabilidades de código, módulos de aplicações e usuários ingênuos, que creem ser legítimos e-mails solicitando a confirmação das credenciais de suas contas. Ataques a Aplicativos Web O relatório da Verizon sobre violações de dados (Data Breach Investigations Report), de março de 2014, relata que mais de 35% das violações de dados observadas eram dirigidas a vulnerabilidades de aplicativos. O Open Web Application Security Project (OWASP) vem reportando de maneira consistente, desde 2010, os riscos à segurança – e quase todos os aplicativos baseados na Web têm uma ou mais vulnerabilidades apontadas em sua lista dos 10 maiores riscos à segurança de 2013. Além disso, o OWASP relata que, no último ano, 95% de todos os sites da Web foram atingidos por um ou mais ataques de scripts ou injeção de SQL. E segundo o Gartner em seu relatório de 2014 sobre firewalls para aplicativos Web (Web Application Firewall Magic Quadrant), mais de 80% das empresas terão em 2018 um firewall desse tipo, contra 60% em 2014. Ataques DDoS na Camada de Aplicativos Os ataques de negação distribuída de serviço (DDoS Distributed Denial of Service) são um dos tipos mais antigos de ameaça à segurança. No entanto, eles evoluíram na última década para se voltarem para os serviços de aplicação. Os grandes ataques volumétricos de larga escala ainda são manchetes dos jornais, mas a categoria que mais cresce entre os ataques DDoS são eventos na camada 7, que atingem apenas alguns megabits de pacotes e causam tanto dano quanto um ataque de centenas de gigabits. Ameaças Persistentes Avançadas As APTs (Advanced Persistent Threats) são ataques customizados, com direcionamento específico. Eles podem burlar a detecção utilizando malware até então desconhecido (ou zero dia), explorar vulnerabilidades (brechas de segurança sem patches) ou vir de URLs ou IPs aparentemente inocentes. Sua meta é comprometer o sistema visado com técnicas avançadas de código que tentam ultrapassar as barreiras de proteção e evitar qualquer possibilidade de identificação. As “Portas Dos Fundos” de Firewall e IPS es. Os invasores se adaptaram para explorar as vulnerabilidades que esses sistemas não foram projetados para detectar. Ataques às Camadas 2 e 3 da Rede Pontos Fracos de E-mail Email Usuários que recebem phishing e spam para proporcionar acesso à sua rede Ataques de DDoS de Camada 7 FIREWALL Apps Web Ultrapassam as defesas tradicionais com eventos dirigidos à camada de serviços de aplicação Malware Avançado Fontes Conhecidas de Ataques Ataques com alto nível de engenharia que usam IPS Autenticação Vulnerabilidades de Aplicativos Mantém aplicativos abertos a ataques como injeção de SQL e script em todo o site Tipos de Ataques Conhecidos 2 www.fortinet.com Bases da Dados Sobrecarga de SSL Rápido crescimento de aplicativos seguros, sobrecarregando servidores e ADCs Guia de Soluções: Além do Firewall As empresas vêm sendo atacadas por ameaças cada vez mais sofisticadas. Em 2013 e 2014, muitas grandes empresas sofreram ataques à sua segurança, como Target Corporation, Adobe, Tesco, Snecma, LaCie, KT Corp, Yahoo Japão e The New York Times. As pesquisas confirmam esta tendência: a PwC1 informou que 18% das organizações confirmaram uma invasão bem-sucedida a suas redes; a Verizon2 relatou que violações que permaneceram sem detecção durante meses, e, em pesquisa realizada pela Forrester para a Fortinet, 44% das organizações mencionaram uma violação interna à segurança como determinante para a implementação de projetos de firewall de última geração (NGFW - Next Generation Firewalls). De fato, o Gartner recomenda que “todas as empresas partam do pressuposto de que estão em constante estado de perigo”. E-mail: a “Porta Dos Fundos” que Permite Invadir sua Fortaleza Os profissionais de rede passam grande parte de suas carreiras criando, implementando e mantendo as melhores e mais recentes defesas para suas empresas. Mas até mesmo com os mais avançados sistemas de segurança de firewall, basta o clique de um usuário em um link ou um e-mail malicioso para cruzar a barreira da mais elaborada proteção à rede. Os cibercriminosos cada vez mais sofisticam suas táticas. Muitos dos e-mails de spam e phishing podem enganar até mesmo usuários mais cautelosos, pois parecem originados de fontes confiáveis ou até mesmo do departamento de TI da empresa. O e-mail é um dos principais vetores de ataque de engenharia social. Os invasores agora podem facilmente acessar conexões no Facebook, LinkedIn e outras redes sociais para obter informações de contato. Em seguida, criam e-mails que parecem enviados por amigos e colegas reais, em uma tentativa de enganar usuários e fazer com que baixem anexos maliciosos ou acessem sites em que o malware está instalado. Crescimento do Tráfego de Aplicativos Seguros Embora isso não constitua uma ameaça, muitas empresas estão estendendo a SSL a todos os aplicativos que interagem com a Web. Até mesmo os aplicativos aparentemente inofensivos estão obtendo tratamento de “seguros” para evitar vulnerabilidades conhecidas ou desconhecidas em outros sistemas, mais importantes. O mais recente relatório global sobre o fenômeno Internet da Sandvine demonstra que o tráfego criptografado está crescendo a uma velocidade sem precedentes. Na América do Norte, o tráfego com criptografia SSL aumentou de 2,9% 2013 para 3,8% até maio de 2014. No mesmo período, esse tipo de tráfego cresceu quatro vezes na Europa, passando de 1,47% para 6,1 por cento. O tráfego de SSL da América Latina saltou de 1,8% para 10,37%. 3 www.fortinet.com Até mesmo as redes móveis experimentam um significativo aumento no tráfego criptografado. Os números são impressionantes quando se considera que o tráfego de Internet continua crescendo anualmente a uma taxa de 23%. Combinada com essa expansão no tráfego, a complexidade de movimentação para chaves de criptografia mais avançadas – já que a tecnologia passou de 1.024 chaves para 2.048 e, agora, chega a 4.096 – está duplicando e até quadruplicando os tamanhos dos pacotes seguros. Os servidores e balanceadores de carga estão lutando para atender à demanda gerada com nova geração de soluções para entrega de aplicativos seguros. Proteção Adicional, Além do Firewall e do IPS Há em cada uma das áreas apresentadas na seção anterior desafios específicos, que não podem ser enfrentados apenas com sistemas de firewall ou IPS. Hoje, a maioria dos sistemas de IPS e firewall, incluindo nossas linhas de produtos FortiGate, tem funcionalidades capazes de resolver muitos desses novos problemas. Porém, em geral eles se limitam à detecção de assinatura e precisam de soluções adicionais para oferecer proteção completa a ataques desconhecidos e de zero dia. O FortiGate oferece vários serviços que podem ser ativados, como inspeção detalhada de pacotes e proteção contra o vazamento de dados – mas, mesmo com esses serviços, ainda existem brechas potenciais; além disso, há impactos no desempenho que devem ser considerados em implantações corporativas. As funcionalidades do FortiGate e de outros firewalls mais utilizadas para proteção no nível de aplicativos são a reputação de IP e a detecção de assinatura. Em geral, os serviços por assinatura, a reputação de IP e as assinaturas de ataque são medidas eficientes para bloquear ataques antes de qualquer processamento pelo firewall. Se um ataque for proveniente de fonte conhecida ou corresponder a uma assinatura predefinida, será bloqueado automaticamente, sem que o firewall precise executar nenhuma inspeção. O FortiGate oferece esses serviços por meio de nosso premiado FortiGuard Labs. Embora esses sistemas de detecção sejam muito eficientes para bloquear ataques de fontes conhecidas e correspondentes a padrões anteriores, ameaças de zero dia e ameaças persistentes avançadas (APTs) conseguem burlá-los. Em alguns casos, as APTs são tão personalizadas que o código malicioso é desenvolvido especificamente em um único destino, sem nenhum aviso, até que o malware seja implantado. As assinaturas e reputação de IP também não podem proteger completamente os aplicativos Web de ataques, pois muitas vulnerabilidades baseadas em códigos têm formas praticamente ilimitadas de evitar a identificação por assinaturas predefinidas. Diante dessas ameaças, as empresas do setor de segurança de TI, incluindo a Fortinet, desenvolveram soluções específicas para complementar as proteções em firewalls e plataformas IPS. Guia de Soluções: Além do Firewall Conformidade com PCI, firewalls e WAFs Seguem dados demonstrando que você precisará de mais que um firewall para proteger totalmente seus aplicativos e dados. Se sua empresa atua em e-commerce ou lida com informações bancárias, você deve levar em conta a conformidade com as normas PCI (Payment Card Industry) para segurança de rede e de aplicativos. Embora os padrões DSS ( Data Security Standards) do PCI não sejam obrigatórios por lei, muitas leis, especialmente entre as locais, exigem especificamente a conformidade com PCI para atender a determinados requisitos. Um firewall não será suficiente. Para estar em conformidade com as especificações DSS 6 do PCI, você precisará de um firewall para aplicativo Web – só assim conseguirá evitar todas as dez principais ameaças de aplicativo Web da OWASP mencionadas nesta seção. Veja abaixo quais são essas ameaças e a comparação entre as funcionalidades oferecidas por WAFs e firewalls. Ameaças de Aplicação: The OWASP Top 10-2013 Injeção (SQL, OS e LDAP) Autenticação Corrompida e Gerenciamento de Sessão Script No Site Referência a Objeto Indireto Inseguro Configuração de Segurança Incorreta Exposição de Dados Confidenciais Ausência de Controle de Acesso Baseado em Função Falsificação de Solicitações (CSRF) Utilizando Componentes com Vulnerabilidades Conhecidas Encaminhamentos e Redirecionamentos sem Validação Firewall Não Não WAF Sim Sim Não Não Sim Sim Não Sim Não Sim Sim Sim Não Não Sim Sim Não Sim Essas soluções incluem firewalls para aplicativos Web; appliances para mitigar ataques DDoS; controladores avançados de entrega de aplicações para atender às demandas do tráfego de aplicativos seguros; Sandbox capaz de isolar códigos maliciosos para inspeção, e gateways de segurança de e-mail que possam detectar e gerenciar ameaças trazidas por e-mails antes de chegarem aos usuários. Em um mundo perfeito, todas essas medidas de segurança estariam contidas em um único appliance. No entanto, mesmo com o melhor hardware disponível hoje, o impacto desses serviços sobre o desempenho inviabilizariam a criação de um “superfirewall”. O FortiGate oferece muitos serviços avançados que chegam perto disso, mas ainda existem falhas. Discutimos a inspeção aprofundada de pacotes anteriormente. 4 www.fortinet.com A maioria dos gerentes de data center não ativa esse serviço, pois ele pode demandar muito uso de processador e afetar a taxa de transferência do firewall. Nesses casos, simplifica-se a utilização do FortiGate que, empregando apenas seus recursos básicos, permite manter o máximo desempenho enquanto outros dispositivos gerenciam as camadas adicionais de segurança. Empresas menores e de médio porte ativam os muitos recursos avançados do FortiGate NGFW para o Gerenciamento Unificado de Ameaças (UTM - Unified Threat Management), em que uma única caixa consegue lidar com as taxas de transferência – facilitando o trabalho quando são escassos os recursos de TI. Portanto, como gerente de um data center, provavelmente você precisará considerar recursos além de seu firewall para oferecer proteção completa à rede e aos aplicativos e enfrentar os desafios que sua organização enfrenta. Para organizações de grande porte, é difícil optar entre consolidar todas as funcionalidades com um só fornecedor, ou reunir as melhores soluções pontuais disponíveis no mercado. Existem argumentos a favor e contra cada um dos dois lados. Pode-se dizer que “fornecedores únicos são mais fáceis de gerenciar”, ou que “soluções pontuais oferecem o melhor em segurança e funcionalidades”. Quando você ponderar as opções, deve pesar pontos cruciais para sua organização – como funcionalidades, interoperabilidade, gerenciamento e suporte – antes de escolher um fornecedor que possa preencher o máximo desses critérios com uma solução completa para o seu data center. O restante deste documento discute importantes desafios e oferece as informações sobre como a Fortinet pode ajudá-lo a resolver esses problemas enquanto fornecedor exclusivo para atender a todas as suas necessidades de segurança de rede e aplicativos. Soluções Avançadas de Segurança para Data Center A Fortinet oferece muito mais que os firewalls FortiGate. Oferecemos soluções que vão muito “além do firewall” para proporcionar completa segurança de rede e de aplicativos. A seção a seguir trata de algumas das ameaças e dos desafios enfrentados por data centers atualmente, e das soluções oferecidas pela Fortinet. Para obter mais detalhes sobre os produtos apresentados, documentos, estudos de caso e outras informações úteis, visite o site Fortinet.com. Segurança de aplicativos Os aplicativos Web são alvos atrativos para hackers, pois não exigem do usuário uma abertura para a Internet. Como muitos deles constituem ferramentas de negócios e de comércio eletrônico, podem conter dados de titulares de cartões de crédito, por exemplo, assim como dados de empresas e outras informações confidenciais. Guia de Soluções: Além do Firewall As tecnologias de segurança de perímetro, como IPS e firewalls, se concentraram nos ataques às camadas de rede e transporte. Muitos fornecedores, inclusive a Fortinet, acrescentaram aprimoramentos voltados para proteção à camada de aplicativos. Esses aprimoramentos, conhecidos como “Inspeção Aprofundada de Pacotes” (DPI, Deep Packet Inspection), têm como objetivo melhorar a detecção de assinaturas nessa camada. Embora a DPI seja útil para proteger contra ataques à infraestrutura de servidores Web propriamente ditos (IIS, Apache, etc.), ela não pode Ameaças à proteger contra ataques voltados a códigos de Segurança de aplicativos Web Aplicativos personalizados, como • Os aplicativos voltados ao HTML e SQL. público são alvos atrativos • Dados confidenciais e de propriedade de clientes são expostos • Quase todos os aplicativos Web têm vulnerabilidades • Firewalls só podem detectar ameaças conhecidas • 95% de todos os sites já sofreram ataques de script e injeção de SQL Firewalls para Aplicativos Web (WAFs) A proteção a aplicativos Web requer uma abordagem totalmente diferente da detecção por assinatura por si só. Somente um Firewall para Aplicativo Web pode oferecer proteção aos aplicativos, por compreender sua lógica e a dos elementos existentes nos aplicativos Web – como URLs e parâmetros, e cookies utilizados. Com o monitoramento comportamental do uso do aplicativo, o WAF pode inspecionar detalhadamente todos os aplicativos do data center, criando parâmetros de comportamentos normais e disparando ações para proteger os aplicativos quando ocorrerem anomalias provocadas por ataques. Firewalls para aplicativos Web FortiWeb O firewall para aplicativos Web FortiWeb oferece proteção especializada contra ameaças à camada de aplicativos para data centers corporativos. O uso da detecção bidirecional proporciona segurança completa dos aplicativos contra ameaças de fontes maliciosas, ataques DoS na camada de aplicativos e ataques sofisticados, como injeção de SQL e script em todo o site. A plataforma FortiWeb se destina a evitar o roubo de identidade, fraudes financeiras e negação de serviço. Ela oferece a tecnologia necessária para monitorar e implementar regulamentações governamentais, políticas internas e melhores práticas do mercado. O FortiWeb oferece: • Módulo de varredura de vulnerabilidades no firewall de aplicativo Web para atender aos requisitos DSS das normas PCI 6.6. • Bloqueio a ameaças como scripting, injeção de SQL, transbordamento de dados, inclusão de arquivos, negação de serviço, envenenamento de cookies, e outros ataques a aplicativos. 5 www.fortinet.com • Proteção contra as 10 principais vulnerabilidades de aplicativos listadas pela OWASP. • Serviço de Reputação de IP, protegendo contra ataques Web automatizados pela identificação do acesso de botnets e outras fontes maliciosas. • Criação de perfil da atividade dos usuários de forma automática e dinâmica, criando parâmetros para ações permitidas. • Proteção contra ataques DoS/DDoS nas camada de aplicativos e da rede. • Processamento conjunto de criptografia SSL, acelerando tempos de transação, descarregando funções de criptografia e reduzindo a carga de processamento do servidor Web. • Balanceamento da carga da camada 7 e o roteamento baseado em conteúdo, aumentando as velocidades do aplicativo, aprimorando a utilização de recursos do servidor e estabilizando aplicativos. Proteção Contra Ataques DDoS Os ataques DDoS foram umas das primeiras ameaças conhecidas a data centers, e evoluíram tornando-se hoje a principal ameaça enfrentada por gerentes desses centros. Os novos ataques de DDoS se destinam a serviços de aplicativos da camada 7 e podem causar tantos danos quanto ataques volumétricos maciços. Em vez de simplesmente sobrecarregarem a rede com tráfego ou sessões, esses ataques se direcionam a aplicativos ou a serviços específicos, esgotando lentamente seus recursos. Os ataques na camada de aplicativos podem ser muito eficientes utilizando pequenos volumes de tráfego, e, assim, parecendo completamente normais para a maioria dos métodos de detecção de DDoS tradicionais. A maioria dos provedores de Internet usa métodos básicos para proteger o usuário contra ataques de larga escala. Em geral, não contam com ferramentas sofisticadas de detecção, capazes de interceptar ameaças no nível do aplicativo e normalmente deixam que eles passem Ameaças DDoS para as redes dos usuários. Avançadas Soluções para Mitigar Ataques DDoS Existem várias opções disponíveis para mitigar ataques DDoS, variando de simples configurações do servidor até soluções avançadas de hardware baseadas em data centers. A maioria dos provedores de Internet oferece proteção contra ataques DDoS nas camadas 3 e 4, para • Tipo de ameaça mais antiga, mas com a mais rápida evolução • Permanece a ameaça nº 1 para os gerentes de data centers • Categoria com crescimento mais rápido entre as ameaças à camada 7 • Firewalls só podem detectar ameaças DDoS conhecidas • Pequenos ataques à camada 7, de menos de 50 Mbps, podem causar tanto dano quanto ataques de centenas de gigabits Guia de Soluções: Além do Firewall impedir que seus links sejam inundados em eventos volumétricos. No entanto, eles não têm a capacidade de detectar os ataques bem menores à camada 7. Os data centers não podem depender apenas dos provedores para contar com uma solução contra atraques DDoS que inclua proteção à camada de aplicativos. Os appliances para mitigar ataques DDoS são appliances dedicados, capazes de bloquear ataques às camadas 3, 4 e 7. Eles são oferecidos em versões para operadores de serviços e para redes corporativas. Na maioria dos casos, as organizações que desejam proteger seus data centers preferem os modelos voltados para o mercado corporativo, que detectam e mitigam ataques DDOS com boa relação custo-benefício. As opções de que dispomos oferecem alternativas para conter ataques volumétricos com total proteção às camadas 3, 4 e 7, ou para complementar a proteção contra ataques DDoS maciços já proporcionada pelo provedor de Internet, com detecção e mitigação avançadas de ataques à camada 7. Appliances Anti-Ataque DDoS FortiDDoS A Fortinet é a única empresa a usar uma abordagem ASIC, totalmente customizada, para seus produtos anti-ataque DDoS, o que elimina a sobrecarga e os riscos associados à utilização de CPU ou sistemas híbridos CPU/ASIC. O processador de tráfego FortiASIC-TP2 de segunda geração oferece detecção e mitigação de ataques DDoS nas camadas 3, 4 e 7, para tráfego de entrada e saída. O FortiDDoS usa um método baseado em comportamento 100% adaptável para identificar ameaças. Ele “aprende” os parâmetros da atividade normal do aplicativo e efetua a monitoração comparando o tráfego a esses parâmetros. Ao se iniciar um ataque, o FortiDDoS o considerará uma anomalia e agirá imediatamente para mitigá-la. Os usuários ficam protegidos contra ataques conhecidos e desconhecidos, de zero dia, pois o FortiDDoS não precisa esperar uma assinatura para ser atualizado. O FortiDDoS tem as seguintes características: • Desempenho ímpar: usando detecção baseada em comportamento e processadores ASIC, o FortiDDoS detecta e mitiga um maior número de ameaças de DDoS, incluindo ataques sofisticados de baixo volume na camada de aplicativos. Ele atua com mais rapidez que qualquer outra solução disponível no mercado. • Proteção contra congestionamento causado por DDoS: com modelos de até 24 Gbps de taxa de transferência full duplex, você obtém a capacidade de que precisa para se defender contra ataques de DDoS de maior escala. • Fácil de usar e gerenciar: com as ferramentas de configuração automática e opções padrão pré-configuradas do FortiDDoS, acrescentar a mitigação de ataques DDoS à sua rede leva apenas alguns minutos. Sua interface de usuário intuitiva CLI e a geração de relatórios avançada oferecem ferramentas para você gerenciar facilmente as defesas contra ataques DDoS e obter relatórios e análises detalhadas. • TCO mais baixo: em média, o custo total de propriedade (TCO - Total Cost of Ownership) dos dispositivos FortiDDoS é 50% mais baixo que o de dispositivos semelhantes de outros fabricantes. • Menor latência: seu mecanismo de detecção e mitigação de ataques DDoS em camada única e baseado em hardware oferece uma taxa de latência inferior a 50 microssegundos. • Melhor sistema no que toca a evitar falsos positivos: os métodos de reavaliação contínua de ataques em períodos curtos de bloqueios, inferiores a um minuto, identificam e mitigam apenas o tráfego que realmente configura ameaça. Utilizando o FortiDDoS com seu Provedor de Internet Assim como qualquer outro dispositivo para mitigar ataques DDoS, o FortiDDoS está sujeito a grandes ataques volumétricos nas camadas 3 e 4. Quando usado juntamente com as proteções de filtragem DDoS de seu provedor de Internet, torna-se uma solução capaz de minimizar o impacto desses ataques e oferecer a seu data center proteção completa e avançada à camada 7. Provedor de Internet FortiDDoS Data Center Proteção em Massa Mitigação na Camada 7 Solução Completa Anti-DDoS Seu provedor de Internet pode oferecer filtragem de ataques das camadas 3 e 4 em larga escala para minimizar o tráfego passado para o FortiDDoS Com sua detecção baseada em comportamento, o FortiDDOS verifica se há ameaças DDoS na camada de aplicativo do tráfego restante A combinação de defesas do seu provedor de Internet e do FortiDDoS minimiza interrupções para usuários e data center Grandes Volumes Ataques DDos à Camada 7 Tráfego Legítimo 6 www.fortinet.com Guia de Soluções: Além do Firewall Entrega de Aplicativos Seguros Os usuários esperam contar com a disponibilidade e a velocidade de resposta dos aplicativos. Agora, eles também esperam que você esteja protegendo os dados confidenciais da empresa, assim como os seus dados pessoais. Para oferecer a segurança de que quase todo aplicativo precisa, os gerentes de data center estão implementando SSL na maioria dos aplicativos, embora isso tenha um custo em termos de utilização, velocidade e latência. Como mencionado anteriormente, suprir a demanda gerada pelo crescimento de tráfego seguro pressiona até mesmo os data centers de melhor arquitetura. Além disso, as chaves de criptografia de SSL estão ficando mais complicadas, passando das chaves mais antigas de 1.024 bits para 2.048 e, agora, 4.096 bits. Crescimento do Tráfego SSL ADCs com descarregamento de SSL • Muitas organizações Os Controladores de implementando, em ritmo Entrega de Aplicativos acelerado, criptografia SSL para (ADCs - Appplication proteger todos os aplicativos Delivery Controllers) hoje • Tráfego seguro aumentando oferecem o recurso de rapidamente descarregar o tráfego • Infraestrutura de entrega de SSL de servidores para o aplicações sobrecarregada para próprio ADC. A maioria atender à demanda do tráfego dos fabricantes pode • Firewalls normalmente têm funcionalidades limitadas para a fazer isso usando entrega de aplicações criptografia e • Expansão de chaves de descriptografia de criptografia complexas (2.048 e software. No entanto, 4.096) pressionam os recursos somente os appliances dos data centers com aceleração de hardware possuem processadores ASIC dedicados, capazes de entregar as velocidades exigidas por um data center moderno. A maioria dos dispositivos baseados em software pode lidar com dispositivos que manipulam de centenas a algumas milhares de transações por segundo, em comparação aos appliances baseados em hardware,que podem gerenciar dezenas de milhares de transações seguras por segundo. Deslocando o descarregamento desse tráfego, intensivo no uso de processadores, dos servidores para o ADC, os aplicativos seguros podem ser escalonados em até cem vezes, reduzindo ao mesmo tempo as taxas de resposta para usuários finais. Controladores de entrega de aplicativos FortiADC A linha FortiADC de hardware e Controladores de Entrega de Aplicativos virtuais oferece um desempenho ímpar no balanceamento de carga do servidor, não importa se sua necessidade for apenas distribuir determinado aplicativo por servidores de um só data center ou entregar vários aplicativos para milhões de usuários em todo o mundo. 7 www.fortinet.com Incluindo descarregamento de SSL até 31 mil transações por segundo, compactação de HTTP, balanceamento de carga de servidores, firewall e links, os esquipamentos dessa linha oferecem ao mesmo tempo recursos avançados, desempenho e segurança. Os modelos de ponta incluem portas 10-GE SFP+, SSL baseado em hardware (ASIC), canais de gerenciamento dedicados e fornecimentos de energia duplos para atender às demandas de ambientes de data center com taxa de transferência de L4 de até 50 Gbps. O FortiADCs conta com as seguintes características: • Balanceamento avançado de carga de servidor, proporcionando escalabilidade e resiliência à sua infraestrutura ao distribuir a carga de aplicativos por vários servidores. • Armazenamento em cache do conteúdo estático, reduzindo a carga do servidor e a infraestrutura de rede e, ao mesmo tempo, aumentando a resposta do aplicativo e reduzindo atrasos de entrega. • Compactação dinâmica de HTTP, acelerando o desempenho da rede sem usar recursos vitais do servidor. • Descarregamento de SSL baseado em hardware e software, reduzindo o impacto de desempenho sobre seus servidores. • Balanceamento de carga de links, distribuindo o tráfego entre vários provedores de Internet para aumentar a resiliência e reduzir a necessidade de dispendiosos upgrades na largura de banda utilizada. • Balanceamento de carga global de servidores para gerenciamento do tráfego em diferentes geografias, proporcionando recuperação de desastres e melhores tempos de resposta de aplicativos. Proteção Avançada Contra Ameaças O malware pode surgir em qualquer formato, tornando difícil sua identificação. A detecção de algumas formas de malware pode até ser mais simples, o que é o caso quando o usuário é encaminhado para um site de onde baixa um código malicioso. Entretanto, métodos mais recentes são mais sofisticados e contam com diferentes vetores para infectar usuários ou elementos da infraestrutura de data centers. Essa complexidade, combinada a opções quase ilimitadas de ataques de malware de zero dia, tornam praticamente impossível que firewalls e sistemas de provedores de Internet detectem todas as ameaças. Além disso, muitas delas podem estar escondidas em códigos aparentemente inocentes que, em alguns casos, levam anos para serem descobertos. Sandboxing Mesmo com as melhores defesas para detecção de ameaças, às vezes é melhor deixar o código “explodir” para ver o que acontecerá. Nesse caso, a sandbox atua como Guia de Soluções: Além do Firewall um esquadrão antibombas. O código suspeito é isolado em uma câmara virtual de “detonação de bomba” e tem permissão para fazer o que pretende. A diferença é que a sandbox é totalmente isolada de sua rede e de seus aplicativos. Portanto, se o código for um malware, não causará nenhum dano ao seu ambiente real. Quando o código é extraído e instalado na sandbox, é fácil examinar as alterações que ele provoca para causar o dano que pretendia. Se ele for considerado uma ameaça, o malware entrará em quarentena e será bloqueado para não penetrar na rede. Crescimento das Ameaças Avançadas • Malware cada vez mais complexo • Muitas ameaças levam dias e até anos para aparecer • Ameaças específicas podem mirar precisamente organizações únicas sem avisos prévios • Firewalls não podem detectar problemas, a menos que conhecidos anteriormente • Torna-se necessária uma solução capaz de deixar as ameaças se desenvolverem em ambiente controlado FortiSandbox – Detecção avançada de ameaças O FortiSandbox é uma plataforma para detecção avançada de ameaças, projetada para identificar os elaborados ataques direcionados que cada vez mais burlam as defesas tradicionais e penetram nas redes. Oferecendo exclusiva sandbox dupla para inspeção de todos os protocolos e funcionalidades em um só appliance e podendo ser integrado à sua infraestrutura FortiGate já existente, o FortiSandbox proporciona proteção altamente eficiente contra esses novos tipos de ameaças de maneira econômica. Além disso, oferece simplicidade em sua implementação e gerenciamento. Complemente suas defesas com os recursos de nossa sandbox, capaz de analisar arquivos em um ambiente controlado, de modo a identificar ameaças ainda desconhecidas e revelar todo o ciclo de vida do ataque. A rica inteligência sobre ameaças que proporciona, direcionando corretamente suas ações, além da opção de compartilhar informações com o FortiGuard Labs para receber automaticamente as atualizações de proteção, contribui para que as empresas reduzam o risco de comprometimentos e violações a suas redes. Características do FortiSandbox : • Examina a atividade, e não atributos: executa objetos em um seguro ambiente de máquina virtual (“sandbox”) para analisar atividades – como alterações em sistemas, tentativas de exploração de vulnerabilidades, visitas a sites e downloads subsequentes e comunicações de botnet, entre outras – visando expor as ameaças sofisticadas. 8 www.fortinet.com • Inspeciona todos os ambientes operacionais: por meio de emulação de código, examina e executa instruções de modo a avaliar a atividade pretendida, independentemente do ambiente operacional, proporcionando ampla cobertura de segurança. • Oferece pré-filtragem para redução de carga e latência: utiliza os reconhecidos antimalwares da Fortinet, bem como outras inteligências contra ameaças, para detectar ameaças previamente desconhecidas economizando tempo e esforços. • Oferece inteligência contra ameaças: revela informações relacionadas a todo o ciclo de vida da ameaça (e não apenas o código inicial) para acelerar a solução do problema. Opcionalmente integra-se ao FortiGuard Labs para obter atualizações automáticas de prevenção a ameaças. • Entrega componentes Microsoft com licença oficial: o produto inclui licenças do Microsoft Windows incorporadas, regidas por termos e condições especiais. Proteção ao E-mail O e-mail é um serviço corporativo fundamental, sem o qual nenhuma organização vive. Mas constitui também uma das maiores vulnerabilidades no que diz respeito à segurança corporativa. Ele é o principal alvo de criminosos para tirar proveito de políticas de segurança incipientes e usuários inexperientes. As ameaças via e-mail ocorrem de duas formas principais: entrada e saída. As de entrada são as ameaças tradicionais, como spam e ataques de phishing ,que tentam iludir os usuários para que forneçam informações confidenciais, como credenciais de login ou informações do cartão de crédito. Na saída, não há propriamente um ataque; o problema aí são os riscos às informações confidenciais da empresa. Funcionários, contratados e consultores podem enviar informações da empresa a qualquer E-mail Continua a ser pessoa, em qualquer Um Objetivo Maior lugar. Às vezes, isso • Até mesmo os usuários acontece por engano, às experientes estão sendo alvo dos vezes, não. esquemas avançados de phishing Gateway de Correio Seguro Esses gateways são dispositivos dedicados de hardware ou virtuais que oferecem proteção para spam de e-mail ou malware, além de oferecerem inspeção de conteúdo de e-mail de saída e criptografia. • O vazamento de dados confidenciais é um sério risco para as organizações • E-mails com links para sites expõem facilmente sua rede a ameaças de segurança • Firewalls não impedem usuários de cometer erros • Faz-se necessária uma solução que possa verificar spam, phishing e links suspeitos para que os usuários não se prestem a ataques Guia de Soluções: Além do Firewall Produtos Fortinet para Proteção Avançada Contra Ameaças A Fortinet oferece uma linha completa de produtos para proteger você das ameaças que atacam diretamente a aplicativos e usuários. Com uma plataforma Fortinet de segurança de rede, você obtém proteção avançada e uma solução de fácil gerenciamento, fornecida por uma marca na qual você pode confiar para todas as necessidades de seu data center – que vão além da proteção oferecida por firewalls e provedores de Internet FortiWeb FortiSandbox FortiDDoS FortiADC FortiMail Firewalls para Aplicativos Web Appliances para Proteção Avançada Contra Ameaças Dispositivos para Mitigar Ataques DDoS Controladores de Entrega de Aplicativos Gateways de Segurança de E-mail FortiGuard Serviços de Pesquisa de Ameaças FortiGate Firewalls para Data Center de Alto Desempenho Utilizando filtragem de reputação examina os e-mails de saída, e por meio de detecção avançada de phishing verifica os e-mails que passam pela rede e determina se há ameaças. Os e-mails suspeitos podem ser bloqueados ou colocados em quarentena para revisão posterior dependendo da forma como o gateway foi configurado. Os gerentes de data center podem definir regras detalhadas para verificar os dados confidenciais de todos os e-mails de saída. Se algum dado confidencial for detectado, poderá ser bloqueado ou automaticamente criptografado, dependendo da configuração das políticas de segurança FortiMail – Gateways de correio seguro O FortiMail é uma plataforma completa de proteção de e-mails da Fortinet para organizações de qualquer porte. Trata-se de uma solução única para proteção de ataques de entrada e de ameaças de saída e perda de dados, oferecendo uma série de recursos de segurança. Esses recursos incluem: antispam, antiphishing, antimalware, prevenção contra vazamento de dados, criptografia baseada em identidade (IBE - Identity Based Encryption), arquivamento de mensagens e antilista negra. O mecanismo de filtragem de entrada do FortiMail bloqueia o spam e o malware antes de eles inundarem sua rede e afetarem usuários. Sua tecnologia de inspeção de saída (incluindo tráfego móvel em 3G) reduz a perda de informações confidenciais e impede que outros gateways antispam coloquem seus usuários em listas negras. O FortiMail ganhou o prêmio VBSpam Platinum 20 vezes 9 www.fortinet.com FortiOS Sistema Operacional de Segurança de Rede consecutivas por oferecer uma das maiores taxas de detecção de ameaças do mercado, assim como das mais baixas de falsos positivos. Além disso, o antimalware FortiMail conquistou mais de 27 prêmios VB100. Estas são as características do FortMail: • Solução antispam e antimalware robusta, bidirecional e altamente precisa, incluindo a integração com o FortiSandbox para detectar as ameaças dirigidas mais sofisticadas. • Proteção de informações confidenciais e conformidade: DLP (Data Loss Prevention) e criptografia de e-mail integrados, incluindo dicionários personalizáveis e predefinidos e criptografia baseada em identidade (IBE) juntamente com suporte para TLS (Transport Layer Security) e SMIME (Small, Medium and Micro Enterprises) além de arquivamento de mensagens de e-mail. • Proteção de reputação: a tecnologia sofisticada de inspeção controla e bloqueia spam e malware de entrada e saída, garantindo que o servidor de correio do seu domínio não seja comprometido nem colocado em lista negra e mantendo a comunicação por e-mail eficiente e limpa. • Alto desempenho: a arquitetura exclusiva do FortiMail fornece análise e bloqueio em tempo real das ameaças, com o mínimo de impacto sobre recursos, geralmente no nível da conexão. A arquitetura também elimina a necessidade de enfileiramento de mensagem, se o servidor de correio de destino estiver disponível, proporcionando proteção a mais de 28 milhões de mensagens por hora em um único dispositivo. Guia de Soluções: Além do Firewall Ecossistema de Segurança de Rede da Fortinet Para proporcionar uma solução completa de proteção a redes e aplicações, a Fortinet oferece, juntamente com firewalls de aplicativos Web, appliances para mitigar ataque DDoS, controladores de entrega de aplicativos, gateways seguros de e-mail e soluções de sandbox. A Fortinet oferece a você anos de pesquisa e conhecimento em segurança, assim como a expertise necessária para proteger seu ambiente de data center. FortiDDoS Como porta de entrada da sua rede, o FortiDDoS verifica todo o tráfego de entrada e saída das camadas 3 e 4 e as ameaças avançadas a seus data centers e aplicativos na camada 7. FortiSandbox Trabalhando juntamente com o FortiGate, o FortiSandbox coloca códigos e anexos suspeitos em quarentena e os executa em ambiente controlado para examinar potenciais ameaças. SANDBOX DDoS FIREWALL/IPS MAIL FortiMail FortiGate No centro de sua rede, um firewall FortiGate de alto desempenho protege seu data center de invasões e ameaças de fontes e ataques conhecidos pela utilização de nossos premiados serviços de pesquisa de ameaça FortiGuard. WAF ADC O FortiMail é a segunda linha de defesa depois do FortiGate para verificação de spam e phishing, visando proteger as informações proprietárias das empresas e dos usuários. FortiADC O FortiADC oferece a seu data center entrega de aplicativos incrivelmente rápida e balanceamento de carga do servidor, com superior desempenho em descarregamento de SSL. FortiWeb A verificação avançada e o contínuo monitoramento de parâmetos protegem seus aplicativos de ameaças conhecidas e de zero dia visando as vulnerabilidades das aplicações Web. Servidor de Correio Servidor de Banco de Dados Servidor de Aplicativos 10 www.fortinet.com Solução Completa de Um Único Fornecedor Só a Fortinet pode oferecer uma solução avançada completa contra ameaças, de fácil gerenciamento e projetada para as demandas de seu data center. Guia de Soluções: Além do Firewall Appliances virtuais Fortinet A Fortinet oferece muitos de seus produtos em appliances de hardware ou virtuais. A maioria deles é compatível com as mais importantes plataformas de virtualização do mercado, incluindo VMware, Microsoft Hyper-V, Citrix XenServer e Amazon Web Services. Na tabela abaixo, veja as versões virtuais dos produtos mencionados neste documento e as plataformas com que operam. FortiGate VM FortiWeb VM FortiADC VM FortiMail VM • Flexibilidade de implantação: implementação na nuvem ou nas instalações da empresa, gateways, nos modos em linha e servidor; appliances físicos ou virtuais garantem integração a todos os ambientes, de médias empresas até provedores de serviço e operadoras. Fortinet: Segurança Total para Rede e Aplicativos Só a Fortinet pode oferecer desempenho e interoperabilidade em uma completa plataforma de segurança de rede e aplicativos capaz de atender a todas as necessidades de seu data center. Oferecendo como base o premiado firewall FortiGate, a Fortinet também proporciona os produtos e serviços adicionais necessários a uma proteção integral, além de firewalls, para seus aplicativos, usuários e dados confidenciais. Seja qual for a complexidade de suas necessidades, as abrangentes soluções de segurança da Fortinet, incluindo WAF, DDoS, entrega de aplicativos, sandbox e segurança de e-mail, são fáceis de configurar e gerenciar. Fornecemos ferramentas para gerenciar de modo centralizado suas soluções Fortinet e ferramentas capazes de consolidar análise e geração de relatórios sobre as ameaças. Os produtos da Fortinet foram criados para operar de modo transparente em conjunto com outros produtos e serviços da marca, potencializando seus recursos. Otimizamos e testamos nossos produtos para minimizar gargalos e aprimorar seu desempenho quando eles são utilizados em conjunto em ambientes de data center corporativo. 11 www.fortinet.com VMware • • • • Hyper-V • • XenServer • • AWS • • A maioria dos produtos Fortinet suporta o gerenciamento e a geração de relatórios centralizados, por meio de nossos produtos FortiManager e FortiAnalyzer. Em uma única tela, os usuários têm uma visão geral de seus produtos Fortinet, para gerenciamento simplificado e visibilidade completa de incidentes ocorridos em um ou mais dispositivos. Finalmente, a expertise faz a diferença. Somos líderes em tecnologias de segurança corporativa. Nossos engenheiros de pré-venda podem oferecer assistência para uma revisão de suas necessidades de proteção contra ameaças avançadas e projetar soluções para as demandas específicas da sua empresa. Como cliente, você tem suporte ininterrupto, consultoria on-line e outros serviços de classe corporativa, prestados por nosso premiado atendimento ao cliente FortiCare. Guia de Soluções: Além do Firewall Resumo Um firewall é a primeira linha de defesa da rede em seu data center. Mas novas tendências, que visam diretamente a segurança de aplicativos e usuários finais, exigem proteções adicionais – que não podem ser oferecidas por um firewall ou provedor de Internet. A detecção baseada em assinatura, reputação de IP e inspeção detalhada do pacotes pode bloquear algumas dessas ameaças avançadas, mas ainda é limitada. Produtos como firewalls de aplicativos Web, appliances para mitigar ataque DDoS, sandboxes, gateways de segurança de e-mail e controladores de entrega de aplicativos são necessários para lidar com as novas ameaças a data centers e usuários. A Fortinet oferece aos gerentes de data centers uma ampla linha de produtos que, além de complementar os firewalls FortiGate, líderes no setor, foram também projetados para operar em conjunto, de maneira transparente, compondo uma estrutura de completa proteção e segurança para aplicativos e rede. Para mais informações sobre os produtos apresentados neste documento, visite Fortinet.com. SEDE GLOBAL Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 United States Tel: +1.408.235.7700 Fax: +1.408.235.7737 www.fortinet.com/sales ESCRITÓRIO DE VENDAS EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, France Tel: +33.4.8987.0510 Fax: +33.4.8987.0501 ESCRITÓRIO DE VENDAS APAC 300 Beach Road 20-01 The Concourse Singapore 199555 Tel: +65.6513.3730 Fax: +65.6223.6784 ESCRITÓRIO DE VENDAS LATIN AMERICA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P. 01219 Del. Alvaro Obregón México D.F. Tel: 011-52-(55) 5524-8480 Copyright © 2014 Fortinet, Inc. Todos os direitos reservados. Fortinet, FortiGate®, FortiCare® e FortiGuard® e outras marcas são marcas registradas da Fortinet, Inc. Todos os outros nomes de produtos ou empresas podem ser marcas registradas de seus respectivos proprietários. As métricas de desempenho e outras métricas contidas neste documento foram obtidas em testes de laboratório, em condições ideais, e o desempenho real e outros resultados podem variar. As variáveis de rede, diferentes ambientes de rede e outras condições podem afetar os resultados de desempenho. Nada neste documento representa qualquer vínculo ou compromisso da Fortinet, e a Fortinet se exime de todas as garantias, explícitas ou implícitas, exceto nos casos em que haja um contrato escrito com um comprador, assinado pelo Conselho Geral da Fortinet, garantindo expressamente que o produto identificado irá operar conforme métricas de desempenho expressamente identificadas e, em tal caso, apenas as métricas específicas de desempenho identificadas no referido contrato escrito obrigatório, será de responsabilidade da Fortinet. Para clareza absoluta, qualquer garantia será limitada ao desempenho nas mesmas condições ideais dos testes realizados em laboratórios internos da Fortinet. A Fortinet se exime integralmente de qualquer acordo ou garantia relacionada explícita ou implicitamente a este documento. A Fortinet se reserva o direito de alterar, modificar ou revisar esta publicação sem aviso prévio, sendo válida sua versão mais atual.