Exija mais
Obtenha o máximo de benefício da migração para um firewall de próxima geração
Índice
2
Resumo executivo
3
Atualizações de firewall representam oportunidades
3
Alta disponibilidade sob pressão
4
Segurança baseada no contexto para controle de acesso refinado
4
Proteção avançada e automatizada contra táticas em evolução
5
Plataforma unificada de software 5
Exija mais
6
Sobre a segurança de rede da McAfee
6
Exija mais
Resumo executivo
Este white paper ajudará as equipes de rede e de segurança da informação a compreender os recursos
e benefícios dos NGFWs:
• Alta
disponibilidade e balanceamento de carga integrados para oferecer versatilidade operacional
e lidar com volumes crescentes de dados.
• Segurança baseada no contexto da conexão de modo a possibilitar um controle de acesso detalhado
para reduzir riscos e gerenciar a utilização.
• Detecção automatizada e avançada de evasões, capaz de bloquear e gerar relatórios sobre as técnicas
desconhecidas e em evolução que viabilizam ameaças direcionadas e persistentes.
• Uma plataforma unificada de software que suporte uma segurança de rede adaptável e a distribuição
flexível de recursos de próxima geração, com visibilidade e eficiência operacional.
Esses requisitos vão além de recursos específicos para englobar o objetivo a longo prazo: proteger
a disponibilidade e a integridade de redes essenciais, conforme a utilização aumenta e as ameaças
evoluem. Insistir nesses recursos garantirá que o seu NGFW esteja à altura dos requisitos do negócio,
de cibercriminosos inteligentes e da sua realidade orçamentária.
“Um firewall de próxima geração não é só uma coleção de respostas da última geração. Ele leva
a segurança ao próximo nível, com sua capacidade de detectar técnicas avançadas de evasão (AETs).
Combinando todos os recursos em uma única solução, ele é capaz de ver um quadro mais completo,
oferecendo mais segurança às empresas.”
—“2013 Next Generation Firewall Challenge” (O desafio do firewall da próxima geração em 2013)”,
Robin Layland, Network World1
Atualizações de firewall representam oportunidades
Os firewalls são a primeira e mais importante linha de defesa contra as ameaças de rede. Eles trabalham
incansavelmente em cada um dos escritórios remotos, no perímetro e na rede principal/de distribuição,
protegendo os data centers. Periodicamente, essas instalações legadas precisam ser reformuladas.
Hoje, os firewalls antigos precisam ser aposentados e substituídos por novos projetos, com recursos
integrados e expandidos, flexibilidade de distribuição e controle e mais expansibilidade e desempenho.
Esses projetos ajudam a preparar o seu firewall para o futuro, a fim de lidar com as mudanças de
demandas do negócio e com a expansão do panorama de ameaças.
Essa reformulação do firewall é uma oportunidade valiosa. Durante mais de uma década, tivemos que
suportar as frustrações e os custos de gerenciar conjuntos díspares e complexos de regras de firewall,
distribuir appliances adicionais para balanceamento de carga, prevenção de intrusões, VPNs e análise
de ameaças, e ainda examinar quantidades enormes de registros. Agora, podemos usar essa experiência
para exigir mais adaptabilidade e inteligência dos fornecedores de firewalls de rede.
Probabilidade
de cibercrime
100%
Governos, tecnologia de defesa,
bancos, infraestrutura essencial,
por exemplo
Risco
alto
Risco médio
Alta tecnologia, mídia, varejo,
manufatura industrial, por exemplo
Risco baixo
Sem fins lucrativos,
empresas e serviços locais
e de pequeno porte,
por exemplo
Valor financeiro,
político, comercial ou de
direitos de propriedade
intelectual oferecido
0%
Baixa
Alta
Figura 1. Como os ataques das ameaças avançadas afetam diferentes setores.2
Exija mais
3
Alta disponibilidade sob pressão
Hoje, praticamente todas as atividades de negócios, até mesmo os telefonemas, dependem da rede.
Os volumes de tráfego na rede só se movem em uma direção: para cima. Para que as ferramentas de
segurança baseadas em IP, como os NGFWs, possam fazer seu trabalho nesse ambiente, elas precisam
estar constantemente ativas: altamente disponíveis e facilmente expansíveis.
Alguns firewalls são projetados para usar a função “falha-abre” (em inglês “fail open”, permite o tráfego da
Web em caso de falhas) quando estão sob pressão. Caso as cargas de trabalho ultrapassem um certo limite,
os firewalls podem descartar o tráfego (firewalls padrão) ou parar de fazer inspeções (NGFWs) para manter
o tráfego fluindo. Esse comportamento mantém as empresas funcionando, mas sacrifica a segurança. Por
que investir em controle de aplicativos e regras de IPS se se não se pode garantir que tudo isso será aplicado?
Alternativamente, muitas empresas aumentam a capacidade e a disponibilidade por meio de clustering,
usando configurações redundantes ativas-passivas ou um balanceamento de carga ativo-ativo para distribuir
o tráfego para vários nós de firewall. Em vez de ser um complemento complexo, o clustering deveria ser
projetado de forma integrada. Especificamente, o clustering ativo-ativo oferece a melhor utilização de
recursos, permitindo que se faça uso integral dos investimentos de capital e adicione os nós conforme
exigido pela demanda. O clustering pode garantir a disponibilidade de recursos computacionais disponíveis
para inspeções de firewall de alto desempenho, além da capacidade de acomodar o tráfego em expansão.
Nesse modelo ativo-ativo, três fatores podem afetar a satisfação do usuário a longo prazo. Primeiro,
examine o modelo de balanceamento da carga de trabalho. Se forem necessários componentes
separados de balanceamento de carga, compreenda que esses componentes adicionais aumentam as
despesas de capital e a complexidade operacional, geralmente exigindo pelo menos um dispositivo extra,
um servidor de gerenciamento e um console para manter e monitorar.
Segundo, verifique se há limites para as contagens de nós. Alguns sistemas só podem formar clusters
com poucos nós. Esse projeto força a dimensionar e pagar na hora por um sistema que possa atender às
cargas de pico eventuais, em vez de adicionar nós conforme as cargas de trabalho aumentam. Se todos
os outros recursos forem iguais, escolha um projeto que possa ser expandido para dez ou mais nós.
Terceiro, considere a manutenção. Qual é o plano de manutenção para os dispositivos de firewall em
cluster? O balanceamento de carga deve permitir que a manutenção e o upgrade dos nós individuais
sejam feitos de forma independente. Esse modelo significa que será possível fazer o upgrade gradual
dos nós, executando múltiplas versões diferentes do código do firewall, sem degradar a qualidade
da inspeção ou prejudicar a disponibilidade. Caso um nó individual do firewall falhe, o modelo de
balanceamento de carga deve garantir que nenhum tráfego seja descartado ao ser redirecionado para
outro nó. Esse projeto dinâmico e integrado garante a inspeção contínua e a imposição de políticas.
Segurança baseada no contexto para controle de acesso refinado
Os NGFWs incluem os controles de usuários e aplicativos como recursos básicos. Eles oferecem um
grande avanço em relação às regras de bloquear/permitir dos firewalls. Mas depois que as empresas
começam a experimentar as regras para orientar esses controles, muitas descobrem que as regras
baseadas em usuários e aplicativos ainda são simples demais. Elas funcionam para os aplicativos mais
perniciosos (como o compartilhamento gratuito de arquivos), mas podem não ser adequadas para
situações mais complexas, como o uso do LinkedIn. Um dos desafios é que poucas equipes de TI têm
a visibilidade necessária sobre usuários e aplicativos para ter confiança total nos bloqueios. Elas não
querem dar a impressão de que controlam arbitrariamente o acesso aos aplicativos e ter que lidar
com chamadas de suporte dos usuários insatisfeitos.
Os administradores preferem aplicar limites, como o número de vezes que uma situação específica
ocorre em um certo intervalo de tempo ou grupo ou uma sequência de eventos. Eles querem
correlacionar e agregar eventos, incluindo aqueles coletados em diferentes sensores do NGFW.
Esse agrupamento de fatores e eventos fornece mais clareza e certeza sobre as atividades, desde
o uso remoto de VPNs até a navegação na Internet. Após iniciar por esse caminho, é possível obter
muito valor com esse método. Por exemplo, a associação de endereços IP de entrada e de saída pode
ser significativa, quando os administradores estão preocupados com uma ameaça interna específica,
uma rede de bots ou um atacante em potencial. Todas essas opções de controle contextual dão à TI
mais poder para dar suporte aos negócios e mantê-los seguros.
“Os dispositivos de segurança devem fazer a normalização do tráfego em cada camada TCP/IP.
Mas muitos dispositivos de segurança de rede favorecem a velocidade em detrimento da segurança da
rede e empregam atalhos. Eles não inspecionam as quatro camadas do modelo TCP/IP. Assim, o dispositivo
de segurança de rede pode operar mais rápido, mas a rede fica vulnerável a evasões avançadas.”
—Advanced Evasion Techniques for Dummies (Técnicas avançadas de evasão para leigos)3
4
Exija mais
Proteção avançada e automatizada contra táticas em evolução
Os NGFWs distribuídos conjuntamente em camadas reforçam e complementam as defesas, oferecendo
suporte às melhores práticas de defesa em profundidade. O antimalware e a prevenção de intrusões ajudam
a identificar e bloquear malware conhecido, além das ameaças de dia zero que atacam vulnerabilidades
não corrigidas. Geralmente, esses sistemas usam assinaturas ou análise de comportamento para identificar
códigos maliciosos. Além disso, os controles de aplicativos permitem que a TI reduza a superfície de ataque,
diminuindo o uso de aplicativos e conteúdos arriscados. Juntos, esses recursos representam um grande
passo à frente na proteção do perímetro, em comparação com o firewall de rede legado. Essa é uma
combinação especialmente poderosa para a proteção de locais remotos, em que as políticas e proteções
trabalham juntas para aprimorar a estratégia de segurança de rede da organização.
Entretanto, os criminosos inventam continuamente maneiras de ultrapassar as defesas principais.
Há alguns anos, os atacantes podiam obter sucesso com investimentos em criptografia e malware
polimórfico, mas hoje os hackers mais determinados e avançados invadem as redes distribuindo
códigos maliciosos em uma série de cargas, geralmente ocultas. Às vezes, eles enviam cargas usando
uma variedade de protocolos, como FTP, HTTP e HTTPS. Esse esforço adicional permite que o código
evite a detecção pelas defesas padronizadas de comparação de assinaturas, de detecção de padrões
e específicas de protocolos.
O modo de combater essas táticas evasivas é normalizar o tráfego entre as camadas de três a sete,
desmontando e examinando todo o fluxo de dados e montando as partes em um todo unificado.
Após ser remontado, o código pode ser inspecionado usando assinaturas e padrões. Combinada com as
outras defesas de um NGFW, essa técnica antievasão representa o que há de mais moderno nas defesas
de rede em linha.
Plataforma unificada de software
Essa gama de defesas deve ser parte de uma arquitetura operacional flexível e eficiente. As equipes de
segurança de rede devem avaliar os recursos de controle e de inspeção dos NGFWs de acordo com seus
requisitos de eficácia de proteção e de eficiência operacional.
Para uma segurança eficaz, precisamos ter a capacidade de implementar as análises mais avançadas
e fazer uso pleno de todos os controles que distribuir. Se pensarmos em implementar um sistema
completo, deve-se tomar cuidado com as implementações que forçam a escolher entre defesas, como
trocar o controle de aplicativos pelo IPS, ou aquelas que desativam as inspeções ou outros recursos em
picos de carga.
Mesmo se o usuário puder viver com essas limitações hoje, ou se gosta da flexibilidade de distribuir
um firewall/VPN, um NGFW e um IPS onde achar adequado, uma arquitetura de software comum para
essas soluções é desejável. Uma plataforma comum permite que as regras e políticas funcionem juntas
para processar o tráfego de forma eficiente, aproveitando ao máximo os recursos computacionais
e identificando as anomalias. Como os requisitos de negócios, arquitetura de rede e postura de risco
podem mudar rapidamente, um projeto unificado pode ajudar a responder imediatamente, adaptando
as configurações do firewall sem penalizações com upgrades forçados.
Uma plataforma unificada de software também oferece um segundo benefício: eficiência operacional.
Os anos de manutenção do firewall legado provavelmente ajudaram a entender os problemas de
complexidade operacional de um firewall. Gerenciar regras, alternar entre consoles administrativos,
integrar dados em planilhas: todos esses esforços diários se acumulam em semanas ao longo de um ano.
Conforme o usuário gerencia mais firewalls em mais lugares, é possível medir essa carga operacional
em meses, e essa carga geralmente é processada por uma equipe reduzida.
Adicionando funcionalidades ao firewall, incluindo recursos como o balanceamento de carga e VPNs,
o usuário também aumenta a importância da eficiência. Por exemplo, políticas de ajuste fino devem
ser reutilizáveis em todos os firewalls. Uma arquitetura centralizada de políticas oferece meios práticos
de criar controles consistentes e detalhados nas suas regras de firewall.
“Appliances integrados de segurança ganharam participação de mercado em todos os trimestres
desde o quarto trimestre de 2011. A Infonetics prevê mais ganhos de participação até o segundo
trimestre de 2014.”
–Network Security Appliances and Software (Software e appliances de segurança de rede),
setembro de 20134
Exija mais
5
A integração arquitetônica das defesas permite que elas sejam integradas no gerenciamento, aumentando
a eficiência e a percepção situacional dos eventos da rede. O sistema pode correlacionar e analisar registros,
apresentar eventos em um console comum e oferecer visualizações e análises que ajudam a identificar
tendências e eventos recentes.
Algumas empresas exigem que a TI gerencie domínios múltiplos ou distribuídos: por exemplo, para
unidades organizacionais diferentes ou como um provedor de serviços de segurança gerenciados
(MSSP). Nesses cenários, os usuários precisam se certificar que de poderão compartilhar tarefas comuns
e monitorar a situação a partir de uma única tela, mantendo um isolamento lógico separado para cada
domínio. Esses recursos são um benefício dos NGFWs na sua corrida para a nuvem.
A integração e a automação de políticas, processos e ferramentas em uma arquitetura e uma base
de software unificadas representam um fator de sucesso crucial para obter dos seus firewalls de
próxima geração o máximo de valor em segurança. Com isto aprimora-se a eficácia dos controles
e contramedidas, minimizando a sobrecarga operacional.
Exija mais
A adoção dos NGFWs deve trazer um grande incremento na gama de proteções e controles que
o usuário pode aplicar à sua rede. Recursos básicos de NGFW, como um controle rudimentar de
aplicativos, oferecem um ponto de partida para a sua lista de itens. Entretanto, os recursos básicos
são só o começo. O usuário pode exigir outros recursos valiosos: prevenção de intrusões, regras
contextuais, análise avançada de evasão, controle de acesso protegido e alta disponibilidade.
Além dos recursos, exija desempenho operacional. Investigue a abordagem escolhida pelos seus
fornecedores para explicar a realidade atual: conjuntos de habilidades e recursos administrativos
limitados enfrentando uma demanda em expansão e a necessidade de visibilidade, criatividade defensiva
e percepção situacional. Pergunte como eles vão ajudar a se adaptar para cargas de trabalho futuras,
a otimizar recursos e a detectar e deter a próxima onda de técnicas de ameaça. Fazendo essas perguntas
agora, o usuário pode proteger o seu investimento e a sua rede, evitando decepções, interrupções
e despesas desnecessárias no futuro.
Sobre a segurança de rede da McAfee
A McAfee oferece uma linha completa de soluções de segurança de rede como parte de sua arquitetura
Security Connected. Para saber mais sobre a abordagem da McAfee aos firewalls de próxima geração,
visite www.mcafee.com/br/products/next-generation-firewall.aspx.
Sobre a McAfee
A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ: INTC), capacita as empresas,
o setor público e os usuários domésticos a experimentar com segurança os benefícios da Internet.
A empresa fornece soluções e serviços de segurança proativos e comprovados para sistemas,
redes e dispositivos móveis em todo o mundo. Com sua visionária estratégia Security Connected,
sua abordagem inovadora à segurança aprimorada por hardware e sua exclusiva rede Global Threat
Intelligence, a McAfee está constantemente empenhada em manter a segurança de seus clientes.
www.mcafee.com/br
1
2
3
4
McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.mcafee.com/br
http://resources.idgenterprise.com/original/AST-0088044_2013_NGFW_Challenge_document_FINAL.pdf
http://www.mcafee.com/br/products/next-generation-firewall.aspx
Ibid.
http://www.infonetics.com/pr/2013/2Q13-Network-Security-Market-Highlights.asp
McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países.
Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos
apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa
ou implícita. Copyright © 2014 McAfee, Inc.
60581wp_demand-ngfw_1013_fnl_ETMG