Palo Alto Networks, az Új Generációs Tűzfal.
PA L O A LT O N E T W O R K S
Palo Alto Networks A vállalatról
Bevétel $MM
Komplex hálózati biztonsági platform
$300
$255
$250 $200
Biztonságosan futó alkalmazások
$119
$150 $100
$49
$50
$13
$0
Hatékony válasz a hálózati biztonsági kihívásokra
FYE July
FY09
FY10
FY11
FY12
Nagyvállalati ügyfelek
Folyamatos növekedés, Globális jelenlét
10 000
9 000
8 000
1000+ alkalmazott
6 000
4 700
4 000 2 000
1 800
0 Jul-10
Jul-11
Jul-12
PA L O A LT O N E T W O R K S
Tények és adatok egy vizsgálatohoz – Mintavételi alap • 39 ország 859 hálózata • 1,304 vizsgált alkalmazás • 4.4 petabyte sávszélesség • 1,300 egyedi fenyegetettség észlelése • 54 millió fenyegetettség log megfigyelése
Vizsgálati eredmények 7 napos átlagos forgalmi adatok alapján
PA L O A LT O N E T W O R K S
Hálózatok-tapasztalatok Alkalmazások, melyekre mindenkinek szüksége van
hate…
Alkalmazások, melyeket senki sem kedvel... Alkalmazások, melyekre kevésbé figyelünk
pop3
custom tcp telnet
custom udp SMB
ftp VNC
SSL
snmp
LDAP Active Directory
VPN
RDP encrypted tunnel
dns
PA L O A LT O N E T W O R K S
Vizsgálati eredmények A nem kedvelt alkalmazások a várakozásokkal ellentétben kisebb rizikót jelentenek.
– A közösségi alkalmazások az összes alkalmazás 25%-át adják, a sávszélesség 16%-át használják, és fenyegetettségi logok kevesebb mint 1%-át észlelték ezeken. A mindenki számára szükséges alkalmazások nagy mértékben bizonyultak a támadások célpontjainak.
– 9 alkalmazás tehető felelőssé az észlelt fenyegetettségi logok 99%-ért; ebből 8 üzleti alkalmazás. Azok az alkalmazások, amelyekre kevésbé figyelünk nagy mértékben bizonyultak a malware aktivitás hordozóinak.
– 5 alkalmazás tehető felelőssé az észlelt malware logok 99.99%-ért; az alkalmazások 25%-a használhat SSL kapcsolatot, sok közülük nem a standard portokon keresztül.
PA L O A LT O N E T W O R K S
Alkalmazások átengedése a tűzfalon
A hálózat biztonsági policy érvényesítése a tűzfalon • • •
Rálát a teljes forgalomra Kijelöli a határvonalakat Engedélyezi a hozzáférést
A hagyományos tűzfalak nem jelentenek többé megoldást
PA L O A LT O N E T W O R K S
Alkalmazások átengedése a tűzfalon: Titkosítás
Mi történik, ha a forgalmat titkosítjuk? • •
SSL Egyéb titkosítás
PA L O A LT O N E T W O R K S
Alkalmazások átengedése a tűzfalon:
A fenyegetések az alkalmazások ellen irányulnak
PA L O A LT O N E T W O R K S
Alkalmazások átengedése a tűzfalon: Adatszivárgás
Az alkalmazásoknál jelen van az adatszivárgás •
Bizalmas adatok
PA L O A LT O N E T W O R K S
Ismerős?
Nem rossz, de nem elég! Több modul nem megoldás a problémára Kevesebb rálátás a forgalomra Bonyolult és költséges bevezetni és fenntartani Nem alkalmazás központú
UTM
Internet Enterprise Network
PA L O A LT O N E T W O R K S
Az új generációs tűzfal (NGFW) nem egy extra modul
Si
Stateful Inspection
+ X ≠ NGFW
UTM Moduláris
felépítés,
NGFW
tartalomszűrés,
Egyszerű
felépítés,
tartalomszűrés,
policy,
policy, logging, reporting, és gyakran a
logging, reporting, és a menedzsment felület
menedzsment felületen keresztül nem
összefüggő,
nyerhetők
információkat biztosít.
információk.
ki
döntéshozatalt
igénylő
döntéshozatalt
igénylő
PA L O A LT O N E T W O R K S
Single-Pass Parallel Processing™ (SP3) felépítés Single Pass Egyszeri művelet csomagonként -
Forgalom minősítés (alkalmazás azonosítás)
-
Felhasználó/csoport mapping
-
Tartalomszűrés – fenyegetések, URL, bizalmas információ
Egy policy
Párhuzamos feldolgozás Funkció-specifikus, párhuzamos folyamatokat kezelő hardver
Különálló adat és vezérlő felület
Akár 20Gbps, Alacsony késleltetés
PA L O A LT O N E T W O R K S
Az azonosítási technológiák átalakítják a tűzfalat •App-ID™ •Alkalmazás azonosítás
•User-ID™ •Felhasználó azonosítás
Content-ID™ Tartalomszűrés
PA L O A LT O N E T W O R K S
App-ID L-7, Alkalmazás-alapú, Egyszeri Vizsgálati Pont A TELJES forgalom, az ÖSSZES port, MINDIG
PA L O A LT O N E T W O R K S
User-ID IP címek párosítása a felhasználókkal Felhasználók (Csoportok) Biztonsági Policy szerinti engedélyezése
PA L O A LT O N E T W O R K S
Tartalom-ID • • • • • • •
IPS Anti-Virus Anti-Malware URL Filtering Stream Based File Extraction DLP Sandbox
PA L O A LT O N E T W O R K S
Hitelesített, harmadik fél általi tesztelés Threat Preven on Performance (Mbps) 6000
5000
5372
5318
5265
4000
3000
2000
1000
0
Firewall + IPS
Firewall + IPS +AV Firewall + IPS + AV + Spyware
“Függetlenül attól, hogy melyik UTM funkciót aktiváltuk – behatolás védelem, antispyware, antivirus, vagy ezek bármelyik kombinációját – a végeredmény lényegében ugyanaz, mintha csak egyetlen funkció lenne bekapcsolva. Egyszerűen fogalmazva, az extra funkcióknak nincsen „teljesítmény áldozata”…” -NetworkWorld, 2012
PA L O A LT O N E T W O R K S
Egyetlen Biztonsági Policy Konzol
• A policy meghatározza az
engedélyezett alkalmazásokat. • A profilok által aktiválható tartalomszűrési funkció, mint az AV, IPS, anti-malware, URL and QoS.
PA L O A LT O N E T W O R K S
Alkalmazások biztonságos engedélyezése Engedélyezés meghatározott felhasználóknak Engedélyez és alakít (QoS)
Engedélyez és vizsgál
Összes engedélyezése
Csak bizonyos funkciók engedélyezése Engedélyezés és bizalmas adatok vizsgálata
Engedélyezés és limitált hozzáférés
Összes tiltása
PA L O A LT O N E T W O R K S
Alkalmazások engedélyezése, Felhasználók és Tartalom
PA L O A LT O N E T W O R K S
Teljes rálátás az alkalmazásokra, Felhasználókra és a Tartalomra Application Command Center (ACC) –
View applications, URLs, threats, data filtering activity
Add/remove filters to achieve desired result
© 2 0 1 0 PAFacebook-alapú L O A LT O N E Tszűrés W O R K S . PARFacebook O P R I E TAeltávolítása RY AND a Facebook-alapú szűrés részletes C O N Fjelentéshez IDENTIAL. és felhasználói jelentés
PA L O A LT O N E T W O R K S
Teljes rálátás az alkalmazásokra, Felhasználókra és a Tartalomra
PA L O A LT O N E T W O R K S
A Modern Malware
PA L O A LT O N E T W O R K S
A Malware lehetőségek tárháza A malware első, eredeti példányának elfogásához szükséges idő. A malware aláírás generáláshoz és ellenőrzéshez szükséges idő
Teljes időigény
Az Anti vírus definíciók frissülésének ideje
Napok és hetek telnek el, mire elkészülnek a hagyományos aláírások.
PA L O A LT O N E T W O R K S
WildFire Ismert fájlokkal összehasonlítás
Sandbox Környezet Aláírás Generátor Admin Web Portál
A vállalati hálózatba interneten keresztül bejutó ismeretlen fájlok.
A tűzfal továbbküldi a fájlokat a WildFire felhőbe
Új aláírások küldése a tűzfalaknak az ismert fenyegetések rendszeres frissítésével. Malware kriminalisztika.
PA L O A LT O N E T W O R K S
A WildFire felépítése WildFire Analysis Center • A Sandbox-alapú analízis több mint 100 rosszindulatú viselkedést elemez. • Részletes jelentést készít • Antivirus és C&C aláírásokat generál
Policy-alapú továbbítás a WildFire cloud részére elemzésre. Potenciálisan rosszindulatú fájlok az internetről
Védelem az összes ügyfél számára.
✓
✓ ✓
PA L O A LT O N E T W O R K S
PA L O A LT O N E T W O R K S
PA L O A LT O N E T W O R K S
A Modern Malware támadási szakaszai Célzott rosszindulatú e-mail küldése a felhasználó részére
Aláírás Észlelés
A rosszindulatú weboldal kihasználja a felhasználó-oldali sebezhetőségeket. Viselkedés Elemzés IPS
URL Szűrés
A felhasználó rákattint egy rosszindulatú weboldalra mutató linkre.
Drive-by download of malicious payload
PA L O A LT O N E T W O R K S
PAN-OS főbb tűzfal funkciók PA-5000 sorozat
Az alkalmazásokra történő rálátás és ellenőrzés, a felhasználókkal és tartalmakkal kapcsolatos főbb tűzfal funkciók
PA-5060, PA-5050 PA-5020
PA-4000 sorozat PA-4060, PA-4050 PA-4020
Erős hálózati tulajdonságok – Dinamikus routing (BGP, OSPF, RIPv2) – Tap mode – connect to SPAN port – Virtual wire (“Layer 1”) for true transparent in-line deployment – L2/L3 switching foundation – Policy-based forwarding
VPN – Site-to-site IPSec VPN – Remote Access (SSL) VPN
QoS forgalom shaping – Max/guaranteed and priority – By user, app, interface, zone, & more – Real-time bandwidth monitor
• Zóna-alapú felépítés – All interfaces assigned to security zones for policy enforcement
• Magas rendelkezésre állás – Active/active, active/passive – Configuration and session synchronization – Path, link, and HA monitoring
• Virtuális rendszerek
PA-3000 sorozat PA-3050, PA-3020
PA-2000 sorozat PA-2050, PA-2020
PA-500
PA-200
– Establish multiple virtual firewalls in a single device (PA-5000, PA-4000, PA3000, and PA-2000 Series)
• Egyszerű, rugalmas menedzsment – CLI, Web, Panorama, SNMP, Syslog
VM-sorozat VM-300, VM-200, VM-100
PA L O A LT O N E T W O R K S
Rugalmas alkalmazási lehetőségek Rálátás
Transzparens In-Line
• Alkalmazásokra, felhasználókra és a tartalomra történő rálátás inline alkalmazás nélkül.
• IPS, valamint az alkalmazások ellenőrzése és felügyelete. • Az IPS & URL szűrés konszolidációja.
Teljes tűzfal csere
• Tűzfal csere valamint az alkalmazások ellenőrzése és felügyelete • Tűzfal + IPS • Tűzfal + IPS + URL szűrés
PA L O A LT O N E T W O R K S
Rugalmas alkalmazási lehetőségek Ugyanannak a doboznak különböző hálózati módokban történő egyidejű használata.
L2 – VLAN 20
L2 – VLAN 10
Vwire
L3 – DMZ
L3 – Internet
Tap – Core Switch
•
Számos működési mód: Tap Mode, Virtual Wire, Layer 2, Layer 3 with dynamic routing support (RIP, OSPF, BGP)
•
Felhasználó által állítható működési módok – egyetlen doboz több port mód egyidejű használatát is támogatja
•
Virtualizáció – VLAN interfészek L2-es és L3-as, virtuális routerekhez és virtuális rendszerekhez
PA L O A LT O N E T W O R K S
Palo Alto Networks Újgenerációs Tűzfalak
PA L O A LT O N E T W O R K S
Palo Alto Networks Újgenerációs Tűzfalak Újgenerációs tűzfal funkciók minden Palo Alto Networks virtuális platformon is elérhetőek
PA L O A LT O N E T W O R K S
A megoldás? A tűzfalnak el kell végeznie a következő feladatokat 1. Alkalmazás felismerés, függetlenül a használt port-tól, protokoltól, felismerés elkerülési taktikától, illetve tiktosítástól 2. Felhasználó felismerése, illetve ellenőrzése függetlenül az IP címtől, helyszíntől, valamint eszköztől 3. Védjen ismert, illetve ismeretlen fenyegetettségektől 4. Mélyreható láthatóság, illetve policy control alkalmazás-szinten 5. Multi Gigabites, alacsony késleltetés, in-line felhasználás
PA L O A LT O N E T W O R K S
2013 Gartner Magic Quadrant for Enterprise Network Firewalls
“A Palo Alto Networks továbbra is válasz lépésekre kényszeríti versenytársait, illetve az egész tűzfalpiacot előremozdítja. Leaderként pozícionálja főleg az újgenerációs design, a piaci fejlődés iránya, a versenytársakkal szembeni sikerei, illetve gyorsan növekvő árbevétel, piaci részesedés valamint a piaci befolyás miatt mely a versenytársakat válaszadásra, válaszlépésre kényszeríti.” Gartner, February 2013
PA L O A LT O N E T W O R K S
Több más vizsgálat hasonló konklúzióval zárult Gartner Enterprise Network Firewall Magic Quadrant
– Palo Alto Networks irányt mutat a piacon Forrester IPS piac felülvizsgálat
– Erős IPS megoldás; NetworkWorld Teszt
– Legszigorúbb újgenerációs teszt eddig; validáltan megbízható teljesítmény NSS Tesztek
– IPS: Palo Alto Networks NGFW megoldása tesztelésre került a versenytársak IPS célhardwerével szemben: NSS által javasolt megoldás – Tűzfal: hagyományos port alapú tűzfal teszt; NSS javasolt – NGFW: Tűzfal+IPS teszt; NSS javasolt
PA L O A LT O N E T W O R K S
Ne higgyen nekünk TESZTELJEN BENNÜNKET
