Por qué Palo Alto Networks?

Transcripción

1 Gold Partner

2 Por qué Palo Alto Networks?

3 Agenda Sobre Palo Alto Networks Historia y evolución de los firewalls Filosofía de diseño Componentes core App-ID User-ID Content-ID Visibilidad Diseño y Plataformas Serie 4000 Serie 2000 Serie 500 Arquitecturas de red soportadas Demo Página 3

4 Sobre Palo Alto Networks

5 Sobre Palo Alto Networks Fundada en 2005 por Nir Zuk, ingeniero visionario de seguridad: Principal Ingeniero de Checkpoint, CTO de Netscreen y CTO de Juniper Equipo Ejecutivo de Veteranos en Seguridad y Networking Misión: Fabricación de Firewalls de Nueva Generación diseñados específicamente para identificar y proteger las aplicaciones; convertiendo el firewall corporativo en un recurso estratégico Innovación tecnológica en la identificación y control de aplicaciones, usuarios y contenido: App-ID, User-ID, Content-ID Presencia Global: más de 50 países, soporte 24x7 Crecimiento constante y sostenido trimestre tras trimestre Página 5

6 Historia y evolución de los firewalls

7 Historia y evolución de los Firewalls: Versión 1.0: ACLs Aplicaciones Tradicionales DNS Gopher SMTP HTTP Aplicaciones Dinámicas FTP RPC Java/RMI Multimedia Características: Aparecieron a mediados de los 80 Normalmente se incluían con los routers (ACLs) Clasificaban el tráfico basándose en el puerto de cada paquete Internet Reto y solución: No podían soportar las aplicaciones dinámicas Abrir un alto rango de puertos, lo que generaba brechas de seguridad Página 7

8 Historia y evolución de los Firewalls: Versión 2.0: Stateful Inspection Aplicaciones Tradicionales DNS Gopher SMTP HTTP Internet Aplicaciones Dinámicas FTP RPC Java/RMI Multimedia Aplicaciones Evasivas Cifradas Web 2.0 P2P Instant Messenger Skype Music Juegos Aplicaciones de Escritorio Malware (Spyware & Crimeware) Características: Creado por Check Point en 1994 Se utiliza una tabla de estados para solventar las limitaciones del filtrado de paquetes Clasifican el tráfico basándose en puertos, pero en el contexto de un flujo Reto: No pueden identificar aplicaciones evasivas Embebido en los productos de seguridad Imposible la retroalimentación Página 8

9 Historia y evolución de los Firewalls: Las aplicaciones han cambiado los Firewalls No El gateway de frontera es el punto ideal para controlar la seguridad SaaS Collaboration / Media Personal - Ve todo el tráfico - Define las fronteras de confianza PERO Las aplicaciones han cambiado y vivimos con la WEB 2.0 Puertos Aplicaciones Direcciones IP Usuarios Los Dptos. de IT están ciegos sobre el uso de las Aplicaciones, quiénes Business Risks: Productivity, Compliance, son los Operational Usuarios y Cost, los Contenidos Business Continuity and Data Loss Página 9

10 Historia y evolución de los Firewalls: Las amenzas también han cambiado los Firewalls No Las nuevas aplicaciones pueden ser amenazas - P2P file sharing, tunneling applications, anonymizers, media/video Las nuevas aplicaciones conllevan riesgos - De las Top 20 Amenazas de SANS, la mayoría son a nivel de aplicación Página 10

11 Dónde están los servidores corporativos? Bidireccional!!! TCP 80? El PC se convierte en un Ah! servidor Web Allow Bidireccional!!! Servidor Facebook, Myspace, Emule Servicios: Ficheros, IM, Mail, Chat,. Página Palo Alto Networks.

12 Historia y evolución de los Firewalls: Añadamos entonces más elementos de control Internet Añadir más equipos no resuelve la problemática Los firewall helpers tienen una visibilidad limitada El conjunto es complejo y costoso de mantener Añaden latencia Página 12

13 Historia y evolución de los Firewalls: Y si los añadimos sobre un mismo equipo (UTM)? Internet La solución carece de los requisitos de diseño iniciales, para garantizar la integración, visibilidad y rendimiento presentes en una solución compleja, que ha de trabajar a nivel 7 (aplicación). Se trata simplemente de múltiples dispositivos sobre un mismo chasis Página 13

14 Filosofía de diseño

15 La mejor solución: obligar a los firewalls a realizar su papel principal Nuevos Requisitos para el FW 1. Identificar las aplicaciones de forma independiente del puerto, protocolo, táctica evasiva o SSL 2. Identificar usuarios de forma independiente de la dirección IP 3. Proteger en tiempo real frente a amenazas embebidas en las aplicaciones 4. Visibilidad Granular y Control de Políticas para el acceso a las aplicaciones 5. Despliegue Multi-gigabit, en línea sin degradación en rendimiento Página 15

16 Filosofía de diseño avalada por analistas y expertos Gartner cree que menos de un 1% de las conexiones de Internet están securizadas hoy en día utilizando Firewalls de Nueva Generación (NGFWs). Para el año 2014 esta cifra alcanzará un 35% de la base instalada, suponiendo los NGFWs un 60% de las nuevas ventas Página 16

17 2010 Magic Quadrant for Enterprise Network Firewalls Cisco Juniper Networks Habilidad de ejecución McAfee Stonesoft WatchGuard Fortinet Check Point Software Technologies Palo Alto Networks SonicWALL NETASQ 3Com/H3C phion Astaro Fuente: Gartner Nicho Visionarios Visión / innovación Marzo 2010 Página 17

18 Gartner: Palo Alto Networks es un visionario Las organizaciones necesitan firewalls de nueva generación - En 2009, Gartner observó un incremento en la demanda de plataformas firewall de nueva generación con funcionalidades de detección y bloqueo de ataques sofisticados, así como con capacidades de reforzar políticas granulares de seguridad a nivel de aplicación. Los firewalls de nueva generación de Palo Alto Networks son líderes en el mercado - Nota de Gartner: Palo Alto Networks es altamente innovador en el mercado de firewalls porque el producto ha sido diseñado en origen como firewall de nueva generación y ha forzado a sus competidores a cambiar sus road maps y a vender de forma defensiva Palo Alto Networks fue el fabricante que generó mayores consultas en Gartner, sobre los firewalls de nueva generación Página 18

19 Componentes Core

20 Tecnologías únicas que transforman el firewall App-ID Identificar la aplicación User-ID Identificar el usuario Content-ID Analizar el contenido Página 20

21 Hay que redefinir el modelo completamente Qué es el tráfico? Está permitido? (App-ID) Está permitido para este usuario o grupo? (User ID) Qué riesgos conlleva este tráfico? (Content ID) Puerto TCP SSL HTTP GMail Google Talk 93.4% tasa de bloqueo (NSS) 13M Muestras 50k diarias Bloqueo de sitios malware Proceso de análisis continuo Siempre la 1ª tarea a realizar Todo el tráfico, todos los puertos Siempre en marcha Control de ficheros (tb comprimidos) CC#, SSN, etc. Página Palo Alto Networks.

22 App-ID: Visibilidad completa de la aplicación Control basado en políticas, para identificar más de 1150 aplicaciones distribuidas entre 5 categorías y 25 subcategorías Visibilidad que incluye diferentes tipos de comportamiento en la misma aplicación (chat, , transferencia de ficheros, ) ~ 3-5 aplicaciones nuevas cada semana Posibilidad de definir aplicaciones propietarias Página 22

23 App-ID es Fundamentalmente Diferente Siempre on, primera acción Inteligencia integrada Ve todo el tráfico, todos los puertos Escalable y extensible Mucho más que una simple firma Página 23

24 User-ID: Integración con el directorio activo Los usuarios no se identifican ya únicamente por su dirección IP - Exportar el conocimiento presente en el directorio de las compañías Comprender las aplicaciones de los usuarios y tratar su comportamiento, en base al username y no sólo la IP Gestionar las políticas en base al usuario y/o grupo al que pertenece Investigar los eventos de seguridad y generar informes legibles Página 24

25 Content-ID: Análisis del contenido en tiempo real Detecta y bloquea un amplio rango de threats, limitando la descarga de ficheros o contenidos no autorizados - Basado en stream y no en ficheros, para ofrecer alto rendimiento en tiempo real El motor uniforme de firmas, analiza todo el contenido en un único pase Baja latencia, con alto throughput gracias al motor acelerado por hardware - Protege contra una amplia variedad de vulnerabilidades, incluyendo virus, spyware y exploits (IPS) - Ofrece URL filtering con una base de datos de URLs integrada La BB.DD. local asegura una gran capacidad de escalado (1.000 s URLs/seg) Página 25

26 Content-ID: Análisis en tiempo real basado en stream, frente a análisis basado en ficheros ID Content Escaneo basado en Ficheros Buffer de Ficheros Analizar Fichero Entregar Contenido Escaneo con Stream ID Content Analizar Contenido Entregar Contenido Tiempo Time Página Palo Alto Networks. Proprietary and Confidential

27 Otras funcionalidades Visibilidad y Control de Aplicaciones, Usuarios y Contenido complementan las funcionalidades core del Firewall Fortalezas en Networking - Dynamic routing (OSPF, RIPv2, BGP) - Tap mode conectar a un puerto SPAN - Virtual wire ( Layer 1 ) - L2/L3 switching foundation VPN - Site-to-site IPSec VPN - SSL VPN Gestión QoS - Max/garantizado y prioridades - Por user, app, interface, zona, y más Arquitectura Zone-based - Todos los interfaces se asignan a zonas, para reforzar la seguridad Alta disponibilidad - Activo / pasivo - Sincronización de la configuración y la sesión - Monitorización del Path, link, y HA Virtual Systems - Series PA-4000 y PA-2000 Gestión simple y flexible - CLI, Web, Panorama, SNMP, Syslog PA-4060 PA-4050 PA-4020 PA-2050 PA-2020 PA-500 Página Palo Palo Alto Alto Networks. Networks. Proprietary and and Confidential.

28 Visibilidad: Qué está ocurriendo en cada momento e informes comprensibles Página Palo Palo Alto Alto Networks. Networks. Proprietary and and Confidential.

29 Panorama: Gestión de múltiples dispositivos centralizada Panorama es la herramienta de gestión centralizada, para múltiples plataformas - Gestión consolidada, logging y monitorización de los equipos PAN - Interfaz de gestión idéntica a la empleada en los equipos - Visibilidad, reporting y recolección de logs integrada Página 29

30 Diseño interno y Plataformas

31 Arquitectura Single-Pass Parallel Processing (SP3) Single Pass Procesamiento una vez por paquete - App-ID - User/group mapping - Content scanning threats, URLs, información confidencial Parallel Processing Motores hardware dedicados para cada función Data/Control planes separados Hasta 10Gbps, Baja Latencia Página Palo Alto Networks. Proprietary and Confidential

32 Control de aplicaciones y prevención de los ataques de nueva generación Permitir sólo las aplicaciones necesarias Limpiar de una sóla pasada todos los ataques del tráfico permitido» La expansión del universo de aplicaciones, servicios y amenazas» Limitación del tráfico en función a las políticas de la empresa y a Aplicaciones y Usuarios» Reducción de la superficie de ataque en varios órdenes de magnitud» Completa librería de amenazas sin puntos ciegos Inspección Bi-direccional Escaneo dentro de SSL Escaneo dentro de archivos comprimidos Escaneo dentro de proxies y túneles 2009 Palo Alto Networks. Proprietary and Confidential.

33 Plataformas PA Gbps FW 5 Gbps threat prevention 2,000,000 sessions 4 XFP (10 Gig) I/O 4 SFP (1 Gig) I/O PA Gbps FW 5 Gbps threat prevention 2,000,000 sessions 16 copper gigabit 8 SFP interfaces PA Gbps FW 2 Gbps threat prevention 500,000 sessions 16 copper gigabit 8 SFP interfaces PA Gbps FW 500 Mbps threat prevention 250,000 sessions 16 copper gigabit 4 SFP interfaces PA Mbps FW 200 Mbps threat prevention 125,000 sessions 12 copper gigabit 2 SFP interfaces PA Mbps FW 100 Mbps threat prevention 50,000 sessions 8 copper gigabit Página Palo Alto Networks. Proprietary and Confidential

34 Arquitecturas de red soportadas

35 Opciones de implantación flexibles Visibilidad Transparente en línea Consolidación L3 Se conecta a un puerto de span Proporciona visibilidad sin necesidad de modificar la arquitectura existente Transparente, detrás del firewall existente Ofrece visibilidad y control sin necesidad de modificar la arquitectura existente Como firewall de nivel 3 Ofrece visibilidad y control, además de NAT, routing, a altos throughputs Página 35

36 AVR Report: Pruébalo! Objetivo: Realizar una demo, ofreciendo un informe final con los resultados encontrados (modo visibilidad) Resultados: Aplicaciones de mayor utilización URLs, Amenazas, consumo de ancho de banda (sesiones, volumen) Aplicaciones en uso con mayores riesgos Recomendaciones Página Palo Alto Networks. Proprietary and Confidential

37 Gracias Rosa Ortuño