DESCRIPCIÓN GENERAL DEL CORTAFUEGOS

Transcripción

1 DESCRIPCIÓN GENERAL DEL CORTAFUEGOS Cortafuegos de nueva generación de Palo Alto Networks Los cambios radicales que se producen en el uso de las aplicaciones, el comportamiento de los usuarios y la infraestructura de red compleja e intrincada dan lugar a un panorama de amenazas que revela los puntos débiles de la seguridad de red tradicional basada en puertos. Los usuarios desean acceder a un número cada vez mayor de aplicaciones que funcionen en una amplia variedad de tipos de dispositivos, a menudo sin preocuparse demasiado por los riesgos relativos a la seguridad o que conciernen a la empresa. Mientras tanto, la expansión de los centros de datos, la segmentación de la red, la virtualización y las iniciativas de movilidad le obligan a replantearse cómo habilitar el acceso a las aplicaciones y los datos a la vez que protege su red de una clase nueva y más sofisticada de amenazas avanzadas que eluden los mecanismos de seguridad tradicionales. RED Antes solo existían dos opciones básicas: bloquearlo todo para mantener la seguridad de la red o habilitarlo todo para favorecer las actividades empresariales. Estas opciones ofrecían un escaso margen de maniobra. La plataforma de seguridad de nueva generación de Palo Alto Networks le proporciona una manera segura de habilitar las aplicaciones que sus usuarios necesitan permitiendo el acceso a la vez que se evitan las amenazas de ciberseguridad. Nuestro cortafuegos de nueva generación representa el motor de la plataforma de seguridad de nueva generación, que se ha diseñado desde cero para hacer frente a las amenazas más NUBE ENDPOINT CORTAFUEGOS DE NUEVA GENERACIÓN THREAT INTELLIGENCE CLOUD Figura 1: Plataforma de seguridad de nueva generación de Palo Alto Networks RED INTEGRACIÓN NATIVA AUTOMATIZADO NUBE ENDPOINT AMPLIABLE ADVANCED ENDPOINT PROTECTION sofisticadas. Además, inspecciona todo el tráfico, incluidas las aplicaciones, las amenazas y el contenido, y lo vincula al usuario independientemente de la ubicación o el tipo de dispositivo. La aplicación, el contenido y el usuario, es decir, los elementos que mueven su negocio, se convierten en componentes integrales de la política de seguridad de su empresa. Como resultado, podrá conciliar la seguridad con sus iniciativas empresariales clave. Con nuestra plataforma de seguridad de nueva generación, responde a los incidentes más rápido, descubre amenazas desconocidas y agiliza la implementación de redes de seguridad. Habilite de forma segura aplicaciones, usuarios y contenidos mediante la clasificación de todo el tráfico, la determinación del caso de uso empresarial y la asignación de políticas con el fin de permitir y proteger el acceso a las aplicaciones pertinentes, incluidas las de software como servicio (SaaS). Evite las amenazas eliminando aplicaciones no deseadas para reducir la superficie expuesta a amenazas y aplique políticas de seguridad selectivas para bloquear exploits de vulnerabilidades conocidos, virus, spyware, botnets y malware desconocido (APT). Proteja los centros de datos por medio de la validación de aplicaciones, el aislamiento de datos, el control sobre las aplicaciones no apropiadas y la prevención de amenazas de alta velocidad. Proteja los entornos de computación en la nube pública y privada con una mayor visibilidad y control; implemente, aplique y mantenga políticas de seguridad al ritmo de sus máquinas virtuales. Adopte una informática móvil segura ampliando la plataforma de seguridad de nueva generación a todos los usuarios y dispositivos, estén donde estén. Palo Alto Networks Ficha técnica de la descripción general del cortafuegos de nueva generación 1

2 VM-Series Agilice la gestión de dispositivos, redes y políticas con funciones de administración intuitivas que se adaptan a la estructura de su organización. WEB APL. BD vswitch Hipervisor La plataforma de seguridad de nueva generación ayuda a su organización a abordar diversos requisitos de seguridad con base en un principio común. Mediante una combinación equilibrada de seguridad de red con funciones de inteligencia global sobre amenazas y protección de endpoints, su organización podrá respaldar las iniciativas empresariales a la vez que mejora la estrategia de seguridad general y reduce el tiempo de respuesta ante incidentes de seguridad. Perímetro Usuarios internos Uso de la seguridad para impulsar la empresa Nuestra plataforma de seguridad de nueva generación le Centro de datos interno permite impulsar su empresa con políticas que giran en torno a las aplicaciones, los usuarios y el contenido. Para ello, emplea un modelo de control positivo, un diseño exclusivo de nuestra plataforma, que le permite habilitar funciones o aplicaciones específicas y bloquear todo lo demás (de forma implícita o explícita). El cortafuegos de nueva generación realiza una inspección, en un único paso pero en todos los niveles de la pila, del tráfico que pasa por todos los puertos. De esta forma, ofrece un contexto completo de la aplicación, el contenido asociado y la identidad del usuario que podrá servirle de base para la toma de decisiones sobre políticas de seguridad. Clasifique todo el tráfico, en todos los puertos y en todo momento. Hoy en día, las aplicaciones y el contenido asociado a ellas pueden eludir fácilmente un cortafuegos basado en puertos mediante diversas técnicas. Nuestra plataforma de seguridad de nueva generación aplica de forma nativa múltiples mecanismos de clasificación al flujo de tráfico para identificar las aplicaciones, las amenazas y el malware. Se clasifica todo el tráfico, independientemente del puerto, el tipo de cifrado (SSL o SSH) o las técnicas evasivas empleadas. Las aplicaciones no identificadas (que, con frecuencia, representan un pequeño porcentaje del tráfico, pero suponen un elevado riesgo potencial) se categorizan automáticamente para su gestión sistemática. Reduzca la superficie expuesta a amenazas y prevenga los ciberataques. Una vez que se haya clasificado el tráfico por Sucursales Sede Internet VM- Series GP Nube pública y privada Usuarios móviles Figura 1: Implementación de políticas de habilitación segura en toda la organización completo, podrá reducir la superficie expuesta a amenazas de red permitiendo ciertas aplicaciones y denegando las demás. A continuación, podrá aplicar métodos de prevención de ciberataques coordinados a fin de bloquear sitios de malware conocidos y frenar exploits de vulnerabilidades, virus, spyware y consultas de DNS maliciosas. El malware personalizado o desconocido se analiza e identifica ejecutando los archivos y observando directamente su comportamiento malicioso en un espacio aislado virtualizado. Cuando se descubre nuevo malware, se genera y se le facilita automáticamente una firma para el archivo infectado y el tráfico de malware relacionado. Asigne el tráfico de las aplicaciones y las amenazas asociadas a usuarios y dispositivos. A fin de mejorar las medidas de seguridad y reducir los tiempos de respuesta ante incidentes, resulta esencial asignar el uso de una aplicación a un usuario y un tipo de dispositivo, así como poder aplicar ese contexto a sus políticas de seguridad. La integración con una amplia gama Exploit de datos confidenciales Exploit de datos confidenciales EXE Usuario autorizado EXE URL maliciosa Usuario autorizado Usuario de TI autorizado Usuario de marketing autorizado Figura 2: Aplicaciones, contenido, usuarios y dispositivos bajo su control Palo Alto Networks Ficha técnica de la descripción general del cortafuegos de nueva generación 2

3 Figura 3: Vea la actividad de la aplicación en un formato claro e inteligible. Añada y elimine filtros para obtener información adicional sobre la aplicación, sus funciones y quién las utiliza. de repositorios de usuarios empresariales permite identificar al usuario y el dispositivo de Microsoft Windows, Mac OS X, Linux, Android o ios que acceden a la aplicación. Combinar la visibilidad y el control de los usuarios y los dispositivos implica que puede habilitar de forma segura el uso de cualquier aplicación que atraviese la red, independientemente de la ubicación del usuario o el tipo dispositivo utilizado. La determinación del contexto de las aplicaciones específicas utilizadas, el contenido o la amenaza que pueden conllevar, y el usuario o el dispositivo asociados le ayuda a optimizar la gestión de políticas, mejorar sus medidas de seguridad y agilizar la investigación de incidentes. Un conocimiento integral del contexto equivale a políticas de seguridad más estrictas Las prácticas recomendadas de seguridad dictan que el contexto determina las decisiones que toma con respecto a las políticas, su habilidad para realizar informes sobre la actividad de la red y su capacidad de realizar una investigación forense. El contexto de la aplicación en uso, el sitio web visitado, la carga asociada y el usuario constituyen datos de gran valor en su esfuerzo por proteger la red. Si sabe exactamente qué aplicaciones atraviesan su puerta de enlace de Internet, funcionan dentro de su centro de datos o entorno de nube, o utilizan los usuarios remotos, podrá aplicar políticas específicas a dichas aplicaciones, complementadas con una protección contra amenazas coordinada. Saber quién es el usuario, y no solo su dirección IP, añade otro factor contextual que le permite ser más específico al asignar políticas. Gracias a una amplia gama de herramientas de filtrado de logs y visualización altamente interactivas, podrá conocer el contexto de la actividad de la aplicación, el contenido o la amenaza asociados, el usuario y el tipo de dispositivo. Cada uno de estos datos le ofrece una visión parcial de su red, pero si se observan en un contexto completo, le proporcionan una visibilidad total del riesgo de seguridad potencial, gracias a la cual podrá tomar decisiones más fundamentadas sobre las políticas. Todo el tráfico se clasifica continuamente. A medida que cambia el estado, se registran las modificaciones para su análisis y se actualizan de forma dinámica los resúmenes gráficos. Esta información se muestra en una interfaz basada en la web muy fácil de utilizar. En la puerta de enlace de Internet, puede analizar las aplicaciones nuevas o desconocidas para ver rápidamente una descripción de estas, las características de su comportamiento y quién las está usando. La visibilidad adicional de las categorías de URL, las amenazas y los patrones de datos proporciona un panorama completo y detallado del tráfico de red que atraviesa la puerta de enlace. Todos los archivos que WildFire analiza en busca de malware desconocido se registran de forma nativa con la posibilidad de acceder a todos los detalles, incluida la aplicación utilizada, el usuario, el tipo de archivo, el sistema operativo objetivo y los comportamientos maliciosos observados. Dentro del centro de datos, verifique todas las aplicaciones en uso y asegúrese de que solo las están utilizando usuarios autorizados. La visibilidad añadida sobre la actividad del centro de datos le permite garantizar que no existen aplicaciones mal configuradas o usos inapropiados de SSH o RDP. El análisis, la investigación forense y los flujos de trabajo de caza de amenazas se ven acelerados gracias al servicio de inteligencia sobre amenazas AutoFocus, que ofrece datos sobre amenazas únicos y contextuales directamente en PAN-OS procedentes del dispositivo. En entornos de nube privada y pública, aplique políticas y proteja las aplicaciones con la plataforma de seguridad de nueva generación mientras avanza a la par que se crean y se mueven los servidores virtuales. En todas las situaciones de implementación, se pueden categorizar las aplicaciones desconocidas, que suelen representar un pequeño porcentaje de cada red, para su análisis y gestión sistemática. En muchos casos, puede que no sea plenamente consciente de qué aplicaciones se están utilizando, con qué frecuencia se emplean o quién las usa. El primer paso hacia un control de políticas más fundamentado es disponer de una visibilidad total de los aspectos del tráfico de red que importan al negocio: la aplicación, el contenido y el usuario. Palo Alto Networks Ficha técnica de la descripción general del cortafuegos de nueva generación 3

4 Figura 4: El editor de políticas unificado permite crear e implementar rápidamente políticas que controlen las aplicaciones, los usuarios y el contenido. Reducción del riesgo habilitando aplicaciones Tradicionalmente, reducir el riesgo implicaba limitar el acceso a los servicios de red y, posiblemente, obstaculizar sus actividades empresariales. Actualmente, conlleva habilitar de forma segura aplicaciones mediante un enfoque centrado en la empresa que le ayuda a encontrar un equilibrio entre denegarlo todo, como se ha venido haciendo, y permitirlo todo. Utilice grupos de aplicaciones y descifrado SSL para limitar el correo electrónico web y la mensajería instantánea a unas pocas variantes de aplicaciones. Inspecciónelas para detectar todas las amenazas y cargue los archivos sospechosos desconocidos (EXE, DLL, archivos ZIP, documentos PDF, documentos de Office, Java y APK de Android ) en WildFire para su análisis y el desarrollo de firmas. Controle la navegación web de todos los usuarios permitiendo y analizando el tráfico a sitios web relacionados con la actividad empresarial, y bloqueando el acceso a los que claramente no estén relacionados con el trabajo. Controle el acceso a sitios dudosos mediante páginas de bloqueo personalizadas. Bloquee de forma explícita todas las aplicaciones de transferencia de archivos P2P para todos los usuarios mediante filtros de aplicación dinámicos. Esté al tanto del uso de las aplicaciones de SaaS en su organización, establezca controles de uso y acceso exhaustivos en cada aplicación y evite la distribución de malware mediante dichas aplicaciones. Súmese al uso de dispositivos móviles ampliando sus políticas de puerta de enlace de Internet y capacidades de prevención de amenazas a los usuarios remotos con el servicio de seguridad móvil de GlobalProtect. En el centro de datos, utilice el contexto para confirmar que las aplicaciones del centro de datos se ejecutan en sus puertos estándar, buscar aplicaciones no apropiadas, validar usuarios, aislar datos y proteger de amenazas los datos de importancia vital para la empresa. A continuación, se incluyen algunos ejemplos: Mediante zonas de seguridad, se puede aislar el repositorio de números de tarjetas de crédito basado en Oracle, con lo que se fuerza el tráfico de Oracle a través de los puertos estándar a la vez que se inspecciona en busca de amenazas entrantes y se limita el acceso solo al grupo de finanzas. Se puede crear un grupo de aplicaciones de gestión remota (como SSH, RDP o Telnet) para que solo lo utilice el departamento de TI dentro del centro de datos. En el centro de datos virtual, se pueden usar objetos dinámicos para contribuir a automatizar la creación de políticas de seguridad a medida que se establecen, se eliminan o se trasladan por su entorno virtual las máquinas virtuales de SharePoint. Protección de aplicaciones y contenido habilitados Cuando aplica políticas de análisis de contenido y prevención de amenazas, el contexto de la aplicación y el usuario se convierten en componentes integrales de su política de seguridad. Al disponer del contexto completo en las políticas de prevención de amenazas, se neutralizan las tácticas de evasión, como el salto de puertos y la tunelización. Reduzca la superficie expuesta a amenazas habilitando una selección de aplicaciones y aplicando, a continuación, políticas de análisis de contenido y prevención de amenazas a ese tráfico. Entre los elementos de análisis de contenido y protección contra amenazas disponibles en sus políticas se encuentran los siguientes: Prevenga amenazas conocidas mediante IPS y antivirus o antispyware de red. La protección contra una serie de amenazas conocidas se consigue con una inspección de un único paso mediante un formato de firma uniforme y un motor de análisis basado en flujos. Las funciones del sistema de prevención de intrusiones (IPS) bloquean exploits de vulnerabilidades en la capa de aplicación y la red, desbordamientos de búfer, ataques de DoS y análisis de puertos. La protección mediante antivirus o antispyware bloquea millones de tipos de malware, incluidos los que están ocultos en archivos comprimidos o el tráfico web (HTTP/HTTPS comprimido), así como virus en PDF conocidos. En cuanto al tráfico cifrado con SSL, puede aplicar de forma selectiva un descifrado basado en políticas y, a continuación, inspeccionar el tráfico en busca de amenazas, independientemente del puerto. Bloquee el malware desconocido o selectivo con WildFire. Con WildFire se puede identificar y analizar el malware desconocido o selectivo (como las amenazas avanzadas persistentes) oculto en los archivos de varios sistemas operativos y versiones de aplicaciones. Esta herramienta observa y ejecuta directamente los archivos desconocidos en un espacio aislado virtualizado en la nube o en el dispositivo WF-500. WildFire supervisa más de 420 comportamientos maliciosos y, si encuentra malware, desarrolla una firma y se la entrega automáticamente en solo 5 minutos. WildFire es compatible con todos los principales tipos de archivos, como PE,.doc,.xls y.ppt de Microsoft Office, el formato de documento portátil (PDF), Java Applet (jar y class) y los paquetes de aplicaciones de Android (APK). Además, WildFire analiza los enlaces de los mensajes de correo electrónico a fin de detener los ataques de spear phishing. Palo Alto Networks Ficha técnica de la descripción del cortafuegos de nueva generación 4

5 Figura 5: Tener visibilidad sobre el contenido y las amenazas implica ver la actividad de las URL, las amenazas y las transferencias de datos y archivos, así como los hosts en riesgo, en un formato claro e inteligible con un alto grado de personalización. Añada y elimine filtros para obtener más información sobre elementos individuales. Identifique los hosts infectados por bots y las interrupciones de la actividad en la red a causa del malware. La clasificación completa y contextual de todas las aplicaciones, en todos los puertos, incluido cualquier tráfico desconocido, a menudo puede revelar anomalías o amenazas en su red. Utilice el App-ID de comando y control, los informes de comportamiento de botnets, el sinkholing de DNS y el DNS pasivo para vincular rápidamente el tráfico desconocido, los DNS sospechosos y las consultas de URL con hosts infectados. Aplique funciones de inteligencia global para interceptar consultas de DNS de dominios maliciosos y aplicarles la técnica de sinkhole. Limite las trasferencias de archivos y datos no autorizadas. Las funciones de filtrado de datos permiten a sus administradores implementar políticas que reduzcan los riesgos asociados a las transferencias de archivos y datos no autorizadas. Las transferencias de archivos se pueden controlar explorando el interior del archivo (en lugar de comprobar simplemente la extensión) para determinar si se debe permitir la transferencia o no. Los archivos ejecutables, que por lo general se encuentran en descargas ocultas, se pueden bloquear para proteger la red de la propagación de malware oculto. Las funciones de filtrado de datos pueden detectar y controlar el flujo de patrones de datos confidenciales (números de tarjetas de crédito o de la Seguridad Social y patrones personalizados). Controle la navegación web. Un motor de filtrado de URL personalizable y totalmente integrado permite a los administradores aplicar políticas exhaustivas de navegación por Internet, con lo que se complementa la visibilidad de las aplicaciones y las políticas de control que protegen la empresa de todo un abanico de riesgos asociados a las normativas legales y la productividad. Aplique políticas basadas en dispositivos para el acceso a aplicaciones. Gracias a GlobalProtect, las organizaciones pueden establecer políticas específicas para controlar qué dispositivos pueden acceder a recursos de red y aplicaciones concretos. Por ejemplo, se puede garantizar que los portátiles cumplen con la imagen corporativa antes de permitir el acceso al centro de datos. Además, se puede comprobar si el dispositivo móvil está actualizado, es propiedad de la empresa y tiene todos los parches aplicados antes de acceder a datos confidenciales. Confirme automáticamente los hosts que se encuentran en riesgo. El motor de correlación automatizada busca indicadores de peligro predefinidos en toda la red, correlaciona las coincidencias y pone de relieve automáticamente los hosts que se encuentran en riesgo, por lo que se reduce la necesidad de realizar una minería de datos manual. Gestión de la seguridad de la red La plataforma de seguridad de nueva generación puede gestionarse individualmente mediante una interfaz de línea de comandos (CLI) o una interfaz basada en navegador completamente equipada. Para las implementaciones a gran escala, puede usar Panorama a fin de aportar a nivel global funciones de visibilidad, edición de políticas, elaboración de informes y creación de logs a todos sus cortafuegos de dispositivos virtuales y hardware. Panorama le proporciona el mismo nivel de control contextual sobre toda la implementación que el que tiene sobre un único dispositivo. La administración basada en funciones, combinada con reglas previas y posteriores, le permite encontrar un equilibro entre el control centralizado y la necesidad de contar con la posibilidad de editar políticas de manera local y flexibilidad a la hora de configurar Palo Alto Networks Ficha técnica de la descripción del cortafuegos de nueva generación 5

6 GESTOR RECOPILADOR DE LOGS RECOPILADOR DE LOGS RECOPILADOR DE LOGS Figura 6: Panorama puede implementarse en un dispositivo dedicado o de forma distribuida para maximizar la capacidad de ampliación. dispositivos. Tanto si utiliza la interfaz web del dispositivo como la de Panorama, el aspecto de ambas es idéntico, para no tener emplear tiempo de aprendizaje al pasar de una a otra. Sus administradores pueden usar cualquiera de las interfaces suministradas para realizar cambios en cualquier momento sin necesidad de preocuparse por los problemas de sincronización. La compatibilidad adicional con herramientas basadas en estándares, como las API basadas en REST y SNMP, le permite integrar herramientas de gestión de terceros. Elaboración de informes y creación de logs Seguir las prácticas recomendadas de seguridad implica encontrar un equilibrio entre las tareas de gestión continuas y la capacidad de reacción, lo que puede implicar la investigación y el análisis de incidentes de seguridad o la generación de informes diarios. Elaboración de informes: los informes predefinidos se pueden utilizar tal y como están, o bien pueden personalizarse o agruparse en un solo informe con el fin de adaptarse a los requisitos específicos. Todos los informes se pueden exportar a formato CSV o PDF y se pueden ejecutar y enviar por correo electrónico de forma programada. Creación de logs: el filtrado de logs en tiempo real facilita la rápida investigación forense de cada sesión que viaja por su red. El contexto completo sobre la aplicación, el contenido (incluido el malware detectado por WildFire) y el usuario puede utilizarse como criterio de filtrado. Los resultados se pueden exportar a un archivo CSV o enviarse a un servidor Syslog para archivarlos sin conexión o realizar análisis adicionales. Los logs agregados por Panorama también pueden enviarse a un servidor Syslog para llevar a cabo más análisis o para archivarlos. Caza de las amenazas: a la inteligencia sobre amenazas del servicio de AutoFocus se puede acceder directamente desde PAN-OS. Así, se aceleran los flujos de trabajo de análisis y caza de amenazas sin necesidad de utilizar recursos especializados adicionales. Si es necesario realizar un análisis más detallado, los usuarios pueden realizar un barrido entre AutoFocus y PAN-OS, con búsquedas cumplimentadas previamente para los dos sistemas. Aparte de las capacidades de elaboración de informes y creación de logs que proporciona la plataforma de seguridad de nueva generación de Palo Alto Networks, también puede realizar una integración con herramientas SIEM de terceros, como Splunk para Palo Alto Networks. Estas herramientas proporcionan capacidades de elaboración de informes y visualización de datos adicionales, y le permiten correlacionar eventos de seguridad en múltiples sistemas de su empresa. Plataformas virtuales o de hardware para fines específicos Nuestro cortafuegos de nueva generación se encuentra disponible como una plataforma de hardware diseñada para fines específicos que se amplía para pasar de una sucursal empresarial a un centro de datos de alta velocidad o en un formato virtualizado compatible con sus iniciativas de computación en la nube. Ofrecemos compatibilidad con la gama más amplia de plataformas virtuales para satisfacer sus variados requisitos en lo que respecta a la nube privada, la nube pública y el centro de datos virtualizado. La plataforma de cortafuegos VM-Series se encuentra disponible para los hipervisores VMware ESXi TM, NSX TM, Citrix SDX TM, Microsoft Hyper-V, Amazon Web Services (AWS), Microsoft Azure y KVM. Tanto si implementa nuestras plataformas en un formato virtual o de hardware, puede usar Panorama para conseguir una gestión centralizada Great America Parkway Santa Clara, CA (EE. UU.) Línea principal: Ventas: Asistencia técnica: Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial registrada de Palo Alto Networks. Hay una lista de nuestras marcas comerciales disponible en El resto de las marcas mencionadas en este documento podrían ser marcas comerciales de sus respectivas compañías. pan-next-generation-firewall-overview-ds