Resumen del cortafuegos de nueva generación de Palo Alto Networks

Transcripción

1 PALO ALTO PALO NETWORKS: ALTO NETWORKS: Resumen Resumen de las de funciones las funciones del cortafuegos del cortafuegos de nueva de generación nueva generación Resumen del cortafuegos de nueva generación de Palo Alto Networks Los cambios radicales que se están produciendo en el uso de las aplicaciones, el comportamiento de los usuarios y la infraestructura de la red dan lugar a un panorama de amenazas que revela los puntos débiles de la seguridad de red tradicional basada en puertos. Los usuarios desean acceder a un número creciente de aplicaciones que funcionan en una gama cada vez mayor de tipos de dispositivos, a menudo sin demasiada consideración por los riesgos de seguridad o empresariales. Mientras tanto, la expansión de los centros de datos, la segmentación de la red, la virtualización y las iniciativas de movilidad le obligan a replantearse cómo habilitar el acceso a las aplicaciones y los datos a la vez que protege su red contra una clase más sofisticada de amenazas avanzadas que eluden los mecanismos de seguridad tradicionales. Antes solo existían dos opciones básicas: bloquear todo para mantener la seguridad de la red o habilitarlo todo para favorecer las actividades empresariales. Estas opciones ofrecían un escaso margen de maniobra. La plataforma de seguridad empresarial de Palo Alto Networks le proporciona una manera segura de habilitar las aplicaciones que sus usuarios necesitan permitiendo el acceso a la vez que se evitan las amenazas de ciberseguridad. Nuestro cortafuegos de nueva generación representa la base de la plataforma de seguridad empresarial y está diseñado desde la base para hacer frente a las amenazas más sofisticadas. Además, inspecciona todo el tráfico, incluidas las aplicaciones, las amenazas y el contenido, y lo vincula al usuario independientemente de la ubicación o el tipo de dispositivo. La aplicación, el contenido y el usuario, los elementos que impulsan la empresa, se convierten en componentes integrales de la política de seguridad empresarial. Como resultado, podrá conciliar la seguridad con sus iniciativas empresariales clave. Habilite de forma segura aplicaciones, usuarios y contenidos mediante la clasificación de todo el tráfico, la determinación del caso de uso empresarial y la asignación de políticas con el fin de permitir y proteger el acceso a las aplicaciones pertinentes. Evite las amenazas eliminando aplicaciones no deseadas para reducir la superficie de amenazas y aplique políticas de seguridad selectivas para bloquear exploits de vulnerabilidades, virus, spyware, botnets y malware desconocido (APT). Proteja los centros de datos por medio de la validación de aplicaciones, el aislamiento de datos, el control sobre las aplicaciones no apropiadas y la prevención de amenazas de alta velocidad. Proteja los entornos de computación en la nube pública y privada con una mayor visibilidad y control; implemente, aplique y mantenga políticas de seguridad al mismo ritmo que sus máquinas virtuales. Adopte una informática móvil segura extendiendo la plataforma de seguridad empresarial a los usuarios y dispositivos independientemente de su ubicación. VM Usuarios internos Sede Perímetro Centro de datos interno Centro de datos virtualizado Sucursales Usuarios móviles Implementación de políticas de habilitación segura en toda la organización

2 La plataforma de seguridad empresarial ayuda a su organización a abordar diversos requisitos de seguridad con base en un principio común. Mediante una combinación equilibrada de seguridad de red con funciones de inteligencia sobre las amenazas y protección de endpoints, su organización podrá respaldar las iniciativas empresariales a la vez que mejora la seguridad general y reduce el tiempo de respuesta ante incidentes. APPLICATIONS, USERS AND CONTENT ALL UNDER YOUR CONTROL SQLIA SQLIA Usuario financiero autorizado Usuario comercial autorizado Usuario autorizado Usuario autorizado Aplicaciones, contenido, usuarios y dispositivos bajo su control Uso de la seguridad para impulsar la empresa Nuestra plataforma de seguridad empresarial le permite impulsar su empresa con políticas que se organizan en torno a las aplicaciones, los usuarios y el contenido. Para ello, emplea un modelo de control positivo, un diseño exclusivo de nuestra plataforma, que le permite habilitar funciones o aplicaciones específicas, y bloquear todo lo demás (de forma implícita o explícita). El cortafuegos de nueva generación realiza una inspección de un solo paso y en todos los niveles del tráfico en todos los puertos. De esta forma, ofrece un contexto completo de la aplicación, el contenido asociado y la identidad del usuario que podrá servirle de base para la toma de decisiones sobre políticas de seguridad. Clasificación de todo el tráfico, en todos los puertos y en todo momento. Hoy en día, las aplicaciones y su contenido asociado pueden eludir fácilmente un cortafuegos basado en puertos mediante diversas técnicas. Nuestra plataforma de seguridad empresarial aplica de forma nativa múltiples mecanismos de clasificación al flujo de tráfico para identificar las aplicaciones, las amenazas y el malware. Se clasifica todo el tráfico, independientemente del puerto, el tipo de cifrado (SSL o SSH) o la técnica evasiva empleada. Las aplicaciones no identificadas (que representan un pequeño porcentaje del tráfico, pero suponen un elevado riesgo potencial) se categorizan automáticamente para su gestión sistemática. Reducción de la superficie de amenazas y prevención de los ciberataques. Una vez que se haya clasificado totalmente el tráfico, podrá reducir la superficie de amenazas de red habilitando aplicaciones específicas y deshabilitando las demás. A continuación, puede aplicar una prevención PÁGINA 2

3 de ciberataques coordinada a fin de bloquear sitios de malware conocidos y frenar exploits de vulnerabilidades, virus, spyware y consultas de DNS malintencionadas. El malware personalizado o desconocido se analiza e identifica ejecutando los archivos y observando directamente su comportamiento malicioso en un entorno virtualizado de aislamiento (sandbox). Cuando se descubre nuevo malware, se genera y entrega automáticamente una firma para el archivo infectado y para el tráfico relacionado. Asignación del tráfico de una aplicación y las amenazas asociadas a usuarios y dispositivos. A fin de mejorar las medidas de seguridad y reducir los tiempos de respuesta ante incidentes, resulta esencial asignar el uso de una aplicación a un usuario y un tipo de dispositivo, así como poder aplicar ese contexto a sus políticas de seguridad. La integración con una amplia gama de repositorios de usuarios empresariales permite identificar al usuario y el dispositivo de Microsoft Windows, Mac OS X, Linux, Android o ios que están accediendo a la aplicación. La visibilidad y el control combinados sobre los usuarios y los dispositivos implica que puede habilitar de forma segura el uso de cualquier aplicación que atraviese la red, independientemente de la ubicación del usuario o el tipo dispositivo utilizado. La determinación del contexto de las aplicaciones específicas utilizadas, el contenido o la amenaza que pueden conllevar, y el usuario o el dispositivo asociados le ayuda a optimizar la gestión de políticas, mejorar sus medidas de seguridad y agilizar la investigación de incidentes. Un conocimiento integral del contexto equivale a políticas de seguridad más estrictas Las prácticas recomendadas de seguridad dictan que las decisiones que toma con respecto a las políticas, su habilidad para realizar informes sobre la actividad de la red y su capacidad de diagnóstico posterior dependen del contexto. El contexto de la aplicación en uso, el sitio web visitado, el contenido asociado y el usuario constituyen datos de gran valor en su esfuerzo por proteger la red. Si sabe exactamente qué aplicaciones están atravesando su puerta de enlace de Visibilidad de aplicaciones: vea la actividad de la aplicación en un formato claro e inteligible. Añada y elimine filtros para obtener información adicional sobre la aplicación, sus funciones y quién las utiliza. PÁGINA 3

4 Internet, funcionando dentro de su centro de datos o entorno de nube, o siendo utilizadas por usuarios remotos, podrá aplicar políticas específicas a dichas aplicaciones, complementadas con una protección contra amenazas coordinada. El conocimiento de quién es el usuario, y no solo su dirección IP, añade otro factor contextual que le permite ser más específico en su asignación de políticas. Gracias a una amplia gama de herramientas de filtrado de registros y visualización gráfica, podrá conocer el contexto de la actividad de la aplicación, el contenido o la amenaza asociados, el usuario y el tipo de dispositivo. Cada uno de estos datos le ofrece una visión parcial de su red, pero si se observan en un contexto completo, le proporcionan una visibilidad total del riesgo de seguridad potencial gracias a la cual podrá tomar decisiones más fundamentadas sobre las políticas. Todo el tráfico se clasifica continuamente y, a medida que cambia su estado, se registran las modificaciones para su análisis y se actualizan de forma dinámica los resúmenes gráficos. Esta información se muestra en una interfaz basada en web muy fácil de utilizar. En la puerta de enlace de Internet, puede investigar aplicaciones nuevas o desconocidas para ver rápidamente una descripción de la aplicación, sus características de comportamiento y quién la está usando. La visibilidad adicional sobre las categorías de URL, las amenazas y los patrones de datos proporciona un panorama completo y detallado del tráfico de red que atraviesa la puerta de enlace. Todos los archivos analizados en busca de malware desconocido por WildFire se registran de forma nativa con un acceso completo a los detalles, incluida la aplicación utilizada, el usuario, el tipo de archivo, el sistema operativo objetivo y los comportamientos malintencionados observados. Dentro del centro de datos, verifique todas las aplicaciones en uso y asegúrese de que solo las están utilizando usuarios autorizados. La visibilidad añadida sobre la actividad del centro de datos le permite garantizar que no existen aplicaciones mal configuradas o usos inapropiados de SSH o RDP. En entornos de nube privada y pública, aplique políticas y proteja aplicaciones con la plataforma de seguridad empresarial mientras mantiene el ritmo de la creación y el movimiento de sus servidores virtuales. En todas las situaciones de implementación, se pueden categorizar las aplicaciones desconocidas, que suelen representar un pequeño porcentaje de cada red, para su análisis y gestión sistemática. Editor unificado de políticas: su aspecto familiar permite crear e implementar de forma rápida políticas que controlen las aplicaciones, los usuarios y el contenido. PÁGINA 4

5 En muchos casos, puede que no sea plenamente consciente de qué aplicaciones se están utilizando, con qué frecuencia se utilizan o quién las usa. La visibilidad completa sobre los aspectos relevantes para la empresa del tráfico de su red (aplicación, contenido y usuario) constituye el primer paso hacia un control de políticas más fundamentado. Reducción del riesgo habilitando aplicaciones Tradicionalmente, el proceso de reducción del riesgo implicaba una limitación del acceso a los servicios de red y, posiblemente, obstaculizar sus actividades empresariales. Actualmente, la reducción del riesgo conlleva habilitar de forma segura aplicaciones mediante un enfoque centrado en la empresa que le ayuda a encontrar un equilibrio entre deshabilitar todo, como tradicionalmente, y habilitar todo. Utilice grupos de aplicaciones y un cifrado SSL para limitar el correo electrónico web y la mensajería instantánea a unos pocos modelos de aplicaciones. Inspecciónelas todas en busca de amenazas y cargue los archivos sospechosos desconocidos (EXE, DLL, archivos ZIP, documentos PDF, documentos de Office, Java y APK de Android) en WildFire para su análisis y el desarrollo de firmas. Controle la navegación web para todos los usuarios permitiendo y analizando el tráfico a sitios web relacionados con la actividad empresarial, y bloqueando el acceso a sitios web que claramente no estén relacionados con el trabajo. Controle el acceso a sitios dudosos mediante páginas de bloqueo personalizadas. Bloquee de forma explícita todas las aplicaciones de transferencia de archivos P2P para todos los usuarios mediante filtros de aplicación dinámicos. Adopte los dispositivos móviles extendiendo sus políticas de puerta de enlace de Internet y capacidades de prevención de amenazas a los usuarios remotos con GlobalProtect. En el centro de datos, utilice la información sobre el contexto para confirmar que las aplicaciones del centro de datos se ejecutan en sus puertos estándar, buscar aplicaciones no apropiadas, validar usuarios, aislar datos y proteger datos de importancia vital contra amenazas. A continuación, se incluyen algunos ejemplos: Mediante zonas de seguridad, se puede aislar el repositorio de números de tarjetas de crédito basado en Oracle, con lo que se fuerza el tráfico de Oracle a través de sus puertos estándar a la vez que se inspecciona el tráfico en busca de amenazas entrantes y se limita el acceso solo al grupo financiero. Se puede crear un grupo de aplicaciones de gestión remotas (p. ej., SSH, RDP o Telnet) para que solo lo utilice el departamento de TI dentro del centro de datos. En el centro de datos virtualizado, se pueden usar objetos dinámicos para contribuir a automatizar la creación de políticas de seguridad a medida que se abren, se cierran o se trasladan por su entorno virtual máquinas virtuales SharePoint. Protección de aplicaciones y contenido habilitados Cuando aplica políticas de análisis de contenido y prevención de amenazas, el contexto de la aplicación y el usuario se convierten en componentes integrales de su política de seguridad. Al disponer de un contexto completo de sus políticas de prevención de amenazas, se neutralizan las tácticas de evasión, como el salto de puertos y la tunelización. Reduzca la superficie de amenazas habilitando una selección de aplicaciones y aplicando, a continuación, políticas de análisis de contenido y prevención de amenazas a ese tráfico. Entre los elementos de análisis de contenido y protección contra amenazas disponibles en sus políticas se encuentran los siguientes: Prevención de amenazas conocidas mediante IPS y antivirus o antispyware de red La protección contra una serie de amenazas conocidas se consigue con una inspección de un solo paso mediante un formato de firma uniforme y un motor de análisis basado en flujos. Las funciones del sistema de prevención de intrusiones (IPS) bloquean exploits de vulnerabilidades en la capa de aplicación y en la red, desbordamientos de búfer, ataques de denegación de servicio (DoS) y análisis de puertos. La protección mediante antivirus o antispyware bloquea millones de tipos de malware, incluidos los que están ocultos en archivos comprimidos o el tráfico web (HTTP/HTTPS comprimidos), así como virus en PDF conocidos. Para el tráfico cifrado con SSL, puede aplicar de forma selectiva un descifrado basado en políticas y, a continuación, inspeccionar el tráfico en busca de amenazas, independientemente del puerto. PÁGINA 5

6 Visibilidad de contenido y de amenazas: vea la URL, las amenazas y la actividad de transferencia de datos o archivos en un formato claro e inteligible. Añada y elimine filtros para obtener más información sobre elementos individuales. Bloqueo de malware desconocido o selectivo con WildFire. Se puede identificar y analizar el malware desconocido o selectivo (p. ej., amenazas persistentes avanzadas) oculto en archivos con WildFire, que directamente ejecuta y observa los archivos desconocidos en entornos de aislamiento virtualizados en la nube o en el dispositivo WF-500. WildFire supervisa más de 100 comportamientos malintencionados y si encuentra malware, desarrolla una firma y se la entrega automáticamente en solo 15 minutos. WildFire es compatible con todos los principales tipos de archivos, como PE,.doc,.xls y.ppt de Microsoft Office, formato de documento portátil (PDF), Java Applet (jar y class) y paquete de aplicaciones Android (APK). Además, WildFire analiza enlaces en los mensajes de correo electrónico a fin de detener los ataques de spearphishing. Identificación de hosts infectados por bots e interrupción de la actividad en la red del malware. La clasificación completa y contextual de todas las aplicaciones, en todos los puertos, incluido cualquier tráfico desconocido, a menudo puede revelar anomalías o amenazas en su red. Utilice los informes de comportamiento de botnets, el sinkholing de DNS y el DNS pasivo de comando y control de App-ID para vincular el tráfico desconocido y las consultas de URL y DNS sospechosas con los hosts infectados. Aplique funciones de inteligencia global para interceptar consultas de DNS para dominios maliciosos y aplicarles la técnica de sinkhole. Limitación de las trasferencias de archivos y datos no autorizadas. Las funciones de filtrado de datos permiten a sus administradores implementar políticas que reduzcan los riesgos asociados a las transferencias de archivos y datos no autorizadas. Las transferencias de archivos se pueden controlar explorando el interior del archivo (en lugar de comprobar simplemente la extensión del archivo) para determinar si se debe permitir la transferencia o no. Los archivos ejecutables, que por lo general se encuentran en descargas drive-by download, se pueden bloquear para proteger la red de la propagación de malware oculto. Las funciones de filtrado de datos pueden detectar y controlar el flujo de patrones de datos confidenciales (números de tarjetas de crédito o de la Seguridad Social y patrones personalizados). PÁGINA 6

7 Control de la navegación Gestor web. Un motor de filtrado de Recopilador de logs Recopilador de logs VM Recopilador de logs URL personalizable y totalmente integrado permite a los administradores aplicar políticas detalladas de navegación web, que complementa la visibilidad de las aplicaciones y las políticas de control, y protege a la empresa de toda una serie de riesgos legales, normativos y de productividad. Panorama puede implementarse en un dispositivo dedicado o de forma Política basada en dispositivos para el acceso a aplicacio- distribuida para maximizar la capacidad de ampliación. nes. Gracias a GlobalProtect, las organizaciones pueden establecer políticas específicas para controlar qué dispositivos pueden acceder a recursos de red y aplicaciones concretos. Por ejemplo, se puede garantizar que los portátiles cumplen con la imagen corporativa antes de permitir el acceso al centro de datos. Además, se comprueba si el dispositivo móvil está actualizado, es propiedad de la empresa y está totalmente revisado antes de acceder a datos confidenciales. Gestión centralizada Las plataformas de seguridad empresarial pueden gestionarse individualmente mediante una interfaz de línea de comandos (CLI) o una interfaz basada en navegador completa. Para las implementaciones a gran escala, puede usar Panorama a fin de aportar funciones de visibilidad, edición de políticas, elaboración de informes y registro para todos sus cortafuegos de dispositivo virtual y hardware. Panorama le proporciona el mismo nivel de control contextual sobre la implementación global que el que tiene sobre un único dispositivo. La administración basada en funciones combinada con reglas previas y posteriores le permite encontrar un equilibro entre el control centralizado y la necesidad de contar con una edición de políticas local y una flexibilidad en la configuración del dispositivo. Tanto si utiliza la interfaz web del dispositivo como la de Panorama, el aspecto de ambas es idéntico para no tener que emplear tiempo de aprendizaje al pasar de una a otra. Sus administradores pueden usar cualquiera de las interfaces suministradas para realizar cambios en cualquier momento sin necesidad de preocuparse por los problemas de sincronización. La compatibilidad adicional con herramientas basadas en estándares, como API basada en REST y SNMP, le permite conseguir una integración con herramientas de gestión de terceros. Elaboración de informes y logs De acuerdo con las prácticas recomendadas de seguridad, se debe encontrar un equilibrio entre las tareas de gestión continuas y la capacidad de reacción que puede implicar la investigación y el análisis de incidentes de seguridad o la generación de informes diarios. Elaboración de informes: los informes predefinidos se pueden utilizar tal y como están, o bien pueden personalizarse o agruparse en un solo informe con el fin de adaptarse a los requisitos específicos. Todos los informes se pueden exportar a formato CSV o PDF y se pueden ejecutar y enviar por correo electrónico de forma programada. Creación de logs: el filtrado de logs en tiempo real facilita la rápida investigación forense de cada sesión que viaja por su red. El contexto completo sobre la aplicación, el contenido (incluido el malware detectado por WildFire) y el usuario puede utilizarse como criterio de filtrado. Los resultados se pueden exportar a un archivo CSV o enviarse a un servidor syslog para archivarlos fuera de línea o realizar análisis adicionales. Los logs agregados por Panorama también pueden enviarse a un servidor syslog para llevar a cabo más análisis o para archivarlos. Aparte de las capacidades de elaboración de informes y logs que proporciona la plataforma de seguridad empresarial de Palo Alto Networks, también puede realizar una integración con herramientas SIEM (información de seguridad y gestión de eventos) de terceros, como Splunk para Palo Alto Networks. Estas herramientas proporcionan capacidades de elaboración de informes y visualización de datos adicionales, y le permiten correlacionar eventos de seguridad en múltiples sistemas de su empresa. PÁGINA 7

8 PALO ALTO PALO NETWORKS: ALTO NETWORKS: Resumen Resumen de las de funciones las funciones del cortafuegos del cortafuegos de nueva de generación nueva generación Plataforma de hardware diseñada para fines específicos o plataforma virtualizada Nuestro cortafuegos de nueva generación se encuentra disponible en una plataforma de hardware diseñada para fines específicos que se amplía desde una sucursal empresarial hasta un centro de datos de alta velocidad o en un modelo virtualizado compatible con sus iniciativas de computación en la nube. Palo Alto Networks es compatible con la gama más amplia de plataformas virtuales para abarcar sus requisitos de nube privada y pública, y centro de datos virtualizado variado. La plataforma de cortafuegos de la serie VM está disponible para los hipervisores VMware ESXi, NSX, Citrix SDX, Amazon AWS y KVM. Tanto si implementa nuestras plataformas en modelos virtuales o de hardware, puede usar Panorama para conseguir una gestión centralizada. Herramienta de gestión tanto en formato físico como virtual Nuestra plataforma de seguridad empresarial se encuentra disponible en una plataforma de hardware diseñada para fines específicos que se amplía desde una sucursal empresarial hasta un centro de datos de alta velocidad o como un modelo virtualizado compatible con sus iniciativas de computación en la nube. Al implementar nuestras plataformas en modelos de hardware o virtualizados, puede utilizar Panorama, que ofrece una gestión centralizada opcional para obtener visibilidad sobre los patrones de tráfico, implementar políticas, generar informes y realizar actualizaciones de contenido desde una ubicación central Great America Parkway Santa Clara, CA (EE. UU.) Central: Ventas: Asistencia: Copyright 2015, Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones están sujetas a modificaciones sin previo aviso. Palo Alto Networks no asume ninguna responsabilidad por imprecisiones en este documento ni por la obligación de actualizar la información de este documento. Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir o revisar de otro modo esta publicación sin previo aviso. PAN_SS_NGFOV_102914