info@h-square.cz+420 226 200 992

Next Generation Firewall

V naší společnosti spolupracujeme pouze s takovými partnery, kteří patří mezi špičky v oblasti bezpečnosti ICT. Právě proto byla v otázkách zabezpečení síťové infrastruktury a obraně proti moderním útokům jasnou volbou společnost Palo Alto Networks.

Společnost Palo Alto Networks byla založena vizionářem v oblasti bezpečnostních technologií Nirem Zukem s cílem navrhnout a vytvořit technologii pro firewall, která by fungoval jiným, moderním způsobem, který by odrážel vlastnosti moderních útoků. Důvodem byla snaha opětovně zvýšit důležitost bezpečnostního zařízení v podnikové síti. Aktuálně nabízí společnost Palo Alto Networks firewally se schopností vidět a kontrolovat síťový provoz rozdělený na konkrétní aplikace a jejich obsah, a přiřazovat jej ke konkrétním uživatelům, nikoliv pouze podle IP adresy, a to až do rychlosti 20 Gbps bez degradace výkonu. Tato zařízení, nazývána jako firewally nové generace (Next-Generation Firewall, NGFW), jsou postaveny na patentovaných technologiích App-ID, User-ID a Content-ID, díky kterým přesně identifikují aplikace a skenují obsah bez ohledu na port, protokol, obranné taktiky nebo SSL šifrování, a tím zabraňují hrozbám a únikům dat a informací.

Mezi klíčové vlastnosti NGFW patří:

  • Klasifikace provozu na základě identifikace aplikace, nikoliv portu, na kterém je provozována. Identifikace aplikace respektive komunikačního protokolu, šifrování nebo dalších úhybných taktik a samozřejmě použití této identifikace jako základu pro bezpečnostní politiky. Možnost tvorby vlastních signatur pro aplikační detekci.
  • Identifikace uživatele jménem, nikoliv jen dle IP adresy. Využití informací o zaměstnanci z podnikových služeb pro zviditelnění a zjednodušení při tvoření bezpečnostních politik, reportingu, a forenznímu dohledání bez ohledu na to kde se uživatel nachází.
  • Blokování hrozeb v reálném čase. Chrání síť před zranitelnostmi, malware, vysoce riskantními URL adresami, a velkým množstvím hrozeb ze souborů nebo obsahu.
  • Identifikace, řízení a nahlížení (dekrypce) do šifrovaného provozu a aplikací (SSL a SSH).
  • Zjednodušení správy bezpečnostních politik. Bezpečné a jednoduché použití grafického nástroje pro editaci bezpečnostních politik. Grafická vizualizace aplikací s detailními informacemi o uživateli, skupinách a síťových datech rozdělených dle relací, bytů, portů, hrozeb a času.
  • Technologie Single-Pass Architecture pro souběžné zpracování více paralelních úloh kombinovaná s multi-gigabitovou propustností vede k zajištění nízké latence a maximálního výkonu při využití všech dostupných služeb a technologií.
  • Virtualizace umožňuje v rámci jednoho fyzického boxu provozovat více virtuálních firewallů. Každý virtuální systém je plně funkčním firewallem se samostatnou správou.
  • Palo Alto Networks Next-Generation Firewally nabízejí jedinečný přehled a kontrolu aplikací, uživatelů a obsahu pomocí tří patentovaných identifikačních technologií: App-ID, User-ID a Content-ID. Tyto identifikační technologie jsou dostupné v každém Palo Alto Networks Next-Generation Firewallu. To dovoluje bezpečné používání aplikací, a zároveň výrazně snížení celkových nákladů na bezpečnost.

App-ID: Identifikace aplikace

Přesná klasifikace provozu je srdcem každého firewallu, což je základ bezpečnostní politiky. Tradiční firewally klasifikovaly provoz podle portu a protokolu, což bylo dříve považováno za dostačující. V současné době ale dokáže aplikace snadno obejít port-based firewall, pomocí dynamicky otevíraných portů či pomocí SSL a SSH, tunelováním přes port 80 nebo s použitím jiných než standardních portů.
App-ID automaticky použije čtyři různé mechanismy klasifikace provozu pro identifikaci aplikace – detekci aplikačního protokolu a dešifrování, dekódování aplikace, otisk aplikace a heuristickou analýzu. Dokáže identifikovat více než 2200 (tento počet se neustále zvětšuje) aplikací, bez ohledu na port nebo šifrování SLL protokolu.
App-ID nepřetržitě monitoruje stav aplikace, re-klasifikuje provoz, a určuje různé funkce, které jsou používány aplikací.
Bezpečnostní politika určuje, jak zacházet s touto komunikací můžeme jí například: zablokovat, povolit, nebo bezpečně povolit (pouze skenování, blokovat vložené hrozby, kontrola neoprávněných přenosů souborů a datových vzorů, nebo omezení šířky pásma, a podobně).

Detailní aktuální přehled a informace o identifikovatelných aplikacích můžete nalézt zde: https://applipedia.paloaltonetworks.com/

User-ID: Identifikace uživatele

Tradičně bylo zabezpečení pro uživatele založeno na IP adresách. Díky stále dynamičtější povaze uživatelů a počítačů se tento přístup stal neefektivním pro sledování a kontrolu aktivit uživatelů.

User-ID umožňuje organizacím monitorovat a zaznamenávat události typu přihlášení i z klientů platforem Apple OS X, Apple iOS, Linux/UNIX atd. Informace o uživatelích může být získána například z Microsoft AD, eDirectory nebo LDAP.


Content-ID: Rozpoznání a kontrola obsahu

Mnoho z dnešních aplikací poskytuje významné výhody, ale jsou také používány pro šíření moderní malware a jiných bezpečnostních hrozeb. Content-ID, ve spojení s App-ID, poskytuje správcům řešení pro ochranu sítě. App-ID jednoznačně identifikuje aplikaci a Content-ID zkontroluje, zda je obsah komunikace v souladu s bezpečnostními pravidly (není infikován virem, neobsahuje spyware a podobně).

Content-ID poskytuje plně integrovanou ochranu před zneužitím slabých míst, malware a malwarem generovanými příkazy a útoky typu command and control.

Ochrana před hrozbami technologie Content-ID zahrnuje následující funkční části:

  • IPS
  • Anti-Malware
  • Command and Control
  • URL Filtering
  • File and Data Filtering

Technologie App-ID, User-ID a Content-ID dohromady odpovídají na otázky:

  • Je daná aplikace povolena? (App-ID)
  • Má k dané aplikaci uživatel či skupina přístup? (User-ID)
  • Jaká data se skrz aplikaci přenáší? (Content-ID)

Produktové řady

Společnost Palo Alto Networks nabízí Next-Generation Firewally v následujících produktových řadách, modelech a s následujícími parametry.

  • PA-200 je i přes svou velikost a tichost, která jej umožňuje umístit na kancelářský stůl, dostatečně výkonný, aby poskytl bezpečnost next-generation firewallu. Tato platforma umožňuje mít přehled a kontrolu nad aplikacemi, uživateli a obsahem i na malých pracovištích díky pokročilé inspekci a kontrole aplikací, uživatelů a obsahu s propustností až 100 Mbps.
  • PA-220 je nástupcem modelu PA-200. Oproti svému předchůdci disponuje zvýšenou datovou propustností – až 500 Mbps, duálními zdroji napájení a plnou podporou vysoké dostupnosti v řežimech aktivní / aktivní i aktivní / pasivní. PA-220 je ideální volbou pro umístění do distribuovaných podnikových poboček či detašovaných pracovišť. Nově je tento model dostupný také ve variantě PA-220R, určené do náročných provozních podmínek, jakými jsou průmyslové a výrobní podniky, elektrárny a další.
  • PA-500 přináší zabezpečení Internetových bran pomocí next-generation firewallu středně velkým firmám a pobočkám velkých podniků. PA-500 chrání síť s pomocí vysoce výkonného zpracování požadavků, oddělené paměti pro síťový provoz, zabezpečení, prevenci hrozeb, filtrování URL a správu s propustností až 250 Mbps.
  • PA-800 je produktová řada sestávající se ze dvou nejnovějších modelů PA-850 a PA-820, jež jsou určeny k zabezpečení podnikových poboček a větších maloobchodních podniků. Redundantní zdroje napájení zajišťují zvýšenou hardwarovou odolnost, až 4 10Gb SFP+ porty pro použití v moderních a vysokorychlostních sítích, s celkovou propustností až 1.9 Gbps a vynikajícím poměrem ceny / hodnoty výkonu.
  • PA-3000 je produktová řada sestávající se ze tří výkonných zařízení PA-3060, PA-3050 a PA-3020, jež jsou určeny pro nasazení na vysoko rychlostních internetových branách velkých podniků. Dedikované výpočetní a programovatelné hardwarové prostředky určené pro řízení síťových toků, zabezpečení, kontrolu obsahu a řídící funkce zajišťují výkon s propustností až 4 Gbps.
  • PA-3200 je nová řada složená z modelů PA-3260, PA-3250 a PA-3220. Je určena k zabezpečení perimetru podnikových sítí a datových center. Vyznačuje se zvýšenou propustností až do 8.8 Gbps a vysokým výkonem pro dekrypci šifrovaného provozu.
  • PA-5000 produktová řada next-generation firewallů je navržena pro zabezpečení datových center, internetových bran korporací a poskytovatelů síťových služeb, kde je požadována vysoká datová propustnost. Tato řada zahrnuje modely PA-5060, PA-5050 a PA-5020. Zařízení této řady jsou schopna obsloužit datový tok o propustnosti až 20 Gbps díky použití 40 procesorů rozdělených do 4 funkčních částí (síťový provoz, bezpečnost, kontrola obsahu a správa). Spolehlivost a odolnost proti výpadku je zajištěna active/active nebo active/passive modelem, fyzickým oddělením datové a kontrolní sběrnice a redundancí komponent vyměnitelných za běhu.
  • PA-5200 je produktová řada next-generation firewallů navržených pro zabezpečení datových center, vysokorychlostních internetových bran a poskytovatelů síťových a internetových služeb. Tato řada zahrnuje modely PA-5280, PA-5260, PA-5250 a PA-5220. Zařízení této řady jsou schopna obsloužit datový tok o propustnosti až 72.3 Gbps. Řada PA-5200 využívá speciální vyhrazené procesory a paměti pro všechny klíčové funkční oblasti – zpracování síťového provozu, bezpečnost, prevence a zvládání hrozeb a nabízí až 35 násobný výkon pro zpracování dekrypce SSL provozu. Modely řady PA-5200 disponují vysokou hustotou portů a nabízí 40 Gb a 100 Gb podporu interfaců pro nejnáročnější způsoby nasazení v moderních, vysokorychlostních sítích.
  • PA-7000 je produktová řada určená pro zabezpečení rozlehlých datových center a poskytovatelů síťových služeb. Tato řada zahrnuje vlajkové lodě společnosti Palo Alto Networks s označením PA-7080 a PA-7050. Tyto modulární prvky nabízejí propustnost až 200 Gbps, kterou zajišťuje i v nižších řadách používaný single-pass softwarový engine v kombinaci s téměř 700 procesory určenými pro specifické funkce řízení síťových toků, zabezpečení, kontrolu obsahu a správy. Pokročilá inteligence optimalizuje využívání zdrojů a dynamicky mění váhy jednotlivých úloh pro zajištění maximální efektivity využití celkového výpočetního výkonu.

Pozice na trhu

Společnost Palo Alto Networks byla založena roku 2005, přičemž první implementace jejích produktů v řadách zákazníků byly provedeny již roku 2007. Je řazena mezi světovou špičku v oblasti síťové bezpečnosti a je v několika po sobě jdoucích letech velmi kladně vnímána a hodnocena v nezávislých laboratořích.

Dle výzkumné a poradenské společnosti Gartner je společnost Palo Alto Networks již několik let lídrem v oblasti enterprise firewallů. V oblasti Next-Generation firewallů je hodnocena jako lídrem od počátku hodnocení této oblasti.

Společnost NSS Labs ohodnotila společnost Palo Alto Networks v rámci testu Next-Generation Firewall Group Test jako nejlepší řešení ochrany bezpečnosti na chráněný megabyte a dále uvedla ve výsledcích testů, že pomocí jejích produktů bylo ve zkušebním provozu zablokováno až 95 % útoků proti klientským aplikacím.

Společnost Forrester Research ocenila společnost Palo Alto Networks jako “společnost, která tlačí celou komunitu výrobců a dodavatelů bezpečnostních produktů k dalším inovacím”.

Kontaktujte nás a získejte další informace jak se bránit efektivně a preventivně.
Prevence je vždy lepší než řešení následků.

Bližší popis technologie a další informace najdete na stránkách společnosti Palo Alto Networks.

| Next Generation Security | Palo Alto Networks NGFW | Endpoint Protection | Cisco ISE | Penetrační testy | Monitoring ICT | Audit datové sítě |

© 2015 - 2020 H-Square ICT Solutions s.r.o. Všechna práva vyhrazena. Ochrana osobních údajů.
Vytvořilo studio EXXO.cz