Запись вебинара выложена на youtube https://youtu.be/JuSMcoF9E6k
Report
Share
Report
Share
1 of 66
More Related Content
Решения для защиты корпоративных и коммерческих цод
1. Решения Palo Alto Networks
для защиты корпоративных и
коммерческих ЦОД
•Денис Батранков
•консультант по ИБ
•denis@paloaltonetworks.com
2. Предположение о защищенности и реальность
•Source:
The State of Application Security
•A Research Study by Ponemon Institute, 2015
•Риски ≠ Затраты
•Source:
The State of Risk-Based Security Management,
A Research Study by Ponemon Institute, 2015
•Есть ли у Вас корпоративный стандарт архитектуры безопасности?
•Где Ваши риски безопасности и где Вы инвестируете в ИБ?
•Мнение рук-ва ≠ Мнение тех.
персонала
9. Портовые межсетевые экраны не справляются
Порты ≠ Приложения
IP адреса ≠
пользователи
Угрозы > Эксплойты
~30% трафика
зашифровано SSL
Сетевая безопасность
основана на устаревших
знаниях
Может ли ваш портовый firewall показать:
Какие приложения в вашем ЦОД?
Что за информация/файлы идут внутри SSH/SSL?
Кто использует RDP, Telnet?
Существуют ли неизвестные вам соединения с ЦОД?
*плюс случайные порты
Port
135
Port
137
RPC
SMS
SQL
SharePoint
SMB
Port
80
Port
139
Port
443
NetBIOS
10. Традиционно, лучше безопасность =
хуже производительность
Традиционная безопасность
Каждое доп. устройство
безопасности снижает
производительность
IPS / сетевые AV чаще всех
получают жалобы
Идут трения между ИТ и
безопасностью
Коммутатор ядра
(максимум)
L3-L4 Firewall
Anti-Virus
IPS
11. Вывод: безопасность ЦОД возможна только с NGFW !
•До 200Гбит/сек.
•в кластере А/А
•в режиме «все включено»
•(все приложения,
•все сигнатуры угроз)
12. Сделайте межсетевой экран нового поколения важным
инструментом для контроля бизнес процессов в сети
Приложения: Классификация трафика
приложений в сети - App-ID.
Пользователи: Связать пользователей и
устройства с приложениями которыми они
пользуются - User-ID и GlobalProtect.
Содержимое приложений: Сканировать
контент - Content-ID and WildFire.
13. Снижаем возможности для атак
»Мир приложений
постоянно расширяется
»Бизнес одобряет
какому пользователю
какое приложение
нужно
»Площадь атаки
равна только тому
что вы сами открыли
»Не зависит от
использования
портов
»Полный набор средств
безопасности: IPS, AV
В оба направления
Внутри SSL и SSH
В архивах
В туннелях и прокси
Тестировать неизвестные
файлы
Разреши
только нужные
приложения
Очисти нужные
приложения за
один проход
15. Контроль приложений при помощи User-IDTM
•Windows
•Linux
•MAC
LDAP Radius NTLM
1. В политике безопасности:
• Журналировать использования
приложений группой
• Разделить неизвестный трафик и
известный трафик
2. В журналах:
• Сортировать журнал по пользователям
или группам
• Посмотреть журналы по отдельным
пользователям
Пользователь
domain1ivan
использует MS SQL
на 172.16.19.10
Соответствие IP и пользователя:
• Active Directory
• Captive Portal (NTLM)
• XML API
• LDAP
• и другие
•iOS
•Android
•Wireless
VDI
16. Интеграция с другими системами для работы User-ID
bash > ssh host
Last login: 02/29/2013 from localhost
[user@host ~]$
Unix Authentication Proxy Authentication 802.1x Authentication
syslog feed
syslog receiver
17. Функционал клиентов GlobalProtect
• Пользователи всегда подключены в сеть независимо от их местоположения
• Межсетевые экраны образуют «облако» сетевой безопасности
• Сканирование подключаемых
устройств на соответствие
установленного ПО
политике безопасности и допуск
на этой основе (NAC)
• Построение распределенных
сетей VPN (IPSec и SSL)
•Portal
•Gateway •Gateway
18. Доступны клиенты GlobalProtect для настольных и
мобильных ОС
Windows, Mac OS X
Apple iOS
Android
Автоматическое или ручное
подключение
19. Безопасно разрешаем трафик в ЦОД
КТО ГДЕ ЧТО КАК
Пользователь/Группа
Зона/Устройство
Сервер/устройство
Зона
Приложение
IPS
AV
DLP
QoS
Контент
Security
Profile
Сегментация на основе
- общего функционала
- уровня доверия
- соответствия нормативным документам
•Проверять весь трафик между зонами по
умолчанию
•Управлять неизвестным трафиком
20. Пример:
контроль за приложениями для управления ЦОД
Программы удаленного управления (RDP, Telnet, SSH) использует
поддержка и администраторы
Другие пользователи и атакующие также могут использовать их для
проникновения в ЦОД
Используя AppIDTM, рекомендуется создать группу приложений для
администрирования и используя User-IDTM связать эти приложения
только с администраторами соответствующей политикой МЭ.
Пример: Разрешить SSH для управления
Необходимые приложения (SCP, SFTP, SSH) могут быть разрешены только ИТ
администраторам
Сотрудники
Администраторы
ЦОД
•SSH
•SSH
21. Интеграция NGFW в инфраструктуру ЦОД
Tap режим - SPAN порт свитча для аудита или обзора приложений в сети
Virtual Wire - для прозрачного контроля и сохранения текущей топологии
На 2 уровне OSI идеально для фильтрации между VLAN
На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW
Tap Layer 3
Поддерживает все текущие технологии сетей:
OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN HA QoS
Virtual Wire Layer 2
22. Устройства для ЦОД
Контроль приложений и блокировка вредоносных
Блокировка атак и вредоносного кода известного и неизвестного
Контроль доступа на основе ID пользователя
Гарантированная производительность разбора приложений 120 Гбит/с
Устройства разного формата для установки в стойку
•Шасси PA-7050
6 лезвий NGFW каждое 20
Гбит/с
•Линейка PA-5000
до 20 Гбит/с
•Линейка PA-3000
до 4 Гбит/с
23. PA-7080 - самый производительный в мире NGFW !!
PA-7050
NPC
PA-7050 System PA-7080 System
NGFW (L3-L7)
Gbps
20 120 200
Threat Prev. Gbps 10+ 60+ 100+
Матрица
коммутации
1.2 Тбит 1.2 Тбит
Встроенная
система
логирования
4x1TB HDD =
2TB RAID1
4x1TB HDD =
2TB RAID1
• Лицензирование и
техническая поддержка на
шасси
• Линейное
масштабирование
производительности
• Снижение стоимости за
защищенный Гбит
• Интерфейсы 10 и 40 Гбит
24. Основной функционал операционной системы
Network
Динамическая маршрутизация (BGP, OSPF,
RIPv2)
Режим мониторинга – подключение к
SPAN-порту
Прозрачный (L1) / L2 / L3 режимы
Маршрутизация по политикам (PBF)
IPv6
VPN
Site-to-site IPSec VPN
SSL VPN (GlobalProtect)
Функционал QoS
Приоритезация, обеспечение
максимальной/гарантированной полосы
Возможна привязка к пользователям,
приложениям, интерфейсам, зонам и т.д.
Мониторинг полосы в режиме реального
времени
Зоновый подход
Все интерфейсы включаются в зоны
безопасности для упрощения настройки
политик
Отказоустойчивость
Active/active, active/passive
Синхронизация конфигурации
Синхронизация сессий (кроме РА-200,
VM-series)
Path, link и HA мониторинг
Виртуальные системы
Настройка нескольких межсетевых
экранов в одном устройстве (серии PA-
5000, PA-3000 и PA-2000)
Простое и гибкое управление
CLI, Web, Panorama, SNMP, Syslog,
NetFlow, интеграция с SIEM/SIM
26. SSL расшифрование и отправка на внешний DLP
Порт для зеркалирования расшифрованного трафика
o Позволяет передавать расшифрованный трафик на внешние устройства для
анализа (например Solera или NetWitness)
o Может использоваться для сетевых решений DLP
o Платформы серий PA-5000 и PA-3000
SSL/TLS
Data Leakage Prevention
www.google.com
Plaintext
SSL/TLS
27. Технологии Palo Alto Networks, применяемые для защиты
от современных угроз
App-ID
URL
IPS
ThreatLicense
Spyware
AV
Files
Wildfire
TRAPS
Block
high-risk apps
Block
known malware
sites
Block
the exploit
Prevent drive-by-downloads
Detect / prevent
unknown
malware
Block malware
Block spyware,
C&C traffic
Block C&C on
non-standard
ports
Block malware,
fast-flux domains
Correlate and block
C&C: malware URL,
DNS sinkholing
Координи-
рованное
блокирование
активных атак
по сигнатурам,
источникам,
поведению
Приманка •Эксплоит
•Загрузка ПО
для «черного
хода»
Установление
обратного
канала
•Разведка и
кража
данных
Anti-Exploitation
– prevent 0-day
Check e-mail
links
28. Обнаружение Zero Day и предотвращение с WildFire
Вредоносные файлы
выполняются в песочнице –
специализированной
виртуальной среде
Сигнатуры для вредоносного
кода, DNS, URL и центров
управления ботами создаются
и распространяются
автоматически
Легко размещается между
виртуальными машинами для
контроля скрытых угроз
Не оставить шансов вредоносному коду:
• Anti-malware signatures
• DNS intelligence
• Malware URL database
• Inspect URLs within email
• Anti-C2 signatures
•WildFire Users
•Global intelligence
and protection
delivered to all users
•Command-and-control
Staged malware
downloads Host ID
and data exfil
•WildFire™
• Soak sites
• Sinkholes
• 3rd party sources
29. Технология WildFire
Анализируем поведение – блокируем неизвестный
вредоносный код
Internet
•Анализируем протоколы SMB, FTP,
HTTP, SMTP, POP3, IMAP
•Анализируем файлы exe, dll, bat, sys,
flash, jar, apk, doc, pdf и т.д.
30. Основные техники работы WildFire
•Анализ без исполнения •Найти неизвестный
вредоносный код анализируя
130+ типов вредоносного
поведения
•Создать защиту
•Подозрительные
файлы идущие по
различным
приложениям
отправляются
сенсорами в сети в
единую платформу
анализа
•Этап I
•Точно хорошие?
•Этап II
•Статический анализ
PDF, Microsoft Office,
Java и Android APKs
•Этап III
•Динамический анализ
•Этап IV
•Списки хороших
•Подписаны
доверенным
сертификатом
•Внедренные файлы
•Внедренный код
•Аномалии структуры
•Внедренный шелкод
•Сетевой трафик
•Файловая активность
•Процессы и сервисы
•Изменения реестра
•Исполняем в спец среде
•Создать защиту
•… •…
31. Устройство для работы
WildFire
модель WF-500
Специальная версия WildFire для ЦОД
Анализ файлов в песочнице
выполняется на устройстве
Опция отправлять файлы в облако
WildFire
Сигнатуры для вредоносного кода
создаются и отправляются в NGFW
Возможность забирать сигнатуры
WildFire для вирусов найденных
другими заказчиками
32. Что дает сервис WildFire
NGFW отправляет файлы в WildFire
и затем получает сигнатуры и
начинает блокировать
Отчеты по анализу работы
вредоносного кода приходят в
NGFW
REST API для загрузки файлов на
проверку в WildFire без NGFW
34. Варианты внедрения Palo Alto Networks
VM-series NGFW в среде VMware
• Гостевая вирт. машина
• Модели VM-100/200/300, VM-1000-HV
• 1 и более на ESXi / vDS
• Кластеризация
• Для перенаправления трафика требуется
настройка vSwitch
• Режимы работы L1/L2/L3
• Идеально для SSL/IPsec VPN
• Отдельный NGFW для каждой
задачи/ландшафта/департамента/клиента
VM-series for
VMware vSphere (ESXi)
• Режим гипервизора
• Модель VM-Series for NSX (VM-1000-HV)
доступна как сервис
• Автоматизированное развертывание
• Неограниченная масштабируемость
• Прозрачное перенаправление трафика
без изменения логической сетевой
топологии
• Идеально для инспекции трафика
«восток-запад»
VM-series for
VMware NSX
35. Варианты внедрения Palo Alto Networks
VM-series NGFW на других платформах виртуализации
• Гостевая вирт. машина
• Модели VM-100/200/300
• Обеспечивает безопасность и multi-
tenancy для среды Citrix
XenApp/XenDesktop
VM-series for
Citrix NetScaler SDX
Standard Hardware
Гостевая машина в режиме L3
Плагин OpenStack автоматизирует развертывание,
лицензирование, настройку интерфейсов и работу
динамических адресных групп VM
VM-series for
KVM and OpenStack
36. Интеграция с системами оркестрации
Системы оркестрации обеспечивают работу SDN/SDDC и автоматизируют
развертывание систем и сервисов в ЦОД
NGFW и Panorama предоставляют REST XML API для интеграции с системами
оркестрации (OpenStack/CloudStack/VMware/…)
Операционная система Palo Alto Networks
Оркестрация в Software-Defined Data Center
Развертывание
виртуальных машин
Конфигурация сети
Настройка политик
безопасности и
генерация отчетов
API
Развертывание,
интерфейсы
Создание VLAN/Zone,
динамические адресные
группы
Политики, профили, App-ID,
динамические отчеты
Context Context
API
API
41. Security Admin
Как работает интегрированное решение
VMware NSX + Palo Alto Networks
Cloud Admin
VMware NSX
Регистрация PA-VM
как сервис NGFW
Автоматическое
развертывание PA-VM
на всех ESXi хостах
Встраивание
сервиса ИБ в
виртуальной сети и
перенаправление
трафика на
инспекцию в NGFW
Обновление контекста VM в
реальном времени
Динамическое
обновление
контекста VM для
применения в
политиках
Регистрация,
получение лицензий и
централизованных
объектов и политик из
Panorama
42. Что Вы видите c VShield?
Много
трафика
по порту
80
Много
трафика
по порту
53
Много
трафика
по порту
21
Много
трафика
по порту
25
44. Политики безопасности внутри ЦОД
Только «белые списки»:
Известные приложения
«Самописные» неизвестные
приложения
Динамические группы адресов VM
45. Решение задач ИТ-администраторов и
администраторов ИБ
• Ускоренное развертывание
сервисов по требованию
бизнеса
• Соответствие требованиям
ИБ в новой модели
• Повышение визуализации и
защиты от кибер-атак
• Обеспечение согласованных
друг с другом политик
безопасности во всем ЦОД
Cloud Security
46. Экосистема Palo Alto Networks для защиты ЦОД
Аппаратные серверы
Виртуализированные серверы / Private Cloud
Аппаратные NGFW
(c вирт.
системами)
Виртуальные
NGFW
(Private Cloud)
Оркестрация,
автоматизация,
SaaS, SECaaS
с REST XML API
Panorama:
Централизованное
управление
всеми NGFW
Data Center Perimeter
Wildfire
Public/Private Cloud
Threat Intelligence
Public Cloud
AWS, vCloud AIR
Аппаратные NGFW
(c вирт.
системами)
Виртуальные NGFW
(Public Cloud)
Traps = Advanced
Endpoint Protection
(Windows)
VMware, KVM, Citrix SDX
Удаленный
доступ с
GlobalProtect
48. Защита рабочих станций и серверов, которая СРАЗУ
БЛОКИРУЕТ эксплойты
Предотвращение эксплойтов сразу – включая zero-day!
Предотвращение вирусов – неизвестных и сложных
Сбор данных для доказательства атаки –
для анализа
Быстро, просто, удобно –
пользователь минимально участвует в работе агента
Интеграция с сетевой и облачной защитой – пользуемся
данными от устройств защиты по всему миру
Нужна защита от неизвестного кода сразу:
TRAPS
49. Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks
Next-Generation Endpoint
Palo Alto Networks
Next-Generation Firewall
Next-Generation Firewall
Инспекция трафика
Контроль приложений и
пользователей
Защита от угроз 0-ого дня
Блокировка угроз и вирусов на
уровне сети
WildFire - обнаружение Zero Day
Анализ подозрительных файлов
в облаке
Распространение сигнатур
безопасности на МЭ
TRAPS - защита рабочих станций
Инспекция процессов и файлов
Защиты от известных и неизвестных угроз
Защиты стационарных, виртуальных и
мобильных пользователей
Интеграция с облачной защитой от угроз
Платформа безопасности нового поколения
50. Платформа Palo Alto Networks
не создает пробок в сети
•Обеспечиваем заданную производительность при
всех включенных сервисах безопасности
51. Что дальше:
Как вы можете защитить свой ЦОД?
VoIP/Video
Infrastructure
B2B/Partner
Services
Network
Segmentation
Virtual Desktop
Infrastructure
Industry Specific
Services
Virtual Server
Infrastructure
Internet Data
Centers
Datacenter and Services Infrastructure
•Applications in the cloud
Cloud/SAAS
•Palo Alto Networks подготавливает отчет о приложениях и рисках в ЦОД :
Запросите у любого партнера или локального офиса пилот
Установите Palo Alto Networks в сети
Мы покажем вам что невидимого есть в вашей сети и предоставим отчет
56. Пример: статистика по приложениям на периметре
•Ссылка на диаграмму
•http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/
66. Segmenting the Modern Datacenter
Tap
Layer 2 Layer 3
Virtual Wire
app
Corp Net
Users
app
web
ta
p
ta
p
Corp Net
Users
DB
PCI
VLAN 100
VLAN 100
VLAN 1100
VLAN 1100
Bridge 100
to 1100
DBapp
DG
web
10.1.1.0/24
10.1.2.0/24
172.16.0.0/16
Corp Net
DB
app
10.1.3.0/24
Users