Palo Alto Networks ha ideato una nuova generazione capace di identificare le applicazioni indipendentemente dal’utilizzo di porte, protocolli, SSL encryption o qualunque altra tattica evasiva.
Grazie a Palo Alto Networks, le società possono ridurre l’aumento del passivo provocato dalla fuga di dati, eliminare costi dovuti all’aumento dell’utilizzo della banda e minimizzare i rischi come virus, spyware, worms e altre vulnerabilità.
Palo Alto Networks fornisce visibilità e controllo delle applicazioni Internet usate in rete grazie ad un firewall di nuova generazione che classifica il traffico basandosi sull’identificazione esatta dell’applicazione, non solo a livello porte o protocollo.
Palo Alto Networks ridefinisce il concetto di Firewall basandosi su una tecnologia innovativa di identificazione delle applicazioni che permette il controllo e la visibilità su tutto il traffico IP che transita nella LAN.
I Punti di Forza dei nuovi Firewall PaloAlto
Identificazione della applicazioni
La maggior parte delle applicazioni applica tecniche di evasione, che tendono a fare trovare sempre la possibile strada di uscita, anche quando i sistemi di perimetro la limitino. Di conseguenza l’unico modo che si ha di poterle raggruppare ed eseguire una analisi approfondita per inserirle in famiglie comportamentali. Su queste famiglie, censite da PaloAlto in più di 700 applicazioni, è quindi possibile creare dei permessi, come stringere al massimo i controlli applicativi su alcune di esse, oppure come definitivamente bloccarle qualora si ritengano dannose per la rete.
Assegnazione dell’identità utente
Attraverso un sistema di comunicazione con ActiveDirectory PaloAlto è in grado di assegnare l’identità agli utenti di dominio, in modo tale da creare delle politiche di sicurezza e controllo direttamente sugli utenti o sui gruppi, anziché ai singoli indirizzi IP o networks. En disponibile anche un sistema embedded di Captive Portal per associare una identità ai client che non fanno parte del dominio corporate (tipicamente i guest user)
Decifrazione del traffico SSL
Molte applicazioni vengono utilizzate attraverso un canale cifrato SSL, per massimizzarne l’anominato. Questo vuol dire che i sistemi tradizionali non hanno la possibilità di interpretare il traffico originato, essendo in questo stato illeggibile. Il firewall PaloAlto esegue una decrittazione del traffico SSL per analizzarne il contenuto, per quindi ri-decrittarlo dopo l’ispezione.
Multi-Gigabit Throughput
Per garantire questi elevati canoni di ispezione il sistema deve assicurare elevati capacità di carico. PaloAlto firewall arriva a garantire un controllo dell’ordine di 10Gbps con i 2 modelli più veloci.
Reportistica dettagliata in realtime
L’amministratore può generare della reportistica per capire cosa stia succedendo sulla rete, come può velocemente visualizzare i drill-down report o il log realtime direttamente sull’apparato
Semplicità di deployment
Grazie alla flessibilità del sistema, è possibile posizionarlo i diversi environment. Bridge layer2, monitoring (utilizzando un TAP o Span port di uno o più switch), oppure il più tradizionale NAT/Route mode.
PaloAlto Networks Technologies
I reparti IT devono affrontare una doppia sfida. Da una parte l’esigenza di rendere disponibili nuove applicazioni aziendali che siano operanti in modo controllato e sicuro. Dall’altra l’esigenza di controllare la naturale evoluzione (assolutamente significativa) di queste applicazioni, portando ad una perdita di visibilità e controllo delle applicazioni all’interno della rete aziendale.
Ciò che richiedono è un nuovo approccio, che permetta di identificare con precisione le applicazioni attuali, e non solamente le porte IP che usano, con un’ispezione completa del traffico. Palo Alto Networks ridefinisce il concetto di Firewall basandosi su una tecnologia innovativa di identificazione delle applicazioni che permette il controllo e la visibilità sul traffico IP che viaggia nella reti aziendali. Palo Alto Networks fornisce un controllo e visibilità delle applicazioni senza precedenti grazie a tre tecnologie esclusive:
- App-ID, una tecnologia di identificazione delle applicazioni che classifica il traffico senza preoccuparsi del protocollo utilizzato, delle porte, encryption SSL o tecniche evasive.
- FlashMatch, un motore in tempo reale di prevenzione del pericolo che blocca virus, spyware e vulnerabilità delle applicazioni come un unico processo.
- Una piattaforma dedicata con processori dedicati e risorse per performare le funzioni di sicurezza, networking, prevenzione e vulnerabilà
Descrizione delle 3 tecnologie esclusive
App-ID
Con lo scopo di offrire al dipartimento IT visibilità e controllo delle applicazioni, Palo Alto Networks ha iniziato a progettare una tecnologia di classificazione del traffico orientata alle applicazioni . Il risultato si chiama App-ID. App-ID è una tecnologia rivoluzionaria di classificazione del traffico che permette agli amministratori di sapere in tempo reale quali siano le applicazioni che girano sulla propria rete aziendale senza preoccuparsi delle Porte, protocolli, Encryption SSL, o tecniche evasive. Architettato per conoscer le tecniche evasive di sicurezza come l’utilizzo di porte non standard, porte e protocolli dinamici, emulazione delle applicazioni di terze parti, App-ID offre agli amministratori di rete la possibilità di controllare il traffico ed implementare politiche basate sulle applicazioni sia per il traffico in entrata che in uscita. Con App-ID, l’amministrazione della rete può :
- Migliorare il flusso del traffico di rete senza preoccuparsi delle porte o dei protocolli utilizzati.
- Migliorare il livello di sicurezza dando l’accesso corretto alle applicazioni basandosi sul traffico.
- Attivare politiche sull’uso delle applicazioni aziendali.
- Aumentare l’individuazione e la prevenzione degli effetti negativi dei malwares
A differenza delle soluzioni tradizionali basate sull’utilizzo delle porte, che usano una tecnica di classificazione per identificare il traffico, App-ID utilizza multiple tecniche di classificazione per identificare con precisione le applicazioni includendo quelle che usano meccanismi di evasione. App-ID identifica un un alto numero di applicazioni tradizionali e moderne che attraversano il gateway internet.
FlashMatch
La precisa identificazione del traffico che passa sulla rete è solo una delle sfide del dipartimento di informatica , oltre alla gestione di nuove applicazioni che possono essere implementate. L’ispezione in tempo reale di questo traffico e dei pericoli correlati aprono un’altra sfida che PaloAlto riesce a soddisfare attraverso una tecnologia innovativa chiamata FlashMatch.
FlashMatch è un motore di prevenzione dei pericoli in tempo reale disegnato per mettere a frutto l’intelligenza accumulata da App-ID che identifica e blocca un largo spettro di pericoli in un colpo solo.
Invece di utilizzare diversi modelli di firme per ogni pericolo, FlashMatch esegue la scansione di tutte le minacce evitando in tal modo i problemi di prestazione e gestione delle architetture multi-scan. Il motore FlashMatch di Palo Alto Networks rileva un ampio spettro di minacce incluso virus, spyware (la scansione di file in entrata, l’infezione di siti infetti, etc.) exploits delle applicazioni con vulnerabilità, blocco degli URL indesiderati e phishing.
Piattaforma Dedicata
È stata ingegnerizzata una piattaforma dedicata che utilizza una combinazione di hardware proprietario con memoria dedicata e sistema operativo di sicurezza proprio che permette di avere controllo e visibilità senza precedenti sulle applicazioni che viaggiano in rete.
Il flusso del traffico della rete aziendale che attraversa si mantiene ad altissima velocità grazie ad un processore di sicurezza multi-nucleo, un processore dedicato per rilevare le minacce attraverso un dataplane da 10Gbps. L’elemento di controllo è il sistema operativo PAN-OS, che integra funzioni di rete, prevenzione delle minacce e funzionalità di gestione e visibilità. Con lo scopo di assicurare la disponibilità della gestione, senza preoccuparsi del carico di lavoro, un control-plane è separato dal data-plane, una novità in esclusiva nel segmento di mercato dei firewall .Il control-plane usa una CPU con doppio nucleo e memoria dedicata per tutti i compiti di gestione , logging e percorsi di aggiornamento. La combinazione della capacità di processo dell’appliance accoppiata a una separazione dei controlli e dati permette di ottenere ottime prestazioni e disponibilità anche nelle situazioni più stressanti di traffico.