Межсетевые экраны нового поколения Palo Alto Networks

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 2 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 2 | Ситуация в современных корпоративных сетях Application Usage and Risk Report

Контроля приложений нет Анализ трафика организаций: что происходит в современной сети? - 68% приложений (бизнес и пользовательских) для работы используют порты 80 и 443 или динамические порты, в т.ч. потоковое видео (13% пропускной способности) - Приложения, помогающие обойти политики безопасности, доступны каждому (бесплатные прокси – 81%, удаленный доступ к рабочему столу 95%, SSL туннели) - Очень широко распространены файл-обменные сети (P2P – 87%; браузерные) социальных сетей (растет число, функциональность, нагрузка на сеть) Page 3 | Риски использования таких приложений: непрерывность бизнеса, потери данных, продуктивность, финансовые затраты © 2012 Palo Alto Networks. Proprietary and Confidential.

Приложения изменились, а межсетевые экраны - нет © 2012 Palo Alto Networks. Proprietary and Confidential. Page 4 | Межсетевой экран должен восстановить контроль над сетью НО…приложения изменились Порты Приложения IP-адреса Пользователи Пакеты Контент Политики межсетевых экранов базируются на контроле: Портов IP-адресов Протоколов

Приложения являются источником рисков © 2012 Palo Alto Networks. Proprietary and Confidential. Page 5 | Приложения сами могут быть угрозами P2P file sharing, туннельные приложения, анонимайзеры, мультимедиа Приложения могут способствовать распространению угроз Qualys Top 20 уязвимостей: основные угрозы – это угрозы уровня приложений Приложения и угрозы уровня приложений создают бреши в системе безопасности

1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты - нестандартное использование стандартных портов - создание новых специализированных протоколов для атаки 2. Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования Техники уклонения от средств защиты HTTP Port 80 © 2012 Palo Alto Networks.

Использование туннелирования поверх DNS Примеры tcp-over-dns dns2tcp Iodine Heyoka OzymanDNS NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту © 2012 Palo Alto Networks.

«Помощники» межсетевого экрана не помогают! Сложная топология и нет «прозрачной» интеграции «Помощники» межсетевого экрана не имеют полного представления о трафике – нет корреляции Дорогостоящее и дорогое в обслуживании решение © 2012 Palo Alto Networks. Proprietary and Confidential. Page 8 | Internet Использование отдельных функциональных модулей в одном устройстве (UTM) делает его ОЧЕНЬ медленным

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 9 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 9 | Межсетевой экран нового поколения

Пусть межсетевой экран делает свою работу! Новые требования для межсетевого экрана: 1. Идентификация приложений 2. Идентификация пользователя 3. Защита против угроз 4. Многоуровневая детализация и контроль 5. Высокая производительность

Контроль над приложениями как надстройка Портовый МСЭ + Контроль приложений (IPS) = две политики Приложения как угрозы Искать и блокировать только то, что задано в явном виде Последствия Разрешение / запрет доступа к сети базируются на неполной информации Нельзя «безопасно разрешить» приложения Два хранилища некоррелируемых логов Почему идентификация и контроль над приложениями должны быть на межсетевом экране © 2012 Palo Alto Networks. Proprietary and Confidential. Page 11 | Политики опираются на порты Политики базируются на идентифицированных приложениях IPS Приложения МСЭ Порт Трафик МСЭ IPS Политики опираются на приложения Приложения сканируются на угрозы Приложения ПриложениеТрафик Контроль приложений Межсетевыми Экранами Нового Поколения Контроль над приложениями интегрирован в межсетевой экран = единая политика Идентификация приложений независимо от порта, постоянно и для всего трафика Последствия Разрешение / запрет доступа к сети опираются на информацию о приложении Можно «безопасно разрешить» приложения

Что Вы видите… с портовым МСЭ + надстройкой IPS для распознавания приложений © 2012 Palo Alto Networks. Proprietary and Confidential.Page 12 |

Что Вы видите с полноценным Межсетевым Экраном Нового Поколения © 2012 Palo Alto Networks. Proprietary and Confidential.Page 13 |

Технологии идентификации изменили межсетевой экран © 2012 Palo Alto Networks. Proprietary and Confidential. Page 14 | App-ID Идентификация приложений User-ID Идентификация пользователей Content-ID Контроль данных

Архитектура однопроходной параллельной обработки © 2012 Palo Alto Networks. Proprietary and Confidential. Page 15 | Один проход Каждый пакет сканируется только один раз При сканировании одновременно определяется: - Приложение - Пользователь/группа - Контент – угрозы, URL и т.д. Параллельная обработка Специализированное аппаратное обеспечение для каждой задачи Разделение Data plane и Control plane До 20 Гбит/с, низкая задержка

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 16 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 16 | Управление

Средства управления, отчетности и интеграции © 2012 Palo Alto Networks. Proprietary and Confidential. Page 17 | Web GUI, SSH, XML API Централизованное управление – ПО Panorama + М-100 Богатая отчетность из коробки Отправка логов по Syslog, SNMP Интеграция с SEIM/SIM (например, HP ArcSight, Symantec SIM)

Централизованное управление с использованием ПО Panorama Централизованное логирование и отчетность Централизованное обновление Централизованная настройка Page 18 | Ролевое администрирование -----

Распределенная система централизованного управления и сбора логов – устройства М-100 Page 19 | Экономия пропускной способности каналов WAN за счет агрегации в логов в удаленных объектах

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 20 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 20 | Семейство платформ и функционал операционной системы

© 2012 Palo Alto Networks. Proprietary and Confidential Page 21 | Семейство платформ Palo Alto Networks PA Gbps МЭ 500 Mbps предотв.атак 250,000 сессий 4 SFP, 16 RJ-45 gigabit PA Mbps МЭ 200 Mbps предотв.атак 125,000 сессий 2 SFP, 12 RJ-45 gigabit PA Mbps МЭ 100 Mbps предотв.атак 64,000 сессий 8 copper gigabit PA Gbps МЭ 5 Gbps предотвращение атак 2,000,000 сессий 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 RJ-45 gigabit PA Gbps МЭ 2 Gbps предотвращение атак 1,000,000 сессий 8 SFP, 12 RJ-45 gigabit PA Gbps МЭ 10 Gbps предотвращение атак 4,000,000 сессий 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 RJ- 45 gigabit PA Mbps МЭ 50 Mbps предотв. атак 64,000 сессий 4 copper gigabit 4 Gbps МЭ 2 Gbps предотвращение атак 500,000 сессий 12 copper gigabit 8 SFP interfaces PA Gbps МЭ 1 Gbps предотвращение атак 250,000 сессий 12 copper gigabit 8 SFP interfaces PA-3020 VM Series (VMware) VM-100, 200, 300 VM Series (VMware) VM-100, 200, Gbps МЭ 1 Gbps предотвращение атак 250,000 сессий 9 VMNICs (L1/L2/L3/Tap) 4094 L2/L3 sub-interfaces

© 2012 Palo Alto Networks. Proprietary and Confidential. Архитектура межсетевого экрана нового поколения Palo Alto Networks 80 Гбит/с – производительность фабрики 20 Гбит/с – производительность QoS Сигнатурные интегральные схемы Потоковый анализ трафика Поиск уязвимостей (IPS), вирусов, шпионского ПО и пр. Специализированные процессоры Многопоточная параллельная обработка, обеспечивающая множество функций безопасности Аппаратное ускорение ресурсоёмкого функционала (SSL, IPSec, разархивация) 4-ядернй ЦПУ управления Высокоскоростное журналирование и обновления таблиц маршрутизации Два жёстких диска 20 Гбит/с Сетевой процессор 20 Гбит/с – производительность сетевой обработки Аппаратное ускорение для поиска IP-маршрутов, MAC-адресов и функциональности NAT 10 Гбит/с Control Plane Data PlaneSwitch Fabric 10 Гбит/с... QoS Flow control Route, ARP, MAC lookup NAT Switch Fabric Signature Match SSLIPSec De- Compress. SSLIPSec De- Compress. SSLIPSec De- Compress. Quad-core CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 RAM HDD RAM Более 40 процессоров Более 30 Гб RAM Разделение высокопроизводительного Data Plane и Control Plane Производительность межсетевого экрана – 20 Гбит/с Производительность защиты от угроз – 10 Гбит/с одновременных сессий Page 22 |

Почему правильнее измерять производительность на HTTP трафике? © 2012 Palo Alto Networks. Proprietary and Confidential. Page 23 | Согласно тестам NSS Labs производительность решений конкурентов падает на 50-75% при тестировании на HTTP трафике по сравнению с UDP. Все наши данные о производительности – результаты тестов на HTTP.

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 24 | Основной функционал операционной системы Network - Динамическая маршрутизация (BGP, OSPF, RIPv2) - Режим мониторинга – подключение к SPAN-порту - Прозрачный (L1) / L2 / L3 режимы - Маршрутизация по политикам (PBF) - IPv6 VPN - Site-to-site IPSec VPN - SSL VPN (GlobalProtect) Функционал QoS - Приоритезация, обеспечение максимальной/гарантированной полосы - Возможна привязка к пользователям, приложениям, интерфейсам, зонам и т.д. - Мониторинг полосы в режиме реального времени Зоновый подход - Все интерфейсы включаются в зоны безопасности для упрощения настройки политик Отказоустойчивость - Active/active, active/passive - Синхронизация конфигурации - Синхронизация сессий (кроме РА-200, VM-series) - Path, link и HA мониторинг Виртуальные системы - Настройка нескольких межсетевых экранов в одном устройстве (серии PA- 5000, PA-3000 и PA-2000) Простое и гибкое управление - CLI, Web, Panorama, SNMP, Syslog, NetFlow, интеграция с SIEM/SIM Идентификация и контроль приложений, пользователей и контента дополняются следующим функционалом

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 25 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 25 | Дизайн сетей на базе продуктов Palo Alto Networks

Этапы внедрения в сети © 2012 Palo Alto Networks. Proprietary and Confidential. Page 26 | Мониторинг Прозрачный In-Line Взамен существующего - Мониторинг без вмешательства в работу сети - Функции защиты от угроз - IPS + AV + URL фильтрации - Вместо Firewall (и других устройств) - Firewall + IPS + AV + URL фильтрация + SSL-дешифрация

Масштабирование до 320Гбит/с © 2012 Palo Alto Networks. Proprietary and Confidential. Page 27 | 2-16 линков в port-channel (801.2ae) 20Gbps Если нужно больше 20 Гбит/с: Необходимы коммутаторы с поддержкой Port-Channel или Link-aggregation Коммутаторы в режиме L2/L3 Необходимо обеспечить симметричную маршрутизацию Каждый линк инспектируется Palo Alto Networks в режиме Virtual-Wire Масштабирование за счет добавления большего числа устройств PAN без переконфигурации Задержка от 17 мкс. Virtual wire 20Gbps vPC/VSS

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 28 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 28 | VM-series – межсетевой экран нового поколения для защиты среды виртуализации VMware

VM-series: назначение и реализация © 2012 Palo Alto Networks. Proprietary and Confidential.Page 29 | VM-series – межсетевой экран нового поколения, который обеспечивает применение инновационных технологий Palo Alto Networks в среде виртуализации, включая: App-ID User-ID Content-ID (IPS, AV/AS, WildFire, URL-фильтрацию, блокировку файлов) Это ключевое отличие Palo Alto Networks VM-series от виртуальных портовых МЭ, таких как vShield. VM-series реализован как гостевая виртуальная машина (VMware virtual appliance), исполняемая гипервизором ESXi и подключаемая к защищаемым сегментам сети (PGs, VLANs), организованным на базе виртуальных коммутаторов vSwitch/Nexus 1000v. VM-series обеспечивает контроль, инспекцию и визуализацию трафика между виртуальными машинами.

Архитектура виртуализированного ЦОД Software Stack Security Management Network Management Systems Management Storage Management Orchestration Virtualization Management © 2012 Palo Alto Networks. Proprietary and Confidential. Page 30 |

Использование динамических адресных объектов для отслеживания виртуальных машин (VM-UID) Изменения, вносимые в среде виртуализации, происходят чаще, чем в политиках безопасности. Централизованный подход создания политик по зонам обеспечивает их применение независимо от места расположения и адресации виртуальных машин. В случаях, когда зоны неприменимы, - Динамический адресный объект отражает изменения IP-адреса виртуальной машины и позволяет политике безопасности «следовать» за ней Мониторинг изменений через vSphere API Публикация изменений в Phoenix через REST API Политики применяются автоматически Dynamic Mapping Dynamic Object API VM Monitoring APIs Virtual Datacenter Host 1 OS App Host 2 OS App Host 3 OS App VMs могут мигрировать в пределах ЦОД и между ЦОД © 2012 Palo Alto Networks. Proprietary and Confidential. Page 31 |

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 32 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 32 | WildFire – облачный сервис обнаружения вредоносного ПО «нулевого дня»

Ключевые этапы современной сетевой атаки Приманка 1 Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносами Эксплоит 2 Зараженный контент использует уязвимости установлен- ного ПО без ведома пользователя Загрузка ПО для «черного хода» 3 В фоне загружается и устанавли- вается второй вредонос Установление обратного канала 4 Вредонос устанавливает исходящее подключение для связи с злоумышлен- ником Разведка и кража данных 5 Удаленный злоумышлен- ник имеет доступ внутри сети и проводит атаку © 2012 Palo Alto Networks. Proprietary and Confidential.Page 33 |

Комплексный подход к предотвращению угроз © 2012 Palo Alto Networks. Proprietary and Confidential.Page 34 | Приложения Визуализация и контроль приложений для всего трафика, по всем портам, все время Участники сетевого обмена Контроль трафика источников и назначений с учетом риска Известные угрозы Блокировать эксплоиты, вредоносы, шпионское ПО и опасные файлы Неизвестные угрозы Автоматически определять и блокировать новые и измененные угрозы Уменьшить площадь атаки Контроль вектора угроз Контроль методов, используемых для сокрытия угроз Блокировать известные сайты с вредоносами Дешифрация SSL для сайтов с высоким риском Обнаружить трафик к C&C серверам IPS, протестиро- ванный и рекомен- дованный NSS Labs Потоковое сканирование на миллионы сигнатур Блокирование угроз независимо от портов Анализ неизвестных файлов сервисом WildFire Визуализация и контроль трафика неизвестных приложений Поведенческий анализ Снижение риска

Координированное предотвращение угроз © 2012 Palo Alto Networks. Proprietary and Confidential.Page 35 | App-ID URL IPS Threat License Spyware AV Files WildFire Block high-risk apps Block known malware sites Block the exploit Prevent drive-by- downloads Detect unknown malware Block malware Block spyware, C&C traffic Block C&C on non-standard ports Block malware, fast-flux domains Block new C&C traffic Координи- рованное интеллек- туальное блокирование активных атак по сигнатурам, источникам, поведению Приманка Эксплоит Загрузка ПО для «черного хода» Установление обратного канала Разведка и кража данных

© 2012 Palo Alto Networks. Proprietary and Confidential.Page 36 | Архитектура WildFire

Распространение вредоносного ПО нулевого дня © 2012 Palo Alto Networks. Proprietary and Confidential.Page 37 | Час Количество попыток заражения Подписка WildFire На примере 50 примеров вредоносов нулевого дня в сетях заказчиков Palo Alto Networks в течение октября 2012 г. Очень высокая скорость в первые 8 часов Выравнивание после 24 часов

Веб-портал WildFire © 2012 Palo Alto Networks. Proprietary and Confidential.Page 39 |

Пример детального отчета о вредоносном файле © 2012 Palo Alto Networks. Proprietary and Confidential.Page 40 | Общая информация Имя файла, hash, URL, source & destination, вердикт (вредонос или нет), приложение Вердикт Покрытие AV Результаты анализа поведения Список подозрительных действий, выполненных файлом в «песочнице» Анализ 100+ видов поведения. Одни безвредны сами по себе, другие используются только вредоносами.

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 41 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 41 | Global Protect

Функционал GlobalProtect © 2012 Palo Alto Networks. Proprietary and Confidential. Page 42 | Пользователи никогда не работают off-network независимо от их местоположения Межсетевые экраны образуют «облако» сетевой безопасности Как это работает: - Программный агент определяет местоположение клиента (внутри корпоративной сети или нет) - Если клиент находится вне корпоративной сети, то автоматически устанавливается SSL VPN соединение к ближайшему межсетевому экрану - Агент также может предоставлять межсетевому экрану информацию о состоянии безопасности клиента (тип клиента, установленные патчи, шифрование диска, антивирус и т.д.) - Межсетевой экран применяет политики безопасности, основанные на App-ID, User-ID, Content-ID и информации от агента

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 43 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 43 | О компании

О компании Palo Alto Networks Palo Alto Networks - это Network Security Company Команда мирового класса с богатейшим опытом в области безопасности и сетевых технологий Основана в 2005 году, первый заказчик – июль 2007 года Специализация на межсетевых экранах нового поколения, способных распознавать и контролировать приложениями - Межсетевой экран – ключевой элемент инфраструктуры сетевой безопасности Использует инновационные технологии: App-ID, User-ID, Content-ID, WildFire корпоративных заказчиков в 100+ странах мира, 40+ из которых внедрили решение стоимостью более $ Одно из самых успешных размещений на Нью-Йоркской фондовой бирже (PANW) - Устойчивый рост в течение 9 последних кварталов © 2012 Palo Alto Networks. Proprietary and Confidential.Page 44 |

Независимые тесты и рекомендации © 2012 Palo Alto Networks. Proprietary and Confidential. Page 45 | Решения Palo Alto Networks протестированы как NGFW и IPS и рекомендованы NSS Labs Magic Quadrant for Enterprise Network Firewalls

Palo Alto Networks в России © 2012 Palo Alto Networks. Proprietary and Confidential.Page 46 | Более 2,5 лет на российском рынке 25+ текущих крупнейших корпоративных и государственных заказчиков, в т.ч. Ростелеком (Электронное Правительство), МТС, МЧС, РЖД, Еврохим, СГК Локальный офис, большой пул демо-оборудования старших моделей Развитая экосистема партнеров (Gold, Platinum) Тех. поддержка 24 х 7 х 365, склад RMA в РФ Авторизованный учебный центр на русском языке, курсы каждые 2 мес. Сертификат ФСТЭК и НДВ на МЭ и IPS (PA-5000/2000/500): АС класса защищенности до 1Г включительно; ИСПДн до 1 класса включительно (соответствие 152-ФЗ).

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 47 |

© 2012 Palo Alto Networks. Proprietary and Confidential. Page 48 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 48 | Безопасность как сервис – решения для Managed Security Service Provider (MSSP)

Инструменты для MSSP © 2009 Palo Alto Networks. Proprietary and Confidential. Page 49 | До 225 виртуальных систем на одном устройстве Архитектура с Shared gateway Автоматизация и управление через XML API WebService SDK для создания и кастомизации портала управления услугами Интеграция со сторонним ПО оркестрации