young enterprise day 2014 – palo alto networks: az újgenerációs tűzfal
DESCRIPTION
Pintér András előadása a Palo Alto újgenerációs tűzfalairól a Young Enterprise Day rendezvényen.TRANSCRIPT
![Page 1: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/1.jpg)
Next Generation Cyber Security PlatformPintér András
YOUNG ENTERPRISE DAY
2014. Október 2.
![Page 2: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/2.jpg)
Palo Alto Networks
A vállalatról
Komplex hálózati biztonsági platform
Biztonságosan futó alkalmazások
Hatékony válasz kiberbiztonsági kihívásokra
Folyamatos növekedés, Globális jelenlét
1300+ alkalmazott
Bevétel
Nagyvállalati ügyfelek
$MM
FYE July
2 | ©2012, Palo Alto Networks. Confidential and Proprietary.
FY09 FY10 FY11 FY12 FY13$0
$50$100$150$200$250$300$350$400
$13$49
$255
$396
$119
0
2,000
4,000
6,000
8,000
10,000
12,000
14,000
4,700
9,000
13,500
![Page 3: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/3.jpg)
Újgenerációs Cybersecurity platform-al szemben támasztott követelmények
3 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Provide global visibility & intelligence correlation
Discover unknown threats
Prevent known threats
Applypositive controls
Inspect all traffic across ports, protocols & encryption
• Átláthatóság biztosítása• Alkalmazások biztonságos futtatása• Ismert és ismeretlen veszélyek kiszűrése• Biztonsági infrastruktúra egyszerűsítése
![Page 4: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/4.jpg)
Ismerős?
Internet
UTM
Enterprise Network
Több modul nem megoldás a problémára
Kevesebb rálátás a forgalomra
Bonyolult és költséges bevezetni és fenntartani
Nem alkalmazás központú
4 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Nem rossz, de nem elég!
![Page 5: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/5.jpg)
Az új generációs tűzfal (NGFW) nem egy extra modul
5 | ©2012, Palo Alto Networks. Confidential and Proprietary.
NGFWEgyszerű felépítés, tartalomszűrés, policy,
logging, reporting, és a menedzsment felület
összefüggő, döntéshozatalt igénylő
információkat biztosít.
UTMModuláris felépítés, tartalomszűrés,
policy, logging, reporting, és gyakran a
menedzsment felületen keresztül nem
nyerhetők ki döntéshozatalt igénylő
információk.
SiStateful Inspection + X ≠ NGFW
![Page 6: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/6.jpg)
Minden egyes modul csökkenti a teljesítményt
Threat prevention-IPS technológiáka legrosszabbul teljesítők
Teljesítmény csökkenése problémát okozhat a biztonsági és hálózati osztály között
Layer L3/L4firewall
Applicationfirewall
Anti-Malware
IPS
6 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Hagyományos megoldásokra jellemző
PERF
ORM
ANCE
More Security = Teljesítmény csökkenés
![Page 7: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/7.jpg)
Single-Pass Parallel Processing™ (SP3) felépítés
Single PassEgyszeri művelet csomagonként
- Forgalom minősítés (alkalmazás azonosítás)
- Felhasználó/csoport mapping
- Tartalomszűrés – fenyegetések, URL, bizalmas információ
Egy policy
Párhuzamos feldolgozásFunkció-specifikus, párhuzamos
folyamatokat kezelő hardver
Különálló adat és vezérlő felület
Akár 120Gbps, Alacsony késleltetés
![Page 8: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/8.jpg)
A azonosítási technológiák átalakítják a tűzfalat
•App-ID™•Alkalmazás azonosítás
•User-ID™•Felhasználó azonosítás
Content-ID™Tartalomszűrés
![Page 9: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/9.jpg)
Alkalmazas blokkolása vs. Biztonságos engedélyezés
9 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Block All
Allow All
![Page 10: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/10.jpg)
Alkalmazások biztonságos engedélyezése
Összes engedélyezése
Csak bizonyos funkciók
engedélyezése
Engedélyez és vizsgál
Engedélyezés meghatározott
felhasználóknak
Engedélyezés és bizalmas
adatok vizsgálata
Engedélyezés és limitált
hozzáférés
Összes tiltása
Engedélyez és alakít (QoS)
![Page 11: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/11.jpg)
e.g.
e.g.
Safe Applications Enablement – control each application independently
11 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Web-browsing
Cloud Backup
Web Mail
Ms SharePoint
Block all file types
Allow all file types
Block all web mail like applications
Block only EXE files
e.g.
or
![Page 12: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/12.jpg)
Safe Applications Enablement – control each application independently
12 | ©2012, Palo Alto Networks. Confidential and Proprietary.
TCP 80/443
TCP 80/443
TCP 80/443
TCP 80/44
3
L3/L4Policy
![Page 13: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/13.jpg)
Safe Applications Enablement – control each application independently
13 | ©2012, Palo Alto Networks. Confidential and Proprietary.
TCP 80/44
3
L3/L4Policy
![Page 14: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/14.jpg)
Safe Applications Enablement – control each application independently
14 | ©2012, Palo Alto Networks. Confidential and Proprietary.
TCP 80/44
3
L3/L4Policy
ApplicationPolicy
![Page 15: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/15.jpg)
TCP 80/44
3
Safe Applications Enablement – control each application independently
15 | ©2012, Palo Alto Networks. Confidential and Proprietary.
L3/L4Policy
ApplicationPolicy
?
?
?
?
![Page 16: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/16.jpg)
Safe Applications Enablement – control each application independently
16 | ©2012, Palo Alto Networks. Confidential and Proprietary.
L3/L4Policy
ApplicationPolicy
?
?
?
?
![Page 17: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/17.jpg)
Safe Applications Enablement – control each application independently
17 | ©2012, Palo Alto Networks. Confidential and Proprietary.
L3/L4Policy
ApplicationPolicy
?
?
?
File Filtering DLP
TCP 80/44
3
?
?
?
Not possible to do Content Filtering (AV, IPS, File, DLP) in the application context
![Page 18: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/18.jpg)
Safe Applications Enablement – control each application independently
18 | ©2012, Palo Alto Networks. Confidential and Proprietary.
L3/L4Policy
ApplicationPolicy
File Filtering DLP
?
?
TCP 80/443
![Page 19: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/19.jpg)
Safe Applications Enablement – control each application independently
19 | ©2012, Palo Alto Networks. Confidential and Proprietary.
ApplicationPolicy
File Filtering DLP
TCP 80/443
![Page 20: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/20.jpg)
Safe Applications Enablement – control each application independently
20 | ©2012, Palo Alto Networks. Confidential and Proprietary.
ApplicationPolicy
File Filtering DLP
TCP 80/443
![Page 21: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/21.jpg)
Safe Applications Enablement – control each application independently
21 | ©2012, Palo Alto Networks. Confidential and Proprietary.
We wanted to have this It is what we got
Please note that Safe Application Enablement
is not only about File Blocking
It is about ALL content filtering features in Application Context such as:
IPS, AV, anti-spyware, URL filtering, DLP, Wildfire (zero-day attacks protection)
![Page 22: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/22.jpg)
Evasive Traffic Observed in Malware
22 | ©2012, Palo Alto Networks. Confidential and Proprietary.
A Modern Malware
![Page 23: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/23.jpg)
A Malware lehetőségek tárháza
A malware elsőkénti elfogásához szükséges idő.
A malware aláírás generáláshoz és ellenőrzéshez szükséges idő
Az Anti vírus definíciók frissülésének ideje
Teljesidőigény
Napok és hetek telnek el, mire elkészülnek a hagyományos aláírások.
![Page 24: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/24.jpg)
WildFire
A vállalati hálózatba interneten keresztül bejutó ismeretlen fájlok.
Ismert fájlokkal összehasonlítás
Sandbox Környezet
Aláírás Generátor
Admin Web Portál
A tűzfal továbbküldi a fájlokat a WildFire felhőbe
Új aláírások küldése a tűzfalaknak az ismert fenyegetések rendszeres frissítésével. Malware kriminalisztika.
![Page 25: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/25.jpg)
Rugalmas alkalmazási lehetőségekRálátás Transzparens In-Line Teljes tűzfal csere
• Alkalmazásokra, felhasználókra és a tartalomra történő rálátás inline alkalmazás nélkül.
• IPS, valamint az alkalmazások ellenőrzése és felügyelete.
• Az IPS & URL szűrés konszolidációja.
• Tűzfal csere valamint az alkalmazások ellenőrzése és felügyelete
• Tűzfal + IPS• Tűzfal + IPS + URL szűrés
![Page 26: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/26.jpg)
Palo Alto Networks Újgenerációs Tűzfalak
![Page 27: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/27.jpg)
A megoldás? A tűzfalnak el kell végeznie a következő feladatokat
1. Alkalmazás felismerés, függetlenül a használt port-tól, protokoltól, felismerés elkerülési taktikától, illetve tiktosítástól
2. Felhasználó felismerése, illetve ellenőrzése függetlenül az IP címtől, helyszíntől, valamint eszköztől
3. Védjen ismert, illetve ismeretlen fenyegetettségektől
4. Mélyreható láthatóság, illetve policy control alkalmazás-szinten
5. Multi Gigabites, alacsony késleltetés, in-line felhasználás
27 | ©2012, Palo Alto Networks. Confidential and Proprietary.
![Page 28: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/28.jpg)
2014 Gartner Magic Quadrant for Enterprise Network Firewalls
28 | ©2013, Palo Alto Networks. Confidential and Proprietary.
Palo Alto Networks is assessed as a Leader, mostly because of its NGFW focus, because it set the direction of the market along the NGFW path, and because of its consistent visibility in shortlists, increasing revenue and market share, and its proven ability to disrupt the market.
![Page 29: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/29.jpg)
29 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Ne higgyen nekünk TESZTELJEN BENNÜNKET
![Page 30: Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal](https://reader035.vdocuments.site/reader035/viewer/2022070304/54c385ca4a79593a698b45d3/html5/thumbnails/30.jpg)
30 | ©2012, Palo Alto Networks. Confidential and Proprietary.