Zero Trust e Segmentação para Proteger o Datacenter

1 | © 2016, Palo Alto Networks. Confidential and Proprietary.
SECURE ANY
CLOUD
Alexandre Freire
Brazil Enterprise Accounts & Energy Sector Sales Engineer
Sans GIAC Industrial Cybersecurity Professional | Sans GIAC Perimeter Protection Analyst
Palo Alto Networks ww SCADA & Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com

Expansive Partner Ecosystem
Virtualization Networking Mobility Security Analytics Enterprise Security

Quaquer um pode se tornar Atacante

Postura de segurança muda o comportamento do Atacante

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Vazamentos
Maiores
e
Mais
Frequentes

21% MS-RPC
15%
Web
Browsing
11% SMB
10% MS-SQL
Monitor
10%
MS-Office
Communicator
4%
SIP
3% Other
2% Active Directory
2% RPC
1% DNS
25%
MS-SQL
10 de um total de 1,395
aplicações geraram 97% de todos
os logs de exploits
Source: Palo Alto Networks, Application Usage and Threat Report. Jan. 2014.
9 dessas aplicações eram
voltadas para datacenter
Aplicações de datacenter alvo constante
..Atacantes mais próximos ao negócio explorando vulnerabilidades onde a Informação reside

Detecção e Remediação Prevenção
Thinking

8 | © 2016, Palo Alto Networks. Confidential and Proprietary.8 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Ciclo da Prevenção
..Controles adotados para prevenção de ameaças na plataforma da Palo Alto Networks

END POINT
NETWORK
CLOUD
Valor da Plataforma de Segurança de Próxima Geração
..Aplicando os controles de preventivos de forma unificada na Cloud, rede e Endpoint.

CLOUD
Valor da Plataforma de Segurança de Próxima Geração
..Aplicando os controles de preventivos de forma unificada na Cloud, rede e Endpoint.

Key Challenges in Cloud Computing – Gartner
http://www.gartner.com/technology/topics/cloud-computing.jsp

Cloud + Segurança = Desafios à frente

Desafios de Segurança na Nuvem
…”Firewalls físicos” podem não enxergar o tráfego Leste-Oeste
 Posicionamento do Firewall é
projetado em torno da expectativa de
segmentação de camada 3
tradicional;
 Alterações de configuração de rede
necessárias para garantir que os
fluxos de tráfego Leste-Oeste sejam
inspecionados (alterações manuais,
demoradas e complexas);
 Necessária a capacidade de inserir
segurança de forma transparente
para o controle e inspeção do fluxo de
tráfego
Hypervisor
MS-SQL SharePoint Web Front End
VM VM VM

• Na nuvem, diferentes aplicações de diferentes níveis de segurança residem dentro de
um mesmo servidor:
• Tráfego Leste-Oeste entre VMs necessita ser inspecionado;
• Segurança baseada em porta e protocolo não é suficiente
• Segurança de Próxima Geração virtualizada é necessária para :
• Permitir que o tráfego de aplicativos entre VMs com segurança
• Proteger contra ataques cibernéticos
MS-SQL SharePoint Web Front End
Hypervisor
VM VM VM
…”Recursos de segurança incompletos nas soluções de segurança virtuais existentes”

 Provisionamento de aplicações pode ocorrer em
minutos com mudanças frequentes;
 Aprovações e configurações de segurança podem
demorar semanas / meses;
 Políticas de segurança dinâmicas que compreendem
o contexto das VMs são necessárias
…Políticas estáticas não se adequam ao dinamismo dos workloads virtuais.

SPEAR PHISHING
EMAIL
EXPLOIT KIT
ou
INFECTAR
USUÁRIO
MOVIMENTO
LATERAL
INFECÇÃO DO
DATACENTER
COMANDOS
DO ATACANTE
ROUBO DE DADOS
A ameaça em comum dos incidentes
Mesmo ciclo de vida de ataque é observado nas redes físicas tradicionais ou virtualizadas

Enterprise
Network
Tráfego no Datacenter
Volume de tráfego Leste-Oeste frequentemente maior que o volume Norte-Sul
Tráfego
Norte/Sul
Tráfego Leste/Oeste
1 MB de Tráfego Norte/Sul = 20 MB
tráfego Leste/Oeste

18
OVERVIEW PALO ALTO NETWORKS
NGFW
| ©2014, Palo Alto Networks. Confidential and Proprietary.1

Como responder sobre o desconhecido?

 Defesa Ativa como única opção:
 Firewall;
 DLP;
 Antivirus;
 IDS/IPS;
 WAF;
 SOC/NOC;
 …
 Não fornece visibilidade/contexto sobre
ameaças internas ou como responder a
elas…
Planejamento de Sistema de Defesa “Castelo Medieval” ineficaz.

Falha das arquiteturas de “legado”.
Cada um está parcialmente certo,
porém todos estão errados.
Design tradicional de
segurança falha em
entregar visibilidade
completa e comunicar
contexto para outras
tecnologias de segurança

344
KB172.16.1.10
source IP
64.81.2.23
destination IP
tcp/443
destination port
file-sharing
URL category
pdf
file type
roadmap.pdf
file name
bjacobs
user
prodmgmt
group
canada
destination country
SSL
protocol
HTTP
protocol
slideshare
application
slideshare-uploading
application function
unknown
URL category
shipment.exe
file name
china
destination country
.
exe
file type
Guest
group
bjacobs
user
slideshare-uploading
application function
slideshare
application
Contexto completo significa visibilidade, correlação de dados e controle de ameaças.

Tráfego Norte-Sul no Datacenter
Firewalls de “hardware”no perímetro. Largura de banda, densidade de portas, HA e roteamento.
Enterprise
Network
Tráfego
Norte/Sul

Tráfego Leste-Oeste no Datacenter
Firewalls virtualizados. VM’s provisionadas dinamicamente, vMotion e infra compartilhada
Enterprise
Network

+
O que fazer para proteger o datacenter?
…Segmentação, Microsegmentação e conceito de Zero Trust Network

The right security framework for the datacenter
• Construir uma rede com a filosofia “Zero Trust
Network”
• Mitigar os riscos atráves da segmentação
 Segmentar a rede criando zonas seguras
• Controle sobre o fluxo de informações
entre zonas
• Permitir apenas aplicações, usuários e
contéudo requirido para aquele segmento.
• Qualquer tráfego que não é
complementamente inspecionado =
AMEAÇAS NÃO IDENTIFICADAS
• Desafio da Cloud Computing
• Politícas de segurança alinhada com as
mudanças nas aplicações
• Integração com softwares de automação e
orquestração é uma necessidade.
Zero Trust Model
 Ensure all resources are accessed in a secure manner
 Access control is on a need to known basis and strictly
enforced
 Inspect and log all traffic
Forrester Zero Trust Model
…Framework de segurança para Datacenter

Wifi WMS
Acessos Externos
Sede da EmpresaDepósito
Clientes
Consumidores
Parceiros e Fornecedores
Internet
Internet
Internet
Autorizações
para transações
de cartão de
crédito
Private WAN
Private WAN Private WANLoja Varejo
Estação
Gerente
POVPOVPOV
Inventariado/Distribuição
Zonas Internet
extranet e
DMZ
ERP & funções
corporativas
Gerencia
Inventário
Analytics Outras funções
corporativas
eCommerce Suporte e gestão
de clientes
Firewall(s) Firewall
Gateway de Internet:
• Visibilidade e controle de todo o
tráfego Internet
• Controle sobre o acesso parceiros /
fornecedores (segmentação)
• Inspeção de todo o tráfego de
ameaças conhecidas e desconhecidas
…Segmentação Datacenter tradicional
Zero Trust Model

Wifi WMS
Acessos Externos
Clientes
Consumidores
Internet
Internet
Internet
Autorizações
para transações
de cartão de
crédito
Private WAN
Estação
Gerente
POVPOVPOV
Zonas Internet
extranet e
DMZ
ERP & funções
corporativas
Gerencia
Inventário
corporativas
de clientes
Datacenter:
• Perímetro: controle de alto
desempenho e inspeção de todo o
tráfego
• Segmentação em zonas de perfil de
segurança semelhantes
Zero Trust Model

• Apenas o grupo usuários específicos / usuário
pode acessar zona do titular do cartão
• "Oracle" é o único aplicativo permitido
• Bloquear ameaças de entrada
• Bloqueio de saída: Possíveis transferência
de dados do titular do cartão
• Negar e log de tudo
Credit-Card ZoneUsers Zone
…Segmentação em Zonas no Enforcement de Política de usuários, aplicações e inspeção ameaças

• Validar aplicações de data center; bloquear aplicações maliciosas
• Bloqueio de ameaças conhecidas e desconhecidas
• Controle de acesso com base na identidade do usuário
• Desempenho da camada de aplicação previsível em até 200 Gbps
• Dispositivos de hardware e fatores de forma baseados em chassis
PA-7050 PA-5000 Series PA-3000 SeriesPA-7080
Appliances para Datacenter
Palo Alto Networks Next Generation Firewall baseados em hardware

Wifi WMS
Acessos Externos
Clientes
Consumidores
Internet
Internet
Internet
Autorizações
para transações
de cartão de
crédito
Private WAN
Estação
Gerente
POVPOVPOV
Zonas Internet
extranet e
DMZ
ERP & funções
corporativas
Gerencia
Inventário
corporativas
de clientes
Zero Trust Model
Datacenter virtualizado:
• Visibilidade e controle do
tráfego leste-Oeste (VM-to-VM)

A mudança das características do Datacenter…
 Em um Software Defined Data Center, todos os elementos da infraestrutura - rede, armazenamento, CPU e
segurança - são virtualizados e entregues como um serviço.
Software Defined data center
(Private Cloud)
VM VM VM
Virtualized Compute, Network & Storage
Hybrid
(Private + Public Cloud)
Virtualized Compute, Network & Storage
VM VM VM
Virtualized Compute,
Network and Storage
VM VM VM
Public Cloud
 Mudança para infraestrutura dinâmica, escalável, auto-provisionada
 Eliminação dos silos computacionais e restrições de onde o workload pode rodar
Datacenter de hoje
(Servidores Dedicados + virtualização)
Hypervisor
VM VM

Responsabilidade
Compartilhada
Responsabilidade
Única
Software as a Service(SaaS)
Public Cloud(IaaS, PaaS)
Apps & Data
Private Cloud(NSX, OpenStack)
Gerenciar os riscos se tornou mais complexo…
..com surgimento de nuvens privadas, públicas, híbridas e Software as a Service (SaaS) …

Segurança de nuvens públicas, privadas e híbridas
…com Next-Generation Firewall VM-Series
Software Defined Datacenter
(SDN) Integration Orchestration Frameworks
Hypervisor support Public clouds
Microsoft Azure

• Características Consistentes assim como os Next Generation
Firewalls baseados em hardware
• App-ID
• User-ID
• Content-ID
• Wildfire
• Inspeciona e com segurança permite a comunicação
intra-host (Tráfego Leste-Oeste)
• Rastreia a criação e movimentação das VMs com uso dos
Dynamic Address Group objects
 Integração de API com orquestração: Automatizar workflows
 Gerenciamento Centralizado com uso do Panorama
Appliances para Datacenter
Palo Alto Networks VM-Series Next Generation Firewall : Software Appliance workloads virtuais

Imperativos para uma arquitetura de segurança preventiva
…provendo a segurança de deployments na cloud
Proteger Usuários,
Aplicações e Dados
Automação e Integração Postura de Segurança
Unificada e Consistente

Plataforma de Segurança de Próxima Geração
• Uso seguro de aplicações dentro
dos ambientes híbridos de cloud;
• Conceder acesso a usuários com
base na necessidade/ identidade
dentro e fora de sua nuvem híbrida;
• Proteger os dados contra malware
conhecidos e desconhecidos
Núvens Públicas
Nuvem Privada
Nuvens Híbridas
…arquitetura preventiva para proteção de aplicações, usuários e dados

• Política Unificada para
Gerenciamento do ciclo de vida
de nuvens públicas privadas e
híbridas;
• Uso de templates e grupos de
dispositos para compartilhar
políticas através de todas as
nuvens;
• Constuir relatórios com dados
unificados de todos os
deployments de nuvens para
atingir requerimentos de
conformidade e auditoria.
Gerenciamento Centralizado
…provendo visibilidade granular através de todos os deployments na nuvem

Configurações do PAN-OS
Políticas de Segurança
BYOL
Atualizações de Software
Atualizações de Conteúdo
Config
Software
Licenças
Conteúdo
Vinculado a um Device
Group do Panorama
Automação
…Automatizar Implementações de Firewalls

VM Monitoring:
• Integração nativa com o VMware
vCenter e ESXi como VM Fontes de
Informação
• Consulta por tags e endereços IP
• Atualizações para grupos de
endereços dinâmicos
• Continuação do apoio à fontes de
informação personalizadas usando
APIs
Automação
…Integração nativa com Workloads

Dynamic Address Groups
…automatizar a atualização de políticas para cargas de trabalho temporárias

Dynamic Address Groups
…automatizando a atualização de políticas para cargas de trabalho temporárias

Usuários/Grupos
Aplicação (Granular)
Threat Prevention
Antivirus
Anti-Spyware
Vulnerability
Protection
URL Filtering
Wildfire
• Uma única base de regra unificada. Operacionalmente mais eficiente, mais fácil de
demonstrar a conformidade aos auditores
• Políticas não usam portas / protocolos de endereços / IP, ao menos que haja
necessidade especifica de limitar comunicações para a porta padrão (de serviço)
Dynamic address
groups para servidores
Enforcement de Segurança no Datacenter (Norte-Sul)
Dynamic Groups em regras granulares orientadas a aplicação e controles prevenção

VM-Series for Private Clouds

VM-1000-HV Panorama
VMware NSX
• Inserção dinâmica e transparente do
VM-Series como serviço de segurança
durante a implantação de workloads;
• Atualizações de política de segurança
automatizada;
• Micro segmentação dos aplicativos e dados;
• Prevenção de ameaças conhecidas e
desconhecidas;
• Proteção contra o movimento lateral de
ciberataques
VMware NSX e Palo Alto Network’s VM-Series
Solução conjunta e seus benefícios

Provê
Switching Routing Firewalling Load
Balancing
VPN Connectivity
to Physical
NSX é a reprodução fiel dos Serviços de Rede e Segurança

Logical
Switching
Logical
Routing
Load
Balancing
Physical
to Virtual
Firewalling
& Security
One-Click Deployment via Cloud Management Platform
NSX é o conceito de Virtualização da rede trazido pela evolução do Datacenter (SDN)

Internet
Security Policy
Security Admin
Traffic
Steering
(Direção
Tráfego)
Inserção do Palo Alto Networks VM-Series como camada de serviço de segurança

Conceito de Micro segmentação de Datacenter – Segurança automatizada

VM-Series for Public Clouds

• Implantar a segurança de próxima
geração com base na demanda de carga
de trabalho;
• Visibilidade em e controle sobre os
aplicativos, não portas;
• Segmentação de Aplicações para evitar
propagação de malware;
• Prevenção de ameaças conhecidas e
desconhecidas;
• Gerenciamento centralizado e agilidade
nas atualizações de políticas
AZ1b
Palo Alto Networks VM-Series para AWS (Amazon)
Aplicabilidade da plataforma de segurança de próxima geração para proteção de workloads públicos

 VPC gateway:
- Segurança de Next Generation Firewall para
tráfego VPC
- Permitir aplicações, prevenção de ameaças
conhecidas/desconhecidas e controle de acesso
baseado em usuários
 Hybrid cloud (IPSec VPN)
- Extensão do datacenter físico/nuvem privada
para AWS: VPN IPSEC + Segurança Next
Generation Firewall
 VPC-to-VPC protection
- Gateway + híbrido para controlar o tráfego
entre VPCs; bloqueio de ameaças conhecidas
e desconhecidas de movimento lateral
Dev
App1
App2
Test
App1
App2
App1
App2
 GlobalProtect VPN para acesso remoto
- Aproveitar a resiliência para usuários remotos
- Estender as políticas de segurança de próxima
geração para todos os usuários, locais e tipos
de dispositivos
Exemplos de deployments para nuvens Públicas e Híbridas no ambiente da Amazon

Aumento de
tráfego
inesperado
Evento da
Empresa
GlobalProtect
Client
GlobalProtect
Portal GlobalProtect
Gateway
Escalabilidade automática – Aumento ou redução de Instâncias de VM-Series para suportar demandas

Instances
AWS Auto Scaling
Group (ASG)
AWS CloudWatch
monitoring alarm
ASG
Scaling policy
Origem Métricas de Alarme Como é usado
AWS CPU %, Network,
Disk, Instance health
Metrics of apps or
VM-Series to scale
Condição Ação
CPU > 60% for 10
minutes
Start 2 VM-
Series instances
Min Size: 2
Max Size: 10
Nova instância provisionada
Security Controller
aka Worker Node PAN-OS Active Sessions, GP
tunnels, DP CPU%..
Security Controller
sends via API
GP tunnels < 50%
for 30 minutes
Terminate 1 GP
Gateway
Escalabilidade automática – Aumento ou redução de Instâncias de VM-Series para suportar demandas

Riscos em Nuvens SaaS
EVASÃO MALICIOSA
DE INFORMAÇÕES
EXPOSIÇÃO
ACIDENTAL DE
DADOS
PROPAGAÇÃO
DE MALWARE

Melhores Práticas para SaaS
Bloqueio de Malwares na Nuvem
Controle de Exposições
Conheça seu uso de SaaS
Controle o uso de SaaS
1
2
3


Proteja a Nuvem
APERTURE
GLOBALPROTECT
WILDFIRE
NEXT GEN FIREWALL
SANCTIONED
BUSINESS
1

Entrega de Segurança na Nuvem
USER
AGNOSTIC
Sem necessidade
de agentes ou
limitações de
aplicações
PREVINA
AMEAÇAS
Detecção de
Malware através do
WildFire
POLÍTICAS
RETROATIVAS
Políticas aplicadas
a eventos passados
e futuros
NETWORK
AGNOSTIC
Sem mudanças na
rede ou novo
hardware/software
para implementar
APERTURE WILDFIRE

Ganhe Visibilidade
APERTURE
GLOBALPROTECT
WILDFIRE
NEXT GEN FIREWALL
SANCTIONED
2

Complete SaaS Reporting

Controle o Uso APERTURE
GLOBALPROTECT
WILDFIRE
NEXT GEN FIREWALL
UNSANCTIONED
6 ADVERTISING
SANCTIONED
TOLERATED
CONSUMER
3
SANCTIONED
BUSINESS

Physical ServersVirtualized Servers / Private Cloud
Hardware
Firewalls
Virtual Firewalls
Panorama:
Central management
of all PAN’s
REST API
External Network, WAN
Public Cloud
Hardware
Firewalls
Data Center Network
HA
Orchestration
- REST API
- OpenStack
- UCS Director
- Cisco ACI
- NUAGE
Wildfire
Cloud-Based
Threat Intelligence
ESXi, KVM, Hyper-V
SaaS
DropBox,
Box.com
Aperture
Secure Any Cloud
Ecossistema de segurança do Datacenter

Obrigado!!
afreire@paloaltonetworks.com

Why Palo Alto Networks?
Prevention
Zero-Day
Reduce Risk
Policy
Visibility
Remediation
Detection
Endpoint
Data Center
Mobility
BYOD Management
Vulnerability
Responsive
Exploit
Anti-Malware Forensics
Automation
Private Cloud
Public Cloud
Performance
Scalability
Platform
Segmentation
Applications
Users
Control
Agile
Perimeter
Integrated
Support
Web Security
Command-&-Control
Virtualization
Ecosystem
Context
Correlation
Services
People
Culture
Safe Enablement
Application

Zero Trust e Segmentação para Proteger o Datacenter

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Zero Trust e Segmentação para Proteger o Datacenter

Similaire à Zero Trust e Segmentação para Proteger o Datacenter (20)

Zero Trust e Segmentação para Proteger o Datacenter