Pintér András előadása a Palo Alto újgenerációs tűzfalairól a Young Enterprise Day rendezvényen.

1. Next Generation Cyber Security
Platform
Pintér András
YOUNG ENTERPRISE DAY
2014. Október 2.

2. Palo Alto Networks
A vállalatról
Komplex hálózati biztonsági platform
Biztonságosan futó alkalmazások
Hatékony válasz kiberbiztonsági kihívásokra
Folyamatos növekedés, Globális jelenlét
1300+ alkalmazott
Bevétel
Nagyvállalati ügyfelek
$MM
$400
$350
$300
$250
$200
$150
$100
$50
FYE July
2 | ©2012, Palo Alto Networks. Confidential and Proprietary.
$13
$49
$255
$396
$119
$0
FY09 FY10 FY11 FY12 FY13
4,700
9,000
13,500
14,000
12,000
10,000
8,000
6,000
4,000
2,000
0

3. Újgenerációs Cybersecurity platform-al szemben
támasztott követelmények
• Átláthatóság biztosítása
• Alkalmazások biztonságos futtatása
• Ismert és ismeretlen veszélyek kiszűrése
• Biztonsági infrastruktúra egyszerűsítése
3 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Provide global visibility & intelligence correlation
Discover unknown
threats
Prevent
known threats
Apply
positive controls
Inspect all traffic across ports, protocols & encryption

4. Ismerős?
Internet
UTM
Enterprise
Network
Több modul nem megoldás a problémára
Kevesebb rálátás a forgalomra
Bonyolult és költséges bevezetni és
fenntartani
Nem alkalmazás központú
4 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Nem rossz, de nem elég!

5. Az új generációs tűzfal (NGFW) nem egy extra modul
SiStateful Inspection+ X ≠ NGFW
5 | ©2012, Palo Alto Networks. Confidential and Proprietary.
NGFW
Egyszerű felépítés, tartalomszűrés, policy,
logging, reporting, és a menedzsment felület
összefüggő, döntéshozatalt igénylő
információkat biztosít.
UTM
Moduláris felépítés, tartalomszűrés,
policy, logging, reporting, és gyakran a
menedzsment felületen keresztül nem
nyerhetők ki döntéshozatalt igénylő
információk.

6.  Minden egyes modul csökkenti a
teljesítményt
 Threat prevention-IPS technológiáka
legrosszabbul teljesítők
 Teljesítmény csökkenése problémát
okozhat a biztonsági és hálózati
osztály között
Layer L3/L4
firewall
Application
firewall
Anti-Malware
IPS
6 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Hagyományos megoldásokra jellemző
PERFORMANCE
More Security = Teljesítmény csökkenés

7. Single-Pass Parallel Processing™ (SP3) felépítés
Single Pass
Egyszeri művelet csomagonként
- Forgalom minősítés (alkalmazás
azonosítás)
- Felhasználó/csoport mapping
- Tartalomszűrés – fenyegetések,
URL, bizalmas információ
Egy policy
Párhuzamos feldolgozás
Funkció-specifikus, párhuzamos
folyamatokat kezelő hardver
Különálló adat és vezérlő felület
Akár 120Gbps, Alacsony késleltetés

8. A azonosítási technológiák átalakítják a tűzfalat
•App-ID™
•Alkalmazás azonosítás
•User-ID™
•Felhasználó azonosítás
Content-ID™
Tartalomszűrés

9. Alkalmazas blokkolása vs. Biztonságos engedélyezés
9 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Allow All
Block All

10. Alkalmazások biztonságos
engedélyezése
Összes engedélyezése
Csak bizonyos
funkciók
engedélyezése
Engedélyez és
vizsgál
Engedélyezés
meghatározott
felhasználóknak
Engedélyezés
és bizalmas
adatok
vizsgálata
Engedélyezés
és limitált
hozzáférés
Összes tiltása
Engedélyez és
alakít (QoS)

11. Safe Applications Enablement – control each application independently
e.g.
e.g.
11 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Web-browsing
Cloud Backup
Web Mail
Ms SharePoint
Block all file types
Allow all file types
Block all web mail like
applications
Block only EXE files
e.g.
or

12. Safe Applications Enablement – control each application independently
12 | ©2012, Palo Alto Networks. Confidential and Proprietary.
TCP
80/443
TCP
80/443
TCP
80/443
80/443
L3/L4
Policy

13. Safe Applications Enablement – control each application independently
13 | ©2012, Palo Alto Networks. Confidential and Proprietary.
TCP
80/443
L3/L4
Policy

14. Safe Applications Enablement – control each application independently
TCP
80/443
L3/L4
Policy
14 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Application
Policy

15. Safe Applications Enablement – control each application independently
L3/L4
Policy
TCP
80/443
15 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Application
Policy
  ?
  ?
  ?
  ?

16. Safe Applications Enablement – control each application independently
L3/L4
Policy
16 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Application
Policy
  ?
  ?
  ?
  ?





17. Safe Applications Enablement – control each application independently
L3/L4
Policy
17 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Application
Policy
  ?
  ?
  ?



File Filtering DLP
TCP
80/443
 ? 
 ? 
 ? 



Not possible to do Content
Filtering (AV, IPS, File, DLP)
in the application context

18. Safe Applications Enablement – control each application independently
L3/L4
Policy
18 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Application
Policy
File Filtering DLP
 ? 
 ? 


TCP
80/443

19. Safe Applications Enablement – control each application independently
Application
Policy
19 | ©2012, Palo Alto Networks. Confidential and Proprietary.
File Filtering DLP
TCP
80/443

20. Safe Applications Enablement – control each application independently
Application
Policy
20 | ©2012, Palo Alto Networks. Confidential and Proprietary.
File Filtering DLP
TCP
80/443

21. Safe Applications Enablement – control each application independently
We wanted to have this It is what we got
21 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Please note that
Safe Application Enablement
is not only about File Blocking
It is about ALL content filtering features in
Application Context such as:
IPS, AV, anti-spyware, URL filtering,
DLP, Wildfire (zero-day attacks protection)

22. Evasive Traffic Observed in Malware
A Modern
Malware
22 | ©2012, Palo Alto Networks. Confidential and Proprietary.

23. A Malware lehetőségek tárháza
A malware elsőkénti
elfogásához szükséges idő.
A malware aláírás
generáláshoz és
ellenőrzéshez szükséges
idő
Az Anti vírus definíciók
frissülésének ideje
Teljes
időigény
Napok és hetek telnek el, mire elkészülnek a
hagyományos aláírások.

24. WildFire
A vállalati
hálózatba
interneten
keresztül
bejutó
ismeretlen
fájlok.
Ismert fájlokkal összehasonlítás
Sandbox Környezet
Aláírás Generátor
Admin Web Portál
A tűzfal
továbbküldi a
fájlokat a
WildFire
felhőbe
Új aláírások
küldése a
tűzfalaknak az
ismert
fenyegetések
rendszeres
frissítésével.
Malware
kriminalisztika.

25. Rugalmas alkalmazási lehetőségek
Rálátás Transzparens In-Line Teljes tűzfal csere
• Alkalmazásokra, felhasználókra
és a tartalomra történő rálátás
inline alkalmazás nélkül.
• IPS, valamint az alkalmazások
ellenőrzése és felügyelete.
• Az IPS & URL szűrés
konszolidációja.
• Tűzfal csere valamint az
alkalmazások ellenőrzése és
felügyelete
• Tűzfal + IPS
• Tűzfal + IPS + URL szűrés

26. Palo Alto Networks Újgenerációs Tűzfalak

27. A megoldás? A tűzfalnak el kell végeznie a következő
feladatokat
1. Alkalmazás felismerés, függetlenül a használt port-tól, protokoltól, felismerés
elkerülési taktikától, illetve tiktosítástól
2. Felhasználó felismerése, illetve ellenőrzése függetlenül az IP címtől,
helyszíntől, valamint eszköztől
3. Védjen ismert, illetve ismeretlen fenyegetettségektől
4. Mélyreható láthatóság, illetve policy control alkalmazás-szinten
5. Multi Gigabites, alacsony késleltetés, in-line felhasználás
27 | ©2012, Palo Alto Networks. Confidential and Proprietary.

28. 2014 Gartner Magic Quadrant for Enterprise Network Firewalls
Palo Alto Networks is assessed as a Leader, mostly because of its NGFW focus, because it
set the direction of the market along the NGFW path, and because of its consistent visibility in
shortlists, increasing revenue and market share, and its proven ability to disrupt the market.
28 | ©2013, Palo Alto Networks. Confidential and Proprietary.

29. Ne higgyen nekünk
TESZTELJEN BENNÜNKET
29 | ©2012, Palo Alto Networks. Confidential and Proprietary.

30. 30 | ©2012, Palo Alto Networks. Confidential and Proprietary.