GUIA PARA COMPRADORES DE FIREWALL
Transcrição
GUIA PARA COMPRADORES DE FIREWALL
GUIA PARA COMPRADORES DE FIREWALL O guia definitivo para avaliar firewalls de redes corporativas. 1 | GUIA PARA COMPRADORES DE FIREWALL Introdução A mudança gera inovação Mesmo com os recursos mais avançados e o maior rendimento já visto, os firewalls Sem dúvida, sua rede está mais complexa do que nunca. Seus funcionários estão acessando todos os aplicativos que querem, usando dispositivos pessoais ou de trabalho. Muitas vezes, esses aplicativos são de utilização pessoal e relacionada ao trabalho, mas os riscos corporativos e de segurança são, frequentemente, ignorados. Novos futuros funcionários querem saber sobre as políticas de utilização de aplicativos antes de aceitarem ser contratados. Além disso, a preocupação subjacente com relação a efetividade da sua postura de cibersegurança adiciona mais uma camada de complexidade. O seu negócio é um alvo? É mais uma questão de “quando acontecerá” e não de “se acontecer”? Você está preparado da melhor maneira possível? A complexidade da sua rede e infraestrutura de segurança pode limitar ou atrasar sua capacidade de responder a estes ou a outros desafios de cibersegurança. e os filtros tradicionais para portas Quando o aumento da complexidade limita ou atrasa seu processo de tomada de decisão, é sempre útil “focar no fundamental” como forma de abordar a situação existente de maneira mais eficiente. Com esse entendimento, devemos nos lembrar das três funções fundamentais que o firewall foi projetado para executar: e endereços IP não são mais adequados 1.Operar como o núcleo da sua infraestrutura de segurança de rede. estão passando por uma crise de identidade. As ameaças estão mudando rapidamente para barrá-las. 2.Agir como ponto de controle de acesso para todo o tráfego—permitindo ou negando tráfego na rede com base em políticas. 3.Eliminar o risco do “desconhecido” usando um modelo de controle positivo determinante—que permite aquilo que você quer, e nega implicitamente todo o resto. Com o passar do tempo, as funções fundamentais executadas pelo seu firewall foram anuladas pelo mesmo tráfego que deveriam controlar. Os aplicativos evoluíram de forma que o firewall, o núcleo da sua infraestrutura de segurança, tem dificuldade para exercer os níveis de controle necessários para proteger seus ativos digitais. PALO ALTO NETWORKS | 2 3 | GUIA PARA COMPRADORES DE FIREWALL Pular portas, usar portas não padrão e criptografia são algumas das formas utilizadas pelos aplicativos para se tornarem mais acessíveis. As mesmas técnicas também são usadas por cibercriminosos de forma direta, em ciberataques criados por eles mesmos, ou indireta, ocultando ameaças no tráfego de aplicativos. Para complicar ainda mais os desafios introduzidos por esses aplicativos modernos, há o fato de que seus funcionários, provavelmente, usam esses aplicativos como forma de auxílio a realização de seus trabalhos. Alguns exemplos de aplicativos e ameaças encontrados na sua rede incluem: n n n Aplicativos comuns de usuário final: Estes aplicativos incluem mídia social, compartilhamento de arquivos, vídeo, mensagem instantânea e e-mail. Coletivamente, representam aproximadamente 25% dos aplicativos da sua rede e 20% da largura de banda1. Os funcionários podem usar alguns deles para fins de trabalho e outros, apenas para uso pessoal. Estes aplicativos são geralmente altamente extensíveis e incluem recursos que podem introduzir riscos indesejados. Estes aplicativos representam riscos empresariais e de segurança e o seu desafio será como atingir um equilíbrio apropriado para bloquear alguns e permitir outros com segurança. Principais aplicativos empresariais: Estes são os aplicativos que conduzem seus negócios; eles abrangem seus ativos mais valiosos (por exemplo, bancos de dados, serviços de arquivo e impressão, diretórios). Este grupo de aplicativos é grande alvo de ataques cibernéticos através de ataques multi-facetados, e seu desafio será descobrir como isolá-lo e protegê-lo da melhor maneira possível de ataques furtivos que facilmente transpassam o seu firewall e IPS usando técnicas comuns de evasão. Infraestrutura e aplicativos personalizados: Este grupo de aplicativos representa os principais aplicativos da infraestrutura, como SSL, SSH e DNS, bem como aqueles desenvolvidos internamente, personalizados e desconhecidos. Estes aplicativos são comumente usados para mascarar comandos e tráfegos gerados por botnets e outros tipos de malware. Curiosamente, vários destes aplicativos usam uma ampla gama de portas não padrão. Oitenta e cinco dos 356 aplicativos que usam SSL nunca usam a porta 443, nem as portas SSL definidas (37 pulam portas, 28 usam tcp/80, 20 usam portas diferentes de tcp/443). 1 Para tentar abordar estes desafios, há um foco aumentado nos fundamentos do firewall, e os fornecedores de firewall de rede estão repensando a forma como identificam e controlam o tráfego com base no próprio aplicativo, em vez de apenas na porta e no protocolo. Coletivamente, os firewalls capazes de exercer uma abordagem centralizada nos aplicativos para controle do firewall são agora descritos como “próxima geração” e cada fornecedor de firewall reconhece que o controle de aplicativos é cada vez mais parte fundamental da segurança de rede. Existem dois motivos óbvios para este foco renovado nos fundamentos. Em primeiro lugar, os aplicativos e as ameaças associadas podem facilmente escapar de firewalls baseados em portas, bem como de elementos adicionais de prevenção contra ameaças. Em segundo lugar, o firewall é o único local que vê todo o tráfego que flui pela sua rede e, ainda assim, é o local mais lógico para aplicar políticas de controle de acesso. O valor deste foco renovado é óbvio: sua postura de segurança deve melhorar, enquanto o esforço administrativo associado ao gerenciamento de firewall e resposta a incidentes deve diminuir ou, no mínimo, manter-se constante. Revolução, e não evolução Há muito tráfego, muitos aplicativos e muito pouca tolerância a impactos de desempenho negativo para continuar a adicionar dispositivos e novos módulos de software que ajudarão a analisar o tráfego. Palo Alto Networks Application Usage and Threat Report, janeiro de 2013 PALO ALTO NETWORKS | 4 5 | GUIA PARA COMPRADORES DE FIREWALL Definição do firewall de próxima geração O firewall de próxima geração foi bem definido pela Gartner como algo novo e focado Mercado enterprise, “incorporando inspeção de toda a pilha para oferecer suporte a prevenção contra invasões, inspeção a nível de aplicativos e controle minucioso de políticas”. A maioria dos fornecedores de segurança de rede estão oferecendo controle e visibilidade de aplicativos, adicionando assinaturas de aplicativo ao mecanismo IPS ou oferecendo uma licença adicional para um módulo de controle de aplicativos. Em ambos os casos, estas opções são adicionais a um firewall baseado em porta e fazem pouco para ajudar a se focar nas tarefas fundamentais que o seu firewall foi projetado para executar. A eficiência operacional da sua empresa depende dos aplicativos que seus funcionários usam e do conteúdo contido nesses aplicativos. Apenas permitir alguns e bloquear outros pode inibir o seu negócio. Se sua equipe de segurança está buscando os recursos e capacidades do firewall de próxima geração, o mais importante a considerar é se o firewall de próxima geração irá ou não capacitar sua equipe de segurança para permitir aplicativos com segurança para o benefício da organização. Considere o seguinte: n n n n n O firewall de próxima geração vai aumentar a visibilidade e a capacidade de entender o tráfego de aplicativos da sua rede? As opções de resposta da política de controle de tráfego serão mais abrangentes do que apenas permitir ou negar? Sua rede estará protegida de ameaças e ciberataques – tanto conhecidos como desconhecidos? Você é capaz de identificar e gerenciar sistematicamente o tráfego desconhecido? Você é capaz de implementar as políticas de segurança desejadas sem comprometer o desempenho? n n n Os esforços administrativos que sua equipe dedica ao gerenciamento de firewall será reduzido? O trabalho de gerenciar riscos será mais fácil e efetivo? As políticas que você habilitar poderão ajudar a contribuir com os resultados da empresa? Se as respostas para as perguntas acima forem “sim”, então sua decisão de mudar de firewalls de legado para firewalls de próxima geração é fácil de justificar. A próxima etapa é considerar as soluções alternativas oferecidas pelos fornecedores de firewall. Ao avaliar as alternativas disponíveis, é importante considerar as diferenças arquitetônicas entre as ofertas de firewall de próxima geração e os impactos associados em termos de funções/recursos reais, operações e desempenho. Firewalls de próxima geração 1.Identificam aplicativos independente da porta, protocolo, tática evasiva ou criptografia. 2.Identificam usuários independente do dispositivo ou endereço IP. 3.Protegem em tempo real contra ameaças conhecidas e desconhecidas integradas aos aplicativos. 4.Fornecem visibilidade e controle minucioso de políticas sobre os aplicativos, usuários e conteúdo. 5.Fornecem implantação em linha previsível e multi-gigabit. PALO ALTO NETWORKS | 6 7 | GUIA PARA COMPRADORES DE FIREWALL Considerações arquitetônicas para classificação de tráfego de firewall Ao criar firewalls de próxima geração, os fornecedores de segurança utilizam uma de duas abordagens arquitetônicas: 1.Criar identificação de aplicativos no firewall como mecanismo principal de classificação. 2.Adicionar um mecanismo de reconhecimento de padrões de assinatura de aplicativos a um firewall baseado em porta. O restante deste Guia do Comprador é separado em três seções distintas. A primeira seção introduz as 10 coisas que seu próximo firewall deve fazer, que devem ser vistas como pontos de comprovação de que a arquitetura e o modelo de controle descrito acima são fundamentais para cumprir a promessa de identificar e permitir aplicativos com segurança no firewall. As seções restantes analisam como essas 10 coisas devem ser usadas para selecionar um fornecedor através do processo de Pedido de Proposta (RFP) e como você deve avaliar fisicamente a solução de firewall. Ambas as abordagens podem reconhecer aplicativos, mas com graus variáveis de sucesso, usabilidade e relevância. Mais importante, essas abordagens arquitetônicas ditam um modelo de segurança específico para políticas de aplicativos—positivas (definir o que é permitido, negar todo o resto), ou negativas (definir o que bloquear, permitir todo o resto). n n Um modelo de segurança positivo (firewall ou outro) lhe possibilita escrever políticas que permitem aplicativos ou funções específicas (por exemplo, WebEx, SharePoint, Gmail) e todo o resto é implicitamente negado. Para atingir este nível de controle, todo o tráfego deve ser classificado proativamente no firewall (e não após ele) para garantir que o tráfego apropriado seja permitido e o resto, negado. Ao estabelecer total visibilidade no tráfego, as empresas podem reduzir o esforço administrativo associado com ganhar visibilidade na atividade de rede, gerenciamento de políticas e investigação de incidentes. Implicações de segurança podem incluir melhor proteção contra ciberataques conhecidos e desconhecidos, mesmo que você possa estar permitindo um maior número de aplicativos na sua rede e um melhor controle sobre aplicativos desconhecidos através da premissa “negar todo o resto“ oferecida por um firewall. Um modelo de segurança negativo (IPS, AV, etc.) permite especificamente procurar por e bloquear ameaças, ou aplicativos indesejados e permitir todo o resto. Isto significa que todo tráfego não é necessariamente classificado—apenas o suficiente para preencher a lista de bloqueio desejada. Esta técnica pode ser suficiente para encontrar e bloquear ameaças ou aplicativos não desejados de forma seletiva, mas um modelo de segurança negativo não é adequado para atuar como principal meio de controle de todo o tráfego da sua rede, transformando esta técnica em apenas um auxílio ao firewall baseado em porta. As ramificações de negócio de um modelo de segurança negativo incluem maior esforço administrativo associado a várias políticas e bancos de dados de registro/logs duplicados. PALO ALTO NETWORKS | 8 9 | GUIA PARA COMPRADORES DE FIREWALL 10 coisas que o seu próximo firewall deve fazer Os critérios de seleção de um firewall se encaixam em três áreas: funções de segurança, operações e desempenho. Os elementos funcionais de segurança correspondem à eficácia dos controles de segurança e a capacidade da sua equipe de gerenciar o risco associado com os aplicativos que passam pela sua rede. Da perspectiva operacional, a grande pergunta é “onde está a política de aplicativos e quão difícil e complicado é para sua equipe gerenciá-la”? A diferença de desempenho é simples: o firewall é capaz de fazer o que deve fazer de acordo com os requisitos de rendimento da sua empresa? Embora cada organização tenha requisitos e prioridades variadas nestes três critérios de seleção, as 10 coisas que o seu próximo firewall deve fazer são: 1. Identificar e controlar aplicativos em qualquer porta 2. Identificar e controlar circumventores 3. Descriptografar SSL de saída e controlar SSH 4. Fornecer controle sobre a função nos aplicativos 5. Gerenciar o tráfego desconhecido de forma sistemática 6. Procurar por vírus e malware em aplicativos em todas as portas 7. Permitir a mesma visibilidade e controle para todos os usuários e dispositivos 1. O seu próximo firewall deve identificar e controlar os aplicativos, em todas as portas, o tempo todo. Caso de negócio: Os desenvolvedores de aplicativos não aderem mais a metodologia padrão de desenvolvimento de porta/protocolo/aplicativo. Cada vez mais aplicativos são capazes de operar em portas não padrão ou pular portas (por exemplo, aplicativos de mensagens instantâneas, compartilhamento peer-to-peer ou VoIP). Além disso, os usuários estão cada vez mais experientes em forçar a execução de aplicativos em portas não padrão (p.ex., RDP, SSH). Para aplicar políticas de firewall específicas para aplicativos em que as portas são irrelevantes, o seu próximo firewall deve assumir que qualquer aplicativo pode ser executado em qualquer porta. O conceito de qualquer aplicativo em qualquer porta é uma das mudanças fundamentais no panorama de aplicativos que está impulsionando a migração de firewalls baseados em portas para firewalls de próxima geração. Qualquer aplicativo em qualquer porta também ressalta o motivo pelo qual um modelo de controle negativo não é capaz de solucionar o problema. Se um aplicativo pode ser movido para qualquer porta, um produto baseado em controle negativo exigiria conhecimento de antemão ou a necessidade de executar todas as assinaturas em todas as portas, a todo o momento. Requisitos: Este é simples, você deve assumir que qualquer aplicativo pode ser executado em qualquer porta e o seu próximo firewall deve classificar o tráfego por aplicativo em todas as portas, a todo o momento, por padrão. A classificação do tráfego em todas as portas será um tema recorrente em todos os itens restantes; caso contrário, os controles baseados em porta continuarão a ser ludibriados pelas mesmas técnicas que os têm atormentado por anos. 8. Tornar a segurança da rede mais simples, não mais complexa, com a adição de controle de aplicativos 9. Fornecer o mesmo rendimento e desempenho com controle de aplicativos totalmente ativado 10. Oferecer suporte exatamente as mesmas funções de firewall em um fator de forma virtualizado ou em hardware PALO ALTO NETWORKS | 10 11 | GUIA PARA COMPRADORES DE FIREWALL 2. O seu próximo firewall deve identificar e controlar ferramentas de evasão da segurança. Caso de negócio: Um pequeno número de aplicativos na sua rede pode ser usado para evitar, propositalmente, as políticas de segurança que estão em vigor para proteger os ativos digitais da sua organização. Duas classes de aplicativos se encaixam nas ferramentas de evasão da segurança—aqueles que são expressamente projetados para evitar a segurança (por exemplo, proxies externos, túneis criptografados não relacionados a VPN) e aqueles que podem ser adaptados para alcançar com facilidade o mesmo objetivo (por exemplo, ferramentas de gerenciamento de desktop/servidor remoto). n n Aplicativos com proxies externos e túneis criptografados não relacionados a VPN são especificamente usados para evitar os controles de segurança em vigor através de uma ampla variedade de técnicas de evasão. Estes aplicativos não apresentam valor de negócio para sua rede, já que foram projetados para evitar a segurança, introduzindo riscos invisíveis a segurança e aos negócios. As ferramentas de gerenciamento de desktop/servidor remoto, como RDP e Teamviewer, são geralmente usadas por profissionais de suporte e de TI para trabalharem de forma mais eficiente. Também são frequentemente usadas por funcionários para passar pelo firewall, estabelecendo conexões com seus computadores de casa ou com computadores que estão fora da rede. Os cibercriminosos sabem que estes aplicativos são comumente usados e existem casos documentados publicamente, tanto no Relatório Verizon de violação de dados (DBIR) quanto no relatório Mandiant, nos quais essas ferramentas de acesso remoto foram executadas em uma ou mais fases de um ataque. Requisitos: Há diferentes tipos de aplicativos de evasão, e cada um usa técnicas levemente diferentes. Existem proxies externos públicos e privados (consulte proxy. org para obter um banco de dados maior de proxies públicos) que podem usar tanto HTTP quanto HTTPS. Os proxies privados geralmente estão definidos em endereços de IP não classificados (por exemplo, computadores domésticos) com aplicativos como PHProxy ou CGIProxy. Os aplicativos de acesso remoto como o RDP, Teamviewer ou GoToMyPC apresentam usos legítimos, mas devido ao risco associado, devem ser gerenciados de perto. A maioria dos outros aplicativos de evasão (por exemplo, Ultrasurf, Tor, Hamachi) não apresentam uso empresarial na sua rede. Independente da sua postura de política de segurança, o seu próximo firewall precisa ter técnicas específicas para identificar e controlar todos esses aplicativos, independentemente da porta, protocolo, criptografia ou outra tática de evasão. Mais uma consideração: os aplicativos que permitem evitar a segurança são atualizados regularmente para tornálos mais difíceis de detectar e controlar. Portanto, é importante entender não somente que o seu próximo firewall deve poder identificar esses aplicativos de evasão, como também é importante saber com que frequência a inteligência de aplicativos do firewall é atualizada e mantida. Para esclarecer, nem todos estes aplicativos possuem os mesmos riscos; aplicativos de acesso remoto apresentam uso legítimo, assim como muitos aplicativos de túnel criptografado. Entretanto, essas mesmas ferramentas estão cada vez mais sendo adotadas por criminosos como parte de ataques persistentes contínuos. Sem a capacidade de controlar essas ferramentas de evasão da segurança, as organizações não podem aplicar suas políticas, expondo-se aos riscos que consideravam estar mitigando. PALO ALTO NETWORKS | 12 13 | GUIA PARA COMPRADORES DE FIREWALL 3. 4. O seu próximo firewall deve descriptografar e inspecionar SSL e controlar SSH. O seu próximo firewall deve fornecer controle sobre a função nos aplicativos. Caso de negócio: Hoje em dia, 26% dos aplicativos usam SSL de uma forma ou de outra nas redes corporativas atuais2. Dado o aumento da adoção de HTTPS por vários aplicativos de alto risco e alta recompensa empregados pelos usuários finais (por exemplo, Gmail, Facebook) e a capacidade do usuário de forçar SSL em vários websites, sua equipe de segurança tem um enorme e crescente ponto cego sem a capacidade de descriptografar, classificar, controlar e verificar o tráfego SSL criptografado. Certamente, um firewall de próxima geração precisa ser flexível o suficiente para permitir determinados tipos de tráfego SSL criptografado (por exemplo, tráfego da web proveniente de serviços financeiros ou organizações de cuidado com a saúde), e poder descriptografar outros tipos de tráfego (por exemplo, SSL em portas não padrão, HTTPS de websites não classificados na Europa Oriental) através de políticas. O SSH é usado quase que universalmente e pode ser configurado com facilidade por usuários finais para finalidades não relacionadas ao trabalho, da mesma forma que uma ferramenta de desktop remoto é utilizada. O fato de que o SSH é criptografado também o torna uma ferramenta útil para ocultar atividade não relacionada ao trabalho. Caso de negócio: Desenvolvedores de plataformas de aplicativos, como o Google, Facebook, Salesforce.com ou a Microsoft, fornecem aos usuários um conjunto avançado de recursos e funções que ajudam a garantir a lealdade do usuário, mas que podem representar perfis de risco muito diferentes. Por exemplo, permitir o Webex pode ser uma valiosa ferramenta de negócios, mas usar o Webex Desktop Sharing para assumir o desktop do seu funcionário a partir de uma fonte externa pode ser uma violação de conformidade interna ou regulatória. Outro exemplo é o Google Mail (Gmail) e o Google Talk (Gtalk). Quando um usuário entra no Gmail, o que pode ser permitido pelas políticas, pode trocar contexto com facilidade através do Gtalk, o que pode não ser permitido. O seu próximo firewall deve poder reconhecer e delinear recursos e funções individuais para que uma resposta apropriada às políticas possa ser implementada. Requisitos: A capacidade de descriptografar SSL é um elemento fundamental—não somente porque compõe um percentual significativo e cada vez maior do tráfego empresarial, como também porque permite alguns outros recursos importantes que seriam incompletos ou ineficientes sem a capacidade de descriptografar o SSL. Elementos importantes de se procurar incluem reconhecimento e descriptografia de SSL em qualquer porta - tanto de entrada quanto de saída -, controle de políticas sobre a descriptografia e os elementos de hardware e software necessários para realizar descriptografia de SSL em dezenas de milhares de conexões SSL simultâneas com desempenho previsto. Os requisitos adicionais a considerar incluem a capacidade de identificar e controlar o uso de SSH. Especificamente, o controle de SSH deve incluir a capacidade de determinar se ele está sendo usado para encaminhamento de porta (local, remoto, X11) ou uso nativo (SCP, SFTP e acesso ao shell). O conhecimento sobre como o SSH está sendo utilizado pode ser traduzido em políticas de segurança apropriadas. Palo Alto Networks Application Usage and Threat Report, janeiro de 2013 Requisitos: O seu próximo firewall deve classificar de forma contínua cada aplicativo, monitorando alterações que podem indicar que uma função diferente está sendo utilizada. O conceito da classificação de tráfego “uma vez e pronto” não é uma opção, já que ignora o fato de que estes aplicativos comumente usados compartilham sessões e oferecem suporte a várias funções. Se uma função ou recurso diferente é introduzido na sessão, o firewall deve observá-lo nas tabelas de estado e realizar uma verificação de política. O rastreamento contínuo do estado para compreender as diferentes funções suportadas por cada aplicativo e os diferentes riscos associados é um requisito crítico do seu próximo firewall. Permissão segura de aplicativos Para possibilitar aplicativos e tecnologias com segurança - e os negócios que são realizados através desses aplicativos e tecnologias - as equipes de segurança precisam instituir políticas apropriadas de administração da utilização, mas também precisam ser capazes de aplicá-las. 2 PALO ALTO NETWORKS | 14 15 | GUIA PARA COMPRADORES DE FIREWALL 5. 6. O seu próximo firewall deve gerenciar o tráfego desconhecido de forma sistemática. O seu próximo firewall deve procurar por ameaças em todos os aplicativos e em todas as portas. Caso de negócio: O tráfego desconhecido existe em pequenas quantidades em todas as redes, mas ainda representa um risco significativo para você e para a sua empresa. Existem vários elementos importantes para considerar com o tráfego desconhecido: ele é classificado? É possível reduzi-lo através de um controle por políticas? O seu firewall é capaz de classificar com facilidade aplicativos personalizados para que sejam “conhecidos” na sua política de segurança? O seu firewall ajuda a determinar se o tráfego desconhecido é uma ameaça? O tráfego desconhecido também está fortemente vinculado a ameaças na rede. Os criminosos geralmente são forçados a modificar um protocolo para explorar um aplicativo alvo. Por exemplo, para atacar um servidor da web, um criminoso pode precisar modificar tanto um cabeçalho HTTP que o tráfego resultante não é mais identificado como um tráfego da web. Tal anormalidade pode ser uma indicação prévia de um ataque. Da mesma forma, um malware geralmente usará protocolos personalizados como parte de seu modelo de comando e controle, permitindo as equipes de segurança eliminar qualquer infestação desconhecida por malwares. Requisitos: Por padrão, o seu próximo firewall deve classificar todo o tráfico, em todas as portas – esta é uma área em que a discussão anterior sobre o modelo de controle de segurança e arquitetura se tornou muito importante. Modelos positivos (negar por padrão) classificam tudo, modelos negativos (permitir por padrão) classificam apenas o que são solicitados a classificar. Classificar tudo é apenas uma pequena parte do desafio introduzido pelo tráfego desconhecido. O seu próximo firewall deve permitir ver todo o tráfego desconhecido, em todas a portas, em um local [de gerenciamento] e analisar rapidamente o tráfego para determinar se (1) é um aplicativo interno ou personalizado, (2) é um aplicativo comercial sem uma assinatura ou (3) é uma ameaça. Além disso, seu próximo firewall deve fornecer as ferramentas necessárias para não somente ver o tráfego desconhecido, como também gerenciá-lo sistematicamente controlando-o através de políticas, criando uma assinatura personalizada, enviando um PCAP de aplicativo comercial para maior análise ou realizando investigações analíticas para determinar se ele é uma ameaça. PALO ALTO NETWORKS | 16 Caso de negócio: As empresas continuam a adotar uma ampla variedade de aplicativos para viabilizar os negócios, e eles podem ser hospedados internamente ou fora do seu local físico. Independente de ser um aplicativo hospedado no SharePoint, Box.com, Google Docs, Microsoft Office365 ou um aplicativo extranet hospedado por um parceiro, muitas organizações precisam usar aplicativos capazes de usar portas não padrão, SSL ou compartilhar arquivos. Em outras palavras, estes aplicativos podem viabilizar os negócios mas também podem atuar como vetores de ciberameaças. Além disso, alguns destes aplicativos (como o SharePoint) dependem de tecnologias de suporte que são alvos regulares de explorações (como IIS, Servidor SQL). Bloquear o aplicativo não é apropriado, mas também não é possível permitir cegamente os aplicativos com os (possíveis) riscos associados ao negócio e a cibersegurança. Esta tendência de usar portas não padrão é muito acentuada no mundo dos malwares. Já que o malware reside na rede, e a maioria das comunicações envolvem um cliente malicioso (o malware) se comunicando com um servidor malicioso (comando e controle), o criminoso tem total liberdade para usar qualquer combinação de porta e protocolo que quiser. Na verdade, em uma análise recente de três meses, 97% de todos os malwares desconhecidos fornecidos via FTP usaram portas totalmente fora do padrão. Requisitos: Parte da permissão segura envolve permitir um aplicativo e procurar por ameaças. Estes aplicativos podem se comunicar através de uma combinação de protocolos (por exemplo, o SharePoint usa CIFS, HTTP e HTTPS, e exige uma política de firewall mais sofisticada do que apenas “bloquear o aplicativo”). A primeira etapa é identificar o aplicativo (independente da porta ou criptografia), determinar as funções que você quer permitir ou negar e verificar os componentes permitidos quanto a ameaças – explorações, vírus/malware ou spyware… ou até mesmo informações confidenciais, controladas ou sensíveis. 17 | GUIA PARA COMPRADORES DE FIREWALL 7. 8. O seu próximo firewall deve fornecer controles consistentes a todos os usuários, independente do local ou tipo de dispositivo. O seu próximo firewall deve simplificar a segurança da rede com a adição do controle de aplicativos. Caso de negócio: Os seus usuários estão cada vez mais trabalhando fora das dependências da empresa, muitas vezes acessando a rede da empresa em smartphones ou tablets. Antes domínio de pessoas sempre “na estrada”, agora uma porção significativa da sua força de trabalho pode trabalhar de forma remota. Seja trabalhando de uma cafeteria, de casa ou da empresa de um cliente, seus usuários esperam conectar seus aplicativos via WiFi, redes de banda larga sem fio ou qualquer outro meio necessário. Independente de onde o usuário ou o aplicativo que ele utiliza esteja, o mesmo padrão de controle de firewall deve ser aplicado. Se o seu próximo firewall permitir visibilidade e controle de aplicativos no tráfego dentro das dependências da empresa, mas não fora, ele errará o alvo em um dos tráfegos de maior risco. Caso de negócio: Muitas empresas têm dificuldade em incorporar mais feeds de informação, mais políticas e mais gerenciamento em pessoas e processos de segurança sobrecarregados. Em outras palavras, se sua equipe não consegue gerenciar o que tem no momento, adicionar mais dispositivos e gerenciar interfaces juntamente com políticas e informações associadas não vai ajudar a reduzir o esforço da equipe administrativa, nem reduzir o tempo de resposta a incidentes. Quanto mais distribuída é a política (por exemplo, um firewall baseado em porta permite tráfego pela porta 80, IPS procura por/bloqueia ameaças e aplicativos, gateway web seguro aplica filtros de URL), mais difícil é gerenciar a política. Que política sua equipe de segurança utiliza para possibilitar o WebEx? De que forma eles determinam e resolvem conflitos de políticas em diferentes dispositivos? Já que instalações típicas de firewalls baseados em portas apresentam bases de regras que incluem milhares de regras, adicionar milhares de assinaturas de aplicativos em dezenas de milhares de portas aumentará exponencialmente a complexidade. Requisitos: Conceitualmente, isso é simples – o seu próximo firewall deve ter visibilidade e controle consistente sobre o tráfego, independente do local que o usuário esteja. Isso não quer dizer que a sua organização terá exatamente as mesmas políticas para ambos; por exemplo, algumas organizações podem desejar que seus funcionários usem o Skype quando estão na estrada, mas não dentro da matriz, enquanto outras podem ter uma política que determina que quando os usuários estão fora do escritório, não podem fazer download de anexos do salesforce.com, a não ser que tenham ativado uma criptografia de disco rígido. Isto pode ser alcançado com o seu próximo firewall sem introduzir latência significativa para o usuário final nem impor problemas operacionais para o administrador, ou custos para a organização. PALO ALTO NETWORKS | 18 Requisitos: Seu negócio se baseia em aplicativos, usuários e conteúdo e o seu próximo firewall deve possibilitar a criação de políticas que apoiam diretamente suas iniciativas de negócio. O contexto compartilhado por aplicativos, usuários e conteúdos em todos os aspectos – visibilidade, controle de políticas, geração de logs e relatórios – ajudará a simplificar significativamente a sua infraestrutura de segurança. Uma política de firewall baseada em portas e endereços IP, seguida de políticas separadas para controle de aplicativos, IPS e anti-malware irá somente complicar o seu processo de gerenciamento de políticas e pode acabar inibindo os negócios. 19 | GUIA PARA COMPRADORES DE FIREWALL 9. 10. O seu próximo firewall deve fornecer o mesmo rendimento e desempenho com controle de aplicativos totalmente ativado. O seu próximo firewall deve fornecer exatamente as mesmas funções de firewall em um fator de forma virtualizado e em hardware. Caso de negócio: Muitas organizações têm dificuldade com o compromisso forçado entre desempenho e segurança. Com demasiada frequência, ativar recursos de segurança no firewall significa aceitar rendimento e desempenho significativamente menor. Se o seu firewall de próxima geração for criado da forma certa, este compromisso será desnecessário. Caso de negócio: O crescimento explosivo da virtualização e computação em nuvem introduz novos desafios de segurança que são difíceis ou impossíveis para os firewalls de legado gerenciar de forma efetiva devido a funcionalidade inconsistente, gerenciamento desigual e falta de pontos de integração com o ambiente de virtualização. Para proteger o tráfego que entra e sai do datacenter, bem como o tráfego dos ambientes virtualizados, o seu próximo firewall deve oferecer suporte exatamente as mesmas funcionalidades em um fator de forma virtualizado e em hardware. Requisitos: A importância da arquitetura também é bastante óbvia aqui – de uma forma diferente. Utilizar em conjunto um firewall baseado em porta e outras funções de segurança de diferentes origens tecnológicas geralmente significa que há camadas de rede redundantes, mecanismos de verificação e políticas – o que pode ser interpretado como baixo desempenho. Da perspectiva de software, o firewall deve ser projetado para fazer isso desde o início. Além disso, dados os requisitos de tarefas que requerem uso intensivo do computador (por exemplo, identificação de aplicativos, prevenção contra ameaças em todas as portas, etc.) realizadas em volumes de alto tráfego e a baixa tolerância à latência associada a infraestrutura crítica, seu próximo firewall também deve possuir o hardware projetado para a tarefa – o que significa apresentar processamento dedicado e específico para rede, segurança e verificação de conteúdo. PALO ALTO NETWORKS | 20 Requisitos: A instalação e desativação dinâmica de aplicativos em um datacenter virtualizado aumenta os desafios de identificar e controlar aplicativos usando uma abordagem centralizada em endereços IP e portas. Além de oferecer os recursos já descritos em 10 coisas que o seu próximo firewall deve fazer, em fatores de forma virtualizados e em hardware, é imprescindível que o seu próximo firewall forneça profunda integração com os ambientes de virtualização para agilizar a criação de políticas centralizadas nos aplicativos conforme novos aplicativos e máquinas virtuais são consolidados e desativados. Esta é a única forma de garantir o suporte de arquiteturas de datacenter em evolução com flexibilidade operacional e, ao mesmo tempo, abordar riscos e requisitos de conformidade. 21 | GUIA PARA COMPRADORES DE FIREWALL Os firewalls devem possibilitar os aplicativos e os negócios com segurança Os seus usuários continuam a adotar novos aplicativos e tecnologias, muitas vezes para realizar suas funções no trabalho, mas sem se preocupar muito com os riscos corporativos e de segurança associados. Em alguns casos, se a sua equipe de segurança bloquear esses aplicativos, o seu negócio poderá ser prejudicado. Os aplicativos agora são a forma como os seus funcionários desempenham suas funções no trabalho e mantêm a produtividade perante prioridades profissionais e pessoais concorrentes. Por causa disso, a ativação segura de aplicativos é cada vez mais a posição política correta. Para possibilitar aplicativos e tecnologias com segurança na rede - e os negócios que são realizados através desses aplicativos e tecnologias - as equipes de segurança precisam instituir políticas apropriadas de administração da utilização e também precisam ser capazes de aplicá-las. As 10 coisas que o seu próximo firewall deve fazer descrevem as capacidades críticas que permitirão as organizações possibilitar o uso de aplicativos com segurança e também os negócios. A próxima etapa é traduzir estes requisitos em medidas praticáveis; selecionando um fornecedor através de um processo de RFP e avaliando formalmente ofertas de soluções, resultando, consequentemente, na compra e implantação de um firewall de próxima geração. Capacitando o seu negócio No mundo sempre conectado de hoje, controlar aplicativos é muito mais do que apenas permitir ou negar; trata-se de permitir aplicativos com segurança para o benefício dos negócios. PALO ALTO NETWORKS | 22 Usando o processo RFP para selecionar um firewall de próxima geração Geralmente, ao selecionar firewalls, IPS ou outros componentes críticos da infraestrutura de segurança, as organizações utilizarão um Pedido de Proposta (RFP) como forma de garantir que necessidades específicas sejam abordadas. De acordo com o Quadrante Mágico da Gartner para Firewalls Empresariais, “condições de ameaça em constante mudança e processos de negócio e TI em transformação farão com que os gerentes de segurança de rede busquem pelas capacidades do firewall de próxima geração no próximo ciclo de renovação de firewall/IPS”. Conforme surgem novas oportunidades de implantação, as organizações devem expandir seus critérios de seleção de RFP de forma a incluir a visibilidade e o controle de aplicativos oferecido pelas alternativas de próxima geração. A seção anterior estabeleceu os 10 principais requisitos do seu próximo firewall. Esta seção traduzirá estes requisitos em ferramentas que podem ser utilizadas para identificar e selecionar um firewall de próxima geração. Considerações sobre a arquitetura do firewall e o modelo de controle Muitos elementos devem ser considerados ao avaliar a eficiência com que um fornecedor pode oferecer visibilidade e controle de aplicativos no firewall. A arquitetura do firewall, especificamente o mecanismo de classificação de tráfego, determinará a eficácia com que o firewall é capaz de identificar e controlar os aplicativos, em vez de apenas portas e protocolos. Como já mencionado, a primeira coisa que um novo firewall de qualquer tipo deve fazer é determinar de forma precisa o que é o tráfego, e usar esse resultado como base para todas as decisões relacionadas às políticas de segurança. Neste modelo, as políticas de firewall são controles positivos tradicionais (bloqueiam tudo, exceto aquilo que você expressamente permitir). Um modelo positivo significa que você pode controlar e permitir aplicativos, o que é um requisito crítico do mundo sempre disponível e conectado dos negócios de hoje. Anexar elementos semelhantes ao IPS e que procuram por aplicativos significa utilizar um modelo de controle negativo (permitir tudo, exceto aquilo que é expressamente negado pelo IPS). Um modelo negativo significa que você só pode bloquear aplicativos. As diferenças são análogas ao fato de ligar uma luz em um quarto para ver e controlar tudo (positivo) em comparação a ligar uma lanterna em um quarto para ver e controlar somente o que você está olhando (negativo). Usar este elemento adicional para identificar e bloquear eventos “ruins” é apenas um “remendo” e não uma solução completa porque ele foi projetado para analisar apenas uma parte do tráfego com o intuito de evitar perdas de desempenho, e não é capaz de abranger a diversidade de ciberataques e aplicativos. 23 | GUIA PARA COMPRADORES DE FIREWALL Visibilidade e controle de aplicativos O RFP deve determinar os detalhes sobre a forma como a arquitetura do firewall facilita a identificação e controle de toda a diversidade de aplicativos, incluindo aplicativos pessoais, empresariais ou outros, além de protocolos, não importando a porta, criptografia SSL ou outra técnica evasiva em uso. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. n Muitos aplicativos podem evitar a detecção usando portas não padrão, pulando portas ou sendo configurados para executar em uma porta diferente. n n n n Os mecanismos de identificação de aplicativos fazem parte da classificação principal do tráfego do firewall (ou seja, permitido por padrão)? Os mecanismos de identificação de aplicativos dependem da porta padrão do aplicativo? As assinaturas podem ser aplicadas em todas as portas? O processo é configurado de forma automática ou manual? Quando o tráfego atinge o dispositivo, é classificado primeiro com base na porta (esta é a porta 80; portanto, deve ser HTTP) ou no aplicativo (isto é o Gmail)? n A identificação de aplicativos está sendo realizada no firewall, ou é realizada em um processo secundário, após a classificação baseada em porta? n n O estado dos aplicativos está sendo acompanhado? Se sim, de que forma o estado é utilizado para garantir um controle consistente dos aplicativos e funções secundárias associadas? n n n n Com que frequência o banco de dados de aplicativos é atualizado? Esta atualização é dinâmica ou apenas uma atualização com reinicialização do sistema? Em ambientes virtualizados, descreva a forma como o tráfego é classificado na máquina virtual (leste/oeste, norte/sul). n Descreva detalhadamente como o firewall pode identificar aplicativos de forma precisa. n n Além de assinaturas, quais mecanismos são usados para classificar o tráfego? n Descreva a abrangência do uso de decodificadores de protocolos e aplicativos. n De que forma a descriptografia e controle de SSL e SSH são implementados? n n Dê três exemplos de como o estado do aplicativo é usado no controle de políticas. A identidade do aplicativo é a base da política de segurança por firewall ou o controle de aplicativos é tratado como um elemento de políticas secundárias? n n Quais são as três vantagens da abordagem arquitetônica apoiada? n Descreva os pontos de integração no ambiente de virtualização. Descreva o processo de criação de políticas de segurança para máquinas virtuais recém criadas. Descreva os recursos disponíveis para acompanhar os movimentos, adições e mudanças nas máquinas virtuais. Descreva os recursos disponíveis para integração com sistemas de automação e orquestração. Os mecanismos de classificação de tráfego são aplicados de forma igual em todas as portas? Quais mecanismos são usados para detectar aplicativos de evasão, como o UltraSurf ou P2P criptografado? PALO ALTO NETWORKS | 24 25 | GUIA PARA COMPRADORES DE FIREWALL Controle de aplicativos evasivos, SSL e SSH Permissão de aplicativos baseada em políticas Uma ampla variedade de aplicativos pode ser usada para evitar os controles de segurança. Alguns, como os proxies externos e túneis criptografados não relacionados a VPN, são projetados com o objetivo de evitar controles. Outros, como ferramentas de gerenciamento de servidor/desktop remoto, evoluíram de forma a serem usados por funcionários não relacionados a TI ou ao suporte para evitar mecanismos de segurança. Como meio de segurança, o SSL está se tornando uma configuração padrão para muitos aplicativos de usuário final, contudo, o problema surge quando o uso do SSL acaba mascarando ameaças de entrada ou transferência de dados de saída. Atualmente, cerca de 26% dos aplicativos que atravessam sua rede são capazes de usar SSL3 de alguma forma. Portanto, é importante determinar os respectivos fornecedores de firewall de próxima geração que abordam esta categoria de aplicativos. Considere as perguntas e afirmativas a seguir relacionadas à emissão de um RFP para firewalls de próxima geração. No mundo sempre conectado de hoje, controlar aplicativos significa muito mais do que apenas permitir ou negar; trata-se de permitir aplicativos com segurança para o benefício dos negócios. Muitas “plataformas” (Google, Facebook, Microsoft) disponibilizam diferentes aplicativos ao usuário após login inicial. É fundamental determinar como o fornecedor de firewall monitora o estado do aplicativo, detecta mudanças no aplicativo e classifica a mudança de estado. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. n n n Descreve o processo pelo qual aplicativos com criptografia SSL são identificados em todas as portas, incluindo portas não padrão. Quais controles de políticas estão disponíveis para seletivamente descriptografar, inspecionar e controlar aplicativos que usam SSL? n n n A classificação do tráfego dinâmico é realizada separadamente, antes da identificação do aplicativo? Se sim, descreva como as mudanças no estado do aplicativo são monitoradas, rastreadas e usadas de acordo com a política quando o aplicativo é identificado. Descreva como a hierarquia do banco de dados do aplicativo (plana, multi-nível, outra) expõe funções no aplicativo principal para políticas de permissão mais detalhadas. Descreva os níveis de controle que podem ser exercidos sobre aplicativos individuais e suas respectivas funções: Há suporte para identificação, descriptografia e inspeção bi-direcional do SSL? n n n A descriptografia SSL é uma função padrão ou um custo adicional? Há a necessidade de um dispositivo dedicado? O SSH é uma ferramenta comumente usada pela TI e por funcionários com experiência em tecnologia como meio de acessar dispositivos remotos. n n n O controle de SSH é suportado? Se sim, descreva a intensidade do controle. Quais mecanismos são usados para identificar aplicativos de evasão, como o UltraSurf ou Tor? Descreva como o produto pode identificar automaticamente circunvemtores que utilizam uma porta não padrão. n n n permissão; permitir com base no aplicativo, na função do aplicativo, na categoria, subcategoria, tecnologia ou fator de risco; permitir com base em horários, usuário, grupo, porta; permitir e procurar por vírus, explorações de aplicativos, spyware, downloads dirigidos; n permitir e modelar/aplicar controles de qualidade de serviço; n negar. Palo Alto Networks Application Usage and Threat Report, janeiro de 2013 3 PALO ALTO NETWORKS | 26 27 | GUIA PARA COMPRADORES DE FIREWALL n Controles baseados em porta podem ser implementados para todo o banco de dados de aplicativos para que o administrador possa aplicar, através da política, o relacionamento entre o aplicativo e a porta? Por exemplo: n n n n n n n Forçar desenvolvedores de banco de dados Oracle por uma porta específica ou por um intervalo de portas. Garantir que a equipe de TI seja a única permitida a usar SSH e RDP. Detectar e bloquear malwares dentro do aplicativo, mesmo que seja em uma porta não-padrão. Gerenciamento sistemático de aplicativos desconhecidos Toda rede terá algum tráfego de aplicativos desconhecidos. A fonte geralmente é um aplicativo interno ou personalizado, mas também pode ser um aplicativo comercial não identificado ou, na pior das hipóteses, algum código malicioso. O principal elemento a determinar através do processo de avaliação e RFP é uma descrição específica de como o fornecedor permite gerenciar sistematicamente o tráfego desconhecido, que representa um maior risco comercial e de segurança. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. Liste todos os repositórios de identidade empresarial suportados por controles baseados em usuário. n Um API está disponível para integração personalizada ou não padrão de identidade e infraestrutura? n Descreva como os controles baseados em políticas são implementados por usuários e grupos para ambientes de serviços de terminal. n Descreva quaisquer diferenças nas opções de permissão de aplicativos para instâncias virtualizadas e de hardware. n Forneça uma descrição detalhada de como o tráfego desconhecido pode ser identificado para análise. Os mecanismos são usados para a parte de análise do conjunto de recursos padrão ou são produtos secundários, adicionais? Quais ações, se existirem, podem ser tomadas em relação ao tráfego desconhecido (permitir, negar, inspecionar, modelar, etc.)? Descreva as práticas recomendadas para gerenciar o tráfego de aplicativos desconhecido. n n O tráfego interno pode ser “renomeado”? n Uma assinatura personalizada de aplicativo pode ser criada? n n n PALO ALTO NETWORKS | 28 Ele pode ser controlado por políticas, da mesma forma que um aplicativo oficialmente suportado (por exemplo, permitir, negar, inspecionar, modelar, controlar por usuário, zona, etc.)? Qual é o processo para enviar solicitações de novas assinaturas de aplicativo ou assinaturas atualizadas? Quando um aplicativo é enviado, qual é o prazo de entrega do SLA? Quais mecanismos estão disponíveis para determinar se o tráfego desconhecido é um código malicioso? 29 | GUIA PARA COMPRADORES DE FIREWALL Prevenção contra ameaças Proteção de usuários remotos As ameaças estão cada vez mais atreladas a uma variedade de aplicativos, tanto como vetores de explorações e infecções, quanto como interfaces de controle e comando dos dispositivos infectados. Por este motivo, os analistas consistentemente recomendam que as empresas consolidem tecnologias de prevenção contra ameaças e IPS tradicional como componentes do firewall de próxima geração. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. Usuários de redes modernas assumem a capacidade de se conectar e trabalhar de vários locais, além do perímetro tradicional da rede. Estes usuários devem permanecer protegidos, mesmo quando estão fora do perímetro da rede, usando um computador, smartphone ou tablet. O objetivo desta seção é determinar quais capacidades estão disponíveis para proteger estes usuários remotos e de que forma este nível de proteção difere quando o usuário está dentro ou fora da rede física. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. n n n n n n n n n Descreva todos os mecanismos de prevenção contra ameaças em uso (IPS, antivírus, antispyware, filtragem de URL, filtragem de dados, etc.). De que forma estes mecanismos de prevenção contra ameaças são licenciados? Descreva quais mecanismos de prevenção contra ameaças são desenvolvidos internamente ou obtidos de terceiros ou serviços. n n De que forma as ameaças integradas a aplicativos e portas não padrão são evitadas? A informação de identificação do aplicativo está integrada ou é compartilhada pelas tecnologias de prevenção contra ameaças? Se sim, descreva o nível de interação. n Descreva quais áreas de prevenção contra ameaças (IPS, AV, etc.) são baseadas em portas, em vez de baseadas em aplicativos. n O mecanismo de prevenção contra ameaças é capaz de verificar o conteúdo de arquivos compactados, como ZIP ou GZIP? n O mecanismo de prevenção contra ameaças é capaz de verificar conteúdo com criptografia SSL? n Descreva como o firewall pode detectar e se defender de malwares polimórficos ou personalizados. n n n n Quais mecanismos são usados para bloquear o malware? Descreva a pesquisa e o processo de desenvolvimento da prevenção contra ameaças. PALO ALTO NETWORKS | 30 n Forneça uma descrição detalhada, incluindo todos os componentes necessários, das opções disponíveis para proteger usuários remotos. Se um componente de cliente estiver incluído, de que forma ele é distribuído? Descreva os requisitos de dimensionamento. Quantos usuários podem ser suportados simultaneamente? O conjunto de recursos de segurança do usuário remoto é transparente para o cliente? Descreva como o controle de políticas sobre usuários remotos é implementado (por exemplo, na política de firewall, em uma política separada/dispositivo, outra). Liste todos os recursos e proteções fornecidos pelos recursos remotos (SSL, controle de aplicativos, IPS, etc.). O seu firewall mantém os usuários conectados a fim de garantir a aplicação consistente da política, independente do local? Como você aborda usuários de dispositivos móveis? Você poderá fornecer uma aplicação de política consistente quando os usuários estão em redes externas, assim como em redes wireless internas? O firewall é capaz de abordar problemas de BYOD, como fornecer uma forma de permitir com segurança laptops, telefones e tablets corporativos e pessoais? 31 | GUIA PARA COMPRADORES DE FIREWALL Gerenciamento O gerenciamento é um elemento crítico para implementar uma segurança de rede efetiva. Ao passar para o seu próximo firewall, uma das principais metas deve ser simplificar o gerenciamento sempre que possível, adicionando visibilidade e controle de aplicativos. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. n n O gerenciamento de dispositivos requer um servidor ou dispositivo separado? Descreva todas as opções de gerenciamento suportadas: Interface de linha de comando (CLI)? Navegador? Cliente de software? Servidor centralizado? n n n Descreva a arquitetura de gerenciamento centralizada e as opções de implantação. Quais ferramentas de visibilidade, além do visualizador de log e relatórios, estão disponíveis para possibilitar um panorama claro dos aplicativos, usuários e conteúdo que transitam pela rede? n n n n Para cada uma das alternativas de gerenciamento suportadas, descreva quanto esforço é necessário para mover de uma técnica de gerenciamento para outra. n Descreva as capacidades de geração de logs e relatórios – elas são fornecidas de fábrica? Se sim, de que forma a geração de relatórios afeta o desempenho quando ativada? n n Ferramentas de relatório totalmente personalizadas estão disponíveis para compreender como a rede está sendo usada e destacar mudanças na utilização da rede? n n n n A análise completa de logs é disponibilizada de fábrica ou é uma licença adicional/ dispositivo separado? São custos/licenças adicionais ou um dispositivo separado? Descreva como o acesso ao gerenciamento é garantido quando o dispositivo passa por uma carga pesada de tráfego. Descreva o relacionamento entre um dispositivo individual e o gerenciamento centralizado de vários dispositivos. Descreva as diferenças no gerenciamento de instâncias virtualizadas e de hardware. As ferramentas de visibilidade incluídas fazem parte da funcionalidade básica ou são licenças/custos adicionais? As ferramentas de visibilidade vêm implantadas de fábrica ou são um aparelho/ dispositivo separado? Forneça uma descrição detalhada do esforço e etapas necessárias para começar a “ter uma visão abrangente de todo o tráfego de aplicativos” na rede. Os controles de política de aplicativo, controles de política de firewall e recursos de prevenção contra ameaças podem ser viabilizados com uma única regra no editor de políticas do firewall? PALO ALTO NETWORKS | 32 33 | GUIA PARA COMPRADORES DE FIREWALL Desempenho Considerações RFP adicionais O desempenho real é um componente crítico de uma implantação de segurança. Ocontrole de aplicativos exige uma investigação muito mais aprofundada do tráfego do que o uso de firewall baseado em porta e, portanto, utiliza muito mais capacidade do computador. Adicionar inspeção de ameaças e controle de políticas ao mesmo tráfego somente aumenta a carga de processamento do firewall. É fundamental determinar o desempenho da rede quando todos os recursos de segurança estão ativados e analisar uma diversidade de tráfego real. Considere as perguntas e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima geração. Cada organização terá diferentes requisitos em relação aos itens descritos neste documento. Exemplos incluem a viabilidade da empresa, referências de clientes, facilidade de implantação, além de suporte de rede e roteamento. As práticas recomendadas para um RFP devem ser bastante sistemáticas para fazer os fornecedores provarem que suas ofertas fornecem a funcionalidade alegada. n n n Verifique se o produto é baseado em software, um servidor OEM ou um aparelho dedicado. Investigue a arquitetura de hardware para confirmar a capacidade de processamento apropriada para realizar inspeção e classificação contínua do tráfego a nível de aplicativos. É fundamental determinar o desempenho da rede quando todos os recursos de segurança estão ativados e analisar uma diversidade de tráfego real. Descreva a diversidade de tráfego usada para produzir as métricas de desempenho publicadas para: n Firewall + criação de logs n Firewall + controle de aplicativos n Firewall + controle de aplicativos + prevenção contra ameaças n O desempenho é importante Qual é o rendimento avaliado para: n Firewall + criação de logs n Firewall + controle de aplicativos n Firewall + controle de aplicativos + prevenção contra ameaças PALO ALTO NETWORKS | 34 35 | GUIA PARA COMPRADORES DE FIREWALL Avaliação de firewalls de próxima geração através de testes formais Assim que o fornecedor final - ou a lista de fornecedores selecionados - for definido através do RFP, o próxima passo é avaliar fisicamente o firewall usando padrões de tráfego, objetos e políticas que representam de forma precisa os negócios da organização. Esta seção fornece algumas recomendações sobre como avaliar fisicamente um firewall de próxima geração. A avaliação permitirá ver em um ambiente real quão bem o firewall de um fornecedor abordará requisitos chave. Observe que os testes sugeridos abaixo representam apenas uma amostra das funções exigidas do firewall de próxima geração, e devem ser utilizados como orientação para o desenvolvimento de um plano de teste mais detalhado e passo a passo. Visibilidade e controle de aplicativos O objetivo desta seção é triplo. Primeiro, determine que a primeira tarefa que o dispositivo em teste (DUT) executa é a classificação do tráfego com base na identidade do aplicativo, e não na porta de rede. Segundo, determine que o DUT classifica os aplicativos, independente da tática evasiva, tais como pular portas, usar portas não padrão, etc., como meio de melhorar a acessibilidade. Terceiro, determine que a identidade do aplicativo se torne a base da política do firewall, em vez de um elemento em uma política secundária. Identifique os aplicativos que pulam portas ou que usam portas não padrão n n n Confirme que o firewall é capaz de identificar vários aplicativos. A melhor forma de executar este teste é implantar o DUT em modo tap ou transparente na rede de destino. Verifique se o DUT identifica corretamente o tráfego de aplicativos usando ferramentas gráficas resumidas e ferramentas de análise investigativa. n n n n n n A política de controle de aplicativos exige primeiro uma regra focada em portas? O elemento de controle de aplicativos é um editor de política completamente separado? Crie uma política para permitir determinados aplicativos e bloquear outros, e verifique se os aplicativos são controlados da forma esperada. Uma política baseada em aplicativos oferece suporte à premissa “negar todo o resto” na qual o firewall está baseado? Identificar e controlar circumventores n n n PALO ALTO NETWORKS | 36 Confirme que, ao criar uma política de firewall, o aplicativo, e não a porta, seja usado como elemento principal da política. n Determine a quantidade de esforço administrativo associado a este risco. Avalie as etapas necessárias para permitir inicialmente a identificação de aplicativos. Quão rapidamente um usuário pode definir uma política e começar a “ver” o tráfego de aplicativos? Há a necessidade de etapas adicionais para obter visibilidade em relação aos aplicativos que pulam portas ou usam portas não padrão? Confirme que o firewall é capaz de identificar aplicativos que pulam portas usando um aplicativo que pula portas conhecido, como Skype, AIM ou um dos muitos aplicativos P2P. Identidade do aplicativo como base da política de segurança do firewall Identificação de aplicativos n Verifique se o firewall é capaz de identificar e controlar os aplicativos em execução em portas diferentes da porta padrão do aplicativo. Por exemplo, SSH na porta 80 e Telnet na porta 25. Confirme que o DUT é capaz de identificar e controlar uma variedade de aplicativos usados para evitar controles de segurança. Os aplicativos que se encaixam neste grupo incluem proxies externos (PHproxy, Kproxy), acesso remoto a desktops (RDP, LogMeIn!, TeamViewer, GoToMyPC) e túneis criptografados não relacionados a VPN (Tor, Hamachi, UltraSurf). Confirme que cada um dos circumventores é identificado de forma precisa durante o teste. Verifique se todas os circumventores podem ser bloqueados, mesmo quando estão ativados em uma porta não-padrão. 37 | GUIA PARA COMPRADORES DE FIREWALL Identifique e controle aplicativos que utilizam SSL ou SSH Identifique e controle aplicativos que compartilham a mesma conexão Com cada vez mais aplicativos usando criptografia SSL e SSH para finalidades alternativas, você precisa avaliar a capacidade de identificar e controlar aplicativos que utilizam SSL e SSH. Determine se os mecanismos de classificação de aplicativos monitoram continuamente o estado do aplicativo, procurando por mudanças no aplicativo e, mais importante, se a mudança no estado é classificada corretamente. Muitas “plataformas” (Google, Facebook, Microsoft) disponibilizam diferentes aplicativos após o login inicial. Rastrear a mudança no estado do aplicativo é um componente fundamental de um firewall de próxima geração. n n n n n n Verifique se o DUT é capaz de identificar e descriptografar aplicativos conhecidos por usar criptografia SSL. Confirme que o DUT é capaz de identificar, descriptografar e aplicar a política de segurança ao aplicativo descriptografado. n Valide que, se o aplicativo descriptografado é “permitido”, ele será criptografado novamente e enviado desta forma. n Confirme a capacidade de realizar inspeção e descriptografia SSL de saída e de entrada. n Ao usar aplicativos como o WebEx ou o SharePoint, primeiro confirme que o DUT identifica o aplicativo inicial (WebEx ou SharePoint). Sem sair do aplicativo, alterne para uma função separada (WebEx Desktop Sharing, SharePoint Admin, SharePoint Docs) e valide que a mudança de estado é rastreada e que o novo aplicativo/função é corretamente identificado. Valide o controle de políticas e inspeção da função dos aplicativos. Verifique se o SSH é identificado de forma precisa, independente da porta. Controle sobre a função do aplicativo Valide que o controle de SSH separa encaminhamento de porta (local, remota, X11) e uso nativo (SCP, SFTP e acesso ao shell). Determine a capacidade do DUT em identificar e controlar funções específicas em um aplicativo. O controle a nível de função é fundamental para permitir o uso de um aplicativo e ainda exercer algum nível de controle para abordar os riscos corporativos e de segurança associados. A transferência de arquivos é um exemplo comum, mas outros exemplos incluem funções administrativas, recursos de VoIP, publicações em mídias sociais e recursos de chat no aplicativo principal. n n n PALO ALTO NETWORKS | 38 Confirme que o DUT fornece visibilidade em relação a hierarquia dos aplicativos (aplicativo principal e funções adicionais). Verifique o controle da função de transferência de arquivos, identificando e controlando um aplicativo que oferece suporte à transferência de arquivos. Confirme a capacidade do DUT de bloquear o upload/download de arquivos por aplicativo e tipo de arquivo. Por exemplo, a capacidade de impedir um usuário de transferir um documento do Word usando um aplicativo de e-mail baseado na web. 39 | GUIA PARA COMPRADORES DE FIREWALL Gerenciar o tráfego desconhecido de forma sistemática Prevenção contra ameaças Todas as redes terão uma pequena quantidade de tráfego desconhecido e você precisa determinar quão rapidamente você é capaz de identificar o que é o tráfego desconhecido e tomar uma ação apropriada. Para proteger sua rede, você precisará controlar rigorosamente a exposição a ameaças e evitar com segurança ameaças conhecidas e desconhecidas presentes no tráfego de aplicativos permitido. Você precisa testar a capacidade do DUT em aplicar a segurança em um ambiente real, incluindo ameaças desconhecidas anteriores, ameaças transmitidas por aplicativos executados em portas não padrão, ameaças encobertas por compressão e, ao mesmo tempo, atender os requisitos de desempenho da empresa. n Confirme que a visibilidade sobre o tráfego desconhecido está disponível e inclui, no mínimo: n O volume de tráfego n Usuário e/ou endereço IP n A porta está em uso n O conteúdo associado – arquivo, ameaça, outro. n n n n n Qual é o nível de esforço associado com a investigação do tráfego desconhecido? É possível definir uma política de firewall (permitir, bloquear, inspecionar, etc.) para o tráfego desconhecido? Confirme as opções disponíveis para identificar e controlar com maior precisão o tráfego de aplicativos desconhecido. n n n O tráfego pode ser “renomeado”? O usuário pode criar um mecanismo de identificação personalizado? n n n Confirme o nível de detalhe dos perfis de prevenção contra ameaças – se são globais (somente) ou podem ser definidos individualmente de acordo com o tráfego, ameaça, usuário, etc. Verifique se as técnicas de prevenção contra ameaças (IPS, malware, filtragem de conteúdo) são aplicadas de forma consistente aos aplicativos (e ameaças) capazes de usar portas não padrão. Isto significa que o DUT não somente deve controlar os aplicativos em portas não padrão, como também a prevenção contra ameaças deve impedir as ameaças de passar por portas não padrão. Verifique se o DUT detecta malwares e arquivos não aprovados, mesmo quando apresentados em formatos compactados como ZIP ou GZIP. Determine o processo de identificação e bloqueio de malwares desconhecidos. Verifique o desempenho do DUT com toda a prevenção contra ameaças ativada para garantir a aplicabilidade real dos recursos da prevenção contra ameaças. O fornecedor fornecerá mecanismos de identificação personalizados? Se sim, com que rapidez? Redução da superfície de ataque Para proteger sua rede, você precisará controlar rigorosamente a exposição a ameaças e evitar com segurança ameaças presentes no tráfego de aplicativos permitido. PALO ALTO NETWORKS | 40 41 | GUIA PARA COMPRADORES DE FIREWALL Proteção de usuários remotos n Primeiro, determine se o DUT é capaz de proteger usuários remotos com a mesma política usada; segundo, determine o esforço de gerenciamento e a complexidade de implantação. n Verifique se o DUT é capaz de proteger usuários remotos usando mais que uma conexão VPN SSL ou uma conexão de backhaul. n n n n n Confirme a facilidade de implantação e gerenciamento, estabelecendo um grupo remoto de usuários e implantando uma política de teste. O DUT é capaz de fornecer políticas com base no tipo de dispositivo? O DUT pode proteger contra o malware móvel, assim como as vulnerabilidades do SO móvel? n O DUT pode fornecer controle de aplicativo para os aplicativos móveis? n Encerre o teste, monitorando os usuários remotos através do visualizador de log. n n Confirme a metodologia de gerenciamento do DUT. O gerenciamento de dispositivos individuais exige um dispositivo separado ou servidor? O DUT pode ser gerenciado através de um navegador ou há a necessidade de um cliente “pesado”? Verifique a disponibilidade das ferramentas de visualização que fornecem inteligência de rede através de uma visão resumida dos aplicativos, ameaças e URLs na rede. n n Os logs são armazenados em um local central ou em bancos de dados separados por nível de função (por exemplo, firewall, controle de aplicativos, IPS)? Meça o esforço administrativo associado com a análise de logs para fins de investigação de incidentes, visibilidade e análise. PALO ALTO NETWORKS | 42 Uma regra de firewall baseado em porta é criada e aplicada antes do controle a nível de aplicativos? Se várias políticas forem usadas (por exemplo, firewall, controle de aplicativos, IPS), está disponível alguma ferramenta de reconciliação de políticas para localizar possíveis lacunas nas políticas? Desempenho com serviços habilitados O controle de aplicativos requer muito mais uso intensivo do computador do que tecnologias de firewall tradicionais baseadas em porta; portanto, é fundamental validar que o DUT alvo é capaz de ser executado de forma adequada ao identificar e controlar aplicativos. n Gerenciamento Você precisa analisar a complexidade do gerenciamento do DUT em relação aos dispositivos separados, bem como a dificuldade (número de etapas, clareza da UI, etc.) da tarefa a disposição. Valide que os controles de política de aplicativo, controles de política de firewall e recursos de prevenção contra ameaças podem ser viabilizados a partir do mesmo editor de políticas. n n Verifique se o DUT é baseado em software, um servidor OEM ou um aparelho dedicado. Se for um aparelho, investigue a arquitetura de hardware para confirmar que a capacidade de processamento adequada atende os requisitos de desempenho da sua rede quando todos os serviços estão ativados. Teste! Avalie o desempenho real em um ambiente de teste usando padrões de tráfego que representam o ambiente de rede desejado. Considerações sobre o fator de forma virtualizado e de hardware Se o local de destino da implantação for um datacenter localizado, você deve escolher entre os testes acima para garantir que a funcionalidade do firewall em um fator de forma virtualizado seja testada adequadamente. Para ambientes virtualizados, as considerações adicionais devem incluir: n n Qual é o processo de gerenciamento da política para o relacionamento com instâncias de máquina virtual? Quantas etapas estão envolvidas? Os mesmos tipos de políticas podem ser criados para instâncias físicas e virtuais? 43 | GUIA PARA COMPRADORES DE FIREWALL Permissão segura de aplicativos com firewalls de próxima geração n n n n n n Exatamente os mesmos recursos são suportados nas instâncias de hardware e virtualizada? Verifique se o DUT é capaz de proteger todo o tráfego ente máquinas virtuais no mesmo servidor virtualizado. Verifique se o DUT é capaz de oferecer políticas de conteúdo, aplicativos e usuários na mesma instância virtual. Verifique se o DUT é capaz de continuar a aplicar as políticas, mesmo com migrações de máquinas virtuais. Confirme e valide a interação com o sistema de gerenciamento da plataforma de virtualização. Confirme e valide a interação com os sistemas de automação e orquestração. Antigamente, o conceito de permitir a um funcionário usar um aplicativo externo ou pessoal para fins relacionados ao trabalho era algo nunca antes visto. Atualmente, os funcionários estão sempre online e estão usando continuamente os aplicativos mais recentes, muitas vezes, associando o uso pessoal com o uso relacionado ao trabalho. Resumindo, bloquear estes aplicativos é equivalente a bloquear os negócios. As 10 coisas que o seu próximo firewall deve fazer confirmam o fato de que o melhor local para executar a permissão segura de aplicativos é no firewall usando a identidade do aplicativo e políticas de modelo de controle positivo tradicionais (firewall), que permitem aos administradores definir, de acordo com a empresa, quais aplicativos são permitidos e quais são proibidos. Deve estar claro após usar as ferramentas apresentas neste documento que tentativas de sustentar a permissão segura de aplicativos usando um modelo de controle negativo, semelhante ao IPS e com uma abordagem anexada, são impraticáveis. Considerações de avaliação adicionais O processo de avaliação e teste de produtos de segurança de rede variará de acordo com a organização e, na maioria dos casos, ultrapassará o escopo deste documento. Exemplos incluem facilidade de implantação (modo tap, modo transparente, outro?), suporte de rede (camada 2, camada 3, modo misto) e roteamento (RIP, OSPF, BGP). As práticas recomendadas para a avaliação de um firewall é desenvolver um conjunto específico de critérios de avaliação e passar cada dispositivo por todo o conjunto de testes, documentando em detalhe os resultados para que a escolha final possa ser feita de maneira sistemática. PALO ALTO NETWORKS | 44 45 | GUIA PARA COMPRADORES DE FIREWALL Sobre a Palo Alto Networks Palo Alto Networks® é a principal empresa de segurança de redes de próxima geração. Sua plataforma inovadora permite que empresas, provedores de serviços e entidades governamentais protejam suas redes, ativando com segurança o número rapidamente crescente e cada vez mais complexo de aplicativos em execução em suas redes, e fornecendo prevenção contra ciberameaças. O núcleo da plataforma da Palo Alto Networks é seu firewall de última geração, que oferece visibilidade e controle de aplicativos, usuários e conteúdo por meio de sua arquitetura proprietária de hardware e software. Os produtos e os serviços da Palo Alto Networks podem atender a uma grande variedade de requisitos de segurança de rede, do datacenter ao perímetro da rede, bem como a empresa distribuída, que inclui filiais e um número crescente de dispositivos móveis. Os produtos da Palo Alto Networks são usados por mais de 12.500 clientes em mais de 100 países. Para obter mais informações, visite o site www.paloaltonetworks.com PALO ALTO NETWORKS | 46 47 | GUIA PARA COMPRADORES DE FIREWALL www.paloaltonetworks.com ©2013 Palo Alto Networks, Inc. Todos os direitos reservados. Palo Alto Networks e o logotipo da Palo Alto Networks são marcas comerciais ou marcas registradas da Palo Alto Networks, Inc. Outras empresas e nomes de produtos podem ser marcas registradas de seus respectivos proprietários. As especificações estão sujeitas a alterações sem aviso prévio. PAN_BG_081413_PT PALO ALTO NETWORKS | 48