GUIA PARA COMPRADORES DE FIREWALL

Transcrição

GUIA PARA
COMPRADORES
DE FIREWALL
O guia definitivo para avaliar firewalls de redes corporativas.
1 | GUIA PARA COMPRADORES DE FIREWALL
Introdução
A mudança gera inovação
Mesmo com os recursos mais avançados
e o maior rendimento já visto, os firewalls
Sem dúvida, sua rede está mais complexa do que nunca. Seus funcionários estão
acessando todos os aplicativos que querem, usando dispositivos pessoais ou de
trabalho. Muitas vezes, esses aplicativos são de utilização pessoal e relacionada ao
trabalho, mas os riscos corporativos e de segurança são, frequentemente, ignorados.
Novos futuros funcionários querem saber sobre as políticas de utilização de aplicativos
antes de aceitarem ser contratados. Além disso, a preocupação subjacente com
relação a efetividade da sua postura de cibersegurança adiciona mais uma camada de
complexidade. O seu negócio é um alvo? É mais uma questão de “quando acontecerá”
e não de “se acontecer”? Você está preparado da melhor maneira possível?
A complexidade da sua rede e infraestrutura de segurança pode limitar ou atrasar
sua capacidade de responder a estes ou a outros desafios de cibersegurança.
e os filtros tradicionais para portas
Quando o aumento da complexidade limita ou atrasa seu processo de tomada de
decisão, é sempre útil “focar no fundamental” como forma de abordar a situação
existente de maneira mais eficiente. Com esse entendimento, devemos nos lembrar
das três funções fundamentais que o firewall foi projetado para executar:
e endereços IP não são mais adequados
1.Operar como o núcleo da sua infraestrutura de segurança de rede.
estão passando por uma crise de identidade.
As ameaças estão mudando rapidamente
para barrá-las.
2.Agir como ponto de controle de acesso para todo o tráfego—permitindo ou negando
tráfego na rede com base em políticas.
3.Eliminar o risco do “desconhecido” usando um modelo de controle positivo
determinante—que permite aquilo que você quer, e nega implicitamente todo o resto.
Com o passar do tempo, as funções fundamentais executadas pelo seu firewall foram
anuladas pelo mesmo tráfego que deveriam controlar. Os aplicativos evoluíram de
forma que o firewall, o núcleo da sua infraestrutura de segurança, tem dificuldade
para exercer os níveis de controle necessários para proteger seus ativos digitais.
PALO ALTO NETWORKS | 2
Pular portas, usar portas não padrão e criptografia são algumas das formas utilizadas
pelos aplicativos para se tornarem mais acessíveis. As mesmas técnicas também
são usadas por cibercriminosos de forma direta, em ciberataques criados por eles
mesmos, ou indireta, ocultando ameaças no tráfego de aplicativos. Para complicar
ainda mais os desafios introduzidos por esses aplicativos modernos, há o fato de
que seus funcionários, provavelmente, usam esses aplicativos como forma de
auxílio a realização de seus trabalhos. Alguns exemplos de aplicativos e ameaças
encontrados na sua rede incluem:
n
n
n
Aplicativos comuns de usuário final: Estes aplicativos incluem mídia social,
compartilhamento de arquivos, vídeo, mensagem instantânea e e-mail.
Coletivamente, representam aproximadamente 25% dos aplicativos da sua rede
e 20% da largura de banda1. Os funcionários podem usar alguns deles para fins
de trabalho e outros, apenas para uso pessoal. Estes aplicativos são geralmente
altamente extensíveis e incluem recursos que podem introduzir riscos indesejados.
Estes aplicativos representam riscos empresariais e de segurança e o seu desafio
será como atingir um equilíbrio apropriado para bloquear alguns e permitir outros
com segurança.
Principais aplicativos empresariais: Estes são os aplicativos que conduzem seus
negócios; eles abrangem seus ativos mais valiosos (por exemplo, bancos de dados,
serviços de arquivo e impressão, diretórios). Este grupo de aplicativos é grande
alvo de ataques cibernéticos através de ataques multi-facetados, e seu desafio será
descobrir como isolá-lo e protegê-lo da melhor maneira possível de ataques furtivos
que facilmente transpassam o seu firewall e IPS usando técnicas comuns de evasão.
Infraestrutura e aplicativos personalizados: Este grupo de aplicativos representa
os principais aplicativos da infraestrutura, como SSL, SSH e DNS, bem como aqueles
desenvolvidos internamente, personalizados e desconhecidos. Estes aplicativos
são comumente usados para mascarar comandos e tráfegos gerados por botnets e
outros tipos de malware. Curiosamente, vários destes aplicativos usam uma ampla
gama de portas não padrão. Oitenta e cinco dos 356 aplicativos que usam SSL nunca
usam a porta 443, nem as portas SSL definidas (37 pulam portas, 28 usam tcp/80,
20 usam portas diferentes de tcp/443).
1
Para tentar abordar estes desafios, há um foco aumentado nos fundamentos do
firewall, e os fornecedores de firewall de rede estão repensando a forma como
identificam e controlam o tráfego com base no próprio aplicativo, em vez de apenas
na porta e no protocolo. Coletivamente, os firewalls capazes de exercer uma
abordagem centralizada nos aplicativos para controle do firewall são agora descritos
como “próxima geração” e cada fornecedor de firewall reconhece que o controle de
aplicativos é cada vez mais parte fundamental da segurança de rede.
Existem dois motivos óbvios para este foco renovado nos fundamentos. Em primeiro
lugar, os aplicativos e as ameaças associadas podem facilmente escapar de firewalls
baseados em portas, bem como de elementos adicionais de prevenção contra
ameaças. Em segundo lugar, o firewall é o único local que vê todo o tráfego que flui
pela sua rede e, ainda assim, é o local mais lógico para aplicar políticas de controle de
acesso. O valor deste foco renovado é óbvio: sua postura de segurança deve melhorar,
enquanto o esforço administrativo associado ao gerenciamento de firewall e resposta
a incidentes deve diminuir ou, no mínimo, manter-se constante.
Revolução, e não evolução
Há muito tráfego, muitos aplicativos e muito
pouca tolerância a impactos de desempenho
negativo para continuar a adicionar
dispositivos e novos módulos de software
que ajudarão a analisar o tráfego.
Palo Alto Networks Application Usage and Threat Report, janeiro de 2013
Definição do firewall
de próxima geração
O firewall de próxima geração foi bem definido pela Gartner como algo novo e focado
Mercado enterprise, “incorporando inspeção de toda a pilha para oferecer suporte
a prevenção contra invasões, inspeção a nível de aplicativos e controle minucioso de
políticas”. A maioria dos fornecedores de segurança de rede estão oferecendo controle
e visibilidade de aplicativos, adicionando assinaturas de aplicativo ao mecanismo
IPS ou oferecendo uma licença adicional para um módulo de controle de aplicativos.
Em ambos os casos, estas opções são adicionais a um firewall baseado em porta
e fazem pouco para ajudar a se focar nas tarefas fundamentais que o seu firewall
foi projetado para executar.
A eficiência operacional da sua empresa depende dos aplicativos que seus funcionários
usam e do conteúdo contido nesses aplicativos. Apenas permitir alguns e bloquear
outros pode inibir o seu negócio. Se sua equipe de segurança está buscando os
recursos e capacidades do firewall de próxima geração, o mais importante a considerar
é se o firewall de próxima geração irá ou não capacitar sua equipe de segurança
para permitir aplicativos com segurança para o benefício da organização. Considere
o seguinte:
n
n
n
n
n
O firewall de próxima geração vai aumentar a visibilidade e a capacidade de entender
o tráfego de aplicativos da sua rede?
As opções de resposta da política de controle de tráfego serão mais abrangentes do
que apenas permitir ou negar?
Sua rede estará protegida de ameaças e ciberataques – tanto conhecidos como
desconhecidos?
Você é capaz de identificar e gerenciar sistematicamente o tráfego desconhecido?
Você é capaz de implementar as políticas de segurança desejadas sem comprometer
o desempenho?
n
n
n
Os esforços administrativos que sua equipe dedica ao gerenciamento de firewall
será reduzido?
O trabalho de gerenciar riscos será mais fácil e efetivo?
As políticas que você habilitar poderão ajudar a contribuir com os resultados da
empresa?
Se as respostas para as perguntas acima forem “sim”, então sua decisão de mudar
de firewalls de legado para firewalls de próxima geração é fácil de justificar. A próxima
etapa é considerar as soluções alternativas oferecidas pelos fornecedores de
firewall. Ao avaliar as alternativas disponíveis, é importante considerar as diferenças
arquitetônicas entre as ofertas de firewall de próxima geração e os impactos
associados em termos de funções/recursos reais, operações e desempenho.
Firewalls de próxima geração
1.Identificam aplicativos independente da porta, protocolo, tática evasiva ou criptografia.
2.Identificam usuários independente do dispositivo ou endereço IP.
3.Protegem em tempo real contra ameaças conhecidas e desconhecidas integradas aos
aplicativos.
4.Fornecem visibilidade e controle minucioso de políticas sobre os aplicativos, usuários
e conteúdo.
5.Fornecem implantação em linha previsível e multi-gigabit.
Considerações arquitetônicas para
classificação de tráfego de firewall
Ao criar firewalls de próxima geração, os fornecedores de segurança utilizam uma de
duas abordagens arquitetônicas:
1.Criar identificação de aplicativos no firewall como mecanismo principal de
classificação.
2.Adicionar um mecanismo de reconhecimento de padrões de assinatura de aplicativos
a um firewall baseado em porta.
O restante deste Guia do Comprador é separado em três seções distintas. A primeira
seção introduz as 10 coisas que seu próximo firewall deve fazer, que devem ser vistas
como pontos de comprovação de que a arquitetura e o modelo de controle descrito
acima são fundamentais para cumprir a promessa de identificar e permitir aplicativos
com segurança no firewall. As seções restantes analisam como essas 10 coisas devem
ser usadas para selecionar um fornecedor através do processo de Pedido de Proposta
(RFP) e como você deve avaliar fisicamente a solução de firewall.
Ambas as abordagens podem reconhecer aplicativos, mas com graus variáveis de
sucesso, usabilidade e relevância. Mais importante, essas abordagens arquitetônicas
ditam um modelo de segurança específico para políticas de aplicativos—positivas
(definir o que é permitido, negar todo o resto), ou negativas (definir o que bloquear,
permitir todo o resto).
n
n
Um modelo de segurança positivo (firewall ou outro) lhe possibilita escrever políticas
que permitem aplicativos ou funções específicas (por exemplo, WebEx, SharePoint,
Gmail) e todo o resto é implicitamente negado. Para atingir este nível de controle,
todo o tráfego deve ser classificado proativamente no firewall (e não após ele) para
garantir que o tráfego apropriado seja permitido e o resto, negado. Ao estabelecer total
visibilidade no tráfego, as empresas podem reduzir o esforço administrativo associado
com ganhar visibilidade na atividade de rede, gerenciamento de políticas e investigação
de incidentes. Implicações de segurança podem incluir melhor proteção contra
ciberataques conhecidos e desconhecidos, mesmo que você possa estar permitindo
um maior número de aplicativos na sua rede e um melhor controle sobre aplicativos
desconhecidos através da premissa “negar todo o resto“ oferecida por um firewall.
Um modelo de segurança negativo (IPS, AV, etc.) permite especificamente procurar
por e bloquear ameaças, ou aplicativos indesejados e permitir todo o resto. Isto
significa que todo tráfego não é necessariamente classificado—apenas o suficiente
para preencher a lista de bloqueio desejada. Esta técnica pode ser suficiente para
encontrar e bloquear ameaças ou aplicativos não desejados de forma seletiva, mas
um modelo de segurança negativo não é adequado para atuar como principal meio
de controle de todo o tráfego da sua rede, transformando esta técnica em apenas um
auxílio ao firewall baseado em porta. As ramificações de negócio de um modelo de
segurança negativo incluem maior esforço administrativo associado a várias políticas
e bancos de dados de registro/logs duplicados.
10 coisas que o seu
próximo firewall deve fazer
Os critérios de seleção de um firewall se encaixam em três áreas: funções de
segurança, operações e desempenho. Os elementos funcionais de segurança
correspondem à eficácia dos controles de segurança e a capacidade da sua equipe
de gerenciar o risco associado com os aplicativos que passam pela sua rede. Da
perspectiva operacional, a grande pergunta é “onde está a política de aplicativos e
quão difícil e complicado é para sua equipe gerenciá-la”? A diferença de desempenho
é simples: o firewall é capaz de fazer o que deve fazer de acordo com os requisitos de
rendimento da sua empresa? Embora cada organização tenha requisitos e prioridades
variadas nestes três critérios de seleção, as 10 coisas que o seu próximo firewall deve
fazer são:
1. Identificar e controlar aplicativos em qualquer porta
2. Identificar e controlar circumventores
3. Descriptografar SSL de saída e controlar SSH
4. Fornecer controle sobre a função nos aplicativos
5. Gerenciar o tráfego desconhecido de forma sistemática
6. Procurar por vírus e malware em aplicativos em todas as portas
7. Permitir a mesma visibilidade e controle para todos os usuários
e dispositivos
1.
O seu próximo firewall deve identificar e controlar os aplicativos, em todas as
portas, o tempo todo.
Caso de negócio: Os desenvolvedores de aplicativos não aderem mais a metodologia
padrão de desenvolvimento de porta/protocolo/aplicativo. Cada vez mais aplicativos
são capazes de operar em portas não padrão ou pular portas (por exemplo, aplicativos
de mensagens instantâneas, compartilhamento peer-to-peer ou VoIP). Além disso,
os usuários estão cada vez mais experientes em forçar a execução de aplicativos em
portas não padrão (p.ex., RDP, SSH). Para aplicar políticas de firewall específicas para
aplicativos em que as portas são irrelevantes, o seu próximo firewall deve assumir que
qualquer aplicativo pode ser executado em qualquer porta. O conceito de qualquer
aplicativo em qualquer porta é uma das mudanças fundamentais no panorama de
aplicativos que está impulsionando a migração de firewalls baseados em portas para
firewalls de próxima geração. Qualquer aplicativo em qualquer porta também ressalta
o motivo pelo qual um modelo de controle negativo não é capaz de solucionar o
problema. Se um aplicativo pode ser movido para qualquer porta, um produto baseado
em controle negativo exigiria conhecimento de antemão ou a necessidade de executar
todas as assinaturas em todas as portas, a todo o momento.
Requisitos: Este é simples, você deve assumir que qualquer aplicativo pode ser
executado em qualquer porta e o seu próximo firewall deve classificar o tráfego por
aplicativo em todas as portas, a todo o momento, por padrão. A classificação do
tráfego em todas as portas será um tema recorrente em todos os itens restantes;
caso contrário, os controles baseados em porta continuarão a ser ludibriados pelas
mesmas técnicas que os têm atormentado por anos.
8. Tornar a segurança da rede mais simples, não mais complexa,
com a adição de controle de aplicativos
9. Fornecer o mesmo rendimento e desempenho com controle de
aplicativos totalmente ativado
10. Oferecer suporte exatamente as mesmas funções de firewall
em um fator de forma virtualizado ou em hardware
2.
O seu próximo firewall deve identificar e controlar ferramentas de evasão da
segurança.
Caso de negócio: Um pequeno número de aplicativos na sua rede pode ser usado para
evitar, propositalmente, as políticas de segurança que estão em vigor para proteger
os ativos digitais da sua organização. Duas classes de aplicativos se encaixam nas
ferramentas de evasão da segurança—aqueles que são expressamente projetados
para evitar a segurança (por exemplo, proxies externos, túneis criptografados não
relacionados a VPN) e aqueles que podem ser adaptados para alcançar com facilidade
o mesmo objetivo (por exemplo, ferramentas de gerenciamento de desktop/servidor
remoto).
n
n
Aplicativos com proxies externos e túneis criptografados não relacionados a VPN
são especificamente usados para evitar os controles de segurança em vigor através
de uma ampla variedade de técnicas de evasão. Estes aplicativos não apresentam
valor de negócio para sua rede, já que foram projetados para evitar a segurança,
introduzindo riscos invisíveis a segurança e aos negócios.
As ferramentas de gerenciamento de desktop/servidor remoto, como RDP
e Teamviewer, são geralmente usadas por profissionais de suporte e de TI
para trabalharem de forma mais eficiente. Também são frequentemente
usadas por funcionários para passar pelo firewall, estabelecendo conexões
com seus computadores de casa ou com computadores que estão fora da rede.
Os cibercriminosos sabem que estes aplicativos são comumente usados e existem
casos documentados publicamente, tanto no Relatório Verizon de violação de dados
(DBIR) quanto no relatório Mandiant, nos quais essas ferramentas de acesso remoto
foram executadas em uma ou mais fases de um ataque.
Requisitos: Há diferentes tipos de aplicativos de evasão, e cada um usa técnicas
levemente diferentes. Existem proxies externos públicos e privados (consulte proxy.
org para obter um banco de dados maior de proxies públicos) que podem usar tanto
HTTP quanto HTTPS. Os proxies privados geralmente estão definidos em endereços
de IP não classificados (por exemplo, computadores domésticos) com aplicativos
como PHProxy ou CGIProxy. Os aplicativos de acesso remoto como o RDP, Teamviewer
ou GoToMyPC apresentam usos legítimos, mas devido ao risco associado, devem
ser gerenciados de perto. A maioria dos outros aplicativos de evasão (por exemplo,
Ultrasurf, Tor, Hamachi) não apresentam uso empresarial na sua rede. Independente
da sua postura de política de segurança, o seu próximo firewall precisa ter técnicas
específicas para identificar e controlar todos esses aplicativos, independentemente
da porta, protocolo, criptografia ou outra tática de evasão. Mais uma consideração: os
aplicativos que permitem evitar a segurança são atualizados regularmente para tornálos mais difíceis de detectar e controlar. Portanto, é importante entender não somente
que o seu próximo firewall deve poder identificar esses aplicativos de evasão, como
também é importante saber com que frequência a inteligência de aplicativos do firewall
é atualizada e mantida.
Para esclarecer, nem todos estes aplicativos possuem os mesmos riscos; aplicativos
de acesso remoto apresentam uso legítimo, assim como muitos aplicativos de túnel
criptografado. Entretanto, essas mesmas ferramentas estão cada vez mais sendo
adotadas por criminosos como parte de ataques persistentes contínuos. Sem a
capacidade de controlar essas ferramentas de evasão da segurança, as organizações
não podem aplicar suas políticas, expondo-se aos riscos que consideravam estar
mitigando.
3.
4.
O seu próximo firewall deve descriptografar e inspecionar SSL e controlar SSH.
O seu próximo firewall deve fornecer controle sobre a função nos aplicativos.
Caso de negócio: Hoje em dia, 26% dos aplicativos usam SSL de uma forma ou
de outra nas redes corporativas atuais2. Dado o aumento da adoção de HTTPS
por vários aplicativos de alto risco e alta recompensa empregados pelos usuários
finais (por exemplo, Gmail, Facebook) e a capacidade do usuário de forçar SSL em
vários websites, sua equipe de segurança tem um enorme e crescente ponto cego
sem a capacidade de descriptografar, classificar, controlar e verificar o tráfego SSL
criptografado. Certamente, um firewall de próxima geração precisa ser flexível
o suficiente para permitir determinados tipos de tráfego SSL criptografado (por
exemplo, tráfego da web proveniente de serviços financeiros ou organizações de
cuidado com a saúde), e poder descriptografar outros tipos de tráfego (por exemplo,
SSL em portas não padrão, HTTPS de websites não classificados na Europa Oriental)
através de políticas. O SSH é usado quase que universalmente e pode ser configurado
com facilidade por usuários finais para finalidades não relacionadas ao trabalho, da
mesma forma que uma ferramenta de desktop remoto é utilizada. O fato de que o
SSH é criptografado também o torna uma ferramenta útil para ocultar atividade não
relacionada ao trabalho.
Caso de negócio: Desenvolvedores de plataformas de aplicativos, como o Google,
Facebook, Salesforce.com ou a Microsoft, fornecem aos usuários um conjunto
avançado de recursos e funções que ajudam a garantir a lealdade do usuário, mas que
podem representar perfis de risco muito diferentes. Por exemplo, permitir o Webex
pode ser uma valiosa ferramenta de negócios, mas usar o Webex Desktop Sharing
para assumir o desktop do seu funcionário a partir de uma fonte externa pode ser
uma violação de conformidade interna ou regulatória. Outro exemplo é o Google Mail
(Gmail) e o Google Talk (Gtalk). Quando um usuário entra no Gmail, o que pode ser
permitido pelas políticas, pode trocar contexto com facilidade através do Gtalk, o que
pode não ser permitido. O seu próximo firewall deve poder reconhecer e delinear
recursos e funções individuais para que uma resposta apropriada às políticas possa
ser implementada.
Requisitos: A capacidade de descriptografar SSL é um elemento fundamental—não
somente porque compõe um percentual significativo e cada vez maior do tráfego
empresarial, como também porque permite alguns outros recursos importantes
que seriam incompletos ou ineficientes sem a capacidade de descriptografar o SSL.
Elementos importantes de se procurar incluem reconhecimento e descriptografia de
SSL em qualquer porta - tanto de entrada quanto de saída -, controle de políticas sobre
a descriptografia e os elementos de hardware e software necessários para realizar
descriptografia de SSL em dezenas de milhares de conexões SSL simultâneas com
desempenho previsto. Os requisitos adicionais a considerar incluem a capacidade de
identificar e controlar o uso de SSH. Especificamente, o controle de SSH deve incluir
a capacidade de determinar se ele está sendo usado para encaminhamento de porta
(local, remoto, X11) ou uso nativo (SCP, SFTP e acesso ao shell). O conhecimento
sobre como o SSH está sendo utilizado pode ser traduzido em políticas de segurança
apropriadas.
Requisitos: O seu próximo firewall deve classificar de forma contínua cada aplicativo,
monitorando alterações que podem indicar que uma função diferente está sendo
utilizada. O conceito da classificação de tráfego “uma vez e pronto” não é uma opção,
já que ignora o fato de que estes aplicativos comumente usados compartilham sessões
e oferecem suporte a várias funções. Se uma função ou recurso diferente é introduzido
na sessão, o firewall deve observá-lo nas tabelas de estado e realizar uma verificação
de política. O rastreamento contínuo do estado para compreender as diferentes
funções suportadas por cada aplicativo e os diferentes riscos associados é um requisito
crítico do seu próximo firewall.
Permissão segura de aplicativos
Para possibilitar aplicativos e tecnologias
com segurança - e os negócios que são
realizados através desses aplicativos e
tecnologias - as equipes de segurança
precisam instituir políticas apropriadas de
administração da utilização, mas também
precisam ser capazes de aplicá-las.
2
5.
6.
O seu próximo firewall deve gerenciar o tráfego desconhecido de forma sistemática.
O seu próximo firewall deve procurar por ameaças em todos os aplicativos e em
todas as portas.
Caso de negócio: O tráfego desconhecido existe em pequenas quantidades em todas
as redes, mas ainda representa um risco significativo para você e para a sua empresa.
Existem vários elementos importantes para considerar com o tráfego desconhecido:
ele é classificado? É possível reduzi-lo através de um controle por políticas? O seu
firewall é capaz de classificar com facilidade aplicativos personalizados para que
sejam “conhecidos” na sua política de segurança? O seu firewall ajuda a determinar
se o tráfego desconhecido é uma ameaça?
O tráfego desconhecido também está fortemente vinculado a ameaças na rede.
Os criminosos geralmente são forçados a modificar um protocolo para explorar um
aplicativo alvo. Por exemplo, para atacar um servidor da web, um criminoso pode
precisar modificar tanto um cabeçalho HTTP que o tráfego resultante não é mais
identificado como um tráfego da web. Tal anormalidade pode ser uma indicação
prévia de um ataque. Da mesma forma, um malware geralmente usará protocolos
personalizados como parte de seu modelo de comando e controle, permitindo as
equipes de segurança eliminar qualquer infestação desconhecida por malwares.
Requisitos: Por padrão, o seu próximo firewall deve classificar todo o tráfico, em todas
as portas – esta é uma área em que a discussão anterior sobre o modelo de controle
de segurança e arquitetura se tornou muito importante. Modelos positivos (negar por
padrão) classificam tudo, modelos negativos (permitir por padrão) classificam apenas
o que são solicitados a classificar. Classificar tudo é apenas uma pequena parte do
desafio introduzido pelo tráfego desconhecido. O seu próximo firewall deve permitir
ver todo o tráfego desconhecido, em todas a portas, em um local [de gerenciamento]
e analisar rapidamente o tráfego para determinar se (1) é um aplicativo interno ou
personalizado, (2) é um aplicativo comercial sem uma assinatura ou (3) é uma ameaça.
Além disso, seu próximo firewall deve fornecer as ferramentas necessárias para não
somente ver o tráfego desconhecido, como também gerenciá-lo sistematicamente
controlando-o através de políticas, criando uma assinatura personalizada, enviando um
PCAP de aplicativo comercial para maior análise ou realizando investigações analíticas
para determinar se ele é uma ameaça.
Caso de negócio: As empresas continuam a adotar uma ampla variedade de aplicativos
para viabilizar os negócios, e eles podem ser hospedados internamente ou fora do seu
local físico. Independente de ser um aplicativo hospedado no SharePoint, Box.com,
Google Docs, Microsoft Office365 ou um aplicativo extranet hospedado por um parceiro,
muitas organizações precisam usar aplicativos capazes de usar portas não padrão,
SSL ou compartilhar arquivos. Em outras palavras, estes aplicativos podem viabilizar
os negócios mas também podem atuar como vetores de ciberameaças. Além disso,
alguns destes aplicativos (como o SharePoint) dependem de tecnologias de suporte
que são alvos regulares de explorações (como IIS, Servidor SQL). Bloquear o aplicativo
não é apropriado, mas também não é possível permitir cegamente os aplicativos com
os (possíveis) riscos associados ao negócio e a cibersegurança.
Esta tendência de usar portas não padrão é muito acentuada no mundo dos malwares.
Já que o malware reside na rede, e a maioria das comunicações envolvem um cliente
malicioso (o malware) se comunicando com um servidor malicioso (comando e
controle), o criminoso tem total liberdade para usar qualquer combinação de porta
e protocolo que quiser. Na verdade, em uma análise recente de três meses, 97% de
todos os malwares desconhecidos fornecidos via FTP usaram portas totalmente fora
do padrão.
Requisitos: Parte da permissão segura envolve permitir um aplicativo e procurar
por ameaças. Estes aplicativos podem se comunicar através de uma combinação de
protocolos (por exemplo, o SharePoint usa CIFS, HTTP e HTTPS, e exige uma política
de firewall mais sofisticada do que apenas “bloquear o aplicativo”). A primeira etapa
é identificar o aplicativo (independente da porta ou criptografia), determinar as
funções que você quer permitir ou negar e verificar os componentes permitidos quanto
a ameaças – explorações, vírus/malware ou spyware… ou até mesmo informações
confidenciais, controladas ou sensíveis.
7.
8.
O seu próximo firewall deve fornecer controles consistentes a todos os usuários,
independente do local ou tipo de dispositivo.
O seu próximo firewall deve simplificar a segurança da rede com a adição do
controle de aplicativos.
Caso de negócio: Os seus usuários estão cada vez mais trabalhando fora das
dependências da empresa, muitas vezes acessando a rede da empresa em
smartphones ou tablets. Antes domínio de pessoas sempre “na estrada”, agora uma
porção significativa da sua força de trabalho pode trabalhar de forma remota. Seja
trabalhando de uma cafeteria, de casa ou da empresa de um cliente, seus usuários
esperam conectar seus aplicativos via WiFi, redes de banda larga sem fio ou qualquer
outro meio necessário. Independente de onde o usuário ou o aplicativo que ele
utiliza esteja, o mesmo padrão de controle de firewall deve ser aplicado. Se o seu
próximo firewall permitir visibilidade e controle de aplicativos no tráfego dentro das
dependências da empresa, mas não fora, ele errará o alvo em um dos tráfegos de
maior risco.
Caso de negócio: Muitas empresas têm dificuldade em incorporar mais feeds
de informação, mais políticas e mais gerenciamento em pessoas e processos de
segurança sobrecarregados. Em outras palavras, se sua equipe não consegue
gerenciar o que tem no momento, adicionar mais dispositivos e gerenciar interfaces
juntamente com políticas e informações associadas não vai ajudar a reduzir o esforço
da equipe administrativa, nem reduzir o tempo de resposta a incidentes. Quanto mais
distribuída é a política (por exemplo, um firewall baseado em porta permite tráfego
pela porta 80, IPS procura por/bloqueia ameaças e aplicativos, gateway web seguro
aplica filtros de URL), mais difícil é gerenciar a política. Que política sua equipe de
segurança utiliza para possibilitar o WebEx? De que forma eles determinam e resolvem
conflitos de políticas em diferentes dispositivos? Já que instalações típicas de firewalls
baseados em portas apresentam bases de regras que incluem milhares de regras,
adicionar milhares de assinaturas de aplicativos em dezenas de milhares de portas
aumentará exponencialmente a complexidade.
Requisitos: Conceitualmente, isso é simples – o seu próximo firewall deve ter
visibilidade e controle consistente sobre o tráfego, independente do local que o usuário
esteja. Isso não quer dizer que a sua organização terá exatamente as mesmas políticas
para ambos; por exemplo, algumas organizações podem desejar que seus funcionários
usem o Skype quando estão na estrada, mas não dentro da matriz, enquanto outras
podem ter uma política que determina que quando os usuários estão fora do escritório,
não podem fazer download de anexos do salesforce.com, a não ser que tenham
ativado uma criptografia de disco rígido. Isto pode ser alcançado com o seu próximo
firewall sem introduzir latência significativa para o usuário final nem impor problemas
operacionais para o administrador, ou custos para a organização.
Requisitos: Seu negócio se baseia em aplicativos, usuários e conteúdo e o seu próximo
firewall deve possibilitar a criação de políticas que apoiam diretamente suas iniciativas
de negócio. O contexto compartilhado por aplicativos, usuários e conteúdos em todos
os aspectos – visibilidade, controle de políticas, geração de logs e relatórios – ajudará
a simplificar significativamente a sua infraestrutura de segurança. Uma política de
firewall baseada em portas e endereços IP, seguida de políticas separadas para
controle de aplicativos, IPS e anti-malware irá somente complicar o seu processo de
gerenciamento de políticas e pode acabar inibindo os negócios.
9.
10.
O seu próximo firewall deve fornecer o mesmo rendimento e desempenho com
controle de aplicativos totalmente ativado.
O seu próximo firewall deve fornecer exatamente as mesmas funções de firewall
em um fator de forma virtualizado e em hardware.
Caso de negócio: Muitas organizações têm dificuldade com o compromisso forçado
entre desempenho e segurança. Com demasiada frequência, ativar recursos de
segurança no firewall significa aceitar rendimento e desempenho significativamente
menor. Se o seu firewall de próxima geração for criado da forma certa, este
compromisso será desnecessário.
Caso de negócio: O crescimento explosivo da virtualização e computação em nuvem
introduz novos desafios de segurança que são difíceis ou impossíveis para os
firewalls de legado gerenciar de forma efetiva devido a funcionalidade inconsistente,
gerenciamento desigual e falta de pontos de integração com o ambiente de
virtualização. Para proteger o tráfego que entra e sai do datacenter, bem como o
tráfego dos ambientes virtualizados, o seu próximo firewall deve oferecer suporte
exatamente as mesmas funcionalidades em um fator de forma virtualizado e em
hardware.
Requisitos: A importância da arquitetura também é bastante óbvia aqui – de uma
forma diferente. Utilizar em conjunto um firewall baseado em porta e outras funções
de segurança de diferentes origens tecnológicas geralmente significa que há
camadas de rede redundantes, mecanismos de verificação e políticas – o que pode
ser interpretado como baixo desempenho. Da perspectiva de software, o firewall deve
ser projetado para fazer isso desde o início. Além disso, dados os requisitos de tarefas
que requerem uso intensivo do computador (por exemplo, identificação de aplicativos,
prevenção contra ameaças em todas as portas, etc.) realizadas em volumes de alto
tráfego e a baixa tolerância à latência associada a infraestrutura crítica, seu próximo
firewall também deve possuir o hardware projetado para a tarefa – o que significa
apresentar processamento dedicado e específico para rede, segurança e verificação
de conteúdo.
Requisitos: A instalação e desativação dinâmica de aplicativos em um datacenter
virtualizado aumenta os desafios de identificar e controlar aplicativos usando uma
abordagem centralizada em endereços IP e portas. Além de oferecer os recursos já
descritos em 10 coisas que o seu próximo firewall deve fazer, em fatores de forma
virtualizados e em hardware, é imprescindível que o seu próximo firewall forneça
profunda integração com os ambientes de virtualização para agilizar a criação
de políticas centralizadas nos aplicativos conforme novos aplicativos e máquinas
virtuais são consolidados e desativados. Esta é a única forma de garantir o suporte
de arquiteturas de datacenter em evolução com flexibilidade operacional e, ao mesmo
tempo, abordar riscos e requisitos de conformidade.
Os firewalls devem
possibilitar os aplicativos
e os negócios com segurança
Os seus usuários continuam a adotar novos aplicativos e tecnologias, muitas vezes
para realizar suas funções no trabalho, mas sem se preocupar muito com os riscos
corporativos e de segurança associados. Em alguns casos, se a sua equipe de
segurança bloquear esses aplicativos, o seu negócio poderá ser prejudicado.
Os aplicativos agora são a forma como os seus funcionários desempenham suas
funções no trabalho e mantêm a produtividade perante prioridades profissionais
e pessoais concorrentes. Por causa disso, a ativação segura de aplicativos é cada
vez mais a posição política correta. Para possibilitar aplicativos e tecnologias com
segurança na rede - e os negócios que são realizados através desses aplicativos
e tecnologias - as equipes de segurança precisam instituir políticas apropriadas
de administração da utilização e também precisam ser capazes de aplicá-las.
As 10 coisas que o seu próximo firewall deve fazer descrevem as capacidades críticas
que permitirão as organizações possibilitar o uso de aplicativos com segurança
e também os negócios. A próxima etapa é traduzir estes requisitos em medidas
praticáveis; selecionando um fornecedor através de um processo de RFP e avaliando
formalmente ofertas de soluções, resultando, consequentemente, na compra
e implantação de um firewall de próxima geração.
Capacitando o seu negócio
No mundo sempre conectado de hoje,
controlar aplicativos é muito mais do
que apenas permitir ou negar; trata-se
de permitir aplicativos com segurança
para o benefício dos negócios.
Usando o processo RFP para selecionar
um firewall de próxima geração
Geralmente, ao selecionar firewalls, IPS ou outros componentes críticos da
infraestrutura de segurança, as organizações utilizarão um Pedido de Proposta (RFP)
como forma de garantir que necessidades específicas sejam abordadas. De acordo
com o Quadrante Mágico da Gartner para Firewalls Empresariais, “condições de
ameaça em constante mudança e processos de negócio e TI em transformação farão
com que os gerentes de segurança de rede busquem pelas capacidades do firewall de
próxima geração no próximo ciclo de renovação de firewall/IPS”. Conforme surgem
novas oportunidades de implantação, as organizações devem expandir seus critérios
de seleção de RFP de forma a incluir a visibilidade e o controle de aplicativos oferecido
pelas alternativas de próxima geração. A seção anterior estabeleceu os 10 principais
requisitos do seu próximo firewall. Esta seção traduzirá estes requisitos em ferramentas
que podem ser utilizadas para identificar e selecionar um firewall de próxima geração.
Considerações sobre a arquitetura do firewall e o modelo de controle
Muitos elementos devem ser considerados ao avaliar a eficiência com que um
fornecedor pode oferecer visibilidade e controle de aplicativos no firewall. A arquitetura
do firewall, especificamente o mecanismo de classificação de tráfego, determinará a
eficácia com que o firewall é capaz de identificar e controlar os aplicativos, em vez de
apenas portas e protocolos. Como já mencionado, a primeira coisa que um novo firewall
de qualquer tipo deve fazer é determinar de forma precisa o que é o tráfego, e usar esse
resultado como base para todas as decisões relacionadas às políticas de segurança.
Neste modelo, as políticas de firewall são controles positivos tradicionais (bloqueiam
tudo, exceto aquilo que você expressamente permitir). Um modelo positivo significa
que você pode controlar e permitir aplicativos, o que é um requisito crítico do mundo
sempre disponível e conectado dos negócios de hoje. Anexar elementos semelhantes
ao IPS e que procuram por aplicativos significa utilizar um modelo de controle negativo
(permitir tudo, exceto aquilo que é expressamente negado pelo IPS). Um modelo
negativo significa que você só pode bloquear aplicativos. As diferenças são análogas ao
fato de ligar uma luz em um quarto para ver e controlar tudo (positivo) em comparação
a ligar uma lanterna em um quarto para ver e controlar somente o que você está
olhando (negativo). Usar este elemento adicional para identificar e bloquear eventos
“ruins” é apenas um “remendo” e não uma solução completa porque ele foi projetado
para analisar apenas uma parte do tráfego com o intuito de evitar perdas de
desempenho, e não é capaz de abranger a diversidade de ciberataques e aplicativos.
Visibilidade e controle de aplicativos
O RFP deve determinar os detalhes sobre a forma como a arquitetura do firewall facilita
a identificação e controle de toda a diversidade de aplicativos, incluindo aplicativos
pessoais, empresariais ou outros, além de protocolos, não importando a porta,
criptografia SSL ou outra técnica evasiva em uso. Considere as perguntas e afirmativas
a seguir relacionadas a emissão de um RFP para firewalls de próxima geração.
n
Muitos aplicativos podem evitar a detecção usando portas não padrão, pulando
portas ou sendo configurados para executar em uma porta diferente.
n
n
n
n
Os mecanismos de identificação de aplicativos fazem parte da classificação
principal do tráfego do firewall (ou seja, permitido por padrão)?
Os mecanismos de identificação de aplicativos dependem da porta padrão do
aplicativo?
As assinaturas podem ser aplicadas em todas as portas? O processo é configurado
de forma automática ou manual?
Quando o tráfego atinge o dispositivo, é classificado primeiro com base na porta
(esta é a porta 80; portanto, deve ser HTTP) ou no aplicativo (isto é o Gmail)?
n
A identificação de aplicativos está sendo realizada no firewall, ou é realizada em um
processo secundário, após a classificação baseada em porta?
n
n
O estado dos aplicativos está sendo acompanhado? Se sim, de que forma o
estado é utilizado para garantir um controle consistente dos aplicativos e funções
secundárias associadas?
n
n
n
n
Com que frequência o banco de dados de aplicativos é atualizado? Esta atualização
é dinâmica ou apenas uma atualização com reinicialização do sistema?
Em ambientes virtualizados, descreva a forma como o tráfego é classificado na
máquina virtual (leste/oeste, norte/sul).
n
Descreva detalhadamente como o firewall pode identificar aplicativos de forma
precisa.
n
n
Além de assinaturas, quais mecanismos são usados para classificar o tráfego?
n
Descreva a abrangência do uso de decodificadores de protocolos e aplicativos.
n
De que forma a descriptografia e controle de SSL e SSH são implementados?
n
n
Dê três exemplos de como o estado do aplicativo é usado no controle de políticas.
A identidade do aplicativo é a base da política de segurança por firewall ou o controle
de aplicativos é tratado como um elemento de políticas secundárias?
n
n
Quais são as três vantagens da abordagem arquitetônica apoiada?
n
Descreva os pontos de integração no ambiente de virtualização.
Descreva o processo de criação de políticas de segurança para máquinas virtuais
recém criadas.
Descreva os recursos disponíveis para acompanhar os movimentos, adições
e mudanças nas máquinas virtuais.
Descreva os recursos disponíveis para integração com sistemas de automação
e orquestração.
Os mecanismos de classificação de tráfego são aplicados de forma igual em todas
as portas?
Quais mecanismos são usados para detectar aplicativos de evasão, como o UltraSurf
ou P2P criptografado?
Controle de aplicativos evasivos, SSL e SSH
Permissão de aplicativos baseada em políticas
Uma ampla variedade de aplicativos pode ser usada para evitar os controles de
segurança. Alguns, como os proxies externos e túneis criptografados não relacionados
a VPN, são projetados com o objetivo de evitar controles. Outros, como ferramentas
de gerenciamento de servidor/desktop remoto, evoluíram de forma a serem usados
por funcionários não relacionados a TI ou ao suporte para evitar mecanismos de
segurança. Como meio de segurança, o SSL está se tornando uma configuração
padrão para muitos aplicativos de usuário final, contudo, o problema surge quando
o uso do SSL acaba mascarando ameaças de entrada ou transferência de dados
de saída. Atualmente, cerca de 26% dos aplicativos que atravessam sua rede são
capazes de usar SSL3 de alguma forma. Portanto, é importante determinar os
respectivos fornecedores de firewall de próxima geração que abordam esta categoria
de aplicativos. Considere as perguntas e afirmativas a seguir relacionadas à emissão
de um RFP para firewalls de próxima geração.
No mundo sempre conectado de hoje, controlar aplicativos significa muito mais
do que apenas permitir ou negar; trata-se de permitir aplicativos com segurança
para o benefício dos negócios. Muitas “plataformas” (Google, Facebook, Microsoft)
disponibilizam diferentes aplicativos ao usuário após login inicial. É fundamental
determinar como o fornecedor de firewall monitora o estado do aplicativo, detecta
mudanças no aplicativo e classifica a mudança de estado. Considere as perguntas
e afirmativas a seguir relacionadas a emissão de um RFP para firewalls de próxima
geração.
n
n
n
Descreve o processo pelo qual aplicativos com criptografia SSL são identificados em
todas as portas, incluindo portas não padrão.
Quais controles de políticas estão disponíveis para seletivamente descriptografar,
inspecionar e controlar aplicativos que usam SSL?
n
n
n
A classificação do tráfego dinâmico é realizada separadamente, antes da
identificação do aplicativo? Se sim, descreva como as mudanças no estado do
aplicativo são monitoradas, rastreadas e usadas de acordo com a política quando
o aplicativo é identificado.
Descreva como a hierarquia do banco de dados do aplicativo (plana, multi-nível,
outra) expõe funções no aplicativo principal para políticas de permissão mais
detalhadas.
Descreva os níveis de controle que podem ser exercidos sobre aplicativos individuais
e suas respectivas funções:
Há suporte para identificação, descriptografia e inspeção bi-direcional do SSL?
n
n
n
A descriptografia SSL é uma função padrão ou um custo adicional? Há a necessidade
de um dispositivo dedicado?
O SSH é uma ferramenta comumente usada pela TI e por funcionários com
experiência em tecnologia como meio de acessar dispositivos remotos.
n
n
n
O controle de SSH é suportado? Se sim, descreva a intensidade do controle.
Quais mecanismos são usados para identificar aplicativos de evasão, como
o UltraSurf ou Tor?
Descreva como o produto pode identificar automaticamente circunvemtores
que utilizam uma porta não padrão.
n
n
n
permissão;
permitir com base no aplicativo, na função do aplicativo, na categoria,
subcategoria, tecnologia ou fator de risco;
permitir com base em horários, usuário, grupo, porta;
permitir e procurar por vírus, explorações de aplicativos, spyware, downloads
dirigidos;
n
permitir e modelar/aplicar controles de qualidade de serviço;
n
negar.
3
n
Controles baseados em porta podem ser implementados para todo o banco de
dados de aplicativos para que o administrador possa aplicar, através da política,
o relacionamento entre o aplicativo e a porta? Por exemplo:
n
n
n
n
n
n
n
Forçar desenvolvedores de banco de dados Oracle por uma porta específica ou
por um intervalo de portas.
Garantir que a equipe de TI seja a única permitida a usar SSH e RDP.
Detectar e bloquear malwares dentro do aplicativo, mesmo que seja em uma
porta não-padrão.
Gerenciamento sistemático de aplicativos desconhecidos
Toda rede terá algum tráfego de aplicativos desconhecidos. A fonte geralmente é um
aplicativo interno ou personalizado, mas também pode ser um aplicativo comercial não
identificado ou, na pior das hipóteses, algum código malicioso. O principal elemento
a determinar através do processo de avaliação e RFP é uma descrição específica
de como o fornecedor permite gerenciar sistematicamente o tráfego desconhecido,
que representa um maior risco comercial e de segurança. Considere as perguntas
geração.
Liste todos os repositórios de identidade empresarial suportados por controles
baseados em usuário.
n
Um API está disponível para integração personalizada ou não padrão de identidade
e infraestrutura?
n
Descreva como os controles baseados em políticas são implementados por usuários
e grupos para ambientes de serviços de terminal.
n
Descreva quaisquer diferenças nas opções de permissão de aplicativos para
instâncias virtualizadas e de hardware.
n
Forneça uma descrição detalhada de como o tráfego desconhecido pode ser
identificado para análise.
Os mecanismos são usados para a parte de análise do conjunto de recursos padrão
ou são produtos secundários, adicionais?
Quais ações, se existirem, podem ser tomadas em relação ao tráfego desconhecido
(permitir, negar, inspecionar, modelar, etc.)?
Descreva as práticas recomendadas para gerenciar o tráfego de aplicativos
desconhecido.
n
n
O tráfego interno pode ser “renomeado”?
n
Uma assinatura personalizada de aplicativo pode ser criada?
n
n
n
Ele pode ser controlado por políticas, da mesma forma que um aplicativo
oficialmente suportado (por exemplo, permitir, negar, inspecionar, modelar,
controlar por usuário, zona, etc.)?
Qual é o processo para enviar solicitações de novas assinaturas de aplicativo ou
assinaturas atualizadas?
Quando um aplicativo é enviado, qual é o prazo de entrega do SLA?
Quais mecanismos estão disponíveis para determinar se o tráfego desconhecido
é um código malicioso?
Prevenção contra ameaças
Proteção de usuários remotos
As ameaças estão cada vez mais atreladas a uma variedade de aplicativos, tanto como
vetores de explorações e infecções, quanto como interfaces de controle e comando dos
dispositivos infectados. Por este motivo, os analistas consistentemente recomendam
que as empresas consolidem tecnologias de prevenção contra ameaças e IPS
tradicional como componentes do firewall de próxima geração. Considere as perguntas
geração.
Usuários de redes modernas assumem a capacidade de se conectar e trabalhar de
vários locais, além do perímetro tradicional da rede. Estes usuários devem permanecer
protegidos, mesmo quando estão fora do perímetro da rede, usando um computador,
smartphone ou tablet. O objetivo desta seção é determinar quais capacidades estão
disponíveis para proteger estes usuários remotos e de que forma este nível de proteção
difere quando o usuário está dentro ou fora da rede física. Considere as perguntas
geração.
n
n
n
n
n
n
n
n
n
Descreva todos os mecanismos de prevenção contra ameaças em uso (IPS, antivírus,
antispyware, filtragem de URL, filtragem de dados, etc.).
De que forma estes mecanismos de prevenção contra ameaças são licenciados?
Descreva quais mecanismos de prevenção contra ameaças são desenvolvidos
internamente ou obtidos de terceiros ou serviços.
n
n
De que forma as ameaças integradas a aplicativos e portas não padrão são evitadas?
A informação de identificação do aplicativo está integrada ou é compartilhada pelas
tecnologias de prevenção contra ameaças? Se sim, descreva o nível de interação.
n
Descreva quais áreas de prevenção contra ameaças (IPS, AV, etc.) são baseadas em
portas, em vez de baseadas em aplicativos.
n
O mecanismo de prevenção contra ameaças é capaz de verificar o conteúdo de
arquivos compactados, como ZIP ou GZIP?
n
O mecanismo de prevenção contra ameaças é capaz de verificar conteúdo com
criptografia SSL?
n
Descreva como o firewall pode detectar e se defender de malwares polimórficos
ou personalizados.
n
n
n
n
Quais mecanismos são usados para bloquear o malware?
Descreva a pesquisa e o processo de desenvolvimento da prevenção contra ameaças.
n
Forneça uma descrição detalhada, incluindo todos os componentes necessários,
das opções disponíveis para proteger usuários remotos.
Se um componente de cliente estiver incluído, de que forma ele é distribuído?
Descreva os requisitos de dimensionamento. Quantos usuários podem ser
suportados simultaneamente?
O conjunto de recursos de segurança do usuário remoto é transparente para
o cliente?
Descreva como o controle de políticas sobre usuários remotos é implementado
(por exemplo, na política de firewall, em uma política separada/dispositivo, outra).
Liste todos os recursos e proteções fornecidos pelos recursos remotos (SSL,
controle de aplicativos, IPS, etc.).
O seu firewall mantém os usuários conectados a fim de garantir a aplicação
consistente da política, independente do local?
Como você aborda usuários de dispositivos móveis? Você poderá fornecer uma
aplicação de política consistente quando os usuários estão em redes externas,
assim como em redes wireless internas?
O firewall é capaz de abordar problemas de BYOD, como fornecer uma forma de
permitir com segurança laptops, telefones e tablets corporativos e pessoais?
Gerenciamento
O gerenciamento é um elemento crítico para implementar uma segurança de rede
efetiva. Ao passar para o seu próximo firewall, uma das principais metas deve ser
simplificar o gerenciamento sempre que possível, adicionando visibilidade e controle
de aplicativos. Considere as perguntas e afirmativas a seguir relacionadas a emissão
de um RFP para firewalls de próxima geração.
n
n
O gerenciamento de dispositivos requer um servidor ou dispositivo separado?
Descreva todas as opções de gerenciamento suportadas: Interface de linha de
comando (CLI)? Navegador? Cliente de software? Servidor centralizado?
n
n
n
Descreva a arquitetura de gerenciamento centralizada e as opções de implantação.
Quais ferramentas de visibilidade, além do visualizador de log e relatórios, estão
disponíveis para possibilitar um panorama claro dos aplicativos, usuários e conteúdo
que transitam pela rede?
n
n
n
n
Para cada uma das alternativas de gerenciamento suportadas, descreva quanto
esforço é necessário para mover de uma técnica de gerenciamento para outra.
n
Descreva as capacidades de geração de logs e relatórios – elas são fornecidas de
fábrica? Se sim, de que forma a geração de relatórios afeta o desempenho quando
ativada?
n
n
Ferramentas de relatório totalmente personalizadas estão disponíveis para
compreender como a rede está sendo usada e destacar mudanças na utilização da
rede?
n
n
n
n
A análise completa de logs é disponibilizada de fábrica ou é uma licença adicional/
dispositivo separado?
São custos/licenças adicionais ou um dispositivo separado?
Descreva como o acesso ao gerenciamento é garantido quando o dispositivo passa
por uma carga pesada de tráfego.
Descreva o relacionamento entre um dispositivo individual e o gerenciamento
centralizado de vários dispositivos.
Descreva as diferenças no gerenciamento de instâncias virtualizadas e de hardware.
As ferramentas de visibilidade incluídas fazem parte da funcionalidade básica ou
são licenças/custos adicionais?
As ferramentas de visibilidade vêm implantadas de fábrica ou são um aparelho/
dispositivo separado?
Forneça uma descrição detalhada do esforço e etapas necessárias para começar
a “ter uma visão abrangente de todo o tráfego de aplicativos” na rede.
Os controles de política de aplicativo, controles de política de firewall e recursos de
prevenção contra ameaças podem ser viabilizados com uma única regra no editor de
políticas do firewall?
Desempenho
Considerações RFP adicionais
O desempenho real é um componente crítico de uma implantação de segurança.
Ocontrole de aplicativos exige uma investigação muito mais aprofundada do tráfego
do que o uso de firewall baseado em porta e, portanto, utiliza muito mais capacidade
do computador. Adicionar inspeção de ameaças e controle de políticas ao mesmo
tráfego somente aumenta a carga de processamento do firewall. É fundamental
determinar o desempenho da rede quando todos os recursos de segurança estão
ativados e analisar uma diversidade de tráfego real. Considere as perguntas
geração.
Cada organização terá diferentes requisitos em relação aos itens descritos neste
documento. Exemplos incluem a viabilidade da empresa, referências de clientes,
facilidade de implantação, além de suporte de rede e roteamento. As práticas
recomendadas para um RFP devem ser bastante sistemáticas para fazer os
fornecedores provarem que suas ofertas fornecem a funcionalidade alegada.
n
n
n
Verifique se o produto é baseado em software, um servidor OEM ou um aparelho
dedicado.
Investigue a arquitetura de hardware para confirmar a capacidade de processamento
apropriada para realizar inspeção e classificação contínua do tráfego a nível de
aplicativos.
É fundamental determinar o desempenho
da rede quando todos os recursos de
segurança estão ativados e analisar
uma diversidade de tráfego real.
Descreva a diversidade de tráfego usada para produzir as métricas de desempenho
publicadas para:
n
Firewall + criação de logs
n
Firewall + controle de aplicativos
n
Firewall + controle de aplicativos + prevenção contra ameaças
n
O desempenho é importante
Qual é o rendimento avaliado para:
n
Firewall + criação de logs
n
Firewall + controle de aplicativos
n
Firewall + controle de aplicativos + prevenção contra ameaças
Avaliação de firewalls de próxima
geração através de testes formais
Assim que o fornecedor final - ou a lista de fornecedores selecionados - for definido
através do RFP, o próxima passo é avaliar fisicamente o firewall usando padrões
de tráfego, objetos e políticas que representam de forma precisa os negócios da
organização. Esta seção fornece algumas recomendações sobre como avaliar
fisicamente um firewall de próxima geração. A avaliação permitirá ver em um ambiente
real quão bem o firewall de um fornecedor abordará requisitos chave. Observe que
os testes sugeridos abaixo representam apenas uma amostra das funções exigidas
do firewall de próxima geração, e devem ser utilizados como orientação para o
desenvolvimento de um plano de teste mais detalhado e passo a passo.
Visibilidade e controle de aplicativos
O objetivo desta seção é triplo. Primeiro, determine que a primeira tarefa que
o dispositivo em teste (DUT) executa é a classificação do tráfego com base na
identidade do aplicativo, e não na porta de rede. Segundo, determine que o DUT
classifica os aplicativos, independente da tática evasiva, tais como pular portas, usar
portas não padrão, etc., como meio de melhorar a acessibilidade. Terceiro, determine
que a identidade do aplicativo se torne a base da política do firewall, em vez de um
elemento em uma política secundária.
Identifique os aplicativos que pulam portas ou que usam portas não padrão
n
n
n
Confirme que o firewall é capaz de identificar vários aplicativos. A melhor forma
de executar este teste é implantar o DUT em modo tap ou transparente na rede de
destino.
Verifique se o DUT identifica corretamente o tráfego de aplicativos usando
ferramentas gráficas resumidas e ferramentas de análise investigativa.
n
n
n
n
n
n
A política de controle de aplicativos exige primeiro uma regra focada em portas?
O elemento de controle de aplicativos é um editor de política completamente
separado?
Crie uma política para permitir determinados aplicativos e bloquear outros, e
verifique se os aplicativos são controlados da forma esperada.
Uma política baseada em aplicativos oferece suporte à premissa “negar todo o resto”
na qual o firewall está baseado?
Identificar e controlar circumventores
n
n
n
Confirme que, ao criar uma política de firewall, o aplicativo, e não a porta, seja usado
como elemento principal da política.
n
Determine a quantidade de esforço administrativo associado a este risco.
Avalie as etapas necessárias para permitir inicialmente a identificação de aplicativos.
Quão rapidamente um usuário pode definir uma política e começar a “ver” o tráfego
de aplicativos? Há a necessidade de etapas adicionais para obter visibilidade em
relação aos aplicativos que pulam portas ou usam portas não padrão?
Confirme que o firewall é capaz de identificar aplicativos que pulam portas usando
um aplicativo que pula portas conhecido, como Skype, AIM ou um dos muitos
aplicativos P2P.
Identidade do aplicativo como base da política de segurança do firewall
Identificação de aplicativos
n
Verifique se o firewall é capaz de identificar e controlar os aplicativos em execução
em portas diferentes da porta padrão do aplicativo. Por exemplo, SSH na porta
80 e Telnet na porta 25.
Confirme que o DUT é capaz de identificar e controlar uma variedade de aplicativos
usados para evitar controles de segurança. Os aplicativos que se encaixam neste
grupo incluem proxies externos (PHproxy, Kproxy), acesso remoto a desktops
(RDP, LogMeIn!, TeamViewer, GoToMyPC) e túneis criptografados não relacionados
a VPN (Tor, Hamachi, UltraSurf).
Confirme que cada um dos circumventores é identificado de forma precisa durante
o teste.
Verifique se todas os circumventores podem ser bloqueados, mesmo quando estão
ativados em uma porta não-padrão.
Identifique e controle aplicativos que utilizam SSL ou SSH
Identifique e controle aplicativos que compartilham a mesma conexão
Com cada vez mais aplicativos usando criptografia SSL e SSH para finalidades
alternativas, você precisa avaliar a capacidade de identificar e controlar aplicativos
que utilizam SSL e SSH.
Determine se os mecanismos de classificação de aplicativos monitoram continuamente
o estado do aplicativo, procurando por mudanças no aplicativo e, mais importante,
se a mudança no estado é classificada corretamente. Muitas “plataformas” (Google,
Facebook, Microsoft) disponibilizam diferentes aplicativos após o login inicial. Rastrear
a mudança no estado do aplicativo é um componente fundamental de um firewall de
próxima geração.
n
n
n
n
n
n
Verifique se o DUT é capaz de identificar e descriptografar aplicativos conhecidos
por usar criptografia SSL.
Confirme que o DUT é capaz de identificar, descriptografar e aplicar a política de
segurança ao aplicativo descriptografado.
n
Valide que, se o aplicativo descriptografado é “permitido”, ele será criptografado
novamente e enviado desta forma.
n
Confirme a capacidade de realizar inspeção e descriptografia SSL de saída e de
entrada.
n
Ao usar aplicativos como o WebEx ou o SharePoint, primeiro confirme que o DUT
identifica o aplicativo inicial (WebEx ou SharePoint).
Sem sair do aplicativo, alterne para uma função separada (WebEx Desktop Sharing,
SharePoint Admin, SharePoint Docs) e valide que a mudança de estado é rastreada
e que o novo aplicativo/função é corretamente identificado.
Valide o controle de políticas e inspeção da função dos aplicativos.
Verifique se o SSH é identificado de forma precisa, independente da porta.
Controle sobre a função do aplicativo
Valide que o controle de SSH separa encaminhamento de porta (local, remota, X11)
e uso nativo (SCP, SFTP e acesso ao shell).
Determine a capacidade do DUT em identificar e controlar funções específicas em
um aplicativo. O controle a nível de função é fundamental para permitir o uso de um
aplicativo e ainda exercer algum nível de controle para abordar os riscos corporativos
e de segurança associados. A transferência de arquivos é um exemplo comum, mas
outros exemplos incluem funções administrativas, recursos de VoIP, publicações em
mídias sociais e recursos de chat no aplicativo principal.
n
n
n
Confirme que o DUT fornece visibilidade em relação a hierarquia dos aplicativos
(aplicativo principal e funções adicionais).
Verifique o controle da função de transferência de arquivos, identificando
e controlando um aplicativo que oferece suporte à transferência de arquivos.
Confirme a capacidade do DUT de bloquear o upload/download de arquivos por
aplicativo e tipo de arquivo. Por exemplo, a capacidade de impedir um usuário de
transferir um documento do Word usando um aplicativo de e-mail baseado na web.
Gerenciar o tráfego desconhecido de forma sistemática
Prevenção contra ameaças
Todas as redes terão uma pequena quantidade de tráfego desconhecido e você
precisa determinar quão rapidamente você é capaz de identificar o que é o tráfego
desconhecido e tomar uma ação apropriada.
Para proteger sua rede, você precisará controlar rigorosamente a exposição a ameaças
e evitar com segurança ameaças conhecidas e desconhecidas presentes no tráfego de
aplicativos permitido. Você precisa testar a capacidade do DUT em aplicar a segurança
em um ambiente real, incluindo ameaças desconhecidas anteriores, ameaças
transmitidas por aplicativos executados em portas não padrão, ameaças encobertas por
compressão e, ao mesmo tempo, atender os requisitos de desempenho da empresa.
n
Confirme que a visibilidade sobre o tráfego desconhecido está disponível e inclui,
no mínimo:
n
O volume de tráfego
n
Usuário e/ou endereço IP
n
A porta está em uso
n
O conteúdo associado – arquivo, ameaça, outro.
n
n
n
n
n
Qual é o nível de esforço associado com a investigação do tráfego desconhecido?
É possível definir uma política de firewall (permitir, bloquear, inspecionar, etc.)
para o tráfego desconhecido?
Confirme as opções disponíveis para identificar e controlar com maior precisão
o tráfego de aplicativos desconhecido.
n
n
n
O tráfego pode ser “renomeado”?
O usuário pode criar um mecanismo de identificação personalizado?
n
n
n
Confirme o nível de detalhe dos perfis de prevenção contra ameaças – se são globais
(somente) ou podem ser definidos individualmente de acordo com o tráfego, ameaça,
usuário, etc.
Verifique se as técnicas de prevenção contra ameaças (IPS, malware, filtragem de
conteúdo) são aplicadas de forma consistente aos aplicativos (e ameaças) capazes
de usar portas não padrão. Isto significa que o DUT não somente deve controlar os
aplicativos em portas não padrão, como também a prevenção contra ameaças deve
impedir as ameaças de passar por portas não padrão.
Verifique se o DUT detecta malwares e arquivos não aprovados, mesmo quando
apresentados em formatos compactados como ZIP ou GZIP.
Determine o processo de identificação e bloqueio de malwares desconhecidos.
Verifique o desempenho do DUT com toda a prevenção contra ameaças ativada
para garantir a aplicabilidade real dos recursos da prevenção contra ameaças.
O fornecedor fornecerá mecanismos de identificação personalizados?
Se sim, com que rapidez?
Redução da superfície de ataque
Para proteger sua rede, você precisará
controlar rigorosamente a exposição
a ameaças e evitar com segurança
ameaças presentes no tráfego de
aplicativos permitido.
Proteção de usuários remotos
n
Primeiro, determine se o DUT é capaz de proteger usuários remotos com a mesma
política usada; segundo, determine o esforço de gerenciamento e a complexidade
de implantação.
n
Verifique se o DUT é capaz de proteger usuários remotos usando mais que uma
conexão VPN SSL ou uma conexão de backhaul.
n
n
n
n
n
Confirme a facilidade de implantação e gerenciamento, estabelecendo um grupo
remoto de usuários e implantando uma política de teste.
O DUT é capaz de fornecer políticas com base no tipo de dispositivo?
O DUT pode proteger contra o malware móvel, assim como as vulnerabilidades do
SO móvel?
n
O DUT pode fornecer controle de aplicativo para os aplicativos móveis?
n
Encerre o teste, monitorando os usuários remotos através do visualizador de log.
n
n
Confirme a metodologia de gerenciamento do DUT. O gerenciamento de dispositivos
individuais exige um dispositivo separado ou servidor? O DUT pode ser gerenciado
através de um navegador ou há a necessidade de um cliente “pesado”?
Verifique a disponibilidade das ferramentas de visualização que fornecem
inteligência de rede através de uma visão resumida dos aplicativos, ameaças e URLs
na rede.
n
n
Os logs são armazenados em um local central ou em bancos de dados separados
por nível de função (por exemplo, firewall, controle de aplicativos, IPS)?
Meça o esforço administrativo associado com a análise de logs para fins de
investigação de incidentes, visibilidade e análise.
Uma regra de firewall baseado em porta é criada e aplicada antes do controle
a nível de aplicativos?
Se várias políticas forem usadas (por exemplo, firewall, controle de aplicativos,
IPS), está disponível alguma ferramenta de reconciliação de políticas para
localizar possíveis lacunas nas políticas?
Desempenho com serviços habilitados
O controle de aplicativos requer muito mais uso intensivo do computador do que
tecnologias de firewall tradicionais baseadas em porta; portanto, é fundamental validar
que o DUT alvo é capaz de ser executado de forma adequada ao identificar e controlar
aplicativos.
n
Gerenciamento
Você precisa analisar a complexidade do gerenciamento do DUT em relação aos
dispositivos separados, bem como a dificuldade (número de etapas, clareza da UI, etc.)
da tarefa a disposição.
Valide que os controles de política de aplicativo, controles de política de firewall
e recursos de prevenção contra ameaças podem ser viabilizados a partir do mesmo
editor de políticas.
n
n
Verifique se o DUT é baseado em software, um servidor OEM ou um aparelho
dedicado.
Se for um aparelho, investigue a arquitetura de hardware para confirmar que
a capacidade de processamento adequada atende os requisitos de desempenho
da sua rede quando todos os serviços estão ativados.
Teste! Avalie o desempenho real em um ambiente de teste usando padrões de
tráfego que representam o ambiente de rede desejado.
Considerações sobre o fator de forma virtualizado e de hardware
Se o local de destino da implantação for um datacenter localizado, você deve escolher
entre os testes acima para garantir que a funcionalidade do firewall em um fator de
forma virtualizado seja testada adequadamente. Para ambientes virtualizados, as
considerações adicionais devem incluir:
n
n
Qual é o processo de gerenciamento da política para o relacionamento com
instâncias de máquina virtual? Quantas etapas estão envolvidas?
Os mesmos tipos de políticas podem ser criados para instâncias físicas e virtuais?
Permissão segura de aplicativos
com firewalls de próxima geração
n
n
n
n
n
n
Exatamente os mesmos recursos são suportados nas instâncias de hardware
e virtualizada?
Verifique se o DUT é capaz de proteger todo o tráfego ente máquinas virtuais no
mesmo servidor virtualizado.
Verifique se o DUT é capaz de oferecer políticas de conteúdo, aplicativos e usuários
na mesma instância virtual.
Verifique se o DUT é capaz de continuar a aplicar as políticas, mesmo com
migrações de máquinas virtuais.
Confirme e valide a interação com o sistema de gerenciamento da plataforma de
virtualização.
Confirme e valide a interação com os sistemas de automação e orquestração.
Antigamente, o conceito de permitir a um funcionário usar um aplicativo externo ou
pessoal para fins relacionados ao trabalho era algo nunca antes visto. Atualmente, os
funcionários estão sempre online e estão usando continuamente os aplicativos mais
recentes, muitas vezes, associando o uso pessoal com o uso relacionado ao trabalho.
Resumindo, bloquear estes aplicativos é equivalente a bloquear os negócios.
As 10 coisas que o seu próximo firewall deve fazer confirmam o fato de que o melhor
local para executar a permissão segura de aplicativos é no firewall usando a identidade
do aplicativo e políticas de modelo de controle positivo tradicionais (firewall), que
permitem aos administradores definir, de acordo com a empresa, quais aplicativos
são permitidos e quais são proibidos. Deve estar claro após usar as ferramentas
apresentas neste documento que tentativas de sustentar a permissão segura de
aplicativos usando um modelo de controle negativo, semelhante ao IPS e com uma
abordagem anexada, são impraticáveis.
Considerações de avaliação adicionais
O processo de avaliação e teste de produtos de segurança de rede variará de acordo
com a organização e, na maioria dos casos, ultrapassará o escopo deste documento.
Exemplos incluem facilidade de implantação (modo tap, modo transparente, outro?),
suporte de rede (camada 2, camada 3, modo misto) e roteamento (RIP, OSPF, BGP).
As práticas recomendadas para a avaliação de um firewall é desenvolver um conjunto
específico de critérios de avaliação e passar cada dispositivo por todo o conjunto de
testes, documentando em detalhe os resultados para que a escolha final possa ser
feita de maneira sistemática.
Sobre a Palo Alto Networks
Palo Alto Networks® é a principal empresa de segurança
de redes de próxima geração. Sua plataforma inovadora
permite que empresas, provedores de serviços e entidades
governamentais protejam suas redes, ativando com segurança
o número rapidamente crescente e cada vez mais complexo
de aplicativos em execução em suas redes, e fornecendo
prevenção contra ciberameaças. O núcleo da plataforma da
Palo Alto Networks é seu firewall de última geração, que oferece
visibilidade e controle de aplicativos, usuários e conteúdo por
meio de sua arquitetura proprietária de hardware e software.
Os produtos e os serviços da Palo Alto Networks podem
atender a uma grande variedade de requisitos de segurança
de rede, do datacenter ao perímetro da rede, bem como a
empresa distribuída, que inclui filiais e um número crescente
de dispositivos móveis. Os produtos da Palo Alto Networks são
usados por mais de 12.500 clientes em mais de 100 países.
Para obter mais informações, visite o site
www.paloaltonetworks.com
www.paloaltonetworks.com
©2013 Palo Alto Networks, Inc. Todos os direitos reservados. Palo Alto Networks e o logotipo da Palo Alto Networks
são marcas comerciais ou marcas registradas da Palo Alto Networks, Inc. Outras empresas e nomes de produtos
podem ser marcas registradas de seus respectivos proprietários. As especificações estão sujeitas a alterações sem
aviso prévio. PAN_BG_081413_PT

GUIA PARA COMPRADORES DE FIREWALL

Transcrição

Documentos relacionados

Linx desenvolve aplicativos para redes de food service

Segurança na internet

segurança na internet

Softwares essenciais

Serviços móveis para a Adobe® Marketing Cloud

- Select Graf

Esclarecimento de Firewalls de Aplicativos e Revisões do Código

Instruções Instalação Software XCPPRO

Caso de Sucesso

OnBase - Descritivo Tecnico