Palo Alto Networks

O společnosti Palo Alto Networks 

Společnost Palo Alto Networks byla založena vizionářem v oblasti bezpečnostních technologií Nir Zukem s cílem vytvořit firewall technologii jiným způsobem, takzvaně firewall znovu objevit. Důvodem byla snaha opětovně zvýšit důležitost bezpečnostního zařízení v podnikové síti. Aktuálně nabízí Palo Alto Networks inovaci – firewall se schopností vidět a kontrolovat aplikace a jejich obsah podle uživatele, nikoliv pouze podle IP adresy, a to až do rychlosti 10Gbps bez degradace výkonu. Tato zařízení, nazývána též jako firewally příští generace (next generation firewalls), jsou postaveny na patentovaných technologiích “App-ID”,“User-ID” a “Content-ID”, díky kterým přesně identifikují aplikace a skenují obsah bez ohledu na port, protokol, obranné taktiky nebo SSL šifrování, a tím zabraňují hrozbám a únikům dat a informací.

Klíčové výhody:

App-ID: Klasifikace všech aplikací, všech portů, vždy

Přesná klasifikace provozu je srdcem každého firewallu, což je základ bezpečnostní politiky. Tradiční firewally klasifikovaly provoz podle portu a protokolu. V současné době ale dokážou aplikace snadno obejít port-based firewall, hopping porty pomocí SSL a SSH, tunelování přes port 80, nebo s použitím jiných než standardních portů.

App-ID automaticky použije čtyři různé mechanismy klasifikace provozu pro identifikaci aplikace. (Detekci aplikačního protokolu a dešifrování, dekódování aplikace, otisk aplikace a heuristickou analýzu). Dokáže identifikovat cca 1500 aplikací (tento počet se neustále zvětšuje), bez ohledu na port nebo šifrování SLL protokolu.

App-ID nepřetržitě monitoruje stav aplikace, re-klasifikuje provoz, a určuje různé funkce, které jsou používány aplikací. Bezpečnostní politika určuje, jak zacházet s touto komunikací můžeme jí například: zablokovat, povolit, nebo bezpečně povolit (pouze skenování, blokovat vložené hrozby, kontrola neoprávněných přenosů souborů a datových vzorů, nebo omezení šířky pásma, a podobně).

Detailní aktuální přehled a informace o identifikovatelných aplikacích můžete nalézt zde.

User-ID: Povolování aplikací uživatelům nebo skupinám

Tradičně bylo zabezpečení pro uživatele založeno na IP adresách. Díky stále dynamičtější povaze uživatelů a počítačů se tento přístup stal neefektivním pro sledování a kontrolu aktivit uživatelů.

USER-ID umožňuje organizacím monitorovat a zaznamenávat události typu přihlášení i z klientů platforem MAC OS, Apple iOS, Linux/UNIX atd… Informace o uživatelích může být získána např. z Microsoft AD, eDirectory, nebo LDAP. Je též velmi dobrým řešením po nasazení IPv6.

Content-ID: Ochrana povoleného provozu

Mnoho z dnešních aplikací poskytuje významné výhody, ale jsou také zneužívány pro šíření moderního malware a jiných bezpečnostních hrozeb. Content-ID, ve spojení s App-ID, poskytuje správcům řešení pro ochranu sítě. App-ID jednoznačně určí a povolí aplikaci. Content-ID zkontroluje, zda je obsah komunikace správný (není infikován virem a podobně). Cílem této funkce je detailní inspekce právě přenášených dat. Funkce je velmi propracovaná, dokáže porozumět a zasáhnout do obrovského množství různých protokolů síťových aplikaci. Rozpozná, že v rámci jedné aplikace dochází k přenosu dat aplikace jiné.

Další funkce Next Generation Firewallu

Kromě výše uvedených třech klíčových funkcí nabízí Next Generation Firewall i další neméně zajímavé funkce. Mezi ně patří například služba WildFire, která dokáže provádět detailní analýzu (nejen) spustitelného kódu pro účely detekce dosud neznámých forem malware. Tato služba zachytí soubor, který se uživatel snaží stáhnout například z webové stránky, tento soubor podrobí analýze jeho chování tím způsobem, že ho skutečně spustí v tzv. Sandboxu – izolovaném virtuálním prostředí, a zkoumá chování staženého kódu. Pokud detekuje určité anomálie, je soubor označen za podezřelý. Hlavním rozdílem je, že stahovaný soubor je skutečně spuštěn a probíhá analýza jeho skutečného chování při běhu, nikoliv analýza pouhého sledu instrukcí.

Produkty:  (produktové listy jsou v anglickém jazyce)