• PA-200
    100 MB/s

  • PA-500
    250 MB/s

  • PA-2050
    1 Gbps

  • PA-4050
    10 Gbps

  • PA-5060
    20 Gbps

Palo Alto Networks - Next Generation Firewall

Die Firewall ist der strategische wichtigste Teil der Sicherheits-Infrastruktur. Durch sie läuft der komplette Datenverkehr. Sie ist somit der zentrale Punkt zur Durchsetzung Ihrer Sicherheitsrichtlinien (Security Policy). Herkömmliche Firewalls regulieren den Datenverkehr lediglich basierend auf Ports und Protokollen - einweitgehend überholter Ansatz, da moderne Anwendungen oder Benutzer mit Computererfahrung in der Lage sind, diese einfach zu umgehen, indem sie auf Technologien wie Port-Hopping oder SSL-Verschlüsselung zurückgreifen, über Port 80 (HTTP) tunneln oder nicht standardisierte Ports nutzen.

Der daraus resultierende Verlust an Transparenz und Kontrolle wirkt sich für Administratoren und Unternehmen nachteilig aus. Die Folgen sind vielfältig: Performance Probleme, Verstöße gegen gesetzliche oder auch interne Richtlinien, erhöhte Betriebskosten oder sogar der Verlust von Daten. Der traditionelle Ansatz zur Wiederherstellung der Sichtbarkeit und Kontrolle erfordert zusätzliche „Firewall-Helfer". Diese müssen wiederum einzeln implementiert und betrieben werden. Da auch dieser Ansatz keine wirklich übergreifende Sichtbarkeit ermöglicht, unterschiedliche Management-Systeme bestehen und zwischen den Einzellösungen zusätzliche Latenzen auftreten, ist dieser Ansatz nur unzureichend, um die gewünschte Kontrolle wieder zurückzugewinnen. Die Lösung dieses Dilemmas erfordert einen von Grund auf neuen Ansatz: Die „Next Generation Firewall".

Die wichtigsten Anforderungen an die Next Generation Firewall:

  • Identifikation von Anwendungen, nicht von Ports. Portübergreifende Identifikation der Anwendung, unabhängig von Protokoll, SSL-Verschlüsselung oder Umgehungsmethode. Die Anwendung wird somit zentraler Bestandteil Ihres Regelwerks.
  • Identifikation von Benutzern, nicht nur von IP-Adressen. Nutzen von in Unternehmensverzeichnissen gespeicherten Benutzerdaten und -gruppen zur Einbindung in das Regelwerk und zur Auswertung (Monitoring und Reporting).
  • Prüfung des Inhalts in Echtzeit. Virenscanning, Intrusion-Prevention, URL-Filtering und Malware-Detcction schützen das Netzwerk und Anwendungen - und das bei hohen Durchsatzraten und niedrigen Latenzen.
  • Vereinfachte Verwaltung. Eine einfach zu bedienende graphische Oberfläche gibt dem Administrator die nötige Transparenz und Kontrolle über Anwendungen, Benutzer und Inhalte zurück.
  • Multi-Gigabit-Durchsatz. Die Kombination aus einer Hochleistungs-Hard- und Software in einer integrierten Plattform (Appliance) sorgen für niedrige Latenz und Multi-Gigabit-Durchsatz bei gleichzeitiger Nutzung aller Funktionen.

Palo Alto Networks wurde vom Sicherheitsvisionär Nir Zuk gegründet, mit dem Ziel die Firewall grundlegend neu zu erfinden, so dass sie wieder zur strategisch wichtigsten Netzwerkkomponente wird. Die Next Generation Firewalls von Palo Alto Networks bieten ein beispielloses Maß an Transparenz, sowie Kontrolle über Anwendungen und deren Inhalte, bei bis zu 10 Gbit/s Datendurchsatz. Basierend auf der zum Patent angemeldeten Technologie „App-ID™" identifizieren und kontrollieren Palo Alto Networks-Firewalls Anwendungen und überprüfen Inhalte, um Bedrohungen zu stoppen und Datenverluste zu verhindern. Und das unabhängig von Port, Protokoll, SSL-Verschlüsselung und möglicher Umgehungsmethode. Mit Palo Alto Networks können Unternehmen moderne, dynamische Anwendungen gezielt nutzen und das bei voller Transparenz und Kontrolle.

 
App-ID: Klassifizierung von Anwendungen auf allen Ports und zu jedem Zeitpunkt

Eine exakte Klassifizierung des Datenverkehrs bildet das Kernstück jeder Firewall der nächsten Generation. Das Ergebnis wird zur Grundlage der Sicherheitsrichtlinie. Herkömmliche Firewalls klassifizieren Verkehr nach Port und Protokoll, was in der Vergangenheit einen ausreichenden Mechanismus für die Sicherung des Perimeters darstellte.

Heute sind Applikationen in der Lage, eine herkömmliche portbasierte Firewall ganz einfach zu umgehen: durch Port Hopping mit SSL und SSH, Tunneln über Port 80 oder die Nutzung nicht standardisierter Ports. App-ID TM  zielt auf die Transparenzbeschränkungen bei der Verkehrsklassifizierung, unter der herkömmliche Firewalls gelitten haben. Dazu werden mehrere Klassifizierungsmechanismen auf den Verkehrsstrom angewendet, sobald das Gerät diesen sieht, um die genaue Identität von Anwendungen im Netzwerk zu erkennen.
Anders als Add-on-Angebote, die nur auf IPS-Signaturtypen basieren, welche nach der portbasierten Klassifizierung implementiert wurden, verwendet jede App-ID automatisch bis zu vier verschiedene Verkehrsklassifizierungsmechanismen, um die genaue Identität der Anwendung festzustellen. Es ist nicht notwendig, spezielle Einstellungen für eine bestimmte Anwendung vorzunehmen. App-ID klassi­ziert den Verkehr stetig und wendet dazu den entsprechenden Identi­zierungsmechanismus an. Daraus ergibt sich eine konsistente und exakte Identifizierung über alle Ports hinweg, für den gesamten Verkehr, jederzeit und in vielen Fällen bis hinab zur Funktionsebene. Während die Anwendungen durch aufeinanderfolgende Mechanismen identifi­ziert werden, stellt die Richtlinienprüfung fest, wie sie behandelt werden müssen: Blockieren, Zulassen oder sicheres Aktivieren (auf eingebettete Bedrohungen hin überprüfen und diese blockieren, mit QoS auf unerlaubte Dateiübertragungen und Datenmuster oder -formen untersuchen).

 User-ID: Anwendungen nach Benutzern und Gruppen aktivieren

 

In der Vergangenheit wurden Sicherheitsrichtlinien basierend auf IP-Adressen angewendet, aber nachdem die Benutzer und auch die Programmierung zunehmend dynamischer geworden sind, hat sich die alleinige Verwendung von IP-Adressen für die Überwachung und Kontrolle von Benutzeraktivitäten als unwirksam erwiesen. User-ID sorgt für eine nahtlose Integration von Firewalls der nächsten Generation von Palo Alto Networks in die umfassendste Palette marktüblicher Unternehmensverzeichnisse: Active Directory, eDirectory, Open LDAP, Citrix, Microsoft Terminal Server und Xen Works. Eine XML API sowie Captive Portal runden die Palette der Mechanismen ab, die es Unternehmen gestatten, Benutzerdaten in ihre Sicherheitsrichtlinien zu integrieren. Ein netzwerkbasierter User-ID-Agent kommuniziert mit dem Domänencontroller und bildet die Benutzerdaten auf die IP-Adressen ab, die die Benutzer zu einem bestimmten Zeitpunkt verwenden. Die durch User-ID bereitgestellte Benutzer- und Gruppendaten sind überall in den Funktionen der Firewall der nächsten Generation von Palo Alto Networks vorhanden, unter anderem im Application Command Center, im Richtlinien-Editor, Logging und Reporting.

 Content-ID: Schutz von zulässigem Verkehr

Benutzer verwenden heute diverse Anwendungen, sowohl weil sie geschäftlich relevant sind, als auch für private Zwecke; von dieser uneingeschränkten Nutzung, die diese Anwendungen für ihre Ziele missbrauchen. In Verbindung mit App-ID gestattet es Content-ID, dem Administrator sehr gezielte Anwendungen zu erlauben und gleichzeitig das Netzwerk zu schützen. App-ID kann für die Identifizierung und Kontrolle der Anwendungen im Netzwerk genutzt werden, indem spezielle Anwendungen zugelassen werden. Anschließend können mit Hilfe von Content-ID spezielle Richtlinien auf jede Anwendung angewendet werden, um Angriffe zu blockieren und die Übertragung von unzulässigen Dateien und sensiblen Daten zu begrenzen. Die von Content-ID unterstützten Steuerelemente werden durch eine umfassende URL-Datenbank abgerundet, um das Websurfen zu kontrollieren. Content-ID verwendet eine streambasierte Scan-Engine sowie ein einheitliches Signaturformat, um nach den unterschiedlichsten Angriffen zu suchen und diese zu blockieren, unter anderem Exploits für Sicherheitslücken, Viren, Spyware und Würmer. Stream-basiertes Scannen bedeutet, dass die  Prävention beginnt, sobald das erste Paket gescannt wurde, während das einheitliche Signaturformat redundant Prozesse eliminiert, die in mehreren Scan-Engine-Lösung enthalten sind (TCP-Reassemblierung, Richtliniensuche, Überprüfung usw.). Daraus entstehen eine verkürzte Latenzzeit und eine verbesserte Leistung.

 Sicheres Aktivieren von Anwendungen

 

Die nahtlose Integration von App-ID, User-ID und Content-ID gestattet es Unternehmen, konsistente Richtlinien für die Zulassung von Anwendungen einzurichten, in vielen Fällen bis hinunter zur Funktionsebene, die weit über ein einfaches ‚Erlauben‘ oder ‚Verbieten‘ hinausgeht. Dieselben Richtlinien, die die Benutzer innerhalb der Unternehmensniederlassung schützen, können auf alle Benutzer erweitert werden, unabhängig davon, wo diese sich gerade be­nden, wodurch ein logischer Perimeter für Benutzer außerhalb der Unternehmensgebäude eingerichtet wird. Sichere Aktivierungsrichtlinien beginnen mit der Anwendungsidentität, die durch App-ID ermittelt wird, sobald eine Kommunikation statt­ndet. Die Anwendung wird dann mit User-ID dem Benutzer zugeordnet, während gleichzeitig die Anwendungsdaten mittels Content-ID auf Bedrohungen, Dateien, Datenmuster und Webaktivität überprüft wird. Diese Ergebnisse werden im Application Command Center (ACC) angezeigt, wo der Administrator in Echtzeit erfahren kann, was im Netzwerk gerade passiert. Im Richtlinien-Editor können dann die von ACC über Anwendungen, Benutzer und Inhalte ermittelten Datenpunkte in entsprechende Sicherheitsrichtlinien umgewandelt werden, die unerwünschte Anwendungen blockieren, während andere sicher zugelassen und aktiviert werden. Schließlich können beliebige detaillierten Analysen, Reporting oder forensische Untersuchungen statt­nden, die ebenfalls auf Anwendungen, Benutzern und Inhalt basieren.

Application Command Center: Wissen ist Macht

Das Application Command Center (ACC) verwendet eine Untermenge der Protokolldatenbank für eine graphische Darstellung des allgemeinen Überblicks über alle Anwendungen im Netzwerk, die jeweiligen Benutzer und die potenziellen Auswirkungen auf die Sicherheit. ACC wird dynamisch aktualisiert und nutzt dazu die von App-ID stetig durchgeführte Verkehrsklassi­zierung; wenn eine Anwendung die Ports wechselt, sieht App-ID den Verkehr weiterhin und zeigt die Ergebnisse in App-ID an. Es müssen keine Einstellungen verändert und keine Signaturen aktiviert oder konfiguriert werden. Neue oder unbekannte Anwendungen, die in ACC erkannt wurden, können mit einem Klick schnell untersucht werden. Auf diese Weise werden eine Beschreibung der Anwendung, ihre wichtigsten Funktionen, ihre Verhaltenseigenschaften und ihre Benutzer angezeigt. Weitere Daten über URL-Kategorien, Bedrohungen und Daten bieten ein vollständiges und abgerundetes Bild der Netzwerkaktivität. Mit Hilfe von ACC kann ein Administrator schnell mehr über den Verkehr im Netzwerk erfahren und diese Information dann in eine fundiertere Sicherheitsrichtlinie umwandeln.

Richtlinien-Editor: Erkenntnisse in sichere Aktivierungsrichtlinien umwandeln

Mit dem unmittelbaren Wissen, welche Anwendungen im Netzwerk von welchen Benutzern verwendet werden, und welches potenzielle Sicherheitsrisiko dadurch entsteht, können Administratoren schnell, systematisch und kontrolliert Aktivierungsrichtlinien umsetzen, die auf Anwendungen, Anwendungsfunktionen und Ports basieren. Die Reaktionen der Richtlinien können von „offen“ (zulassen) über „angepasst“ (einige Anwendungen oder Funktionen werden aktiviert, anschließend gescannt oder gestaltet, eingeplant usw.) bis hin zu „geschlossen“ (ablehnen) reichen. Beispiele dafür sind unter anderem: 

  • Zuweisen von Salesforce.com-Zugriff an die Vertriebs- und Marketinggruppen durch Nutzung von Benutzer- und Gruppendaten.
  • Ausschließliches Zulassen einer festen Palette von Managementanwendungen durch die IT-Gruppe über Standardports.
  • Festlegen und Durchsetzen einer Unternehmensrichtlinie, die eine bestimmte Webmail- und Instant-Messaging-Nutzung zulässt und überprüft.
  • Zulassen der Nutzung von MSN und Google Talk, aber Blockieren ihrer jeweiligen Dateiübertragungsfunktionen.
  • Zulassen von SharePoint Admin nur für das SharePoint-Administrationsteam, und Zulassen des Zugriffs auf SharePoint Docs für alle anderen Benutzer.
  • Implementierung von Richtlinien zum Bandbreitenmanagement, mit denen Media- und andere bandbreitenintensive Anwendungen begrenzt werden können, um VoIP-Applikationen nicht zu behindern.
  • Identi­zieren der Übertragung von vertraulichen Informationen wie Kreditkartennummern, entweder im Text- oder Dateiformat.
  • Implementierung von Richtlinien für die Filterung von URLs, die den Zugriff auf offensichtlich für private Zwecke genutzte Websites blockieren, Überwachung fraglicher Websites und „Coaching“ des Zugriffs auf andere Websites unter Verwendung benutzerde­nierter Sperrseiten.
  • Ablehnen des gesamten Verkehrs aus bestimmten Ländern oder Blockieren von unerwünschten Anwendungen wie P2P-Filesharing, Umgehungsprogrammen und externen Proxies.
Die enge Integration einer auf Benutzern und Gruppen basierenden Anwendungskontrolle und die Möglichkeit, den zugelassenen Verkehr auf die unterschiedlichsten Bedrohungen zu überprüfen, gestattet es dem Unternehmen die Anzahl der verwendeten Richtlinien dramatisch zu reduzieren und das, auch wenn neue Mitarbeiter eingestellt werden oder sich Mitarbeiter im Unternehmen verändern.

Richtlinien-Editor: Schutz zugelassener Anwendungen

Die Sicherung aktivierter Anwendungen bedeutet, dass Zugriff auf die Anwendungen gestattet wird, und anschließend spezielle Richtlinien für den Schutz vor Bedrohungen und das Blockieren von Dateien, Daten oder Webverkehr unter Verwendung der Content-ID angewendet werden. Jedes der in Content-ID enthaltenen Elemente kann für einzelne Anwendungen oder Anwendungsfunktionen kon­guriert werden, sodass die Administratoren ihre vorbeugenden Maßnahmen sehr zielgerichtet einsetzen können.

  • Intrusion Prevention System (IPS): Das Modul zum Schutz vor Schwachstellen und Exploits integriert Intrusion Prevention System (IPS)-Funktionen, um sowohl bekannte als auch unbekannte Sicherheitslücken in der Netzwerk- und Anwendungsschicht zu erkennen, Pufferüberläufe und Denial-of-Service-Attacken zu verhindern sowie Port Scans daran zu hindern, die Datenressourcen des Unternehmens zu gefährden und zu beschädigen.
  • Netzwerk-Antivirus: Stream-basierter Antiviren-Schutz blockiert Millionen von Malware-Varianten, unter anderem PDF-Viren und in komprimierten Dateien oder in Webverkehr verborgene Malware (komprimiertes HTTP/HTTPS). Eine auf Richtlinien basierende SSL-Entschlüsselung gestattet es den Unternehmen, sich gegen Malware zu schützen, die über SSL-verschlüsselte Anwendungen eindringt. Eine vollständig integrierte, anpassbare Datenbank zur URL-Filterung mit mehr als 20 Millionen URLs aus 76 Kategorien ermöglicht es Administratoren, präzise Richtlinien für das Browsen im Web zu erstellen. Unternehmen können damit rechtlich kritischen oder sonstigen unerwünschten Datenverkehr unterbinden.
  • Datei- und Datenfilterung: Die Daten­lterung gestattet Administratoren, Richtlinien zu implementieren, die die Risiken bei Datei- und Datenübertragungen minimieren. Dateiübertragungen und Downloads können kontrolliert werden, indem die Datei (und nicht nur die Dateinamenerweiterung) überprüft wird, um festzustellen, ob sie zulässig ist oder nicht. Ausführbare Dateien, die man typischerweise in Drive-by-Downloads ­ndet, können blockiert werden, wodurch das Netzwerk vor einer nicht erkannten Malware-Verbreitung geschützt wird. Schließlich können die Daten­lterfunktionen die Übertragung vertraulicher Datenmuster (Kreditkarten- und Sozialversicherungsnummern) erkennen und kontrollieren.
  • Verkehrsüberwachung: Analyse, Reporting und Forensik Die Best Practices der Sicherheit fordern von den Administratoren einen Mittelweg zwischen einerseits proaktivem, stetigem Lernen und entsprechender Anpassung, um das Firmenvermögen zu schützen, und andererseits reaktivem und investigativem Verhalten sowie dem Erstellen von Analysen und Berichten zu Sicherheitsvorfällen. ACC und der Richtlinieneditor können genutzt werden, um proaktiv Richtlinien für die Zulassung von Anwendungen einzusetzen, mit zahlreichen Tools für die Überwachung und das Reporting. Damit werden den Unternehmen die erforderlichen Mittel an die Hand gegeben, die Anwendungen, Benutzer und Inhalte, die die Palo Alto Networks-Firewall der nächsten Generation durchlaufen, zu analysieren und Berichte dazu zu erstellen.
  • App-Scope: App-Scope ergänzt den aktuellen Einblick in den Datenverkehr durch ein dynamisches, vom Benutzer anpassbares Fenster mit Blick auf die Netzwerkaktivität. App-Scope zeigt, was sich im Laufe der Zeit ereignet hat und lokalisiert problematisches oder unregelmäßiges Verhalten.
  • Repoting: Vorde­nierte Berichte können im Ist-Zustand verwendet, angepasst oder miteinander zu einem Report gruppiert werden, um den spezi­schen Anforderungen zu entsprechen. Alle Berichte können ins CSV- oder PDF-Format exportiert und nach Zeitplan ausgeführt und per E-Mail gesendet werden.
  • Verhaltensabhängige Botnet-Erkennung: Daten über unbekannte Anwendungen, IRC-Verkehr, Malware-Sites, dynamisches DNS und neu angelegte Domänen werden analysiert, und die Ergebnisse erscheinen in der Liste potenziell in­zierter Hosts, die als Elemente eines Botnet untersucht werden können.
  • Logging: Das Log-Filtern in Echtzeit ermöglicht eine schnelle forensische Untersuchung jeder Sitzung im Netzwerk. Logs können zur Offline-Archivierung oder zur zusätzlichen Analyse in eine CSV-Datei exportiert oder an einen Syslog-Server gesendet werden.
  • Tool zum Nachverfolgen von Sitzungen (Trace Session Tool): Schnelle forensische Untersuchungen oder Recherchen nach einzelnen Vorfällen mithilfe einer zentralen, zusammenhängenden Ansicht aller Logs des Datenverkehrs, der Bedrohungen, URLs und Anwendungen, bezogen auf individuelle Sessions.

 GlobalProtect: Erweiterung der Richtlinienkontrolle auf alle Benutzer

Für Benutzer innerhalb des physischen Perimeters ist die Erzwingung von Sicherheits-richtlinien mit Hilfe einer Firewall der nächsten Generation ganz einfach. Verkehr wird von der Firewall klassifiziert, die Aktivierungsrichtlinien werden angewendet, Verkehr wird auf Bedrohungen überprüft und das Netzwerk wird geschützt. Die hohe Geschwindigkeit des heutigen Geschäftslebens hat jedoch eine Loslösung von Anwendungen, Benutzern und Inhalt aus dem physischen Perimeter erzwungen, wodurch der Einsatz und die Erzwingung einer konsistenten Menge von Sicherheitsrichtlinien für Remote-Benutzer fast unmöglich werden. GlobalProtect erweitert dieselben auf der Firewall der nächsten Generation basierenden Richtlinien, die innerhalb des physischen Perimeters erzwungen werden, auf alle Benutzer, unabhängig davon, wo diese sich gerade be­nden. Im Wesentlichen richtet Global Protect einen logischen Perimeter ein, der den physischen Perimeter spiegelt.

Mitarbeiter, die von zuhause aus arbeiten, auf Geschäftsreise sind oder sich von einem Cafe aus anmelden, werden vom logischen Perimeter auf dieselbe Weise geschützt wie bei der Arbeit in ihrem Büro.Global Protect bietet einen entscheidenden Vorteil für Unternehmen: eine konsistente, auf einer Firewall basierende Sicherheitsrichtlinie für alle Benutzer. Die Einrichtung und Verwaltung separater Richtlinien für Firewalls und Remote-Benutzer fällt weg, ebenso wie der zugehörige Verwaltungsaufwand.

Das Ergebnis sind eine optimierte Sicherheitsinfrastruktur und eine konsistentere Sicherheitsrichtlinie.