Palo Alto Networks dans le centre de données : éliminer les compromis. Mai 2011

Transcription

1 Palo Alto Networks dans le centre de données : éliminer les compromis Mai 2011

2 Introduction En principe, il est facile de maintenir la sécurité du réseau des centres de données prévenir les menaces, se conformer aux réglementations et aux stratégies d'entreprise, tout cela sans gêner l'activité. Cependant, en pratique, les exigences toujours croissantes de disponibilité et de performance des applications, l'évolution constante du paysage des menaces et la nécessité de comprendre la sécurité des applications se combinent pour rendre les demandes liées à la sécurité des réseaux de centres de données, apparemment faciles, beaucoup plus difficiles à traiter. En fait, la plupart des organisations ont été forcées à réaliser des compromis importants : la sécurité, le fonctionnement et la visibilité des transactions en échange de la performance, de la simplicité et de l'efficacité. Pour compliquer le problème, les centres de données ne sont pas tous les mêmes : les centres de données d'entreprise internes ont des missions et des critères de sécurité très différents de ceux des centres de données basés sur Internet. Les caractéristiques des applications et des utilisateurs, les obligations réglementaires, ainsi que des problèmes de sécurité uniques, varient tous entre ces deux types de centre de données. Pour le centre de données de l'entreprise, la capacité à intégrer la sécurité du réseau à diverses architectures de réseau, la capacité à segmenter les réseaux selon des termes pertinents pour l'entreprise (ex. application et utilisateur) et la capacité à rester à jour concernant les développeurs d'application sont des exigences spécifiques essentielles des infrastructures de sécurité de réseau. Par contre, les responsables de centres de données basés sur Internet se retrouvent à rechercher une flexibilité accrue, une meilleure visibilité, une prévention contre les menaces plus facile à intégrer, tout en disposant d'opérations plus fiables. De manière unique, Palo Alto Networks respecte les exigences de sécurité du réseau que l'on trouve dans les deux types d'environnement de centre de données. Grâce à un environnement de technologies innovantes (App-ID, User-ID et Content-ID) intégré à une architecture conçue pour la performance et la fiabilité des centres de données, les pare-feu nouvelle génération de Palo Alto offrent aux organisations une solution de sécurité, conçue pour les réseaux de centre de données, qui élimine de nombreux compromis inacceptables qui, auparavant, étaient endémiques dans la sécurité des réseaux de centre de données. Sécurité des réseaux de centre de données = prévention des menaces, conformité, performance Quand on demandait à Willie Sutton, le célèbre cambrioleur de banques américain, pourquoi il dévalisait les banques, il répondait : «Parce que c'est là que se trouve l'argent.» Bien que, selon Sutton, cette histoire soit un mythe, les centres de données attirent les criminels pour les mêmes raisons : parce que c'est là que se trouvent les données (et les données représentent de l'argent ou quelque chose de tout aussi précieux). D'un point de vue conceptuel, la sécurité des réseaux de centre de données est facile à réaliser. En parlant aux entreprise clientes, nous avons déterminé trois exigences principales concernant la sécurité moderne des réseaux de centre de données : n Prévenir les menaces n Se conformer et cloisonner n Maintenir la performance et la disponibilité des applications Le premier élément, la prévention des menaces, s'avère sans aucun doute de plus en plus difficile depuis quelques années. Les attaques assez simples sur l'infrastructure ont cédé le pas à des attaques compliquées, multi-vecteurs, portées par des applications ; elles sont à la fois furtives, motivées par le profit, favorisées à leur insu par les entreprises et sont, dans de nombreux cas, polymorphes. En outre, le niveau d'organisation associé à l'élaboration de ces menaces est sans précédent. La deuxième obligation, la conformité, reste très influente sur les architectures de centre de données et la sécurité des réseaux. Qu'il s'agisse de PCI, des réglementations de santé aux États-Unis ou des réglementations européennes sur le respect de la vie privée, des obligations importantes de conformité et de réglementation favorisent la segmentation des réseaux, au sein des organisations de manière générale et au sein des centres de données en particulier. Pour finir, la performance et la disponibilité sont deux critères qui peuvent être réunis sous le concept de simplicité. Généralement, la complexité entraîne des problèmes d'intégration, des risques accrus d'interruption et davantage d'attente. Il est essentiel de garder les choses simples. Le deuxième critère est la vitesse : un traitement rapide qui n'ajoute pas de retards dans l'activité. Si les solutions de sécurité ne peuvent pas rester à jour, elles ne restent pas très longtemps dans le centre de données. PAGE 2

3 La sécurité des réseaux de centre de données comporte des compromis inacceptables La sécurité des réseaux de centre de données a toujours été en retard par rapport à la sécurité des réseaux de périmètre, et cela pour une bonne raison : la disponibilité et la performance des applications prennent le pas sur la sécurité. Si une application hébergée dans un centre de données n'est pas disponible ou ne répond pas aux utilisateurs, souvent, une organisation manque des possibilités de revenu. C'est pourquoi les contrôles de sécurité du réseau, qui introduisent souvent des retards et des interruptions, sont généralement «rationalisés». Quand les entreprises construisaient une infrastructure de sécurité de réseau de périmètre en utilisant une inspection dynamique, la sécurité des réseaux de centre de données utilisait des ACL sur des routeurs. Par la suite, quand l'infrastructure de sécurité des réseaux de périmètre d'entreprise a adopté IPS, les services de type proxy, DLP et autres dispositifs, certains centres de données ont commencé à adopter une technologie d'inspection dynamique. Cette perspective historique illustre les compromis importants courants dans la sécurité des réseaux de centre de données : n Performance OU sécurité n Simplicité OU fonctionnement n Efficacité OU visibilité Ces compromis sont souvent difficiles à surmonter. Par exemple, une organisation qui avait un centre de données basé sur Internet devait choisir entre la performance et la sécurité en sélectionnant son équipement : elle pouvait choisir un pare-feu de niveau prestataire de services, qui disposait d'une ample capacité de performance mais d'une faible sécurité, ou bien un pare-feu de niveau périmètre, avec beaucoup de fonctionnalités de sécurité, mais dont la performance et la fiabilité laissaient à désirer. Le problème est que, une fois qu'une organisation a fait sa sélection, elle est coincée : de nouveaux concepts et de nouveaux produits doivent être ajoutés pour modifier l'équilibre entre la sécurité et la performance. Les centres de données n'ont pas été créés égaux Si l'on examine un centre de données qui héberge l'application de traitement des réclamations internes d'une société d'assurance et si l'on examine un centre de données qui héberge un site Internet de vente au détail, il est facile de voir des différences significatives. Ces différences portent sur la nature et le nombre d'applications, la qualité et la quantité d'utilisateurs, ainsi que la priorité et la possibilité de certains contrôles de sécurité. Ci-dessous, ce document expose les différents attributs de sécurité des réseaux et les besoins des deux principaux types de centre de données : n Centres de données d'entreprise / internes n Centres de données basés sur Internet Bien que les pare-feu nouvelle génération de Palo Alto Networks permettent aux organisations d'obtenir les principaux éléments de sécurité des réseaux de centre de données pour les deux types de centre de données, en raison des différences significatives, les technologies innovantes de Palo Alto Networks (voir annexe) s'appliquent différemment. PAGE 3

4 Centres de données d'entreprise / internes En moyenne, les centres de données d'entreprise hébergent davantage d'applications, mais ont moins d'utilisateurs. Les applications proviennent de diverses origines : elles peuvent être acquises telles quelles, élaborées en interne ou personnalisées. Les applications peuvent être basées sur navigateur, mais peuvent aussi bien être basées sur client / serveur. Les applications peuvent être basées sur un terminal ou être virtualisées. Concernant les utilisateurs, ils sont généralement connus : ce sont le plus souvent des employés, des sous-traitants ou des partenaires. Voir illustration 1. Illustration 1 : Centre de données d'entreprise Les questions de sécurité de réseau uniques auxquelles sont confrontés les centres de données d'entreprise comprennent notamment la nécessité de segmenter le réseau (généralement motivée par la conformité), la nécessité de rester à jour concernant les développeurs d'application, ainsi que l'obligation que la sécurité du réseau s'adapte à divers modèles de centre de données. Un autre des problèmes que les entreprises rencontrent de plus en plus dans les centres de données d'entreprise est l'augmentation exponentielle des applications malfaisantes. Qu'il s'agisse d'une installation malfaisante de SharePoint ou d'un administrateur qui utilise SSH sur des ports non standard, ces applications doivent être identifiées et maîtrisées sur les réseaux de centre de données. Palo Alto Networks dans le centre de données des entreprises Comme indiqué ci-dessus, la sécurité du réseau dans le centre de données de l'entreprise concerne souvent la segmentation du réseau. Bien que n'importe quel pare-feu puisse réaliser la segmentation du réseau, la segmentation basée sur des ports ou des adresses IP est aussi futile dans le centre de données que dans le périmètre - ce qui revient à dire qu'elle n'a pratiquement aucune valeur face à des mélanges d'applications et de menaces qui peuvent, pour la plupart, utiliser n'importe quel port ouvert. En outre, la maîtrise de l'accès par une adresse IP ou un groupe d'adresses IP est une approximation tout aussi mauvaise pour les utilisateurs. Ce que les entreprises recherchent, que ce soit pour se conformer aux réglementation ou à d'autres obligations externes (ex. PCI annexe F), c'est la segmentation du réseau par utilisateur et par application. Ainsi, par exemple, une organisation peut segmenter les serveurs contenant des données sur les détenteurs de carte, et restreindre l'accès à ce segment aux utilisateurs financiers qui utilisent l'application de paiement - ce qui permet de limiter l'accès et de maintenir les responsabilités individuelles. Avoir ce niveau de contrôle et, ce qui est peut-être plus important, ce niveau de vérification, s'est avéré indispensable pour de nombreuses grandes entreprises. Un autre des attributs clés des centres de données d'entreprise est la diversité des architectures. Ceci est dû en partie au fait que, dans certaines organisations, les «centres de données» internes ne sont pas nécessairement au même endroit. Ce qui signifie que la pile habituelle de routeurs, de commutateurs centraux, de commutateurs d'accès et autres ressources du réseau peut avoir l'air légèrement différente face à une utilisation intensive des VLAN et des composants d'application distribués. Ceci est un autre aspect puissant des pare-feu nouvelle génération de Palo Alto Networks : la capacité de ces pare-feu à s'intégrer aux niveaux 1 (VirtualWire), 2 et 3, en opérant même en mode mixte par le biais d'un appareil disposant de nombreux ports. De plus, la capacité à tronquer des VLAN, agréger des ports et effectuer les tâches administratives de certains rôles à travers les zones de sécurité et les pare-feu virtuels permet aux organisations d'intégrer les pare-feu nouvelle génération à n'importe quelle architecture et n'importe quel modèle opérationnel. Consultez l'illustration 2 pour voir l'image d'un pare-feu qui incorpore des VLAN et une intégration au niveau 2 - il reste aligné, mais son intégration flexible permet à l'entreprise cliente d'utiliser son architecture de réseau préférée. PAGE 4

5 UTILISATEURS BASES DE DONNÉES SERVEURS D'APPLICATIONS / WEB Illustration 2 : Centre de données d'entreprise au niveau 2, faisant appel aux VLAN avec Palo Alto Networks Enfin, l'un des autres sujets importants des pare-feu nouvelle génération de Palo Alto Networks dans le centre de données de l'entreprise est le contrôle des applications malfaisantes. Des déploiements mal configurés ou malfaisants de SharePoint, les utilisations non autorisées de SSH sur des ports non standard, et même les partages de fichiers P2P ont été découverts et maîtrisés dans les déploiements des clients. Un autre exemple porte sur les opérations : les développeurs d'application sont connus pour mettre en œuvre les bases de données et autres composants d'application sur le premier port qui leur convient. Au lieu de tenter de contrôler les développeurs d'application, contrôler les applications - ce qui signifie que, si MySQL est une application autorisée entre les zones de sécurité, elle est autorisée, quel que soit le port où elle se trouve. Ceci simplifie considérablement la possibilité de se tenir à jour concernant les développeurs et permet de mettre en œuvre des applications en toute sécurité, sans augmenter la surface d'attaque. Centres de données basés sur Internet Inversement, dans le centre de données basé sur Internet, il y a généralement peu d'applications et, souvent, elles sont basées sur Internet (sur un navigateur). Fréquemment, ces applications utilisent l'une des «piles» d'infrastructure (IBM, LAMP, Microsoft, Oracle, etc.) courantes sur Internet. Les utilisateurs sont nouveaux et, souvent, inconnus / non fiables. Voir illustration 3. Illustration 3 : Centre de données basé sur Internet Les questions de sécurité de réseau uniques auxquelles les centres de données basés sur Internet sont confrontés comprennent la conception (ex. le pare-feu est aligné dans un déploiement à haut débit, qui tolère les défaillances, mais où mettre l'ips, étant donné les problèmes de performance courants d'ips), les compromis insurmontables cités auparavant et la visibilité (ex. qu'est-ce qui est utilisé, qu'est-ce qui est attaqué?). PAGE 5

6 Palo Alto Networks dans le centre de données basé sur Internet Dans le centre de données basé sur Internet, les pare-feu nouvelle génération de Palo Alto Networks offrent un avantage important la flexibilité. Les entreprises ont maintenant la possibilité de choisir une infrastructure de sécurité du réseau qui n'impose pas un choix entre la performance et la sécurité. Changer de posture sur la sécurité est un principe stratégique de la numérisation complète du contenu aux stratégies de pare-feu concernant les applications et les utilisateurs, aux stratégies sur les pare-feu de base. Cette flexibilité de conception s'accompagne d'un avantage annexe important : la simplification. Voir l'illustration 4. Les architectes de réseau de centre de données n'ont plus à trouver comment incorporer IPS (difficulté historique). Les pare-feu nouvelle génération de Palo Alto Networks ont été testés par NSS concernant IPS non seulement ont-ils obtenu une excellente note (93,4 %, avec 100 % de résistance à l'évasion), mais les pare-feu nouvelle génération de Palo Alto Networks ont dépassé les critères des fiches techniques (en réalisant 115 % du débit requis). Ainsi, certains architectes de réseau de centre de données peuvent facilement améliorer leur réseau. UTILISATEURS SERVEURS D'APPLICATIONS SERVEURS WEB Illustration 4 : Centre de données basé sur Internet avec Palo Alto Networks Pour finir, la visibilité disponible au même endroit a des avantages importants. Généralement, la «visibilité» signifie examiner de nombreux fichiers-journaux, à la recherche d'une aiguille dans une meule de foin. Mais les clients de centre de données Palo Alto Networks se sont aperçu que la visibilité des applications, la visibilité du trafic, ainsi que l'url entrante et les journaux de menaces - tous disponibles sur la même interface utilisateur - éliminent le choix entre la visibilité et l'efficacité. Les pare-feu nouvelle génération réinventent la sécurité du réseau de centre de données Grâce à une poignée de technologies innovantes (App-ID, User-ID, Content-ID et une architecture de traitement parallèle en une seule passe voir annexe pour en savoir plus), les pare-feu nouvelle génération de Palo Alto Networks éliminent un grand nombre des compromis de sécurité traditionnels des réseaux de centre de données contre lesquels les entreprises ont dû lutter. Pour la première fois, les organisations peuvent : n Prévenir les menaces n Se conformer et cloisonner n Maintenir la performance et la disponibilité des applications Tout ceci en disposant de la performance, de la simplicité et de l'efficacité, ainsi que de la sécurité, du fonctionnement et de la visibilité. PAGE 6

7 Annexe Les technologies uniques de Palo Alto Networks Palo Alto Networks propose à ses clients quatre technologies uniques pour les aider à respecter les critères de sécurité de réseau des deux types de centre de données, tout en éliminant la nécessité de compromettre la sécurité, le fonctionnement et la visibilité en échange de la performance, de la simplicité et de l'efficacité. n App-ID n User-ID n Content-ID n Architecture de traitement parallèle en une seule passe App-ID est le principal mécanisme de classification La classification précise du trafic est au cœur de tout pare-feu, le résultat constituant la base de la stratégie de sécurité. Les pare-feu traditionnels classent le trafic par port et protocole, ce qui fut un temps un mécanisme satisfaisant de sécurisation du centre de données. Aujourd'hui, les applications et les menaces se jouent facilement des pare-feu fondés sur les ports à l'aide des techniques suivantes : saut de ports, utilisation de SSL et de SSH, attaque furtive sur le port 80 ou utilisation de ports non standard. App-ID, mécanisme de classification de trafic en attente de brevet unique à Palo Alto Networks, résout le problème de limitation de visibilité qui handicape les pare-feu traditionnels grâce à l'application de plusieurs mécanismes de classification sur le flux du trafic, dès que le périphérique le détecte, afin de déterminer l'identité exacte des applications qui transitent par le réseau - qu'il s'agisse d'une application standard, d'une application acquise telle quelle ou d'une application personnalisée. User-ID intègre le groupe / l'utilisateur de répertoires à la stratégie de sécurité du réseau Fonction standard sur toutes les plates-formes de pare-feu de Palo Alto Networks, la technologie User-ID relie les adresses IP à des identités d'utilisateur spécifiques, ce qui permet la visibilité et le contrôle de l'activité de réseau utilisateur par utilisateur. Étroitement intégré à Microsoft Active Directory (AD) et autres répertoires LDAP, l'agent d'identification d'utilisateur de Palo Alto Networks remplit cet objectif de deux manières. Tout d'abord, il vérifie régulièrement et maintient la relation entre l'utilisateur et l'adresse IP en utilisant une combinaison de surveillance des connexions, un sondage des terminaux et des techniques de portail captif. Ensuite, il communique avec le contrôleur de domaine AD afin de récolter des informations pertinentes sur l'utilisateur, telles que le rôle et l'appartenance à un groupe. Ces informations sont ensuite mises à disposition afin de : n Augmenter la visibilité (et la vérifiabilité) pour savoir qui, spécifiquement, est responsable de l'ensemble des applications, des contenus et du trafic de menaces sur le réseau ; n Permettre l'utilisation d'identifiant comme variable dans les stratégies de contrôle d'accès ; n Faciliter le dépannage / la réaction aux incidents et servir dans les rapports. Avec User-ID, les services informatique obtiennent un autre mécanisme puissant qui les aide à contrôler l'utilisation des applications de manière intelligente. Par exemple, une application qui détient des données réglementées peut être autorisée pour les individus ou les groupes qui ont légitimement besoin de l'utiliser, mais analysée afin de limiter les risques et son accès peut faire l'objet d'un journal à des fins d'audit et d'obligation de conservation. Content-ID analyse le trafic autorisé pour y détecter les menaces éventuelles Comme les technologies homologues, Content-ID procure au pare-feu nouvelle génération de Palo Alto Networks des capacités jusqu'à présent inconnues dans un pare-feu d'entreprise. Dans ce cas-ci, il s'agit de prévention des menaces en temps réel dans le trafic des applications autorisées, la visibilité précise de l'utilisation des applications Web et le filtrage des fichiers et des données. Prévention des menaces. Ce composant de Content-ID utilise plusieurs fonctionnalités innovantes pour empêcher les logiciels espions, les virus et les vulnérabilités des applications de pénétrer dans le réseau, quel que soit le type de trafic des applications - ancien ou nouveau - par lesquelles ils se font transporter. PAGE 7

8 n Décodeur d'application. Content-ID exploite ce composant d'app-id, en l'utilisant pour faire un traitement préalable des flux de données, qu'il inspecte ensuite pour détecter des identifiants de menace spécifiques. n Format de signature de menace uniforme. La performance est encore améliorée en évitant la nécessité d'utiliser des moteurs d'analyse séparés pour chaque type de menace. Les virus, les logiciels espions et les failles de vulnérabilité peuvent tous être détectés en une seule passe. n Protection contre les attaques de vulnérabilité (IPS). Des routines robustes de normalisation du trafic et de défragmentation sont accompagnées par des mécanismes de détection des anomalies de protocole, de détection des anomalies de comportement et des heuristiques afin de créer une protection complète contre une très grande diversité de menaces connues et inconnues. n Journalisation intégrée des URL. Comprend quels éléments de l'application Web dans le centre de données sont utilisés ou attaqués. Filtrage de fichiers et de données. En tirant parti de l'examen approfondi des applications effectué par App-ID, cet ensemble de fonctions permet d'appliquer des stratégies qui réduisent le risque associé au transfert non autorisé de fichiers et de données. Les capacités spécifiques comprennent notamment la capacité à bloquer les fichiers en raison de leur type réel (et non pas seulement de leur extension) et la capacité à contrôler le transfert de modèles de données confidentielles, telles que les numéros de carte de crédit et de sécurité sociale. Le résultat est que, avec Content-ID, les services informatiques obtiennent la possibilité de bloquer les menaces connues et inconnues, d'augmenter la visibilité et de garantir une utilisation adéquate - le tout sans avoir à faire de compromis sur la performance, la simplicité et l'efficacité. L'architecture de traitement parallèle, à une seule passe, forme un environnement haute performance Tout d'abord, l'infrastructure de sécurité d'un réseau de centre de données doit être performante. Comme indiqué précédemment, ce qui n'est pas performant n'est pas installé dans le centre de données. Pour mettre en œuvre un vrai pare-feu nouvelle génération, Palo Alto Networks a dû développer une nouvelle architecture, qui pouvait effectuer des fonctions de calcul intensives (ex. identification des applications) à grande vitesse. Les pare-feu nouvelle génération de Palo Alto Networks utilisent une architecture de traitement parallèle à une seule passe (SP3) pour protéger les environnements de centre de données à des vitesses allant jusqu'à 20 Gbps. Les deux éléments clés qui constituent l'architecture SP3 sont l'architecture logicielle à une seule passe et la plate-forme matérielle personnalisée. L'architecture SP3 de Palo Alto Networks est une approche unique de l'intégration des logiciels et des matériels simplifiant la gestion, rationalisant les traitements et optimisant la performance. Logiciel à une seule passe Le logiciel à une seule passe de Palo Alto Networks a été conçu pour effectuer deux fonctions clés dans le pare-feu nouvelle génération de Palo Alto Networks. Tout d'abord, le logiciel à une seule passe effectue les opérations une fois par paquet. Lors du traitement d'un paquet, les fonctions de réseau, la consultation des stratégies, l'identification et le décodage des applications, ainsi que la reconnaissance de signature de toutes les menaces et contenus sont tous effectués une seule fois. Ceci permet de réduire de manière significative les frais de traitement nécessaire pour réaliser plusieurs fonctions sur un seul périphérique de sécurité. Ensuite, l'étape d'analyse de contenu du logiciel à une seule passe de Palo Alto Networks, qui est basée sur les flux, utilise la reconnaissance de signatures uniformes pour détecter et bloquer les menaces. Au lieu d'utiliser des moteurs et des ensembles de signatures séparés (qui nécessitent une analyse à plusieurs passes) et au lieu d'utiliser des services de type proxy (qui nécessitent de télécharger les fichiers avant de les analyser), le logiciel à une seule passe de nos pare-feu nouvelle génération analyse le contenu une seule fois, en se basant sur les flux afin de ne pas introduire de délai d'attente. PAGE 8

9 Ce traitement de trafic à une seule passe permet un débit très élevé et une grande réduction des délais d'attente tandis que toutes les fonctions de sécurité sont actives. En outre, il offre l'avantage supplémentaire d'un stratégie unique, entièrement intégrée, qui simplifie la gestion de la sécurité des réseaux d'entreprise. Matériel de traitement parallèle L'autre morceau essentiel de l'architecture SP3 de Palo Alto Networks est le matériel. Les pare-feu nouvelle génération de Palo Alto Networks utilisent plusieurs banques de traitement spécifiques à certaines fonctions, opérant en parallèle pour garantir que le logiciel à une seule passe opère le plus efficacement possible. n Mise en réseau : routage, consultation de flux, décompte statistique, NAT et fonctions similaires sont effectués par le processeur spécifique au réseau. n Sécurité : User-ID, App-ID et consultation de stratégies sont tous effectués sur un moteur de traitement spécifique à la sécurité multicœur avec accélération pour le chiffrement, le déchiffrement et la décompression. n Prévention contre les menaces : Content-ID utilise un processeur d'analyse de contenu dédié pour analyser le contenu afin de détecter toutes sortes de logiciels malveillants. n Gestion : Un processeur de gestion dédié traite la gestion de la configuration, la journalisation et les rapports sans toucher le matériel de traitement des données. L'élément final de l'architecture concerne la résilience intégrée, réalisée par la séparation physique entre les plans de données et de contrôle. Cette séparation signifie que l'utilisation intensive de l'un n'aura pas d'impact négatif sur l'autre - par exemple, un administrateur peut exécuter un rapport faisant appel de manière intensive au processeur, sans pour autant gêner le traitement des paquets, grâce à la séparation entre les plans de données et de contrôle Olcott Street Santa Clara, CA Principal : Ventes : Assistance : Copyright 2011, Palo Alto Networks, Inc. Tous droits réservés. Palo Alto Networks, le logo Palo Alto Networks, PAN-OS, App-ID et Panorama sont des marques déposées de Palo Alto Networks, Inc. Toutes les spécifications peuvent faire l'objet d'une modification sans préavis. Palo Alto Networks décline toute responsabilité quant aux éventuelles inexactitudes ou obligations de mise à jour du présent document. Palo Alto Networks se réserve le droit de changer, modifier, transférer ou réviser la présente publication sans préavis. PAN_WP_DC_051811