P A L O A LT O N E T W O R K S : V u e d ' e n s e m b l e d e s f o n c t i o n n a l i t é s d u p a r e - f e u n o u v e l l e g é n é r a t i o n Vue d'ensemble du pare-feu nouvelle génération L'évolution des méthodes de travail et les progrès technologiques ont peu à peu érodé la protection qu'offraient les pare-feu traditionnels. De nos jours, les utilisateurs s'attendent à pouvoir travailler d'où ils le souhaitent bureau, domicile, chambre d'hôtel ou bar rendant ainsi caduc le concept traditionnel du périmètre. De plus, les applications se jouent facilement des pare-feu fondés sur les ports à l'aide des techniques suivantes : saut de ports, utilisation de SSL et de SSH, attaque furtive sur le port 80 ou utilisation de ports non standard. Les tentatives de restauration de la visibilité et du contrôle ont engendré le développement de stratégies de sécurité doubles pour les utilisateurs locaux et distants. La stratégie pour les utilisateurs locaux comprend des «assistants de pare-feu» déployés de manière autonome ou par le biais d'une intégration matérielle, tandis que la stratégie pour les utilisateurs distants passe par des offres de points de terminaison parallèles. Ces approches introduisent des incohérences de stratégie et ne résolvent pas le problème de visibilité et de contrôle en raison d'une classification inexacte ou incomplète du trafic, d'une gestion complexe et de multiples processus d'analyse générant des temps d'attente. La restauration de la visibilité et du contrôle requiert une toute nouvelle approche, autrement dit un pare-feu nouvelle génération : un pare-feu qui unifie les stratégies de sécurité pour tous les utilisateurs et toutes les applications, à la fois locaux et distants. Principales fonctions du pare-feu nouvelle génération : Identifier les applications, pas uniquement les ports : Identification exacte de ce qu'est l'application sur tous les ports, indépendamment du protocole, du chiffrement (SSL ou SSH) ou de la technique d'évasion. L'identité d'application devient le fondement de toutes les stratégies de sécurité. Identifier les utilisateurs, pas uniquement les adresses IP : Utilisation des informations de groupes ou d'utilisateurs stockées dans les annuaires d'entreprise pour la visibilité, la création de stratégies, la génération de rapports et l'investigation détaillée quel que soit l'endroit où se trouve l'utilisateur. Inspecter le contenu en temps réel : Protection du réseau contre les failles de sécurité et les logiciels malveillants incorporés dans le trafic d'application, quel que soit leur origine. Simplifier la gestion des stratégies : Activation sécurisée d'applications à l'aide d'outils graphiques simples d'utilisation qui les lient entre elles de manière unifiée. Activer un périmètre logique : Sécurisation de tous les utilisateurs, y compris des utilisateurs en déplacement ou en voyage, avec un niveau de sécurité cohérent qui s'étend du périmètre physique au périmètre logique. Fournir un débit multi-gigabits : Combinaison de logiciels et de matériel créée dans le but d'offrir des performances à faible latence et à haut débit avec tous les services activés. Les pare-feu nouvelle génération de Palo Alto Networks offrent une visibilité et un contrôle sans précédent sur les applications, les utilisateurs et le contenu, pas uniquement les ports, les adresses IP et les paquets, à l'aide de trois technologies d'identification uniques : App-ID, User-ID et Content-ID. Ces technologies d'identification, qui équipent chaque pare-feu d'entreprise de Palo Alto Networks, permettent aux entreprises d'adopter Web 2.0 en conservant une visibilité et un contrôle complets, tout en réduisant considérablement leur coût total de possession via un regroupement des périphériques.
PA LO A LT O N E T W O R K S : V u e d ' e n s e m b l e d e s f o n c t i o n n a l i t é s d u p a r e - f e u n o u v e l l e g é n é r a t i o n App-ID : Classification des applications, de tous les ports, tout le temps La classification précise du trafic est au cœur de tout parefeu, le résultat constituant la base de la stratégie de sécurité. Les pare-feu traditionnels classent le trafic par port et protocole, ce qui fut un temps un mécanisme satisfaisant de sécurisation du périmètre. Aujourd'hui, les applications se jouent facilement des pare-feu fondés sur les ports à l'aide des techniques suivantes : saut de ports, utilisation de SSL et de SSH, attaque furtive sur le port 80 ou utilisation de ports non standard. App-ID TM résout le problème de limitation de visibilité qui affecte la classification du trafic et handicape les pare-feu traditionnels grâce à l'application de plusieurs mécanismes de classification sur le flux du trafic, dès que le périphérique le détecte, afin de déterminer l'identité exacte des applications qui transitent par le réseau. Contrairement aux offres de compléments qui reposent uniquement sur des signatures de type IPS, implémentées après une classification fondée sur les ports, chaque App-ID utilise automatiquement jusqu'à quatre mécanismes de classification de trafic différents pour déterminer l'identité exacte de l'application. Il est inutile d'appliquer des paramètres spécifiques pour une application particulière, car App-ID classe le trafic en permanence, à l'aide du mécanisme d'identification approprié, identifiant ainsi les applications de manière cohérente et précise, à travers tous les ports, pour tout le trafic, tout le temps et, dans de nombreux cas, jusqu'au niveau fonctionnel. Détection/déchiffrement du protocole d'application Décodage du protocole d'application Signature des applications Heuristique À mesure que les applications sont identifiées par les mécanismes successifs, le contrôle de stratégie détermine comment les traiter : bloquer, autoriser ou activer de manière sécurisée (rechercher et bloquer les menaces incorporées, surveiller les transferts de fichiers et les schémas de données non autorisés, ou la mise en forme du trafic par le biais de la Qualité de Service). edirectory, Open LDAP, Citrix, Microsoft Terminal Server et XenWorks. Un portail XML API et captif vient compléter la série de mécanismes qui permettent aux organisations d'incorporer les informations utilisateur dans leurs stratégies de sécurité. Un agent User-ID basé sur le réseau communique avec le contrôleur de domaine, mappant les informations utilisateur à l'adresse IP qu'ils utilisent à un moment donné. 10.0.0.227 10.0.0.211 Surveillance 10.0.0.232 des connexions 10.0.0.220 10.0.0.239 10.0.0.242 10.0.0.245 10.0.0.209 10.0.0.217 Sondage des 10.0.0.232 terminaux 10.0.0.221 User-ID Découverte des rôles Portail captif Paul I Engineering Groupe Finance Les informations d'utilisateur et de groupe fournies par User- ID font partie intégrante de toutes les fonctionnalités des pare-feu Palo Alto Networks nouvelle génération, telles que l'acc (Application Command Center), l'éditeur de stratégie, la journalisation et la création de rapports. Content-ID : Protection du trafic autorisé Aujourd'hui, les employés utilisent toutes sortes d'applications à des fins à la fois professionnelles et personnelles, et les pirates profitent de cette utilisation indifférenciée pour atteindre leurs objectifs. Conjointement à App-ID, Content-ID offre aux administrateurs une solution à deux têtes pour protéger leurs actifs réseau. App-ID peut être utilisé pour identifier et contrôler les applications sur le réseau, et permettre l'utilisation d'applications spécifiques. Ensuite, avec Content-ID, des stratégies spécifiques peuvent être affectées à chaque application comme moyen de blocage des attaques et de limitation du transfert de fichiers non autorisés et de données sensibles. Aux éléments de contrôle qu'offre Content-ID, vient s'ajouter une base de données exhaustive d'url pour contrôler la navigation sur le Web. Nancy I User-ID : Activation d'applications par les utilisateurs et les groupes Jusqu'ici, les stratégies de sécurité étaient appliquées sur la base d'adresses IP, mais la nature de plus en plus dynamique des utilisateurs et de l'informatique signifie que les adresses IP seules ne constituent plus un mécanisme suffisant de surveillance et de contrôle de l'activité des utilisateurs. User-ID intègre de façon transparente les pare-feu Palo Alto Networks nouvelle génération dotés de la gamme d'annuaires d'entreprise la plus vaste du marché ; Active Directory, DONNÉES MENACES N carte de crédit Failles de sécurité N sécurité sociale Virus Fichiers Logiciel espion Content-ID URL Filtrage Web PAGE 2
PA LO A LT O N E T W O R K S : V u e d ' e n s e m b l e d e s f o n c t i o n n a l i t é s d u p a r e - f e u n o u v e l l e g é n é r a t i o n Content-ID utilise un moteur d'analyse basé sur le flux et un format de signature uniforme pour rechercher et bloquer des attaques de toutes sortes comme les failles de sécurité, les virus, les logiciels espions et les vers. L'analyse à base de flux signifie que la prévention des menaces commence dès l'analyse du premier paquet tandis que le format de signature uniforme élimine les processus redondants communs aux solutions de type moteur à analyses multiples (réassemblage TCP, consultation des stratégies, inspection, etc.). Ceci se traduit par une réduction du délai d'attente et une amélioration des performances. Activation sécurisée des applications L'intégration transparente d'app-id, User-ID et Content-ID permet aux organisations d'établir des stratégies d'activation cohérentes des applications, jusqu'au niveau fonctionnel dans de nombreux cas, qui couvrent tout le spectre de permissivité, de l'autorisation au refus. Les stratégies qui protègent les utilisateurs au siège social des grandes entreprises peuvent être étendues à tous les utilisateurs, où qu'ils soient, établissant de fait un périmètre logique pour les utilisateurs hors des murs du siège. Les stratégies d'activation sécurisées commencent par l'identification des applications, déterminée par App- ID, dès que le trafic atteint le périphérique. L'identité de l'application est ensuite mappée à l'utilisateur associé par User-ID, tandis que le contenu du trafic est analysé pour y détecter de possibles menaces, fichiers, schémas de données et activités Web par Content-ID. Ces résultats sont affichés dans ACC (Application Command Center) où l'administrateur peut savoir, quasiment en temps réel, ce qui se passe sur le réseau. Ensuite, dans l'éditeur de stratégie, les points de données glanés dans ACC sur les applications, les utilisateurs et le contenu peuvent être convertis en stratégies de sécurité appropriées, bloquant les applications indésirables tout en autorisant et en activant les autres de manière sécurisée. Enfin, toute analyse détaillée, création de rapport ou investigation peut être exécutée, à nouveau, avec les applications, les utilisateurs et le contenu comme base. ACC (Application Command Center) : Savoir, c'est pouvoir Le centre de commandement des applications ACC (Application Command Center) utilise une partie de la base de données du journal pour afficher graphiquement un récapitulatif global des applications franchissant le réseau, de leurs utilisateurs et de leur impact potentiel sur la sécurité. ACC est dynamiquement mis à jour, tirant profit de la classification continue du trafic assurée par App-ID ; en cas de changement de port par une application, App-ID continue à suivre le trafic et à afficher les résultats dans App-ID. Il n'y a aucun paramètre à modifier ni aucune signature à activer ou à configurer. D'un simple clic, vous pouvez facilement obtenir une description des applications nouvelles ou inconnues qui apparaissent dans ACC, ainsi que leurs principales fonctionnalités, leurs caractéristiques comportementales, et savoir qui l'utilise. Des données supplémentaires sur les catégories d'url, les menaces et les données offrent une analyse complète et globale de l'activité du réseau. Avec ACC, un administrateur peut très facilement en savoir plus sur le trafic qui traverse le réseau et se servir ensuite de ces informations pour créer des stratégies de sécurité mieux fondées. Visibilité des applications Affichez l'activité des applications dans un format clair et lisible. Ajoutez et supprimez des filtres pour en savoir plus sur l'application, ses fonctions et leurs utilisateurs. PAGE 3
PALO ALTO NETWORKS : Vu e d ' e n s e m b le d e s fo n c t i o n n a l i t é s d u p a re - fe u n o u velle g é n é ration Création de stratégies Une interface familière permet de créer et déployer rapidement des stratégies qui contrôlent les applications, les utilisateurs et le contenu. Éditeur de stratégies : Conversion d'informations en stratégies d'activation sécurisées Le fait de disposer d'un accès immédiat à des informations, telles que la liste des applications traversant le réseau, qui en fait usage et le risque potentiel pour la sécurité, permet aux administrateurs de déployer des stratégies d'activation fondées sur les applications, les fonctions d'application et les ports de manière systématique et contrôlée. Les réponses stratégiques peuvent aller d'ouvert (autoriser) à fermé (refuser) en passant par modéré (autoriser certaines applications ou fonctions, puis analyser, ou mettre en forme, planifier, etc.). Quelques exemples : Affecter l'accès à Saleforce.com aux groupes Ventes et Marketing en profitant des informations des utilisateurs et des groupes. Protéger les données contenues dans la base de données Oracle en limitant l'accès aux groupes Finance, en forçant le trafic à transiter par les ports standard et en inspectant le trafic pour y rechercher des failles dans les applications. Autoriser uniquement le département Informatique à utiliser un groupe donné d'applications de gestion à travers leurs ports standard. Définir et appliquer une stratégie d'entreprise qui permet l'utilisation et l'inspection de messageries Web et instantanées. Autoriser l'utilisation de MSN et Google Talk, mais bloquer l'utilisation de leur fonctions de transfert de fichier respectives. Limiter l'utilisation de SharePoint Admin à la seule équipe d'administration de SharePoint, et autoriser l'accès à SharePoint Docs à tous les autres utilisateurs. Mettre en œuvre des stratégies de Qualité de Service autorisant l'utilisation des applications multimédias et autres applications nécessitant un haut débit tout en limitant l'impact sur les applications VoIP (voix sur IP). Identifier le transfert de données sensibles, comme les numéros de carte de crédit ou de sécurité sociale, au format texte ou dans un fichier. Déployer des stratégies de filtrage des URL qui bloquent l'accès aux sites n'ayant aucun lien manifeste avec l'activité professionnelle, contrôlent les sites douteux et guident l'accès aux autres sites à l'aide de pages de blocage personnalisées. Refuser tout trafic en provenance de pays spécifiques ou bloquer des applications indésirables telles que le partage de fichier P2P ou les services de type proxy et circumventor. L'intégration étroite du contrôle d'application, basé sur les utilisateurs et les groupes, ainsi que la capacité d'analyser le trafic autorisé à rechercher des menaces de tous types, permet aux organisations de réduire considérablement le nombre de stratégies qu'ils déploient en plus des ajouts, déplacements et changements d'employés susceptibles de se produire quotidiennement. PAGE 4
PA LO A LTO N E T WORKS : Vu e d ' e n s e m b le d e s fo n c t i o n n a l i t é s d u p a re - fe u n o u v e l le g é n é r a t i o n Visibilité du contenu et des menaces Affichez l'activité de transfert de données/fichiers, de menaces et d'url dans un format clair et facile à lire. Ajoutez et supprimez des filtres pour en savoir plus sur des éléments individuels. Éditeur de stratégies : Protection des applications activées L'activation sécurisée d'applications signifie autoriser l'accès aux applications, puis appliquer des stratégies de prévention de menaces spécifiques et de blocage de fichiers, de données ou de trafic Web avec Content-ID. Chacun des éléments inclus dans Content-ID peut être configuré par application ou par fonction d'application, permettant aux administrateurs de cibler avec précision leurs efforts de prévention. Système de prévention des intrusions : La protection contre les vulnérabilités implique un riche ensemble de fonctionnalités de prévention des intrusions (IPS) capables d'empêcher les failles de sécurité connues et inconnues du réseau, les vulnérabilités de la couche applicative, les dépassements de mémoire tampon, les attaques par refus de service et les attaques par analyse des ports. Antivirus réseau : La protection par antivirus sur flux bloque des millions de types de logiciels malveillants, y compris les virus PDF et les programmes malveillants dissimulés dans les fichiers compressés ou dans le trafic Web (HTTP/HTTPS compressé). Le déchiffrement SSL basé sur une stratégie permet aux organisations de se protéger contre les logiciels malveillants qui circulent à travers les applications chiffrées en SSL. Filtrage des URL : Une base de données de filtrage des URL, totalement intégrée et personnalisable, composée de 20 millions d'url répartis en 76 catégories, permet aux administrateurs d'appliquer des stratégies de navigation Web extrêmement précises, en complément des stratégies de contrôle et de visibilité des applications et de la protection de l'entreprise contre un large éventail de risques en termes de loi, de réglementation et de productivité. Filtrage de fichiers et de données : Des fonctionnalités de filtrage de données permettent aux administrateurs de mettre en œuvre des stratégies permettant de réduire les risques liés à un transfert de fichiers et de données. Les transferts et les téléchargements peuvent être contrôlés en fonction du contenu des fichiers (par opposition au seul examen de l'extension de fichier), afin de déterminer leur autorisation ou non. Les fichiers exécutables, qui se trouvent habituellement dans les téléchargements automatiques, peuvent être bloqués, protégeant par conséquent le réseau contre la propagation de logiciels malveillants non détectés. Enfin, les fonctions de filtrage des données peuvent détecter et contrôler le flux de modèles de données confidentiels (numéros de carte de crédit ou de sécurité sociale). Surveillance du trafic : analyse, création de rapports et investigation Les pratiques recommandées en matière de sécurité stipulent que les administrateurs doivent trouver un point d'équilibre entre la proactivité, apprendre et s'adapter en permanence en vue de la protection des actifs de l'entreprise, et la réactivité, enquêter, analyser et rapporter les incidents concernant la sécurité. ACC et l'éditeur de stratégies peuvent permettre d'appliquer de manière proactive des stratégies d'activation d'application, tandis qu'un jeu complet d'outils de surveillance et de reporting fournit aux organisations les moyens nécessaires pour analyser et créer des rapports sur l'application, les utilisateurs et le contenu transitant par le pare-feu Palo Alto Networks nouvelle génération. App-Scope : complément de l'affichage en temps réel des applications et du contenu fourni par ACC, App-scope procure une vue dynamique et personnalisable de l'activité des applications, du trafic et des menaces au fil du temps. PAGE 5
PA LO A LT O N E T W O R K S : V u e d ' e n s e m b l e d e s f o n c t i o n n a l i t é s d u p a r e - f e u n o u v e l l e g é n é r a t i o n Création de rapports : Des rapports prédéfinis peuvent être utilisés tels quels, personnalisés ou regroupés dans un seul rapport afin de s'adapter aux exigences particulières. Tous les rapports peuvent être exportés au format CSV ou PDF et exécutés et envoyés par courrier électronique selon une planification. Détection comportementale de réseau de zombies : Les données concernant des applications inconnues, le trafic IRC, les sites de logiciels malveillants, les DNS dynamiques et les domaines nouvellement créés sont analysées, et les résultats de cette analyse listent les hôtes potentiellement infectés et susceptibles d'appartenir à un réseau de zombies. Journalisation : Un filtrage des journaux en temps réel facilite l'examen rigoureux et rapide de chaque session franchissant le réseau. Les résultats du filtrage des journaux peuvent être exportés vers un fichier CSV ou envoyés à un serveur syslog pour archivage hors connexion ou analyse plus approfondie. Outil de corrélation de trace : Accélérez les investigations suite aux incidents grâce à une vue centralisée et corrélée de tous les journaux pour le trafic, les menaces, les URL et les applications liés à une session individuelle. GlobalProtect : Extension du contrôle de stratégie à tous les utilisateurs Pour les utilisateurs qui se trouvent à l'intérieur du périmètre physique, la mise en application des stratégies de sécurité à l'aide d'un pare-feu nouvelle génération est simple. Le trafic est classé par le pare-feu, les stratégies d'activation sont appliquées, le trafic est analysé pour rechercher des menaces et le réseau est protégé. Toutefois, l'évolution rapide des entreprises d'aujourd'hui a poussé applications, utilisateurs et contenu hors du périmètre physique, rendant quasiment impossibles le déploiement et la mise en application d'un ensemble cohérent de stratégies de sécurité pour les utilisateurs distants. GlobalProtect étend les stratégies basées sur le pare-feu nouvelle génération en vigueur dans le périmètre physique à tous les utilisateurs, quel que soit l'endroit où ils se trouvent. Concrètement, Global Protect établit un périmètre logique qui agit comme un miroir du périmètre physique. Les employés qui travaillent à domicile, en déplacement, ou qui se connectent depuis un café seront protégés par le périmètre logique de la même manière qu'ils le seraient à leur bureau. Global Protect offre un avantage significatif aux organisations : une stratégie de sécurité basée sur pare-feu cohérente pour tous les utilisateurs. La nécessité de créer des stratégies distinctes pour les pare-feu et les utilisateurs distants disparaît, tout comme les efforts de gestion associés. Le résultat est une infrastructure de sécurité simplifiée et une stratégie de sécurité plus cohérente. Utilisateur itinérant Utilisateur du siège Global Protect Mettez en œuvre des stratégies d'activation d'application sécurisée cohérentes pour tous les utilisateurs, où qu'ils soient. Utilisateur d'un bureau annexe Utilisateur à domicile Palo Alto Networks 232 E. Java Drive Sunnyvale, CA 94089 Ventes 866.320.4788 408.738.7700 www.paloaltonetworks.com Copyright 2011, Palo Alto Networks, Inc. Tous droits réservés. Palo Alto Networks, le logo Palo Alto Networks, PAN-OS, App-ID et Panorama sont des marques déposées de Palo Alto Networks, Inc. Toutes les spécifications peuvent faire l'objet d'une modification sans préavis. Palo Alto Networks décline toute responsabilité quant aux éventuelles inexactitudes ou obligations de mise à jour du présent document. Palo Alto Networks se réserve le droit de changer, modifier, transférer ou réviser la présente publication sans préavis. PAN-OS 4.0, Mars 2011.