palo alto networks “simplify your security” - startseite · palo alto networks “simplify your...

Palo Alto Networks

“Simplify your security”

Agenda

1. Komplexität – Risiken und Probleme

2. Wie sieht eine Security-Umgebung heute aus?

3. Wie geht Palo Alto Networks dieses Problem an?

4. Unsere Lösung im Detail

“Complexity is

the Worst Enemy of Security”

- Bruce Schneier

Komplexität – Risiken und Nebenwirkungen…

For starters, the global survey of 2,400 IT security administrators found that more than half of their organizations work with at least seven security vendors. Not coincidentally, in every country surveyed the complexity of managing security operations ranked as the No. 1 information security challenge. In the U.S., complexity (the main challenge for 33% of survey respondents) ranked well ahead of data theft by insiders (21%), compliance (19%), security policy enforcement (15%), and data theft by outsiders (12%). That's right: Security groups aren't spending most of their energy battling malicious insiders, hackers, or the latest malware. Rather, they're combating the complexity of their own security programs. Furthermore, organizations report that they're loathe to cut vendors, fearing that they'll have to settle for higher prices, greater total cost of ownership, and fewer capabilities.

- Ponemon Institute (sponsored by Checkpoint) - Ponemon Institute (sponsored by Checkpoint) - Ponemon Institute (sponsored by Checkpoint)

Die Komplexität des Betriebs ist die TOP-Herausforderung für die IT-Sicherheit

Security-Teams verbringen mehr Zeit im Kampf mit der eigenen Infrastruktur – anstatt gegen externe und interne Angriffs-Vektoren

Think about this for a minute. In our attempts to defend the network and critical assets from cyber threats, we have fallen into the trap of bolting on more and more security layers and policies. The result is that we’ve increased the level of complexity within the environment to the point where we have actually created risk because of human errors, misconfigurations, etc.

- Wired

Wie sieht eine Security-Umgebung heute aus?

Viel hilft viel?

Derzeitig verwendete Ansätze

Enterprise Network

Internet

• Am Anfang war die Firewall…

Enterprise Network

Internet

• Ergänzung um ein IPS-System

Enterprise Network

DLP IPS

Internet

• Ergänzung um ein Data-Loss-Prevention-System

Enterprise Network

DLP IPS

Internet QoS

• Eventuell noch Quality of Service?

Enterprise Network

DLP IPS

Internet AV

• Netzwerk-Antivirus

Enterprise Network

DLP IPS

Internet AV URL

• URL-Filter – dediziert oder integriert mit Proxy

Enterprise Network

DLP IPS

Internet AV URL Proxy

• Proxy

Enterprise Network

• “Mehr” nicht unbedingt “mehr gut”…

• Jedes Gerät sieht lediglich einen Traffic-Ausschnitt

• Komplex – teuer – intensive Wartung

• “Legacy”-Architektur

• Keine integrierte Applikations-Kenntnis je Modul

Internet

UTM-Architektur – “einer geht noch…”

Port/Protocol-based ID

HTTP Decoder

L2/3 Networking

Firewall

IPS Signatures

L2/3 Networking

IPS Decoder

AV Signatures

L2/3 Networking

Antiviren

AV Decoder & Proxy

Wie geht Palo Alto Networks dieses Problem an?

Firewall Security Plattform – ganzheitliche Lösung

Enterprise Security Plattform

Next-Generation Firewall

Analysiert alle Daten

Blockiert bekannte Threats…

…lässt unbekannte analysieren

Erweiterbar (mobil/virtuell)

Next-Generation Threat Cloud

Potentielle Netzwerk- und Endpunkt-Threats werden gesammelt

Analyse der Daten auf Schadhaftigkeit

Stellt Ergebnisse den Netzwerk- und Endpunkt-Systemen zur Verfügung

Inspiziert alle Prozesse und Dateien

Verhindert bekannte & unbekannte Exploits

Integriert mit Cloud-Analyse zur Malware-Erkennung (unbekannte)

Next-Generation Endpoint

Unbekannte Bekannte &

zero-day-

Real-time

signatures

Bestätigt Gefahrenfund

Integriertes Reporting

① Schützt vor Angriffen — auch neuartige/unbekannte

② Schützt alle Anwender und Applikatinen — inkl. mobile und virtuelle!

③ Nahtlose Integration von Netzwerk- und Endpunkt-Security - nutzt Stärken beider

④ Ermöglicht schnelle Analyse neuer Threats

Unsere Lösung im Detail

“Let the Firewall do its job!”

Heutige Firewalls – noch zeitgemäß?

Applikationen - Angriffsvektor und Ziel zugleich

Verschlüsselte Applikationen – “Unsichtbare” Gefahren

“Enabling Applications, Users and Content – Safely”

Making the Firewall a Business Enablement Tool

Applikationen: Akkurate Klassifizierung des

Traffics mit App-ID.

Anwender: Einbinden von Usern und Gruppen

mit User-ID und GlobalProtect.

Inhalte: Analyse und Schutz vor

Schadinhalten, bekannter oder unbekannter

Natur mit Content-ID und WildFire.

Wildfire?

Verbreitung von “0-Day Malware”

1 2 3 4 5 6 7 8 9101112131415161718192021222324252627282930313233343536373839404142434445464748

• Analyse von 50 “0-Day

malware”-Proben

• Mit WildFire

abgefangen in einem

Kundennetz

• Zeigt die Infektionsrate

neuer Malware über

Stunden

riffsvers

Stunden

Abdeckung der Gefahr durch AV-Signaturen A

Abeckungsrate der Top 5 AV-Hersteller (vendor) nach Tagen

Abdeckungsrate durch AV-Anbieter von neuer Malware (50 Proben)

Day-0 Day-1 Day-2 Day-3 Day-4 Day-5 Day-6

5 vendors

4 vendors

3 vendors

2 vendors

1 vendor

0 vendors

Verbreitung von “0-Day Malware”

1 2 3 4 5 6 7 8 9101112131415161718192021222324252627282930313233343536373839404142434445464748

WildFire-Kunden

Stunden

95% der Opfer neuer

Malware werden

innerhalb von 24

Stunden infiziert!

riffsvers

Erfolgreiche Eindämmung und

Schutz erlaubt

keine Wartezeit!

WildFire-Architektur

• 10 Gbps Durchsatz für

Threat Prevention

• Jeglicher Traffic, alle Ports

• Web, Email, FTP, SMB,

• Malware kann sich “frei

entfalten” in unserer

Sandbox.

• Updates an den Sandbox-

Systemen ohne Einfluß auf

Kunden/Anwender

• Signaturen werden erstellt

und getestet basierend auf

dem Binary selber.

• Stream-basierte

Analyselogik für echtes

Inline-Scanning

Welche Dateien werden analysiert?

Simultane Analyse auf verschiedenen Plattformen

Mobile Malware

Android APK

Die Hardware

PAN-OS Core Firewall Features

Strong networking foundation Dynamic routing (BGP, OSPF, RIPv2)

Tap mode – connect to SPAN port

Virtual wire (“Layer 1”) for true

transparent in-line deployment

L2/L3 switching foundation

Policy-based forwarding

Site-to-site IPSec VPN

Remote Access (SSL) VPN

QoS traffic shaping Max/guaranteed and priority

By user, app, interface, zone, & more

Real-time bandwidth monitor

Zone-based architecture All interfaces assigned to security

zones for policy enforcement

High Availability

Active/active, active/passive

Configuration and session

synchronization

Path, link, and HA monitoring

Virtual Systems Establish multiple virtual firewalls in a

single device (PA-7050, PA-5000, PA-

4000, PA-3000, and PA-2000 Series)

Simple, flexible management CLI, Web, Panorama, SNMP, Syslog

Visibility and control of applications, users and content complement core firewall features

PA-500

PA-200

PA-2000 Series PA-2050, PA-2020

PA-3000 Series PA-3050, PA-3020

PA-4000 Series PA-4060, PA-4050 PA-4020

PA-5000 Series PA-5060, PA-5050 PA-5020

VM-Series VM-300, VM-200, VM-100

PA-7050

Single Pass Platform Architecture

• Application, user and content visibility without inline deployment

• IPS with app visibility & control

• Consolidation of IPS & URL filtering

• Firewall replacement with app visibility & control

• Firewall + IPS

• Firewall + IPS + URL filtering

Firewall Replacement

Tap Mode

Transparent In-Line

Flexibel einsetzbar

• VM-Series introduces the ability for secure segmentation to be done within the host

Within The Host

NGFW as a VM, versus as a Service

VM-Series as a Guest VM

• Virtual Networking configured to pass traffic through Firewall

• Requires vSwitch and Port Group Configuration

• Connects as L3, L2, V-wire, or Tap

VM-Series NSX Edition as a Service

• NGFW is an NSX Service • Resides below the vSwitch and above vNIC • NSX steers traffic to and from VM before

Networking

VM-Series support for Citrix NetScaler SDX

• Citrix NetScaler SDX is an open service-delivery

platform that consolidates ADC (application

delivery controller) and best-in-class network and

security services

• VM-Series is now supported on Citrix SDX 11500

and 17550 Series

• Key use cases:

• Multi-tenant cloud deployments to meet

individual needs of business unit, application

owners, service provider customers

• Integrated solution for Citrix

XenApp/XenDesktop deployments

VM-100, VM-200, VM-300 deployed as guest VMs

Sicherheit durch Vereinfachung

APT/zero-day

Alle Funktionen vereint

Zentrales Logging

Einheitliche Policies

Drastisch reduzierter

administrativer Aufwand

Performance

“Simplicity is power” (Citrix)

[…] half of the survey respondents […] stated

that complex policies ultimately led

to a security breach, system outage or both.

palo alto networks “simplify your security” - startseite · palo alto networks “simplify your...

Documents

palo alto networks administrator's guide - xcdtp.com ·...

escuela de palo alto

spacerem po palo alto

palo alto high school (palo alto, ca) self-study/review...

city of palo alto tenant guide - palo alto mediation program

palo alto networks next generation firewall -...

palo alto networks modern malware cory grant regional sales...

4th edition of the palo alto - palo alto, california

paperui qiong liu, chunyuan liao fx palo alto laboratory...

palo alto paloquemao

palo alto online

shop - palo alto

palo alto 200

Межсетевые экраны нового...

palo alto neighborhoods 2011

arborist palo alto

palo alto networks_customer_overview_november2011-short

palo alto マネージメントサービス

familia palo alto

palo alto barcelona