Transcript Cómo securizar redes multigigabit a nivel de aplicación

Palo Alto Networks
Cómo securizar redes multigigabit a nivel
de aplicación sin morir en el intento
Jesús Díaz Barrero
[email protected]
La problemática y el reto
Cumplir con las demandas de los entornos multigigabit
es complicado
Seguridad = Compromiso
 Rendimiento o Seguridad
 Simplicidad o Funcionalidad
 Eficiencia o Visibilidad
Y no todas las redes y datacenters son iguales…
3 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Los ataques modernos vulneran la seguridad
tradicional
 La seguridad del DC está diseñada
para ofrecer gran rendimiento y
repeler los ataques frontales
 Los Ataques Modernos flanquean
los sistemas actuales
 Atacantes más sofisticados
 Ataques a los usuarios (malware
moderno - APTs)
 Aplicaciones de administración
 Necesidad de políticas
consistentes, tanto para el
perímetro como para las DMZs
4 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Nueva estrategia de ataque al datacenter: APTs
Atacantes
La empresa
organizados
Infección
Comando y control
Escalado
Exfiltración
5 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Exfiltración
Un ejemplo de infección por malware moderno
Se envía un correo
especialmente
diseñado al usuario
final
El website malicioso explota una
vulnerabilidad en el lado del
cliente
Drive-by download del
payload malicioso
El usuario hace click sobre un enlace a
un sitio con código malicioso
6 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Red académica y de investigación
El problema es aún más complejo de resolver, dada la flexibilidad
que requiere la red académica así como la laxitud que normalmente
impera en las políticas de seguridad.
7 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Una carta a los Reyes Magos
Objetivo: habilitación segura en redes multigigabit
Pensamiento Tradicional
✔ Bloquear … o No
9 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Pensamiento Innovador
✔ Habilitar y Controlar
Cuando el mundo era simple
El protocolo Stateful Inspection resuelve:
10 | ©2012, Palo Alto Networks. Confidential and Proprietary.
•
Dos aplicaciones: browsing e email
•
Con comportamiento predecible
•
En un entorno de amenazas básico
Pero el mundo es mucho más complejo hoy día
Cloud + SaaS
Móvil + BYOD
11 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Social + Consumerización
Ataques más sofisticados
El nuevo paradigma: habilitación segura de las aplicaciones
Nueva aproximación:
• Identificar, controlar y habilitar de
modo seguro todas las aplicaciones
por usuario. Inspeccionar los
contenidos en búsqueda de amenazas
en tiempo real
• Alto throughput y performance
• Simplificar la infraestructura y reducir
TCO
• Habilitar diversos escenarios de red
12 | ©2012, Palo Alto Networks. Confidential and Proprietary.
También en entornos de diseño de DCs tipo Zero Trust
Fuente: Forrester Research, Inc.
13 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Una propuesta de solución
Aproximación a la solución
Es necesario trabajar en tres áreas fundamentales que se integran y cooperan entre sí:
Diseño del firmware
15 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Diseño del hardware
Tecnologías de apoyo
externas
Diseño del firmware: identificación de la aplicación
• Siempre on, primera acción
• Ve todo el tráfico, todos los puertos
• Inteligencia integrada
• Escalable y extensible
Mucho más que una simple firma…
16 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Diseño del firmware: identificación del usuario
• Averiguar usuario y rol (grupo)
• Extensible a todos los usuarios
• Transparente si es posible
• Integrable con sistemas externos
17 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Diseño del firmware: inspección del contenido
• Herencia de info sobre app. y user
• Protección de users y servers
• Todos los mecanismos activos
• Simplificación del tuning y gestión
18 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Firmware: por qué visibilidad y control han de estar integrados en el FW
El control de apps. es un ‘parche’
Tráfico
• FW basado en puertos + App Ctrl (IPS) = dos políticas
Puerto
Firewall
IPS
Aplicaciones
Política decisión por
puerto
Política decisión por
App Ctrl
• Las aplicaciones se tratan como amenazas; solo
bloqueas lo que buscas expresamente (lógica
negativa)
Implicaciones
• La decisión sobre el acceso de red se realiza sin
información
• No es posible habilitar de manera segura las
aplicaciones
Control de aplicaciones en un NGFW
• El control de apps está en el fw = política unificada
• Visibilidad sobre todos los puertos, para todo el tráfico,
todo el tiempo
Implicaciones
• Las decisiones de acceso a la red se toman en base a
la identidad de la aplicación
• Se habilita de manera segura el uso de las aplicaciones
19 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Tráfico
Aplicación
Firewall
IPS
Aplicaciones
Política decisión por
App Ctrl
Escanear la aplicación
buscando amenazas
Diseño del hardware: estrategia Divide y Vencerás
Una sola iteración
• Procesamiento una vez
por paquete
-
Clasificación del tráfico
(app identification)
-
Mapeo Usuario/Grupo
-
Análisis de contenidos –
amenazas, URLs, info
confidencial
• Una única política
Procesamiento paralelo
• Motores paralelos
basados en hw específico,
para funciones concretas
• Data/control planes
separados
20 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Tecnologías de apoyo externas: sandboxing
• Envío de ficheros sospechosos
• Análisis de comportamiento
• Uso de sandbox en la nube
• Generación y distribución firmas
21 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Conclusiones
Conclusiones
Identificación de la
aplicación
Identificación del
usuario y su rol
Inspección y limpieza
del contenido
Detección de malware
moderno
1. Reducir la superficie de ataque proactivamente
2. Controlar los vectores de propagación basados en aplicaciones
3. Utilizar la información del usuario y su rol
4. Proteger frente a las amenazas de modo integral (en el contexto)
5. Utilizar hardware de propósito específico y procesamiento paralelo
23 | ©2012, Palo Alto Networks. Confidential and Proprietary.