Palo Alto Networks
10 saker din brandvägg måste klara av
(För annars är det inte en riktig brandvägg)
10 saker din nästa brandvägg måste klara av
1. Identifiera och kontrollera
applikationer på alla portar
Applikationsutvecklare bryr sig inte längre
om standard port/protokoll/applikations
mappning. Fler och fler applikationer är
kapabla att använda icke-standard portar
eller de kan byta portar (t.ex. Sharepoint,
Instant Messaging, P2P file sharing, eller
VoIP). Dessutom är användare mer och mer
kompetenta att använda applikationer över
icke-standard portar (t.ex. MS RDP, SSH).
För att genomdriva policys baserat på
applikationer där portar är alltmer irrelevant,
så måste er nästa brandvägg ta för givet att
en applikation kan använda vilken port som
helst.
10 saker din nästa brandvägg måste klara av
2. Identifiera och kontrollera
anonymisering och tunnlar
De flesta företag och myndigheter har
säkerhetspolicys – och verktyg anpassade
för att genomdriva dessa policys. Proxys,
fjärrstyrningsapplikationer, och krypterade
tunnlar används specifikt för att kringgå
brandväggar och webfilter. (T.ex. Ultrasurf,
Teamviewer) Utan möjlighet att kontrollera
dessa applikationer kan inte organisationer
genomdriva sina policys, och de utsätter sig
för risker som de trodde sig kontrollera via
sina säkerhetsinvesteringar.
Er nästa brandvägg måste vara kapabel att
hantera tunnlar och anonymisering och
också se till att få regelbundna
uppdateringar på dessa applikationer när de
förändras.
10 saker din nästa brandvägg måste klara av
3. Dekryptera utgående SSL
Idag är mer än 15% av nätverkstrafiken
krypterad med SSL. Inom vissa branscher
(t.ex. finans), är det mer än 50%. Givet den
ökning av HTTPS för många
högriskapplikationer (t.ex. Facebook, Gmail)
och användarnas möjlighet att forcera SSL
till många hemsidor, så har ITsäkerhetsavdelningen ett större och större
svart hål.
En modern brandvägg måste klara av att
inspektera krypterad SSL trafik och
samtidigt vara flexibel nog att ändå släppa
igenom viss krypterad trafik (t.ex. webbtrafik
till banker och sjukhus) via policy.
10 saker din nästa brandvägg måste klara av
4. Tillhandahålla kontroll av
funktioner inom applikationer
Många applikationer har idag väldigt
varierande funktioner, och dessa introducerar
helt skilda risker och värden. Bra exempel på
detta är WebEx Presentation mot WebEx
Desktop Sharing, och MSN Messenger Chat
mot filöverföring via MSN Messenger. Inom
organisationer med reglerande krav från
myndigheter, eller med behov att skydda
immateriell egendom så blir detta enormt stora
problem.
Er nästa brandvägg måste klara avatt
kontinuerligt monitorera trafiken och se efter
förändringar – Om en annan funktion dyker
upp inom en session måste brandväggen se
detta och genomföra en check mot policyn.
10 saker din nästa brandvägg måste klara av
5. Skanna efter virus och
malware i tillåtna applikationer
Organisationer anammar kontinuerligt nya
molntjänster som ligger utanför deras fysiska
kontroll. Oavsett om det rör sig om Sharepoint,
Box.net, Google Docs, eller Microsoft Office Live,
så har man ett behov att dela filer mellan
användare. Många infekterade dokument ligger
lagrade i molnet via ”collaboration” verktyg,
tillsammans med dokument med känslig
information. Och idag scannas dessa dokument
bara om de kommer via epost och webb, inte via
Sharepoint eller SSL krypterade applikationer
t.ex.
Er nästa brandvägg måste klara av att säkert
tillåta dessa nya tjänster, vilket innebär att de
måste skannas för hot precis som webb och
epost.
10 saker din nästa brandvägg måste klara av
6. Hantera okänd trafik via
policy
Det kommer alltid finnas okänd trafik som
utsätter organisationer för hög risk. Det finns
många saker att tänka på när det gäller
okänd trafik – att minska den, att enkelt
identifiera egenskrivna applikationer som
”kända” i policyn, och kontinuerligt monitorera
och visualisera, och blockera om nödvändigt,
den okända trafik som fortfarande finns kvar.
Er nästa brandvägg måste klara av att
klassificera all trafik, vilket ger en positiv
kontrollmodell (default deny). En negativ
kontrollmodell (default allow) tillåter all okänd
trafik så att ni inte vet vad som skadar er,
detta gäller samtliga ”stateful inspection” som
ex. släpper igenom all trafik på port 80, 443
eller 8080.
10 saker din nästa brandvägg måste klara av
7. Identifiera och kontrollera
applikationer som använder
samma session
Applikationer delar sessioner. För att
säkerställa att användare fortsätter använda
samma ”plattform”, oavsett om det gäller
Google, Facebook, Microsoft, eller
Salesforce, så integrerar utvecklarna massor
med olika applikationer – som utsätter företag
för skilda risker och värden.
Låt oss se på Gmail – som har en möjlighet
att starta en Google Docs session från Gmails
användargränssnitt. Detta är två helt skilda
applikationer, och er nästa brandvägg måste
klara av att upptäcka det, och sätta en policy
var och en av dessa applikationer. Det klarar
inte en brandvägg som bygger
applikationskontroll på ips blad av.
10 saker din nästa brandvägg måste klara av
8. Tillåta samma visibilitet och
kontroll för fjärranvändare
Användare befinner sig allt oftare utanför
företagets fyra väggar. En stor del av
användarna kan idag arbeta hemifrån eller från
i princip varsomhelst. Och de förväntar sig att
kunna använda sina applikationer via WiFi,
mobilt bredband, eller andra nätverk.
Oavsett var användaren befinner sig, eller var
applikationen befinner sig, så skall samma
kontroll och policy kunna gälla. Om er nästa
brandvägg tillhandahåller visibilitet och kontroll
av applikationer inom företagets fyra väggar
men inte utanför så missar man en stor del av
högrisktrafiken.
10 saker din nästa brandvägg måste klara av
9. Förenkla nätverkssäkerhet
Många organisationer har problem med allt
mer information, fler policys, och mer
management för en redan överbelastad
säkerhetsavdelning. Med andra ord, om
man inte kan managera det man redan har
på ett bra sätt såhjälper det knappast att
introducera fler verktyg. Givet att er
brandvägg har hundratals eller tusentals
regler, att lägga på ytterligare tusentals
signaturer för att kontrollera applikationer på
tiotusentals portar ökar komplexiteten och
sänker prestandan dramatiskt.
Er nästa brandvägg måste klara av att sätta
policys baserat på användare och
applikationer, vilket förenklar regelverket och
management drastiskt.
10 saker din nästa brandvägg måste klara av
10. Leverera samma
prestanda med applikations
kontroll och AV/IPS påslaget
Många organisationer har problem med
kompromissen mellan prestanda och
säkerhet. Alldeles för ofta blir prestandan
lidande när man slår på ips-signaturer eller
antivirus. Om din nästa brandvägg är byggd
• på rätt sätt så slipper ni kompromissa.
Det finns ett stort behov av att genomföra
avancerade och komplicerade uppgifter (t.ex.
applikations kontroll) på riktigt höga
trafikvolymer med snabba svarstider. Er
nästa brandvägg måste ha optimerad
hårdvara för specifika uppgifter som
säkerhet, innehållskontroll och routing.