Uočite rizike u mreži korisnika uz Palo Alto Networks SLR

Palo Alto Networks Security Lifecycle Review (SLR) je alat koji pruža uvid u sigurnosne rizike s kojima se suočava organizacija na temelju inspekcije mrežnog prometa. Svi znamo da je vidljivost ključna za sprječavanje proboja, a SLR omogućuje upravo to: operativnu vidljivost mrežnog prometa kakvu pruža PANW Next-Generation vatrozid.

Postizanje vidljivosti obično zahtijeva in-line proxy tehnologiju, ali s PANW App-ID tehnologijom i drugom ugrađenom inteligencijom cijeli je proces puno jednostavniji i može pružiti uvid čak i bez pribjegavanja potpunom SSL presretanju prometa. Palo Alto Networks detektira sadržaj i aplikacije bez obzira na port, protokol, enkripciju (TLS ili SSL) ili bilo koju drugu taktiku izbjegavanja detekcije koju koristi aplikacija. Zato SLR-ove možete raditi neinvazivno bez izmjene mrežne topologije i još uvijek skupljati korisne uvide, pa čak i otkrivati nepoznate rizike koji trenutnom vatrozidu možda promiču (npr. klijent zaražen malware botom).

SLR se oslanja na takozvanu datoteku Statsdump, koja je zapravo XML generiran izravno na NGFW-u i sadrži sažetak izveden iz log zapisa prometa za zadnjih sedam dana. Ovaj XML učitavate na partnerski portal kako biste jednostavno generirali prilagodljiva izvješća koja mogu poslužiti kao temelj razgovora s potencijalnim korisnicima.

Više opcija za SLR

Tipična i najosnovnija implementacija SLR-a koristi mrežno sučelje u TAP modu, gdje se vatrozid može spojiti na span port glavnog preklopnika kako bi kao pasivni uređaj identificirao aplikacije koje se nalaze u mreži. Ova opcija ne zahtijeva promjene u postojećem dizajnu mreže. Naravno, u ovom načinu rada vatrozid ne može blokirati promet (baš kao IDS), ali prednost je jednostavna implementacija.

• direktno spojen na SPAN port
• radi kao IDS
• nema routinga i switchinga
• nema blokiranja sadržaja
• podržava detekciju sadržaja i aplikacija kroz App-ID, Content-ID, itd.

U situacijama u kojima glavni preklopnik ne može ili nema kapaciteta za SPAN/mirroring prometa, vatrozid nudi funkciju mosta koja se naziva virtual wire interface (VWire) gdje je postavljen in-line, a promet prolazi kroz njega baš kao kroz žicu.

• nema IP ili MAC adrese
• direktno spojen na L2 ili L3 uređaj
• nema routinga i switchinga
• podržana su NAT i provođenje sigurnosnih pravila
• podržan App-ID, User-ID, Content-ID, dekripcija, DoS zaštita, itd.

Još jedna opcija za SLR je korištenje Layer 2 sučelja. Ovdje vatrozid djeluje kao preklopnik na layer 2 mreži (obično ne na rubu mreže). Layer 2 hostovi su geografski blizu jedan drugome i pripadaju istoj broadcast domeni. Dodatno, podržano je daljnje segmentiranje putem VLAN podsučelja.

• koristi se kada routing nije potreban
• switching
• podržan App-ID, User-ID, Content-ID, itd.
• provođenje sigurnosnih pravila
• ne sudjeluje u Spanning Tree-u
• prosljeđuje STP
• podržava Layer 3 VLAN sučelja

Na kraju, Layer 3 sučelje je klasični routing način rada sa svim omogućenim značajkama (uključujući DoS prevenciju, VPN tunele, itd.). Ovaj način rada se rijetko koristi za SLR implementacije, ali je najčešći je način implementacije u produkciji.

• najčešće korišten način rada u produkciji
• NAT, QoS, IPSec, DoS zaštita
• routing tablice, Virtual Routers
• može biti DHCP client ili Server
• podržava routing protokole
• podržava App-ID, User-ID, Content-ID, dekripciju

Trebate li pomoć pri odabiru pravog firewall modela ili načina postavljanja SLR-a? Želite podršku našeg inženjera tijekom pripreme i praćenja SLR-a do završetka? Ovdje smo da vam pomognemo, kontaktirajte nas!