Uočite rizike u mreži korisnika uz Palo Alto Networks SLR

Palo Alto Networks Security Lifecycle Review (SLR) je alat koji pruža uvid u sigurnosne rizike s kojima se suočava organizacija na temelju inspekcije mrežnog prometa. Svi znamo da je vidljivost ključna za sprečavanje proboja, a SLR omogućava upravo to: operativnu vidljivost mrežnog prometa kakvu pruža PANW Next-Generation zaštitni zid. 

Postizanje vidljivosti obično zahteva in-line proxy tehnologiju, ali s PANW App-ID tehnologijom i drugom ugrađenom inteligencijom celi je proces puno jednostavniji i može pružiti uvid čak i bez pribegavanja potpunom SSL presretanju prometa. Palo Alto Networks detektuje sadržaj i aplikacije bez obzira na port, protokol, enkripciju (TLS ili SSL) ili bilo koju drugu taktiku izbegavanja detekcije koju koristi aplikacija. Zato SLR-ove možete raditi neinvazivno bez izmene mrežne topologije i još uvek skupljati korisne uvide, pa čak i otkrivati nepoznate rizike koji trenutnom vatrozidu možda promiču (npr. klijent zaražen malware botom). 

SLR se oslanja na takozvanu datoteku Statsdump, koja je zapravo XML generisan na NGFW-u i sadrži sažetak izveden iz log zapisa prometa za zadnjih sedam dana. Ovaj XML učitavate na partnerski portal kako biste jednostavno generisali prilagodljive izveštaje koja mogu poslužiti kao temelj razgovora s potencijalnim korisnicima. 

Više opcija za SLR 

Tipična i najosnovnija implementacija SLR-a koristi mrežni interfejs u TAP modu, gde se zaštitni zid može spojiti na span port glavnog preklopnika kako bi kao pasivni uređaj identificirao aplikacije koje se nalaze u mreži. Ova opcija ne zahteva promene u postojećem dizajnu mreže. Naravno, u ovom načinu rada zaštitni zid ne može blokirati promet (baš kao IDS), ali prednost je jednostavna implementacija. 

• direktno spojen na SPAN port
• radi kao IDS 
• nema routinga i switchinga 
• nema blokiranja sadržaja 
• podržava detekciju sadržaja i aplikacija kroz App-ID, Content-ID, itd. 

U situacijama u kojima glavni preklopnik ne može ili nema kapaciteta za SPAN/mirroring prometa, vatrozid nudi funkciju mosta koja se naziva virtual wire interface (VWire) gde je postavljen in-line, a promet prolazi kroz njega baš kao kroz žicu. 

• nema IP ili MAC adrese 

• direktno spojen na L2 ili L3 uređaj 
• nema routinga i switchinga 
• podržana su NAT i provođenje sigurnosnih pravila 
• podržan App-ID, User-ID, Content-ID, dekripcija, DoS zaštita, itd. 

Još jedna opcija za SLR je korišćenje Layer 2 Interfejsa. Ovde zaštitni zid deluje kao preklopnik na layer 2 mreži (obično ne na rubu mreže). Layer 2 hostovi su geografski blizu jedan drugome i pripadaju istoj broadcast domeni. Dodatno, podržano je daljnje segmentiranje putem VLAN podinterfejsa. 

Layer 2 interface

• koriskti se kada routing nije potreban
• switching 
• podržan App-ID, User-ID, Content-ID, itd. 

• provođenje sigurnosnih pravila 
• ne sudjeluje u Spanning Tree-u 
• prosleđuje STP 
• podržava Layer 3 VLAN interfejsa 

Na kraju, Layer 3 interfejs je klasični routing način rada sa svim omogućenim karakteristikama (uključujući DoS prevenciju, VPN tunele, itd.). Ovaj način rada se retko koristi za SLR implementacije, ali je najčešći je način implementacije u produkciji. 

• najčešće korišćen način rada u produkciji 
• NAT, QoS, IPSec, DoS zaštita 
• routing tablice, Virtual Routers 

• može biti DHCP client ili Server 
• podržava routing protokole 
• podržava App-ID, User-ID, Content-ID, dekripciju 

Trebate li pomoć pri odabiru pravog firewall modela ili načina postavljanja SLR-a? Želite podršku našeg inženjera tokom pripreme i praćenja SLR-a do završetka? Ovde smo da vam pomognemo, kontaktirajte nas!