VUE D’ENSEMBLE DU PARE-FEU Pare-feu nouvelle génération Palo Alto Networks Des changements fondamentaux dans l’utilisation des applications, le comportement des utilisateurs et l’infrastructure réseau, complexe et alambiquée, créent un paysage de menaces qui expose les faiblesses de la sécurité réseau traditionnellement basée sur les ports. Vos utilisateurs veulent pouvoir accéder à un nombre croissant d’applications fonctionnant sur des appareils très divers, souvent sans aucune considération pour l’entreprise ou les risques en matière de sécurité. Parallèlement, les centres de données, la segmentation réseau, la virtualisation et les initiatives de mobilité vous amènent à repenser l’accès aux applications et aux données, tout en protégeant votre réseau contre une nouvelle classe, plus sophistiquée, de menaces avancées capable d’échapper aux mécanismes de sécurité traditionnels. Par le passé, seules deux solutions s’offraient à vous : tout bloquer, dans l’intérêt de la sécurité réseau ou tout activer, dans l’intérêt de votre entreprise. Ces solutions antagonistes laissaient peu de place au compromis. La plateforme de sécurité pour entreprise de Palo Alto Networks® vous donne la possibilité d’activer en toute sécurité les applications nécessaires à vos utilisateurs en permettant d’y accéder tout en prévenant les cybermenaces. Notre pare-feu nouvelle génération, entièrement conçu pour répondre aux menaces les plus sophistiquées, est au cœur de la plateforme de sécurité nouvelle génération. Ce pare-feu nouvelle CLOUD DE RENSEIGNEMENTS SUR LES MENACES CLOUD A AL SE PARE-FEU NOUVELLE GÉNÉRATION TE R M IN RÉ U • Activer en toute sécurité les applications, les utilisateurs et les contenus en classifiant l’ensemble du trafic, en déterminant leur utilisation commerciale et en affectant des politiques visant à autoriser et protéger les applications pertinentes, notamment les applications Software as a Service (logiciel en tant que service – SaaS). • Prévenir les menaces en éliminant les applications indésirables pour réduire les risques et appliquer des politiques de sécurité ciblées afin de bloquer les exploitations de vulnérabilité, les virus, les logiciels espions, les réseaux de zombies et les logiciels malveillants inconnus (APT). AUTOMATISATION INTÉGRÉ DE FAÇON NATIVE génération inspecte l’ensemble du trafic, à savoir les applications, les menaces et les contenus, et l’associe à l’utilisateur, où qu’il se trouve et quel que soit le type d’appareil utilisé. L’application, les contenus et l’utilisateur, c’est-à-dire tout ce qui est au cœur de votre entreprise, deviennent parties intégrantes de votre politique de sécurité d’entreprise. Ainsi, vous avez la capacité d’aligner vos mesures de sécurité sur vos principales initiatives commerciales. Grâce à notre plateforme de sécurité nouvelle génération, vous réduisez les délais de réponse aux incidents, découvrez les menaces inconnues et rationalisez le déploiement de votre sécurité réseau. EXTENSIBILITÉ ADVANCED ENDPOINT PROTECTION Figure 1 : Plateforme de sécurité nouvelle génération de Palo Alto Networks • Protéger vos centres de données par la validation des applications, l’isolation des données, le contrôle des applications douteuses et la prévention ultra rapide des menaces. • Sécuriser les environnements informatiques sur Clouds publics et privés avec une visibilité et un contrôle améliorés ; déployer, appliquer et conserver des politiques de sécurité en phase avec vos machines virtuelles. • Adopter l’informatique mobile sécurisée en étendant la plateforme de sécurité nouvelle génération aux utilisateurs et aux périphériques où qu’ils se trouvent. Palo Alto Networks | Fiche technique Vue d’ensemble du pare-feu nouvelle génération 1 W EB mu Hy p Succursales • Classifier tout le trafic, sur tous les ports, tout le temps. À l’heure actuelle, les applications et leurs contenus associés peuvent facilement contourner un pare-feu basé sur les ports en utilisant diverses techniques. Notre plateforme de sécurité nouvelle génération applique nativement au flux de trafic plusieurs mécanismes de classification pour identifier les applications, les menaces et les logiciels malveillants. Tout le trafic est classifié indépendamment du port, du chiffrement (SSL ou SSH) ou de la technique d’évasion. Les applications non identifiées, qui ne représentent qu’un faible pourcentage du trafic mais constituent un risque potentiel élevé, sont automatiquement classifiées et font l’objet d’une gestion systématique. • Réduire les menaces, prévenir les cyberattaques. Une fois le trafic entièrement classifié, vous pouvez réduire les risques pour le Exploitation Données confidentielles ur ise ur Clouds publics et privés Internet Pare-feu GP Périmètre Utilisateurs internes Notre plateforme de sécurité nouvelle génération vous permet de doter votre société de politiques centrées sur les applications, les utilisateurs et les contenus. Elle fait appel à un modèle de contrôle positif, une conception propre à notre plateforme, qui vous permet d’activer des applications ou des fonctions spécifiques, et de bloquer tout le reste (de manière implicite ou explicite). Le pare-feu nouvelle génération procède à une inspection intégrale en une passe de tout le trafic sur tous les ports, vous fournissant ainsi le contexte complet de l’application, les contenus associés et l’identité de l’utilisateur, autant d’éléments sur lesquels reposent les décisions de votre politique de sécurité. SeVM rie s DB ta te erv La plateforme de sécurité nouvelle génération aide votre société à répondre à un large spectre d’exigences en matière de sécurité en s’appuyant sur un principe commun. Grâce à une sécurité réseau exploitant de manière équilibrée des renseignements mondiaux sur les menaces et une protection des terminaux, votre société peut soutenir ses initiatives commerciales tout en renforçant votre position vis-à-vis des menaces en général et en réduisant le temps de réponse en cas d’incident de sécurité. Exploiter la sécurité pour renforcer votre entreprise AP P Co m VM-Series •Rationaliser la gestion des périphériques, du réseau et des politiques en fonction de votre structure organisationnelle grâce à des fonctionnalités de gestion intuitives. Utilisateurs mobiles Centre de données interne Figure 1 : Déployer des politiques de mise à disposition sécurisées dans l’ensemble de l’organisation réseau en autorisant des applications spécifiques et en interdisant toutes les autres. Une prévention coordonnée des cyberattaques peut alors être appliquée pour bloquer les sites malveillants connus et prévenir les exploitations de vulnérabilité, les virus, les logiciels espions et les requêtes DNS malveillantes. Les logiciels malveillants personnalisés ou inconnus sont analysés et identifiés en exécutant les fichiers inconnus et en observant directement leur comportement malveillant dans un environnement de test virtuel. Lorsque de nouveaux logiciels malveillants sont détectés, le pare-feu génère automatiquement une signature du fichier infecté et du trafic associé et vous l’envoie. • Attribuer le trafic des applications et les menaces associées aux utilisateurs et aux périphériques. Pour améliorer votre position de sécurité et réduire le temps de réponse en cas d’incident, il est essentiel d’aligner l’utilisation d’une application à un utilisateur et à un type d’appareil, et d’être capable d’appliquer ce contexte à vos politiques de sécurité. L’intégration à un large éventail de référentiels d’utilisateurs permet d’identifier les utilisateurs et les Exploitation Données confidentielles Utilisateur autorisé E?E E?E URL malveillante Utilisateur autorisé Utilisateur informatique autorisé Utilisateur marketing autorisé Figure 2 : Applications, contenus, utilisateurs et périphériques, tous sous votre contrôle. Palo Alto Networks | Fiche technique Vue d’ensemble du pare-feu nouvelle génération 2 Figure 3 : Affichez la cartographie des applications dans un format clair et lisible. Ajoutez et supprimez des filtres pour en savoir plus sur l’application, ses fonctions et leurs utilisateurs périphériques Microsoft® Windows®, Mac® OS X®, Linux®, Android® ou iOS qui accèdent aux applications. En combinant visibilité et contrôle de l’activité des utilisateurs et des périphériques, vous pouvez autoriser l’utilisation sécurisée de toute application traversant votre réseau, quels que soient l’endroit où se trouve l’utilisateur ou le type de périphérique. La capacité à établir le contexte des applications utilisées, leurs contenus ou les menaces qu’elles peuvent représenter, et l’utilisateur ou le périphérique qui y est associé vous aide à rationaliser la gestion de la politique de sécurité, à améliorer votre position de sécurité et à accélérer les enquêtes sur incident. Un contexte approfondi pour des politiques de sécurité plus strictes Les pratiques d’excellence en matière de sécurité stipulent que les décisions prises concernant les politiques, et votre capacité à analyser et à générer des rapports sur l’activité réseau, dépendent du contexte. Le contexte de l’application utilisée, le site web visité, la charge de travail associée et l’utilisateur constituent des données précieuses dans votre objectif de protection du réseau. Quand vous savez exactement quelles applications traversent votre passerelle Internet, sont en activité dans votre centre de données ou votre environnement Cloud, ou sont utilisées par des utilisateurs distants, vous êtes en mesure d’appliquer des politiques spécifiques à ces applications, et une protection coordonnée contre les menaces. L’identification précise de l’utilisateur, et non plus seulement de son adresse IP, ajoute un nouvel élément contextuel qui vous permet d’être plus granulaire dans l’affectation des politiques de sécurité. Un large panel d’outils de visualisation hautement interactifs et de filtrage des journaux vous fournit le contexte de l’activité de l’application, les contenus associés ou les menaces, l’identité de l’utilisateur et le type de périphérique. Chacune de ces données constitue une image partielle de votre réseau mais, interprétée dans un contexte complet, elle offre une vision totale sur les risques potentiels de sécurité, vous permettant de prendre des décisions mieux informées en termes de politique de sécurité. • Au niveau de la passerelle Internet, vous pouvez examiner les applications nouvelles ou inconnues et voir rapidement une description de l’application, ces caractéristiques comportementales et savoir qui les utilise. Une visibilité supplémentaire des catégories d’URL, des menaces et des modèles de données offre une analyse plus complète du trafic réseau qui traverse la passerelle. • Tous les fichiers analysés par WildFire™ à la recherche de logiciels malveillants y sont enregistrés et leurs détails sont pleinement accessibles, y compris l’application utilisée, l’utilisateur, le type de fichier, le SE ciblé et les comportements malveillants observés. • Au sein du centre de données, vérifiez toutes les applications en cours d’utilisation et assurez-vous que seuls des utilisateurs autorisés en font usage. Une meilleure visibilité sur l’activité du centre de données permet de confirmer l’absence de toute application mal configurée ou d’utilisation douteuse de SSH ou RDP. • Les workflows d’analyse des menaces, d’analyse détaillée et de chasse aux menaces sont accélérés avec AutoFocus™. Ce service de renseignements sur les menaces fournit des données contextuelles uniques sur les menaces directement dans PAN-OS® à partir de l’appareil. • Dans les environnements cloud publics ou privés, appliquez les politiques et protégez les applications avec la plateforme de sécurité nouvelle génération tout en restant en phase avec la création et les mouvements de vos serveurs virtuels. • Pour tous les scénarios de déploiement, les applications inconnues, qui représentent un faible pourcentage du trafic, peuvent être classifiées en vue d’une analyse et d’une gestion systématique. Dans de nombreux cas, il est possible que vous ne sachiez pas parfaitement quelles applications sont en cours d’utilisation, à quel point elles sont utilisées ou par qui. La première étape vers un contrôle mieux informé des politiques de sécurité est atteinte par une visibilité totale des aspects pertinents, en termes commerciaux, du trafic sur votre réseau, c’est-à-dire l’application, les contenus et l’utilisateur. L’ensemble du trafic est continuellement analysé. Les changements sont enregistrés pour être analysés et les synthèses graphiques consultables dans une interface Web conviviale sont mises à jour à mesure que l’état du trafic change. Palo Alto Networks | Fiche technique Vue d’ensemble du pare-feu nouvelle génération 3 Figure 4 : Un éditeur de politiques unifié permet de créer et de déployer rapidement des politiques qui contrôlent les applications, les utilisateurs et le contenu. Réduire les risques en activant les applications Traditionnellement, la procédure de réduction du risque supposait de limiter l’accès aux services réseaux, ce qui pouvait potentiellement ralentir votre activité commerciale. Désormais, réduire le risque signifie activer en toute sécurité les applications par une approche centrée sur l’entreprise qui vous aide à trouver l’équilibre entre l’approche traditionnelle du « tout interdire » et l’approche du « tout autoriser. » • Utiliser des groupes d’applications et le décryptage SSL pour limiter les messageries Web et les messageries instantanées à quelques variantes spécifiques, les analyser pour rechercher toutes les menaces et charger les fichiers suspects inconnus (EXE, DLL, fichiers ZIP, documents PDF, documents Office, Java, et APK Android) dans WildFire pour les analyser et créer des signatures. • Contrôler la navigation sur le Web pour tous les utilisateurs en autorisant et en analysant le trafic vers des sites Web liés aux activités de l’entreprise tout en bloquant l’accès aux sites manifestement sans rapport avec l’activité de l’entreprise ; encadrer l’accès aux sites douteux en utilisant des pages de blocages personnalisées. • Bloquer de manière explicite toutes les applications de transfert de fichiers en peer-to-peer pour tous les utilisateurs de filtres d’applications dynamiques. • Comprendre l’utilisation des applications SaaS au sein de votre organisation, définir un accès granulaire et des contrôles d’utilisation pour chaque application, et empêcher la diffusion de logiciels malveillants par le biais de ces applications. • Adopter les périphériques mobiles en étendant vos politiques de passerelle Internet et vos capacités de prévention des menaces aux utilisateurs distants grâce au service de sécurité mobile GlobalProtect™. Dans le centre de données, utilisez le contexte pour : confirmer que les applications fonctionnent sur leurs ports standards, détecter les applications douteuses, valider les utilisateurs, isoler les données et protéger des menaces les données essentielles pour votre entreprise. Quelques exemples : • En utilisant des zones de sécurité, isoler le référentiel des numéros de cartes bancaires Oracle® en forçant le trafic Oracle à transiter par les ports standards tout en inspectant le trafic pour y rechercher les menaces entrantes et en limitant l’accès au seul groupe financier. • Créer un groupe d’applications de gestion à distance (par exemple, SSH, RDP, Telnet) exclusivement réservé à l’usage du département informatique au sein du centre de données. • Dans votre centre de données virtuel, utiliser des objets dynamiques pour participer à l’automatisation de la création de politiques de sécurité au fur et à mesure de l’établissement des machines virtuelles SharePoint®, ou de leur suppression ou déplacement dans votre environnement virtuel. Protection des applications et contenus activés Lorsque vous appliquez des politiques d’analyse de contenu et de prévention des menaces, le contexte de l’application et son utilisateur deviennent parties intégrantes de votre politique de sécurité. Disposer d’un contexte complet dans le cadre de vos politiques de prévention des menaces neutralise les tactiques d’évasion telles que la mise sous tunnel et le saut de ports. Réduisez la taille de la zone ciblée par les menaces en activant un ensemble défini d’applications, puis appliquez les politiques de prévention des menaces et d’analyse du contenu à ce trafic. En matière de protection contre les menaces et d’analyse du contenu, les éléments dont vous disposez par le biais de vos politiques comprennent : • Prévenir les menaces connues à l’aide d’IPS et de logiciels antivirus/anti-espions réseaux. La protection contre une grande variété de menaces est obtenue par l’inspection en une passe par un moteur d’analyse de flux et par un format de signature uniforme. Les fonctions de prévention des intrusions (IPS) bloquent les failles de sécurité au niveau du réseau et de l’application, les dépassements de mémoire tampon, les attaques par refus de service et les attaques par analyse des ports. La protection antivirus/anti-logiciels malveillants bloque des millions de variantes de logiciels malveillants, dont ceux dissimulés dans les fichiers compressés ou le trafic Web (HTTP/ HTTPS compressé), ainsi que les virus PDF connus. Pour le trafic chiffré par SSL, vous pouvez appliquer de manière sélective un déchiffrement basé sur des politiques, puis inspecter le trafic pour y rechercher des menaces, indépendamment du port. • Bloquer les logiciels malveillants inconnus ou ciblés avec WildFire. Les logiciels malveillants inconnus ou ciblés (par exemple, les menaces persistantes avancés) dissimulés dans des fichiers peuvent être identifiés et analysés par WildFire dans différents systèmes d’exploitation et versions d’application, qui exécute et observe directement les fichiers inconnus dans un environnement de sandbox virtuel basé sur le cloud ou sur Palo Alto Networks | Fiche technique Vue d’ensemble du pare-feu nouvelle génération 4 Figure 5 : Visibilité du contenu et des menaces : affichez l’activité de transfert de données/fichiers, de menaces et d’URL, et les hôtes infectés, dans un format clair et facile à lire, hautement personnalisable. Ajoutez et supprimez des filtres pour en savoir plus sur des éléments individuels. l’appareil WF-500. WildFire surveille plus de 420 comportements malveillants et si un logiciel malveillant est détecté, une signature est automatiquement générée, puis vous est transmise en moins de 5 minutes. WildFire prend en charge tous les principaux types de fichiers dont : les fichiers PE ; Microsoft Office .doc, .xls, et .ppt ; Portable Document Format (PDF) ; Java Applet (jar et class) et Android Application Package (APK) De plus, WildFire analyse les liens contenus dans les e-mails pour stopper les attaques par hameçonnage. • Identifier les hôtes infectés par des zombies (« bot ») et interrompre l’activité réseau des logiciels malveillants. Une classification complète et contextuelle de toutes les applications, sur tous les ports, y compris la totalité du trafic inconnu permet souvent de détecter des anomalies ou des menaces sur votre réseau. Utilisez commande et contrôle de App-ID™, les rapports de comportement de réseaux de zombies, la mise en entonnoir DNS et la surveillance DNS passive pour mettre rapidement en corrélation les hôtes infectés avec le trafic inconnu, les requêtes DNS et URL suspectes. Exploiter les renseignement mondiaux pour intercepter et mettre en entonnoir les requêtes DNS vers des domaines suspects. • Limiter les transferts non autorisés de fichiers et de données. Des fonctionnalités de filtrage de données permettent à vos administrateurs de mettre en œuvre des politiques pour réduire les risques liés aux transferts non autorisés de fichiers et de données. Les transferts de fichiers peuvent être contrôlés par l’analyse du contenu (par opposition au seul examen de l’extension de fichier), afin d’autoriser ou non le transfert. Les fichiers exécutables, qui se trouvent habituellement dans les téléchargements automatiques, peuvent être bloqués, protégeant par là-même votre réseau contre toute propagation de logiciels malveillants non détectés. Enfin, les fonctions de filtrage des données peuvent détecter et contrôler le flux de modèles de données confidentielles (numéros de carte bancaire ou de sécurité sociale et modèles personnalisés). • Contrôler la navigation sur le Web. Un moteur de filtrage des URL, totalement intégré et personnalisable, permet à vos administrateurs d’appliquer des politiques de navigation Web extrêmement précises parallèlement aux politiques de contrôle et de visibilité des applications, protégeant ainsi votre entreprise contre un large spectre de risques légaux, réglementaires ou de productivité. • Politique reposant sur les périphériques pour l’accès aux applications. À l’aide de GlobalProtect, une société peut fixer des politiques spécifiques pour contrôler quels périphériques peuvent accéder à des applications ou des ressources réseaux bien précises. Par exemple, s’assurer que les ordinateurs portables sont conformes à l’image de l’entreprise avant de leur autoriser l’accès au centre de données. Vérifier que le périphérique mobile est à jour, qu’il appartient à l’entreprise et que les derniers correctifs ont bien été installés avant qu’il puisse accéder à des données sensibles. • Confirmer automatiquement les hôtes attaqués. Un moteur de corrélation automatisée recherche les indicateurs de compromission prédéfinis à l’échelle du réseau, met en corrélation les correspondances et identifie automatiquement les hôtes attaqués. Toute exploration manuelle des données est ainsi inutile. Gestion de la sécurité du réseau La plateforme de sécurité nouvelle génération peut être gérée séparément via une interface de ligne de commande (CLI) ou une interface Web complète. Pour les déploiements à grande échelle, vous pouvez utiliser Panorama™ pour transmettre à tous les parefeu, matériels et virtuels, les fonctionnalités de visibilité, d’édition Palo Alto Networks | Fiche technique Vue d’ensemble du pare-feu nouvelle génération 5 MANAGER VM M-100 M500 COLLECTEUR DE JOURNAUX VM M-100 M500 COLLECTEUR DE JOURNAUX VM M-100 M500 COLLECTEUR DE JOURNAUX VM M-100 M500 Figure 6 : Panorama peut être déployé sur un appareil dédié ou de manière répartie pour optimiser l’extensibilité. de politique, de rapports et de journalisation. Panorama vous procure le même niveau de contrôle contextuel sur votre déploiement global que celui dont vous disposez sur un simple appareil. L’administration par rôle associée à des pré- et post-règles vous permet de trouver l’équilibre entre un contrôle centralisé et la nécessité d’éditer des politiques localement ou d’être flexible en matière de configuration de périphériques. Les interfaces Web de l’appareil et de Panorama sont identiques afin de faciliter le passage de l’une à l’autre. Vos administrateurs peuvent à tout moment utiliser l’une ou l’autre des interfaces pour effectuer des modifications, sans se préoccuper d’éventuels problèmes de synchronisation. La prise en charge d’outils normalisés tels que les API REST ou SNMP permet l’intégration d’outils de gestion tiers. Rapports et journalisation Les pratiques d’excellence en matière de sécurité reposent sur un équilibre entre des efforts de gestion permanents et la réactivité, qui peut impliquer enquêtes et analyses des incidents de sécurité ou la génération de rapports quotidiens. • Création de rapports : Des rapports prédéfinis peuvent être utilisés tels quels, personnalisés ou regroupés dans un seul rapport afin de s’adapter aux exigences particulières. Tous les rapports peuvent être exportés au format CSV ou PDF et exécutés et envoyés par courrier électronique selon une planification. • Journalisation : le filtrage des journaux en temps réel facilite l’examen rigoureux et rapide de chaque session franchissant votre réseau. Un contexte complet de l’application, du contenu, y compris les logiciels malveillants détectés par WildFire, et de l’utilisateur peut être utilisé comme critère de filtrage et les résultats peuvent être exportés vers un fichier CSV ou envoyés à un serveur syslog pour archivage hors connexion ou en vue d’une analyse plus approfondie. Les journaux agrégés par Panorama peuvent aussi être envoyés à un serveur syslog à des fins d’analyse approfondie ou d’archivage. 4401 Great America Parkway Santa Clara, CA 95054 • Chasse aux menaces : Les renseignements sur les menaces fournis par le service AutoFocus sont directement accessibles dans PAN-OS. Les workflows d’analyse des menaces et de chasse aux menaces sont ainsi accélérés sans qu’il soit besoin de mobiliser d’autres ressources spécialisées. Quand une analyse plus approfondie est nécessaire, les utilisateurs peuvent basculer d’AutoFocus à PAN-OS et disposer de recherches prérenseignées pour ces deux systèmes. Outre les capacités de création de rapports et de journalisation offertes par la plateforme de sécurité nouvelle génération de Palo Alto Networks, l’intégration est également disponible avec des outils SIEM tiers, comme Splunk®. Ces outils proposent des capacités supplémentaires en matière de création de rapports et de visualisation des données, et ils permettant de mettre en corrélation des événements de sécurité sur des multiples systèmes au sein de votre entreprise. Des plateformes matérielles ou virtuelles dédiées Notre pare-feu nouvelle génération est disponible sous la forme d’une plateforme matérielle dédiée pouvant évoluer depuis une simple succursale jusqu’à un centre de données à haute vitesse, ou sous une forme virtualisée pour prendre en charge vos initiatives basées sur le cloud. Nous prenons en charge un éventail très large de plateformes virtuelles afin de répondre à vos attentes en matière de centre de données virtuels et de clouds publics et privés. La plateforme de pare-feu VM-Series est disponible pour VMware® ESXiTM, NSXTM, Citrix® SDXTM, Microsoft Hyper-V®, Amazon® Web Services (AWS), Microsoft Azure™ et les hyperviseurs KVM. Lorsque vous déployez nos plateformes, matérielles ou virtuelles, vous pouvez utiliser Panorama pour leur gestion centralisée. © 2016 Palo Alto Networks, Inc. Palo Alto Networks est une marque déposée de Palo Alto Networks. La liste de nos marques est disponible sur le site Accueil téléphonique : +1.408.753.4000 http://www. paloaltonetworks.com/company/trademarks.html. Toutes les Service commercial : +1.866.320.4788 autres marques mentionnées dans le présent document appartiennent à leur Assistance : +1.866.898.9087 propriétaire respectif. pan-next-generation-firewall-overview-ds-050616 www.paloaltonetworks.com