Applikationssichtbarkeit

Nur eine exakte Identifizierung von Applikationen unabhängig von Port oder Verschlüsselung ermöglicht es den Administratoren festzustellen, welche Applikationen im Unternehmen tatsächlich verwendet werden. Danach können Sie als Verantwortlicher entscheiden, welche Applikation durch das Unternehmen gewollt ist und welche Applikations-Nutzung durch Kontroll-Mechanismen zukünftig verhindert werden soll.

Produkt-Demo

video for mobile

Basierend auf dem Security-Betriebssystem PAN-OS™ kombinieren Palo Alto Networks™ Appliances vier Technologien: Applikationskontrolle (App-ID™), Integration der Benutzeridendität (User-ID™), Content Filtering (Content-ID™) sowie Networking, IPSec-VPN und Managementfunktionen.

App-ID
Stateful Firewalls haben das Problem, eine Applikation nur an Hand des Zielports zu erkennen. Aber ein Port entspricht heute keiner Applikation mehr. Oder welche Applikation verbirgt sich hinter Port 80? Salesforce, WebEX, YouTube oder GoogleMail? App-ID erkennt Applikationen und sogar einzelne Funktionen innerhalb einer Applikation, unabhängig von dem verwendeten Port, vor allem mit Hilfe von Applikationsprotokollerkennung und -entschlüsselung, Applikationsprotokolldekodierung, Applikationssignaturen und Heuristiken.

SSL Terminierung
Mit der Applikationsentschlüsselung ist es möglich, Verbindungen von Benutzern auf Webseiten zu kontrollieren, die durch SSL geschützt sind. Zusätzlich kann man diese Entschlüsselung für bestimmte Kategorien von Webseiten deaktivieren, z.B. für Homebanking oder Krankenkassen, um die gesetzlichen Vorgaben aus dem Arbeitsrecht zu erfüllen. Umgekehrt können Sie aber auch Ihre eigenen Webserver vor Angriffen schützen, indem Sie alle SSL-Verbindungen an der Firewall aufbrechen und durch die Real Time Threat Prevention z.B. vor SQL Injections oder Brute-Force-Attacken schützen.

User-ID
Haben Sie schon einmal versucht, eine Applikation nur für bestimmte Benutzer an einer Firewall freizuschalten, während die Benutzer ihre IP-Adressen dynamisch per DHCP zugewiesen bekommen haben? User-ID basiert auf einem Agenten, der die Zuordnung von IP-Adressen zu Benutzern aus dem Sicherheitsprotokoll des Domain Controllers extrahiert und diese Informationen der Palo Alto Networks Firewall mitteilt. Benutzer ohne Active-Directory-Anmeldung können sich über ein Captive Portal an der Firewall identifizieren. Einzelne Benutzer oder Gruppen können aus dem Active Directory ausgelesen und im Regelwerk als "Quelle" verwendet werden.

Content-ID
Die Content-ID-Technologie basiert auf mehreren Techniken. Eine der Schlüsseltechnologien für Content-ID ist die Hauptklassifizierungs-Komponente von App-ID, die Applikationsprotokoll-Dekodierung. Content-ID verwendet den reassemblierten Applikationsdatenstrom der Applikationsprotokoll-Dekodierung und prüft diesen auf Angriffs- oder Data-Leakage-Muster. Die Stream-based Virus-Scanning-Technologie beginnt bei dem ersten ankommenden Paket einer Datei mit dem Scannen und wartet nicht ab, bis die ganze Datei im Speicher vorhanden ist. Damit lassen sich Performance- und Latenzprobleme auf ein Minimum reduzieren.

Visualisierungswerkzeuge

Das Verwalten von Regeln wird auf Grund der zunehmenden Kommunikation immer komplexer. Der Administrator benötigt hierzu Hilfsmittel, um diese Flut von Informationen in den Griff zu bekommen. Es fängt schon mit der Frage an, welche Applikationen laufen denn im eigenen Netz? Und welche davon werden durch wen benutzt oder wirklich benötigt? Bei der Beantwortung dieser Fragen unterstützt Sie das Application Command Center. Hier können Sie auf einen Blick erkennen, welche Applikationen am häufigsten genutzt werden, welchen Datenverkehr welche Applikation erzeugen, welche Angriffe am häufigsten vorkommen und Sie können mit Hilfe von automatischen generierten Filtern in die Daten hinein zoomen und genauer analysieren.

Aber nicht nur der Administrator erhält Unterstützung. Durch selbst definierbare und automatisch erzeugte Berichte können Sie als Verantwortlicher sich regelmäßig über den aktuellen Stand Ihrer Sicherheitsmaßnahmen informieren. Außerdem lässt sich gegenüber Ihrem Management die Investition in das Next Generation Firewall System leicht und regelmäßig begründen. Und darüber hinaus auch aufzeigen, welche Applikationen die meiste Bandbreite in Ihrem Netzwerk oder Ihres Internet Anschlusses belegen und ganz neue Kosteneinsparungspotenziale aktivieren.

Applikationsbrowser

Mit dem Applikationsbrowser können Sie sehr schnell Informationen über einzelne Applikationen erhalten, aber auch die vorhandenen Gruppen als Element im Regelwerk verwenden. Probieren Sie diesen Applikationsbrowser einfach selbst aus und sehen Sie, ob Ihre Applikationen bereits unterstützt werden: Palo Alto Networks Applipedia

Benutzerbasierte Sichtbarkeit und Kontrolle

Die nahtlose Integration mit Microsoft Active Directory (AD) ermöglicht es, Regeln an Hand von AD-Benutzern und -Gruppen zu erstellen und so eine sehr feine Kontrolle auf den Zugriff von Applikationen zu steuern. Auch bei der Analyse von Problemen werden Sie unterstützt, in dem Sie im Verbindungsprotokoll nach dem Benutzer suchen und filtern können.

Citrix und Windows Terminal Services Unterstützung

Auch wenn mehrere Benutzer von einem System Verbindungen starten, so wie dies bei Citrix und Windows Terminal Servern der Fall ist, können Sie mit Palo Alto Networks Firewall Systemen die Nutzung von Applikationen über das Netzwerk auf einzelne Benutzer begrenzen.

Real-Time Threat Prevention

Die integrierte Real-Time Threat Prevention erkennt und blockiert Viren, Spyware, Würmer und Applikationsschwachstellen und das alles in Echtzeit, ohne große Verzögerungen, hoch performant und sehr zuverlässig. Der Schutz vor Viren, Spyware und Schwachstellen wird durch ein einheitliches Angriffssignaturformat und die Stream-basierte Scanning Engine erreicht. Der große Vorteil des einheitlichen Signaturformats ist, dass die Daten nur einmal gescannt werden müssen – im Gegensatz zu anderen Lösungen, die jeweils eine eigene Signatur für die Viren, Spyware und Schwachstellenerkennung verwenden. Der Schwachstellenschutz (IPS) erkennt Angriffe auf verwundbare Applikationen und Betriebssysteme durch Analyse basierend auf Applikations- und Protokolldekodierung in Verbindung mit Anomalie- und Heuristik-Erkennungsmechanismen.

Datei- und Datenfilterung

Palo Alto bietet eine individuell und sehr granular einstellbare URL-Filterdatenbank mit ca. 20 Millionen URLs in 76 verschiedenen Kategorien. Wenn eine URL nicht in dieser lokalen Datenbank vorhanden ist, kann diese über eine im Internet verfügbare URL-Datenbank, mit ca. 180 Millionen Einträgen befragt werden. Die Ergebnisse dieser Abfrage werden wiederum in einer ca. 1 Millionen umfassenden, dynamischen Datenbank auf der lokalen Firewall gespeichert. Diese dynamische URL-Datenbank steht auch nach einem Neustart des Systems wieder zur Verfügung.

Hiermit sind Sie sämtlichen rechtlichen, regulatorischen, produktiven und Ressourcen-Anforderungen gewachsen. Aber es ist auch möglich den Transport von Daten oder Dokumenten innerhalb von Applikationen zu blocken, damit die Firmendaten nur über die vorgesehenen Kommunikationswege ausgetauscht und nicht durch in-the-cloud Applikationen wie zum Beispiel Google Docs zum Risiko werden.

Single Pass Parallel Processing (SP3) Architecture

Die Grundlage für den hohen Durchsatz und die geringe Latenz bei gleichzeitiger Verbesserung der Applikations- und Datenanalyse bildet die Single Pass Parallel Processing Architektur. Diese besteht aus den beiden Komponenten: Single Pass Software und Parallel Processing Hardware.

Single Pass Software

Das Ziel der Single Pass Software ist es, jede Operation nur ein Mal pro Paket durchzuführen. Wenn ein Paket verarbeitet wurde, sind die Aufgaben der Netzwerkebene, Regelwerksanalyse, Applikationsidentifizierung und –entschlüsselung und die Signaturanalyse für alle Angriffe und alle Inhalte in einem Schritt durchgeführt worden. Dies reduziert den Arbeitsaufwand gegenüber UTM-Systemen, die jede Funktion einzeln durchführen, enorm. Zum Anderen ist die Inhaltsanalyse bei Palo Alto Networks Single Pass Software Streaming-basiert und nutzt identische Signaturen zur Erkennung von Angriffen und Viren. Dadurch wird die Durchlaufzeit, die Latenz, extrem gering gehalten. Im Gegensatz dazu müssen Proxys und UTM-Systeme die Daten erst komplett herunterladen und für jede Analyse eine eigene Engine mit eigenen Signaturen nutzen. Das bedeutet, dass ein Paket mehrfach gescannt wird.

Parallel Processing Hardware

Um die hohe Performance der Single Pass Software zu erreichen, wurde die Hardware parallelisiert. Als erstes wurde die Verarbeitung der Daten von dem Management der Firewall komplett getrennt. Das Management hat einen eigenen Prozessor, Speicher und Festplatten, um die Protokolldaten zu speichern, analysieren und Berichte zu erstellen oder die Regeln und Konfiguration des Systems zu verwalten. Diese Aufgaben sind völlig unabhängig von der Verarbeitung der, über die Firewall fließenden, Daten.

Auf der Datenebene wurden die Aufgaben für die Verarbeitung spezialisierten Teilkomponenten überlassen. Routing, Flow Lookup, Stats Counting, NAT und ähnliches werden durch den Netzwerkprozessor übernommen. User-ID, App-ID und Regelwerksanalyse wird von einer Mulit-Core Security Engine mit Hardwarebeschleunigern für Ver- und Entschlüsselung und Dekomprimierung durchgeführt. Die Inhaltsanalyse nutzt eine Flash Matching Engine, um die Daten schnell und sicher zu identifizieren und zu analysieren. Im Gegensatz zu den meist Intel-basierten herkömmlichen Security Geräten, ist die Single Pass Parallel Processing Architektur ein Alleinstellungsmerkmal der Palo Alto Next Generation Firewall, die ein bisher unbekanntes Maß an Sichtbarkeit und Kontrolle bei hoher Performance und geringer Latenz ermöglicht.

VPN & QoS

Standort-zu-Standort-Verbindungen sind über das standardisierte IPSec Protokoll möglich. Hierbei werden auch Routing-basierende VPNs unterstützt. Die Anbindung von Benutzern erfolgt über das Remote Access SSL VPN.

Die Verwendung von Quality of Service (QoS) in Verbindung mit der Sichtbarkeit von Applikationen ermöglicht eine sehr differenzierte Bandbreitenzuordnung, die geschäftlichen Anwendungen genügend Bandbreite garantiert, während unwichtige aber bandbreitenintensive Anwendungen wie beispielsweise Media Streaming begrenzt werden. Die QoS-Regeln erlauben eine garantierte und eine maximale Bandbreite unter Berücksichtigung von Prioritäten.

You are here: