- IT Security
- SAP Security
- IT Infrastructure
- Managed Services
- Professional Services
- Security TV
Die Firewall ist tot. Es lebe die Next Generation Firewall!
Palo Alto Networks Next Generation Firewall Systeme
Die alten Denkschemata des Paketfilterns haben ausgedient. Spätestens nach der Analyse von Tools, wie Skype™, WebEx™ oder GBridge™ wird eins klar: Ein User entspricht nicht mehr einer IP-Adresse und Web2.0-Applikationen können TCP-Ports nicht mehr fest zugeordnet werden. Der Paketfilter ist löchrig und die Security-Abteilung nicht mehr in der Lage, den Fluss von Applikationen über Segmentgrenzen und Perimeter hinweg sicher zu kontrollieren.
Eine Übertreibung? Keineswegs! Eigentlich wissen wir es schon längst, aber bisher versagten die technischen Lösungen. Salesforce™ und WebEx™ vollständig blocken? Keine gute Idee. Besser wäre es, die Applikation zu verstehen und unerwünschte bzw. unsichere Funktionen zu filtern.
Einführungsvideo: Next Generation Firewall
Neues Denken ist angesagt. Nir Zuk, Mitentwickler der Stateful Inspection Firewall Technologie bei Check Point™ und später CTO und Entwickler der NetScreen™ ASIC Firewall Systeme, hat die Firewall neu erfunden. Mit seinen Palo Alto™ Appliances verwirklicht er einen neuen Ansatz, mit dem Applikationen unabhängig vom genutzten Port und zusätzlich auch User und Content erkannt und kontrolliert werden. Die Systeme entschlüsseln HTTPS-Verkehr "on the fly" und sind in der Lage über 800 Applikationen zu erkennen, deren Verhalten zu interpretieren und diese ganz oder auf Funktionsebene zu filtern. Aber das ist noch längst nicht alles ...
Application Firewalling = Next Generation Firewalling
Was sich in den letzten fünf Jahren als technische Antwort auf Bedrohungen etabliert hat, war das "Übereinanderstapeln" von vier unterschiedlichen Systemen: Paketfilter, VPN-Gateway, Application Level Gateway / Content Filter und IDS/IPS. Das Ergebnis: hohe Komplexität, vier komplett unterschiedliche GUIs; keine Cross-Device-Eventkorrelation, unerwünscht hohe Latenzzeiten, ressourcenintensiver operativer Betrieb. Und ja, UTM-Ansätze gibt es seit mehr als fünf Jahren, aber uns geht es um Enterprise-Lösungen.
Mit Palo Alto Networks wurde die Idee des Perimeterschutzes völlig neu gedacht, denn es geht um:
- Identifikation von Applikationen unabhängig von Port, Protokoll, Verschleierungsmethoden oder Verschlüsselung
- Identifikation von Benutzern unabhängig von der IP-Adresse
- Granulare Sicht und Kontrolle über Anwendungszugriffe und Funktionen
- Echtzeitschutz gegen in Anwendungen versteckte Bedrohungen
- Multi-Gigabit-Durchsatz, In-line Integration, minimale Latenzerhöhung
Palo Alto Networks OS ™ - Best of Breed weiterentwickelt
Ein neuer Lösungsansatz muss also die Identifikation der Anwendung, der Benutzer und der Inhalte in sich vereinigen. Er muss, wenn Multi-Gigabit-Durchsatz, In-line Integration und minimale Latenzerhöhung eine Kernanforderung ist, auf einer massiv-parallel arbeitenden Prozessor-Architektur aufbauen, um innerhalb eines Zyklus mehrere Analysen gleichzeitig abzuarbeiten. Das System muss für Änderungen flexibel bleiben, sprich auf einem FPGA-Design beruhen und Daten- und Kontrolleinheiten strikt trennen.
Palo Alto Networks hat es genau so gemacht. Schon der erste Blick auf die GUI lässt ahnen, dass das Produkt gewissermaßen die besten Ansätze aus CheckPoint, Juniper und anderen Lösungen zur Perimeter Defense vereinigt und weiterentwickelt hat.
Basierend auf dem Security-Betriebssystem PAN-OS ™ kombinieren Palo Alto Networks Appliances die Applikationskontrolle App-ID™, die Integration der Benutzeridentität (User-ID), Content Filtering (Content-ID), Networking, IPSec VPN und Managementfunktionen. Sehen Sie selbst, welche Applikationen Sie mit Palo Alto Networks erkennen und kontrollieren können.
Additional Information
The Application Usage and Risk Report
Splunk can be enhanced to support threat logs generated by Palo Alto Networks firewall (pdf) >>
- NSS Labs: Individual Product Test Results