Giải pháp tường lửa thế hệ mới Palo Alto Networks

Mục lục

  1. Giới thiệu
    1. Thông tin về Palo Alto
  2. Giải pháp tường lửa thế hệ mới Palo Alto Networks
    1. Kiến trúc Single Pass Parallel Processing (SP3)
    2. Xác định và kiểm soát các traffic bị mã hoá với Decryption
    3. Phát hiện và ngăn chặn các mối đe doạ nâng cao
  3. Chi tiết các tính năng kỹ thuật của giải pháp tường lửa thế hệ mới Palo Alto Networks
    1. Tính năng nhận dạng người dùng UserID
    2. Tính năng kiểm soát và ngăn chặn các mối đe doạ bằng Content ID
    3. Tính năng lọc web bằng URL Filtering
    4. Truy cập ứng dụng một cách an toàn với App-ID
    5. Lưu lượng được mã hoá an toàn mà không thoả hiệp quyền riêng tư với Decryption
    6. Ngăn chặn các mối đe doạ chưa được biết đến với WildFire
    7. Kết nối các site hoặc kết nối từ xa với VPN
    8. Reporting and Logging
  4. Đánh giá của bên thứ 3

 

1. Giới thiệu

A. Thông tin về Palo Alto

Palo Alto Networks, Inc. (NYSE: PANW) là một công ty an ninh mạng đa quốc gia của Mỹ được thành lập vào năm 2005 có trụ sở chính tại Santa Clara, California. Các sản phẩm cốt lõi của nó là một nền tảng bao gồm tường lửa nâng cao và các dịch vụ dựa trên cloud giúp mở rộng các tường lửa đó để bao gồm các khía cạnh khác của bảo mật. Năm 2018, Palo Alto Networks được xếp hạng thứ 8 trong Forbes Digital 100.

Trong 16 năm, Palo Alto đã được biết đến là thương hiệu đi đầu trong bảo vệ hệ thống an ninh thông tin. Các sản phẩm của Palo Alto hiện đang được sử dụng bởi hơn 80.000 khách hàng tại hơn 150 quốc gia tên thế giới.

Các sản phẩm bảo mật của Palo Alto liên tục nhận được những đánh giá cao từ phía khách hàng lẫn các bên thứ ba như Gartner, NSS Labs,… .Bằng chứng là việc tường lửa thế hệ mới của Palo Alto đã dẫn đầu Top Leader về tường lửa của Gartner lần thứ 9 liên tiếp kể từ năm 2011

  • Thành lập năm 2005 tại Santa Clara bởi kĩ sư người Mỹ gốc Israel Nir Zuk.
  • 000 khách hàng trên toàn cầu
  • Được sử dụng tại hơn 150 quốc gia

2. Giải pháp tường lửa thế hệ mới Palo Alto Networks

A. Kiến trúc Single Pass Parallel Processing (SP3)

Tường lửa Palo Alto được thiết kế với một phần cứng chuyên biệt tốc độ cao. Phần cứng của Palo Alto được thiết kế để xử lý các tác vụ một cách song song, mỗi tác vụ sẽ được xử lý riêng biệt bởi từng CPU. Palo Alto tách biệt Control Plane và Data Plane giúp nó có hiệu năng xử lý cực cao ngay cả khi chạy hàng loạt tác vụ nặng như nhận dạng ứng dụng, quét virus, bật chức năng IPS hay ngay cả khi giải mã SSL/SSH, và hơn thế là giúp nó chống chọi với các cuộc tấn công tốt hơn.

Ví dụ: quản trị viên có thể đang chạy một báo cáo rất chuyên sâu về bộ xử lý, nhưng khả năng xử lý các gói sẽ hoàn toàn không bị cản trở, do việc phân tách dữ liệu do Control Palne phụ trách.

B. Xác định và kiểm soát các traffic bị mã hoá với Decryption

Kiểm soát lưu lượng SSL và SSH được mã hóa của bạn và đảm bảo nó không được sử dụng để che giấu hoạt động không mong muốn hoặc nội dung nguy hiểm. Sử dụng giải mã và kiểm tra dựa trên chính sách, bạn có thể xác nhận rằng SSL và SSH chỉ đang được sử dụng cho mục đích kinh doanh, thay vì để phát tán các mối đe dọa hoặc truyền dữ liệu trái phép.

Lợi thế của tính năng Decryption

Xác định, kiểm soát và giải mã các lưu lượng SSL đến: Có thể áp dụng nhận dạng, giải mã và kiểm tra lưu lượng SSL đến (từ máy khách bên ngoài đến máy chủ nội bộ) dựa trên chính sách để đảm bảo rằng các ứng dụng và mối đe dọa không ẩn trong lưu lượng SSL. Chứng chỉ máy chủ và khóa cá nhân được cài đặt trên tường lửa thế hệ tiếp theo của Palo Alto Networks để xử lý quá trình giải mã. Theo mặc định, giải mã SSL bị tắt.

Xác định, kiểm soát và giải mã các lưu lượng SSL được gửi đi: Có thể áp dụng việc xác định, giải mã và kiểm tra lưu lượng SSL ra bên ngoài (từ người dùng đến web) dựa trên chính sách để đảm bảo rằng các ứng dụng và mối đe dọa không ẩn trong lưu lượng SSL. Tường lửa của chúng tôi sử dụng phương pháp “man-in-the-middle”, trong đó chứng chỉ thiết bị được cài đặt trong trình duyệt của người dùng. Theo mặc định, giải mã SSL bị tắt.

Xác định và kiểm soát lưu lượng SSH: Tường lửa thế hệ tiếp theo từ Palo Alto Networks cung cấp cho bạn khả năng nhận dạng và kiểm soát dựa trên chính sách đối với lưu lượng truy cập SSH tunnel. Phương pháp ‘man-in-the-middle’ được sử dụng để phát hiện chuyển tiếp cổng hoặc chuyển tiếp X11 bên trong SSH dưới dạng SSH tunnel, trong khi truy cập shell thông thường, SCP và SFTP vào máy từ xa được báo cáo là SSH. Theo mặc định, kiểm soát SSH bị tắt.

C. Phát hiện và ngăn chặn các mối đe doạ nâng cao

Tường lửa thế hệ tiếp theo Palo Alto Networks hạn chế tấn công bằng cách hạn chế các ứng dụng, người sử dụng và các nhóm thích hợp. Những ứng dụng sau đó có thể giới hạn một số chức năng và các loại nội dung. Ứng dụng được quét ngay cả khi đã mã hóa SSL, chạy trên các cổng không tiêu chuẩn, hoặc tạo đường hầm bên trong một ứng dụng. Đối với các mối đe dọa chưa biết, công nghệ cho phép gửi nội dung thực thi đến một đám mây “sandbox” để phân tích.

Phòng ngừa mối đe dọa

Ngăn chặn mối đe dọa vượt ra ngoài công nghệ hệ thống ngăn chặn xâm nhập (IPS) điển hình để kiểm tra tất cả lưu lượng truy cập để tìm các mối đe dọa — bất kể cổng, giao thức hoặc mã hóa — và tự động chặn các lỗ hổng, phần mềm độc hại, khai thác, phần mềm gián điệp và lệnh và kiểm soát (C2).

URL Filtering

URL Filtering bảo vệ các tổ chức chống lại các mối đe dọa dựa trên web như lừa đảo, phần mềm độc hại và kiểm soát lệnh và kiểm soát. Công cụ Machine Learning sẽ giúp xác định và ngăn chặn các trang web độc hại mới và không xác định ngay lập tức, trước khi người dùng có thể truy cập chúng.

WildFire

Dịch vụ phòng chống phần mềm độc hại WildFire® tận dụng khả năng phát hiện phần mềm độc hại dựa trên đám mây và nhiều kỹ thuật phân tích để xác định và bảo vệ khỏi các mối đe dọa. Với khả năng phát trực tuyến chữ ký thời gian thực độc đáo, WildFire đảm bảo tổ chức của bạn được bảo vệ khỏi các mối đe dọa chưa biết trước đây trong vòng vài giây sau khi chúng được phát hiện lần đầu tiên.

Bảo mật DNS

DNS Security áp dụng phân tích dự đoán, Machine Learning và tự động hóa để chặn các cuộc tấn công sử dụng DNS. Cung cấp cho bạn các biện pháp bảo vệ tự động, ngăn kẻ tấn công bỏ qua các biện pháp bảo mật và loại bỏ nhu cầu về các công cụ độc lập hoặc thay đổi đối với định tuyến DNS.

Bảo mật IoT

IoT Security là giải pháp bảo mật IoT hoàn chỉnh đầu tiên của ngành, cung cấp phương pháp tiếp cận dựa trên máy học để khám phá tất cả các thiết bị không được quản lý, phát hiện các hành vi bất thường, đề xuất chính sách dựa trên rủi ro và tự động hóa việc thực thi mà không cần thêm cảm biến hoặc trong cấu trúc. Sự kết hợp độc đáo giữa khả năng hiển thị IoT và Tường lửa thế hệ tiếp theo này cho phép phân đoạn công việc mạng nhận biết ngữ cảnh để giảm rủi ro và áp dụng các đăng ký bảo mật hàng đầu của chúng tôi để giữ cho các thiết bị IoT và CNTT an toàn trước mọi mối đe dọa.

3. Chi tiết các tính năng kỹ thuật của giải pháp tường lửa thế hệ mới Palo Alto Networks

A. Tính năng nhận dạng người dùng UserID

Tích hợp với Microsoft Active Directory kết nối địa chỉ IP với người dùng, nhóm cho phép phòng IT kiểm soát ứng dụng, nội dung dựa trên thông tin nhân viên được lưu trong Active Directory. User-ID cho phép nhà quản trị kết hợp thông tin người dùng với ứng dụng, tạo policy, log dữ liệu và báo cáo. Với kiến trúc phần cứng được thiết kế riêng biệt, firewall thế hệ mới Palo Alto mang lại sự tường minh và khả năng kiểm soát hoạt động mạng của người dùng.

B. Tính năng kiểm soát và ngăn chặn các mối đe doạ bằng ContentID

Một engine quét dựa trên luồng dữ liệu (stream-based engine) giúp kiểm soát các dữ liệu mã hóa mà không làm giảm hiệu suất của hệ thống. Tích hợp tính năng Threat Prevention vào firewall với các tính năng: dò tìm và chặn viruses, spyware, worms và lỗ hổng ứng dụng, kiểm soát việc truyền file hay thông tin nhạy cảm ra khỏi hệ thống, thực hiện scan ngay khi packet đầu tiên đến.

C. Tính năng lọc web bằng URL Filtering

Các tính năng lọc của Palo Alto hiệu quả hơn rất nhiều so với các tính năng lọc của Firewall truyền thống. Bao gồm: lọc file theo chủng loại, giải nén file nén để nhận dạng các file bên trong, nhận dạng đến cả nội dung bên trong file…Palo Alto còn tích hợp cơ sở dữ liệu với hơn 20 triệu URL với trên 76 categories vào trong firewall cho phép kiểm soát việc truy cập web của người dùng ngăn chặn người dùng truy cập vào các trang web chứa mã độc, virus hoặc các trang web không phù với các chính sách của công ty.

D. Truy cập ứng dụng một cách an toàn với App-ID

Sử dụng 4 cơ chế phân loại dữ liệu khác nhau, App-ID™ nhận dạng chính xác các ứng dụng nào thực sự đang chạy trên hạ tầng mạng mà không phụ thuộc vào ứng dụng đó đang chạy trên cổng dịch vụ gì, giao thức nào, hay đã được mã hóa SSL hay không. Nhờ đó giúp người quản trị có thể tạo những chính sách toàn diện để quản lí việc sử dụng ứng dụng và traffic inbound và outbound để gia tăng sự bảo mật của hệ thống hạ tầng mạng.

App-ID cho phép bạn hiểu và kiểm soát các ứng dụng và chức năng của chúng, chẳng hạn như truyền phát video so với trò chuyện, tải lên so với tải xuống, chia sẻ màn hình so với điều khiển thiết bị từ xa, v.v.

E. Lưu lượng được mã hoá an toàn mà không thoả hiệp quyền riêng tư với Decryption

Người dùng dành hơn 80% thời gian cho các trang web và ứng dụng được mã hóa. Thật không may, những kẻ tấn công khai thác mã hóa để che giấu các mối đe dọa từ các thiết bị bảo mật. Tường lửa thế hệ tiếp theo của Palo Alto sử dụng giải mã dựa trên chính sách để cho phép các chuyên gia bảo mật giải mã lưu lượng độc hại nhằm mục đích ngăn chặn các mối đe dọa, nhưng vẫn bảo vệ quyền riêng tư của người dùng và hiệu suất có thể dự đoán được.

F. Ngăn chặn các mối đe doạ chưa được biết đến với WildFire

Palo Alto đã tạo ra môi trường phân tích WildFire, đây là nơi dùng để phân tích các mối nguy hai chưa biết đến mà các thiết bị tường lửa Palo Alto gửi về. Quy trình hoạt động của tính năng này diễn ra như sau.

Khi thiết bị tường lửa Palo Alto phát hiện một mẫu không xác định (tệp hoặc liên kết trong email), tường lửa sẽ tự động chuyển tiếp các mẫu này đến môi trường WildFire để thực hiện phân tích.

Dựa trên các thuộc tính, hành vi, hoạt động của các mẫu này trong quá trình phân tích và thực hiện trên môi trường WildFire, nó sẽ đưa ra kết luận các mẫu này có lành tình không hay là các mẫu chưa virus độc hại.

Nếu WildFire xác định các mẫu này là độc hại nó sẽ tạo signature cho các mẫu vừa xác định và thực hiện chia sẻ lên tất cả các thiết bị Palo Alto trên toàn cầu. Tất cả các quá trình từ gửi file, phân tích, xác định mẫu phân tích và chia sẻ toàn cầu đều được diễn ra trong thời gian thực.

G. Kết nối các site hoặc kết nối từ xa với VPN

Tường lửa Palo Alto Networks hỗ trợ các triển khai VPN sau:

  • VPN Site-to-Site: Hỗ trợ kết nối các site lại với nhau với bộ giao thức IPSec. Bộ giao thức này sẽ thiết lập một tunnel để kết nối 2 site lại với nhau giúp cho người dùng ở cả 2 site có thể trao đổi lưu lượng mạng với nhau và đặc biệt các lưu lượng mạng khi đi qua tunnel này đều được mã hóa để tránh việc bị tấn công mạng.
  • VPN Remote access: Đây là một giải pháp sử dụng phần mềm GlobalProtect để cho phép người dùng từ xa thiết lập kết nối đến nơi làm việc an toàn thông qua tường lửa. Giải pháp này sử dụng SSL và IPSec để thiết lập kết nối an toàn giữa người dùng và nơi làm việc.

H. Reporting and Logging

Tường lửa Palo Alto sẽ lưu lại log cho tất cả các tính năng như: WildFire, configurations, systems, alarms, traffic flows, threats, URL filtering, data filtering và Host Information Profile (HIP). Ngoài ra, tất cả nhật ký có thể được gửi đến máy chủ nhật ký hệ thống để phân tích bằng một loạt các giải pháp của bên thứ ba.

Các tính năng báo cáo của chúng tôi cho phép bạn tạo các báo cáo thông tin bằng cách sử dụng hơn 40 báo cáo được xác định trước hoặc bằng cách sử dụng trình tạo báo cáo, cho phép bạn tập hợp một báo cáo được tùy chỉnh đầy đủ có thể được lưu, xuất sang PDF / CSV hoặc XML và được lập lịch để lưu, và sau đó được gửi qua email.

Một số báo cáo tiêu chuẩn bao gồm:

  • Báo cáo hành vi botnet
  • Báo cáo tóm tắt PDF
  • Báo cáo hoạt động của người dùng

Tích hợp với các công cụ Quản lý sự cố và Sự kiện An ninh (SIEM). Tường lửa của chúng tôi cho phép bạn gửi tất cả nhật ký đến máy chủ nhật ký hệ thống cho mục đích lưu trữ và phân tích. Ngoài ra, chúng tôi có nhiều mối quan hệ đối tác công nghệ đã được chứng minh với gần như tất cả các nhà cung cấp SEIM.

4. Đánh giá của bên thứ 3

Sophos dẫn đầu trong top NGFW của NSS Labs 2020

Palo Alto đã được vị trí top 1 Leader về firewall theo đánh giá của Gartner và đầy cũng là lần thứ 9 Palo Alto làm được điều này.