Post on 12-Feb-2016
description
Palo Alto Networks
Cómo securizar redes multigigabit a nivel de aplicación sin morir en el intento
Jesús Díaz Barrero
jdiaz@paloaltonetworks.com
La problemática y el reto
3 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Cumplir con las demandas de los entornos multigigabit es complicado
Seguridad = Compromiso Rendimiento o Seguridad Simplicidad o Funcionalidad Eficiencia o Visibilidad
Y no todas las redes y datacenters son iguales…
4 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Los ataques modernos vulneran la seguridad tradicional
La seguridad del DC está diseñada para ofrecer gran rendimiento y repeler los ataques frontales
Los Ataques Modernos flanquean los sistemas actuales Atacantes más sofisticados Ataques a los usuarios (malware
moderno - APTs) Aplicaciones de administración
Necesidad de políticas consistentes, tanto para el perímetro como para las DMZs
5 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Nueva estrategia de ataque al datacenter: APTs
Infección
Comando y control
Escalado
Exfiltración Exfiltración
Atacantes organizados
La empresa
6 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Un ejemplo de infección por malware moderno
Se envía un correo especialmente
diseñado al usuario final
1
2El usuario hace click sobre un enlace a un
sitio con código malicioso
3El website malicioso explota una
vulnerabilidad en el lado del cliente
4Drive-by download del
payload malicioso
7 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Red académica y de investigación
El problema es aún más complejo de resolver, dada la flexibilidad
que requiere la red académica así como la laxitud que normalmente
impera en las políticas de seguridad.
Una carta a los Reyes Magos
9 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Objetivo: habilitación segura en redes multigigabit
Pensamiento Tradicional
✔ Bloquear … o No
Pensamiento Innovador
✔ Habilitar y Controlar
Cuando el mundo era simple
• Dos aplicaciones: browsing e email
• Con comportamiento predecible
• En un entorno de amenazas básico
El protocolo Stateful Inspection resuelve:
Puerto80
Puerto25
10 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Cloud + SaaS
Móvil + BYOD Ataques más sofisticados
Social + Consumerización
Pero el mundo es mucho más complejo hoy día
11 | ©2012, Palo Alto Networks. Confidential and Proprietary.
El nuevo paradigma: habilitación segura de las aplicaciones
• Identificar, controlar y habilitar de modo seguro todas las aplicaciones por usuario. Inspeccionar los contenidos en búsqueda de amenazas en tiempo real
• Alto throughput y performance
• Simplificar la infraestructura y reducir TCO
• Habilitar diversos escenarios de red
Nueva aproximación:
12 | ©2012, Palo Alto Networks. Confidential and Proprietary.
13 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Fuente: Forrester Research, Inc.
También en entornos de diseño de DCs tipo Zero Trust
Una propuesta de solución
15 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Aproximación a la soluciónEs necesario trabajar en tres áreas fundamentales que se integran y cooperan entre sí:
Diseño del firmware Diseño del hardware Tecnologías de apoyo externas
16 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Diseño del firmware: identificación de la aplicación• Ve todo el tráfico, todos los puertos
• Escalable y extensible
• Siempre on, primera acción
• Inteligencia integrada
Mucho más que una simple firma…
17 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Diseño del firmware: identificación del usuario• Averiguar usuario y rol (grupo)
• Transparente si es posible
• Extensible a todos los usuarios
• Integrable con sistemas externos
18 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Diseño del firmware: inspección del contenido• Herencia de info sobre app. y user
• Todos los mecanismos activos
• Protección de users y servers
• Simplificación del tuning y gestión
19 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Firmware: por qué visibilidad y control han de estar integrados en el FW
Política decisión por puerto
Política decisión por App Ctrl
El control de apps. es un ‘parche’• FW basado en puertos + App Ctrl (IPS) = dos políticas • Las aplicaciones se tratan como amenazas; solo
bloqueas lo que buscas expresamente (lógica negativa)
Implicaciones• La decisión sobre el acceso de red se realiza sin
información• No es posible habilitar de manera segura las
aplicaciones
IPS
Aplicaciones
FirewallPuertoTráfico
Firewall IPS
Política decisión por App Ctrl
Escanear la aplicaciónbuscando amenazas
Aplicaciones
AplicaciónTráfico
Control de aplicaciones en un NGFW • El control de apps está en el fw = política unificada• Visibilidad sobre todos los puertos, para todo el tráfico,
todo el tiempo
Implicaciones• Las decisiones de acceso a la red se toman en base a
la identidad de la aplicación• Se habilita de manera segura el uso de las
aplicaciones
Diseño del hardware: estrategia Divide y Vencerás
20 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Una sola iteración• Procesamiento una vez
por paquete- Clasificación del tráfico
(app identification)
- Mapeo Usuario/Grupo
- Análisis de contenidos – amenazas, URLs, info confidencial
• Una única política
Procesamiento paralelo• Motores paralelos
basados en hw específico, para funciones concretas
• Data/control planes separados
21 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Tecnologías de apoyo externas: sandboxing• Envío de ficheros sospechosos
• Uso de sandbox en la nube
• Análisis de comportamiento
• Generación y distribución firmas
Conclusiones
23 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Conclusiones
Detección de malware moderno
Identificación de la aplicación
Inspección y limpieza del contenido
Identificación del usuario y su rol
1. Reducir la superficie de ataque proactivamente
2. Controlar los vectores de propagación basados en aplicaciones
3. Utilizar la información del usuario y su rol
4. Proteger frente a las amenazas de modo integral (en el contexto)
5. Utilizar hardware de propósito específico y procesamiento paralelo