Реальна захист віртуальних мереж

Як мінімізувати загрози і контролювати віртуальну інфраструктуру

Palo Alto Networks надає можливість захищати мережі і високошвидкісними апаратними пристроями, і віртуальними міжмережевими екранами з єдиної точки на основі системи управління Panorama. Весь багатий функціонал забезпечення безпеки можна використовувати всередині віртуальних мереж і можливості мереж розширюються. Установка захисту виглядає так: досить завантажити образ віртуального NGFW і запустити. Будь-який сучасний сервіс безпеки можна розгорнути протягом дня: VPN-шлюз, URL-фільтр, контроль додатків, IPS, антивірус, DLP, Threat Intelligence та ін. Ви можете використовувати всі переваги захисту в середовищах віртуалізації: підключати співробітників до мережі через міжмережевий екран, що актуально в період коронавіруса, коли всі працюють віддалено, і підійти до фізичного перемикач і втикнути кабель в офісі просто нікому. Ще одним плюсом є те, що міжмережевий екран стає ближче до кожного віртуального сервера: кожен вихідний або вхідний пакет з віртуального інтерфейсу гіпервізора спочатку відправляється на перевірку засіб захисту, а потім адресату. Ця можливість назву мікросегментація. І треба сказати, що швидкості сучасних віртуальних міжмережевих пристроїв досягають 16Гбит/с завдяки технологіям SR-IOV і DPDK. Крім того, ви можете масштабувати засоби захисту, встановлюючи їх в необхідній кількості для покриття всього обсягу трафіку. Також засоби віртуалізації мають вбудовані засоби автоматизації, такі як Terraform® і Ansible® – вони теж підтримуються Palo Alto Networks через REST API.

Мережеві підключення до фізичної і віртуальної мережі. Подібності та відмінності.

Изображение выглядит как карта Автоматически созданное описание

У фізичній мережі міжмережеві екрани підключають до мережі як світч (інтерфейсами L2), як маршрутизатор (інтерфейсами L3), як прозорий кабель (двома інтерфейсами VWire) і як пристрій у режимі прослуховування SPAN-порту (інтерфейс TAP). Кожен NGFW має декілька портів, і кожен порт можна налаштувати в будь-якому з цих чотирьох режимів. Також підтримується агрегація каналів в etherchannel з підтримкою LACP і транкові порти з передачею тегів VLAN. Точно так само ви можете підключити і віртуальні NGFW, тільки з тією відмінністю, що ви підключаєте віртуальні інтерфейси у віртуальні світчі, які реалізовані гіпервізором.

Віртуальний міжмережевий екран працює як сервісна віртуальна машина на хості віртуалізації, і гіпервізор перенаправляє мережеві пакети в міжмережевий екран для перевірки. У SDN віртуальний NGFW інсталюється як сервіс.

Приклад інтеграції VM-series з VMware ESXi

Часто віртуальний NGFW використовують для сегментації одночасно і віртуальної і фізичної мережі. Розглянемо приклад. На малюнку нижче показана сегментація всередині одного віртуального сервера, де віртуальна мережа розділена на два VLAN з номерами 100 і 200, а NGFW виконує роль світча, контролює безпеку і одночасно виконує роль маршрутизатора у виробничу мережу, яка знаходиться поза сервер VMware ESXi. За такою схемою можна використовувати віртуальний NGFW у віддалених філіях і невеликих компаніях. Віртуальний NGFW може мати до 10 віртуальних інтерфейсів, один з них використовується для управління і підключається до мережі управління. Кожен NGFW має вбудовану систему управління через будь-який браузер або командний рядок і може працювати без системи управління Panorama. Система управління кожного NGFW працює на виділеному процесорі і завжди доступна – міжмережевий екран Palo Alto Networks не можна вивести з ладу великим потоком трафіку на інтерфейси передачі даних.

Изображение выглядит как текст, карта Автоматически созданное описание

12 можливостей VM-серії NGFW

Серія віртуальних NGFW захищає ваші програми та дані за допомогою функцій безпеки наступного покоління, які забезпечують детальну візуалізацію, контроль

і запобігання загроз на рівні додатків. Функції автоматизації та централізованого управління дозволяють вбудувати безпека в ваш процес розробки додатків як у приватному, так і в публічному ЦОД. Які основні завдання вирішує віртуальний NGFW:

  1. Візуалізація роботи додатків для прийняття рішення щодо упорядкування їх використання. VM NGFW визначає програми на всіх портах, що дає актуальну інформацію про середовищі віртуалізації і дозволяє забороняти несанкціоновані програми.

  2. Застосування сегментації за білими списками додатків для забезпечення безпеки і відповідності вимогам стандартів Центрального Банку, PCI DSS, GDPR, ФЗ-152. Сучасні хакери легко проникають на робоче місце співробітника, а потім переміщаються по корпоративній мережі, піддаючи ризику критично важливі програми і конфіденційні дані, де б вони не були. Використання сегментації і обмеження співробітникам доступу додатків дозволяє контролювати роботу додатків в різних підмережах, блокувати переміщення зловмисника між ними і забезпечувати відповідність нормативним вимогам.

  3. Запобігання переміщення несанкціонованих даних і додатків з відкритим портів. Атаки, як і багато динамічні програми, можуть використовувати для підключення будь-порт, що робить традиційні механізми фільтрації по портам неефективними. VM NGFW дозволяє використовувати захист від загроз, розроблену Palo Alto Networks: антивірус, пісочницю WildFire®, IPS, контроль DNS і блокування передачі різних типів файлів.

  4. Контроль доступу до додатків за допомогою користувальницьких облікових записів і груп: інтеграція з широким спектром систем, таких як Microsoft Exchange, Actve Directory® і LDAP, дозволяє задати білий список додатків для конкретних користувачів в якості додаткового елементу політики безпеки.

  5. При розгортанні на робочих станціях і мобільних пристроях вбудованого механізму GlobalProtect ™ можливо розширити корпоративні політики безпеки на віддалених користувачів незалежно від їх місця роботи: вдома, у готелі або на дачі.

  6. Panorama™ забезпечує єдине централізоване управління фізичної і віртуальної захистом в будь-яких хмарних середовищах. Зручні функції пошуку і кореляції подій в єдиному централізованому сховищі журналів і створення звітів забезпечують візуалізацію додатків, роботи користувачів і контролю за оброблюваними файлами.

  7. Захист контейнерів для середовищ Kubernetes. VM NGFW захищає контейнери, які працюють в Google Kubernetes® Engine і Microsoft® Kubernetes Service, з тієї ж докладною візуалізацією і запобігання загроз, як і в середовищі GCP® і Microsoft Azure. Захист контейнеризації дає можливість командам безпеки контролювати операції, блокувати несанкціоновану активність і прискорити реагування на потенційні загрози. IPS, WildFire і фільтр URL-адрес, які можуть бути використані для захисту кластерів Kubernetes від відомих і невідомих погроз. Panorama дозволяє автоматизувати оновлення політик за додавання або видалення сервісів Kubernetes, забезпечуючи безпеку у відповідності з постійно мінливими керованими середовищами Kubernetes.

  8. Автоматичне включення нових функцій безпеки і оновлення політик. VM-Series NGFW включає в себе декілька функцій автоматизації, які дозволяють вам інтегрувати безпека в ваш процес розробки додатків.

  9. Автоматична настройка NGFW дозволяє забезпечити міжмережевий екран потрібною конфігурацією і ліцензіями, підключити пристрій до системи Panorama для централізованого управління.

  10. Оновлення політики безпеки при зміні мережевий середовища можливі при використанні повністю документованого REST API і вбудованих в NGFW динамічних груп адрес (DAG). Будь NGFW в мережі отримує інформацію про нові властивості IP-адрес у вигляді тегів, і на їх основі може динамічно оновити політику безпеки. Участь адміністратора не потрібно.

  11. Зручно використовувати шаблони налаштувань і сервіси провайдера хмарних обчислень разом зі сторонніми утилітами, такими як Terraform® і Ansible®, щоб повністю автоматизувати розгортання VM NGFW та оновлювати політики безпеки.

  12. Масштабованість продуктивності і гарантована доступність захисту в хмарі. У віртуалізації або хмарних середовищах вимоги до масштабованості і забезпеченню доступності можуть бути реалізовані з використанням традиційного підходу з двома пристроями в кластері або з контролем доступності на основі роботи систем автоматизації самого хмари. У публічних хмарах ми рекомендуємо використання хмарних сервісів, таких як шлюзи додатків, балансировщики навантаження і скрипти для автоматизації рішення завдань масштабованості та доступності.

Швидкість впровадження

Зараз Palo Alto Networks пропонує безкоштовно скачати і встановити у себе віртуальний NGFW і налаштувати в ньому сервіс GlobalProtect, що дозволяє зробити віддалене підключення для співробітників через шлюз на базі IPSEC, SSL VPN і також бесклиентский VPN для доступу до внутрішніх додатків через веб-браузер з підтримкою HTML5. Готові конфігурації NGFW з готовими настройками також надаються безкоштовно на базі шаблонів конфігурацій IronSkillet. Причому, ви отримуєте не просто VPN-шлюз, а повне засіб захисту з усіма сучасними технологіями від лідера ринку безпеки: контроль використовуваних додатків у співробітників, контроль категорій URL, аналіз всіх додатків на загрози, включаючи перевірку тунелів всередині SSL і SSH, HTTP аналіз/2, антивірус, IPS, пісочницю, аналіз DNS і т. д. Функціонал GlobalProtect HIP включає в себе контроль роботи захисту локально на самих робочих комп’ютерах. Додатковий хмарний сервіс Prisma Access розширює можливості замовників і дозволяє масштабувати навантаження і реалізувати сервіс підключення віддалених співробітників у будь-якій точці світу.

Міжмережеві екрани поставляються як образ, який потрібно завантажити і запустити, або встановити через Marketplace AWS, Azure і GCP.

Як отримати образ міжмережевого екрану і ліцензію Ви можете дізнатися на сайті

Віртуальна система управління Panorama

Централізована система управління Panorama виконує дві основні функції:
– зберігання всіх конфігурацій всіх міжмережевих екранів (до 5000 NGFW на одну Panorama);

– зберігання всіх журналів міжмережевих екранів (до 24 Тб на одну віртуальну Panorama).

Panorama виконується в обох форм-факторах: апаратні моделі M-200 M-600 і як virtual appliance. Panorama може працювати на Amazon Web Services (AWS), AWS GovCloud, Microsoft Azure, Google Cloud Platform (GCP), KVM, Hyper-V, VMware ESXi або VMware vCloud Air.

З чим інтегрується VM-series Palo Alto Networks NGFW

Для кожної моделі і для кожного гіпервізора системні вимоги потрібно уточнювати в документації. На травень 2020 року вимоги вказані в таблиці:

Системні вимоги

Модель

Гіпервізор

VCPU

Мінімум пам’яті

Мінімум жорсткий диск

VM-50

ESXi, Hyper-V, KVM

2

5.5 GB

4.5 GB in Lite mode

32GB (60GB at boot)

VM-100

VM-200

AWS, Azure, ESXi, Google Cloud Platform, HyperV, KVM, NSXV, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, Cisco ENCS

NSX-T (VM-100)

2

6.5 GB

60GB

VM-300

VM-1000-HV

AWS, Azure, ESXi, Google Cloud Platform, HyperV, KVM, NSXV, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, Cisco ENCS, NSXT (VM-300)

2, 4

9GB

60GB

VM-500

AWS, Azure, ESXi, Google Cloud Platform, HyperV, KVM, NSXV, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, NSXT

2, 4, 8

16GB

60GB

VM-700

AWS, Azure, ESXi, Google Cloud Platform, HyperV, KVM, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, NSXT

2, 4, 8, 16

56GB

60GB

Зараз багато організації перевели своїх працівників на режим віддаленого доступу, а це означає, що IT-служби компаній повинні забезпечити безпеку роботи домашніх ПК своїх фахівців і захистити їх від кібератак.

Palo Alto Networks підготувала одразу два безкоштовних сервісу, які допоможуть компаніям оперативно і швидко впоратися з новими завданнями щодо надання можливості захищеної віддаленої роботи для співробітників:

– Віртуальний міжмережевий екран NGFW VM-Series для організації віддаленого доступу співробітників по VPN (IPSEC або SSL) на 30/60 днів.

– Безкоштовна передплата для захисту роботи зі смартфонів iOS, Android на 90 днів – Global Protect

Отримати подробиці акції ви можете на сайті

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

163

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх