1 / 24

Jesús Díaz Barrero jdiaz@paloaltonetworks

Palo Alto Networks Cómo securizar redes multigigabit a nivel de aplicación sin morir en el intento. Jesús Díaz Barrero jdiaz@paloaltonetworks.com. L a problemática y el reto. Cumplir con las demandas de los entornos multigigabit es complicado. Seguridad = Compromiso

jeri
Download Presentation

Jesús Díaz Barrero jdiaz@paloaltonetworks

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Palo Alto NetworksCómosecurizarredesmultigigabit a nivel de aplicación sin morir en el intento JesúsDíazBarrero jdiaz@paloaltonetworks.com

  2. La problemática y el reto

  3. Cumplir con las demandas de los entornos multigigabit es complicado Seguridad = Compromiso • Rendimiento o Seguridad • Simplicidad o Funcionalidad • Eficiencia o Visibilidad Y no todas las redes y datacenters son iguales…

  4. Los ataques modernos vulneran la seguridad tradicional • La seguridad del DC está diseñada para ofrecer gran rendimiento y repeler los ataques frontales • Los Ataques Modernos flanquean los sistemas actuales • Atacantes más sofisticados • Ataques a los usuarios (malware moderno - APTs) • Aplicaciones de administración • Necesidad de políticas consistentes, tanto para el perímetro como para las DMZs

  5. Nueva estrategia de ataque al datacenter: APTs Atacantes organizados La empresa Infección Comando y control Escalado Exfiltración Exfiltración

  6. Un ejemplo de infecciónpor malware moderno Se envía un correoespecialmentediseñado al usuario final 1 3 El website maliciosoexplotaunavulnerabilidad en el lado del cliente 4 2 Drive-by download del payload malicioso El usuariohace click sobre un enlace a un sitio con códigomalicioso

  7. Red académica y de investigación El problemaesaúnmáscomplejo de resolver, dada la flexibilidadquerequiere la red académicaasícomo la laxitudquenormalmenteimpera en laspolíticas de seguridad.

  8. Unacarta a los Reyes Magos

  9. Objetivo: habilitaciónsegura en redesmultigigabit PensamientoTradicional Pensamiento Innovador ✔ Habilitar y Controlar ✔ Bloquear … o No

  10. Cuando el mundo era simple Puerto25 El protocolo Stateful Inspection resuelve: • Dos aplicaciones: browsing e email • Con comportamientopredecible • En un entorno de amenazasbásico Puerto80 www

  11. Pero el mundoes mucho máscomplejo hoy día Cloud + SaaS Social + Consumerización Móvil + BYOD Ataquesmássofisticados

  12. El nuevoparadigma: habilitaciónsegura de lasaplicaciones Nueva aproximación: • Identificar, controlar y habilitar de modosegurotodaslasaplicacionesporusuario. Inspeccionar los contenidos en búsqueda de amenazas en tiempo real • Alto throughput y performance • Simplificar la infraestructura y reducir TCO • Habilitardiversosescenarios de red

  13. También en entornos de diseño de DCs tipo Zero Trust Fuente: ForresterResearch, Inc.

  14. Unapropuesta de solución

  15. Aproximación a la solución Esnecesariotrabajar en tresáreasfundamentalesquese integran y cooperanentre sí: Diseño del firmware Tecnologías de apoyoexternas Diseño del hardware

  16. Diseño del firmware: identificación de la aplicación • Siempre on, primeraacción • Inteligenciaintegrada • Vetodo el tráfico, todos los puertos • Escalabley extensible Mucho másqueuna simple firma…

  17. Diseño del firmware: identificación del usuario • Averiguarusuario y rol (grupo) • Transparentesiesposible • Extensible a todos los usuarios • Integrable con sistemasexternos

  18. Diseño del firmware: inspección del contenido • Herencia de info sobre app. y user • Todos los mecanismosactivos • Protección de users y servers • Simplificacióndel tuning y gestión

  19. Firewall Firmware: porquévisibilidad y control han de estarintegrados en el FW El control de apps. es un ‘parche’ • FW basado en puertos + App Ctrl (IPS) = dos políticas • Las aplicaciones se tratancomoamenazas; solo bloqueas lo quebuscasexpresamente (lógicanegativa) Implicaciones • La decisiónsobre el acceso de red se realiza sin información • No esposiblehabilitar de maneraseguralasaplicaciones Tráfico Puerto IPS IPS Aplicaciones Políticadecisiónpor App Ctrl Políticadecisiónporpuerto Control de aplicaciones en un NGFW • El control de apps está en el fw = políticaunificada • Visibilidadsobretodos los puertos, paratodo el tráfico, todo el tiempo Implicaciones • Las decisiones de acceso a la red se toman en base a la identidad de la aplicación • Se habilita de manerasegura el uso de lasaplicaciones Tráfico Aplicación Firewall Aplicaciones Políticadecisiónpor App Ctrl Escanear la aplicaciónbuscandoamenazas

  20. Diseño del hardware: estrategiaDivide y Vencerás Una sola iteración • Procesamientounavezporpaquete • Clasificación del tráfico (app identification) • MapeoUsuario/Grupo • Análisis de contenidos – amenazas, URLs, info confidencial • Unaúnicapolítica Procesamientoparalelo • Motoresparalelosbasadosen hwespecífico, parafuncionesconcretas • Data/control planes separados

  21. Tecnologías de apoyoexternas: sandboxing • Envíode ficherossospechosos • Usode sandbox en la nube • Análisis de comportamiento • Generación y distribuciónfirmas

  22. Conclusiones

  23. Conclusiones Identificación del usuario y surol Identificación de la aplicación Inspección y limpieza del contenido Detección de malware moderno

More Related