轻松采用创新技术、阻止网络攻击得逞并专注更重要的工作
IT 的快速发展已改变网络边界的面貌。数据无处不在,用户可随时随地从各类设备访问这些数据。同时,IT 团队正在采用云、分析和自动化来加速新应用的交付以及推动业务发展。这些根本性的转变带来了新的威胁形势,使旧有安全技术的弱点暴露无遗,例如基于端口的网络安全,或未经原生集成的不同工具和技术。这些安全工具并非针对自动化而设计,需要分析人员在操作之前手动将诸多来自互不相关来源的资讯整合在一起。
我们需要一种不同的方法:该方法首先将 Palo Alto Networks® 新一代防火墙作为集成平台的基石。我们的新一代防火墙提供防御型架构,这种架构易于部署和操作,采用自动化方式来减少手动工作,让您的安全团队能够专注更重要的工作,帮助您轻松采用全新创新技术。
Security Operating Platform 的基础
我们的新一代防火墙可以检查所有流量,包括所有应用、威胁和内容,然后将流量与用户绑定,不论其位置或设备类型如何。用户、应用和内容这三项推动业务开展的要素构成了企业安全策略中不可或缺的部分。因此,您可以使安全与业务策略保持一致,并编写出易于理解和维护的规则。
作为 Security Operating Platform 的一部分,我们的新一代防火墙让各组织能够:
- 通过对所有流量进行分类,可以安全地启用包括软件即服务(SaaS) 的应用、用户和内容,无论使用什么端口。
- 通过使用主动实施模型(即通过允许全部所需的应用并阻截所有其他应用),降低攻击风险。
- 应用安全策略来阻截已知的漏洞利用、病毒、勒索软件、防间谍软件、僵尸网络,以及其他未知恶意软件,例如高级持续性威胁。
- 通过对数据和应用进行分段以及实施零信任原则,保护包括虚拟数据中心在内的数据中心。
- 在本地和云环境中保持一致的安全性。
- 将 Security Operating Platform 扩展到用户和设备,不受其地理位置的限制,带来安全的移动计算。
- 获得集中可视性,简化网络安全,提供海量可操作的数据,以便您能够阻止网络攻击得逞。
我们的新一代防火墙能够安全地推动业务发展,下面介绍该防火墙的关键功能。
零信任
传统的安全模型认为组织网络内部的所有内容全部可信,这种基础假设显然已经过时。传统的安全模型注重外围防护,而侵入网络内部的威胁会被忽视,从而任意破坏敏感、宝贵的业务数据。在数字化世界中,信任便是一种漏洞。
零信任是一种以数据为中心的网络安全最佳实践,这种实践移除了对信任的假设,为提供安全性打下了可靠的基础。在零信任世界中,没有任何受信任的设备、系统和人员。您可以识别需要保护的资产和数据;确定需要通过知情权、最低特权访问模型来访问特定数据的对象;制定反映业务策略的安全规则;以及检查和记录所有流量。
我们的新一代防火墙可帮助完成所有这些步骤,包括为所有位置的用户启用安全访问;检查所有流量;实施最低特权访问控制策略;以及检测和阻止高级威胁。这样可显著减少攻击者访问您的关键资产的途径,无论这些攻击者是否在贵组织内。
识别用户,保护用户身份
通过 User-ID™ 技术,我们的新一代防火墙能够识别所有位置的用户,无论他们使用什么类型的设备或操作系统。根据用户和群组(而非 IP 地址)掌握对应用活动的可视性后,通过让应用使用情况与业务要求保持一致,可安全启用应用。此外,您还可以根据用户或用户组定义应用访问策略。例如,您可以仅允许 IT 管理员使用 Secure Shell、Telnet 和文件传输协议等工具。无论用户身处何地(总部、分支机构或家中),使用何种设备,策略将始终适用于用户。另外,您可以使用自定义或预定义报告选项生成用户活动的信息性报告。
不过,用户身份的问题不仅局限于基于用户的策略和报告。保护用户身份同样重要。根据 Verizon® 发布的《2017 年数据泄露调查报告》显示,81% 与黑客相关的数据泄露都利用了弱凭证和/或窃取的凭证。1 攻击者使用窃取的凭证访问组织网络,他们会在这些网络中查找可窃取的宝贵应用和数据。为阻止基于凭证的攻击,我们的新一代防火墙:
- 使用每五分钟更新一次的最新全球威胁情报,通过 PAN-DB URL Filtering 阻止对已知网络钓鱼站点的访问,保护用户免遭窃取其凭证的尝试。
- 阻止用户向未知站点提交企业凭证,保护他们免遭有针对性的攻击,这些攻击会使用新的未知网络钓鱼站点来规避检测。
- 允许您对您认为敏感的任何应用实施多重身份验证 (MFA),包括不太适合行 MFA 的旧有应用。这可在攻击者已经处理窃取的凭证的情况下为您提供保护,因为您需要实施额外的身份验证机制才能控制对关键系统的访问。您可以对所选的身份供应商使用此功能,包括 Ping Identity®、Okta®、RSA® 和 Duo Security,这样无论用户访问什么应用,他们都可获得一致的 MFA 体验。
安全启用应用
用户会访问各种类型的应用,包括软件即服务 (SaaS) 应用。某些应用需得到贵组织的批准,某些会被接受,但不必开展业务;其余的应用由于会增加风险而被禁止。新一代防火墙采用的 App-ID 技术可准确识别流经网络的所有流量中的应用,包括伪装成授权流量、使用动态端口或试图隐藏在加密面纱下的应用。App-ID 可以让您了解并控制应用及其功能,例如视频流与聊天、上传与下载、屏幕共享与远程设备控制等。
通过 SaaS 应用特征,您可以清楚了解应用的使用情况。例如,您可以确定从组织访问的哪些 SaaS 应用缺少所需的认证或有数据泄露历史。您可以允许访问 Microsoft® Office 365® 等 SaaS 应用上经批准的企业帐户,并阻止访问未经批准的帐户,包括个人/消费者帐户。
不侵犯隐私的安全加密流量
用户将超过 80% 的时间都花在了加密网站和应用上。但遗憾的是,攻击者仍能够利用加密来隐藏安全设备中的威胁。
我们的新一代防火墙采用基于策略的解密技术,让安全专业人员可以解密恶意流量,从而防御威胁,保护用户隐私并保持可预测的性能。通过灵活控制,您可以使敏感流量处于加密状态,例如与购物、军事、医疗保健或政府网站相关联的流量。您可以阻止用户访问使用自签名、不受信任或过期证书的网站。此外,您也可以阻止访问使用不安全的 TLS 版本或弱加密套件的网站。为保护用户隐私,您可以通过策略定义解密排除情况,让用户能够选择不对可能包含个人数据的特定事务进行解密。其余流量便可以解密并得到保护。
在硬件安全模块的支持下,您可以安全地管理数字密钥。完全正向保密可确保一个加密会话受到影响时不会影响多个加密会话。
检测和阻止高级威胁
今天,大多数新式恶意软件都会利用包括勒索软件变种在内的先进技术,通过网络安全设备和工具来传输攻击或漏洞利用。Palo Alto Networks 新一代防火墙可通过多种手段识别规避技术并自动加以处置:
- Content-ID™技术基于对所有允许流量的全面分析,使用单个统一引擎中的多种高级威胁防御技术,提供一种创新的方法。
- Palo Alto Networks Threat Prevention 服务结合新一代防火墙使用后,可提供入侵防御系统功能,从而阻止漏洞利用、缓冲区溢出和端口扫描,并防范攻击者采用的入侵和混淆方法,同时还提供网络反恶意软件及命令和控制防护措施。
- 除了降低与未授权的文件和数据传输相关的风险外,我们的 URL Filtering 服务还可阻止访问已知恶意软件和网络钓鱼下载站点。
- WildFire® 恶意软件防御服务使用多种分析方法来检测未知威胁,包括采用机器学习的静态分析、动态分析和裸机分析。其基于云的架构支持在网络、端点和云中进行大规模威胁检测和预防,以阻止已知和未知的威胁。
共享威胁情报
组织依靠多种威胁情报来源以确保尽可能广泛地了解未知威胁,但他们很难汇总、关联、验证和共享这些信息,以便在网络中实施防护措施。通过结合使用 Security Operating Platform 的其他组件,新一代防火墙可提供更进一步的情境和更全面的防护。WildFire 利用全球社区的数据来检测未知威胁,并自动阻截这些威胁;AutoFocus™ 情境威胁情报服务提供情境、聚合和归因信息,以便安全团队能够更快速地作出响应;Magnifier™ 行为分析检测内部威胁,并与 WildFire 协调这些信息。
另外,WildFire 支持新一代防火墙评估流量,只需短短五分钟即可分析未知威胁,并在网络、移动设备和云中实施高精度自动化防护措施。
单通道架构
要预防不断演变的威胁形势,通常需要引入新的安全功能。Palo Alto Networks 新一代防火墙基于单通道架构而构建,可在新一代防火墙中增添新功能,以便与其他功能原生集成。这一集成方法可提高安全性和易用性,而通过在仍基于 IP 地址、端口和协议工作的旧有架构上添加新功能,无法实现这种安全性和易用性。我们的新一代防火墙执行完整堆栈,以单通道方式检查所有端口上的全部流量,从而提供了有关应用、关联内容和用户身份的全面情境信息,以此为基础来做出安全策略决策。该防火墙的架构允许我们轻松添加创新的全新功能,就像我们对 WildFire 以及最近的 Magnifier 执行的操作一样。
灵活部署
我们的新一代防火墙可通过多种形式来部署:
- 硬件:强大、智能、简洁与多功能性的完美结合,可有效保护企业和服务提供商在总部、数据中心和分支机构的部署。
- VM-Series:这款虚拟化新一代防火墙,通过将应用分段实施威胁防御,保护您的私有云及公有云部署的安全。
- GlobalProtect cloud service:我们的新一代防火墙可通过面向端点的GlobalProtect™ 网络安全防护,在全球范围内从云平台提供高效运营的安全性。
您可以选择以上部署形式之一或部署组合满足不同位置的要求,并通过 Panorama™ 网络安全管理集中管理所有部署。
网络安全管理
IT 团队正在不断挑战极限,对当今日益复杂的安全部署进行有效的管理。Security Operating Platform 通过轻松实现安全性管理以及数据虚拟化和交互,提供了很大的帮助。个人防火墙可通过功能完备的、基于浏览器的界面进行管理。对于大规模部署,您可以使用 Panorama 获得集中可视性,编辑安全策略,自动执行所有形式的防火墙的操作。两种界面的外观完全相同。Panorama Interconnect 插件可根据需要链接多个 Panorama 节点,以便集中化配置管理,将您的统一视图扩展到成千上万个防火墙。
Panorama 基于角色的访问控制与前导规则和后续规则的结合,使您可以在集中监控与本地策略编辑和设备配置灵活性之间实现平衡。应用命令中心和日志管理功能创建了单一管理平台,可提供对跨多个设备的可操作的可视性,无论设备部署在何处。对简单网络管理协议等标准工具以及基于 REST 的 API 的额外支持,使您可以轻松地与第三方管理工具集成。
报告和日志记录
为识别、调查和响应安全事件,Security Operating Platform 提供了以下功能:
- 日志记录:Palo Alto Networks 突破了处理和列明事件时所采用的传统方式。您可以通过多种有效方式查看日志,包括图形、地图、趋势图等,以便解读网络数据。该自动关联引擎可消除手动关联任务,并发现因干扰而被忽视的威胁。此外,您也可以使用任何过滤条件转发日志,创建可在我们的 Security Operating Platform 或第三方系统内自动执行操作的工作流程。您可以灵活选择在本地或基于云的 Logging Service 中聚合日志。
- 报告:您可以使用我们的标准报告或创建自定义版本来显示数据,以满足特定要求。所有报告可以导出为 CSV 或 PDF 格式,并按照计划执行和通过电子邮件发送。
- 威胁追踪:AutoFocus 利用从全球几千家企业、服务提供商和政府收集的信息,针对未知威胁提供前所未有的可视性。在 PAN-OS® 中集成 AutoFocus 可加速威胁分析和追踪工作流程,而无需额外的专业化资源。
为何选择 Palo Alto Networks 新一代防火墙?
采用我们的新一代防火墙,您的用户可以根据业务要求访问数据和应用,保护您免遭基于凭证的攻击,阻止已知和之前未知的威胁,包括在加密流量中的威胁。自动化可为您节省创建安全规则所需的时间,这些规则完全符合业务策略,并且易于维护,能够适应动态环境并触发基于策略的自动化操作。我们的新一代防火墙可采用物理、虚拟化或基于云的部署形式,通过 Panorama 得到一致的管理。作为 Security Operating Platform 的一部分,Palo Alto Networks 新一代防火墙帮助组织快速采用 WildFire 和Magnifier 等原生集成的安全创新技术,同时跨端点和云共享数据和情报。
目前有 150 多个国家/地区的 54,000 余名客户已经采用我们的防御型架构。我们已经连续七次被 Gartner 魔力象限评为企业网络防火墙的领导者,并获得了 NSS 实验室的“推荐”评级——NSS 实验室授予的最高评级。
