לקראת אירוע | פאלו אלטו ב-Data Center הארגוני – הגנה ללא פשרות
חלק ב'
מאת ציון עזרא, סמנכ"ל מכירות ב-InnoCom מקבוצת אמן
למוצר של PAN מספר תכונות עיקריות:
• חומת אש (Firewall) הכולל כל התכונות הנדרשות ו- VPN
• App ID – מנוע זיהוי אפליקציות המזהה למעלה מ- 1400 יישומים
• UserID – התממשקות ל- Active Directory וזיהוי קבוצות, משתמשים וכתובות IP
• IPS – מערכת זיהוי וניטרול התקפות. קיבלה ציון של 93.4% בדוח של ה-NSS Labs ו-25 אחוז ביצועים מעבר למצוין ב-data sheet
• אנטי וירוס – מנוע זיהוי ומניעת ווירוסים. כולל זיהוי המשתמש הנגוע
• URL Filtering – מנוע חסימת אתרים לפי קטגוריות
• DLP – מנוע לזיהוי ומניעת זליגת מידע, מזהה סוגי קבצים ותבניות
• QoS – יכולת ניהול רוחב פס לפי אפליקציה, פרוטוקול, משתמש וכו'
• SSL VPN – חיבור משתמשים מרחוק באופן מאובטח
• Global Protect – יכולת הגנה כוללת למשתמשים בתוך הארגון ומחוצה לו
• WildFire – יכולת לזהות ולנטרל התקפות חדשות, Unknown malware, Zero Day Attack
ארכיטקטורת ההגנה של PAN ל-Data Center
תפישת ההגנה של PAN ב-Data Center אינה מתפשרת על ביצועים גבוהים וניהול פשוט התפישה דומה לזו הצבאית של צמצום המטרה על מנת להקשות על הפגיעה בה, קרי – זיהוי האפליקציות המותרות לגישה בחוות השרתים, כולל אפליקציות פרטיות שהארגון פיתח וחסימת כל אפליקציה אחרת, כולל אפליקציות לא מזוהות. בצורה זו ניתן לצמצם למינימום את היכולת של גורמים עוינים להפעיל אפליקציה ולשאוב מידע רגיש. פאלו אלטו מספקת מענה לשני סוגים עיקריים של Data Centers – חוות שרתים פנים-ארגוניות וחוות שרתים באינטרנט
Data Center ארגוני – תפקידו לשרת את משתמשי הארגון הפנימיים. בחוות שרתים זו מספר מוגדר של יישומים ומשתמשים ידועים למנהלי ה-IT.
בתצורה זו תשמש PAN כחיץ בין המשתמשים ובין החווה. כל בקשה של משתמש לחווה תעבור דרך PAN ותיבדק. בנוסף, PAN ישמש כמפריד בין רשתות. ייעשה זיהוי קפדני ובקרה של אפליקציות, זיהוי בקרת משתמשים, הפעלת מנועי Threat Prevention, פתיחת תקשורת מוצפנת (SSL), בדיקת טרנזקציות ל-DC על ידי מנוע IPS (בתקשורת נכנסת ויוצאת), בדיקת אנטי וירוס ובדיקה על ידי מנוע מניעת זליגת המידע.
Data Center באינטרנט – חוות שרתים מסוג זה מאופיינת במספר מצומצם של אפליקציות אך כמות גדולה מאוד של משתמשים לא מוכרים או מזוהים. לרוב אפליקציות אלו מופעלות ע"י דפדפן, מבוססות פרוטוקול Http/Https ומתבססות על מערכות web של מיקרוסופט, IBM ואחרים.
בתצורה זו PAN תשמש כמערכת הגנה כוללת מהאינטרנט. ביישום זה PAN יפעיל את יכולות ה-FW כחוצץ ומגן מהעולם החיצון, כולל מערכות הגנה כנגד DDoS ועוד. גם בתצורה זו נעשה שימוש ביכולות זיהוי האפליקציה ומעבר של אך ורק מספר אפליקציות בודדות שנמצאות ב- DC. כל אפליקציה אחרת תיחסם. מערכות ה-IPS והאנטי וירוס יופעלו למניעת כניסת ווירוסים, איומים והתקפות לחוות השרתים. מערכת PAN תשמש להפרדת סגמנטים ברשת הפנימית ותבדוק ותבקר מעבר ביניהם. מערכת ה-PAN תפתח תקשורת SSL ותוודא שהתכנים נקיים מאיומים והתקפות.
לסיכום, מערכת פאלו אלטו מאפשרת למנהלי ה-IT להפסיק להתפשר כאשר מדובר על הגנת ה-Data Center הארגוני. המערכת מספקת יכולות הגנה מיטביות וחכמות, מבלי לפגוע בביצועים, בנוחות או בחוויית המשתמש. המערכת תמנע חדירת איומים, תאפשר תאימות לרגולציה, תשמור על שרידות מערכתית ותספק דו"חות ניהול מקיפים.