Proteja seu tesouro digital
O volume e a sofisticação dos ataques contra centros de dados corporativos e
governamentais continuam crescendo em um ritmo alarmante. Uma pesquisa publicada mostra que esses ataques tendem a se concentrar em três categorias principais:
• criminosos cibernéticos que atacam empresas de varejo e comércio, como lojas, redes de restaurantes, bancos, etc.
• hacktivistas que buscam destruir a reputação ou causar danos a empresas às quais eles se opõem.
• ataques patrocinados pelo estado que visam empresas públicas ou comerciais. Tradicionalmente, as organizações têm respondido a esses ataques ao concentrar sua atenção na detecção e prevenção de ameaças no perímetro da rede e no tráfego que entra e sai do centro de dados, o conhecido “tráfego norte-sul”. Muitos administradores de TI supunham que o tráfego leste-oeste (tráfego entre sistemas e aplicativos dentro de um centro de dados) podia ser confiável e não exigia proteções de segurança. No entanto, em várias violações documentadas, uma vez que um invasor consegue entrar no perímetro da rede, ele pode se movimentar lateralmente sem ser detectado dentro da rede, localizar outros servidores, acessar dados confidenciais e enviá-los para fora do perímetro da rede, pois o nível de segurança aplicado ao perímetro não foi aplicado aos segmentos internos dentro do centro de dados.
O acesso a ativos confidenciais dentro do centro de dados deveria ser regulado com o uso de credenciais de identidade não comprometidas e regras baseadas em aplicativos, juntamente com diversas ferramentas de inspeção e prevenção de ameaças, como AV, IPS, antispyware, para proporcionar segurança suficiente dentro do centro de dados. É preciso ter uma arquitetura de segurança extensível e integrada em toda a organização para proteger informações confidenciais contra o acesso não autorizado e vazamento. Isso deve ser feito não apenas no perímetro, mas também na borda do centro de dados e nos segmentos internos do centro de dados. Essa abordagem é conhecida como o modelo de segurança da informação Confiança Zero.
PRÁTICAS
RECOMENDADAS
PROTEÇÃO DE DADOS NO CENTRO DE DADOS
O modelo de Confiança Zero (proposto originalmente pela Forrester® Research) supõe que todo o tráfego representa uma ameaça, até que se prove em contrário. Em vez de depender de um conjunto de dispositivos de segurança separados e focados em perímetro, a Forrester aconselha a construir uma arquitetura de rede com um “gateway de segmentação” centralizado, que combine várias operações de segurança e criptografia (firewall, IPS, NAC, filtragem de conteúdo, VPN, etc.) em um único dispositivo de alta velocidade localizado no núcleo da rede. Isso permite que os administradores segmentem a rede em zonas, o que pode isolar o tráfego para um ativo de alto valor do tráfego de rotina para o que é menos confidencial. Isso dificulta muito mais para que um invasor obtenha acesso e mantenha a persistência dentro desses ativos, ou roube dados da rede. A Plataforma de segurança de última geração da Palo Alto Networks®, incluindo
dispositivos baseados em hardware e virtuais, permite que você implante um modelo de segurança de Confiança Zero eficaz que possibilite a segmentação de sua rede, a criação de listas brancas e negras para aplicativos, o controle do acesso do usuário e a criação de conteúdo específico, bem como a inspeção de todo o tráfego para verificar se há ameaças. Uma abordagem gradual para proteger os dados no centro de dados
Quer você tenha começado a implantar produtos da Palo Alto Networks recentemente ou os venha administrando há anos, lembre-se de maximizar seu valor total, ao ler as nossas práticas recomendadas para o uso da abordagem de Confiança Zero para proteger os dados no centro de dados.
Assim como com qualquer tecnologia, geralmente há uma abordagem gradual para uma implantação completa, que consiste em fases de implantação cuidadosamente planejadas, criadas para tornar a transição o mais fácil possível, com impacto mínimo para os usuários finais. Pensando nessa transição gradual, recomendamos seguir as nossas práticas
recomendadas para centros de dados de três fases, cada uma com base nas recomendações pertinentes. O objetivo final da implantação de seu centro de dados deveria ser a de acabar com a visibilidade granular e proporcionar uma inspeção completa dos tráfegos norte-sul e leste-oeste, de modo a evitar ameaças no centro de dados.
ETAPA 1: PLANEJAMENTO DA IMPLANTAÇÃO DO SEU CENTRO DE DADOS
Substituir um firewall antigo por um novo sistema ou implantar um firewall para centro de dados pela primeira vez exige um planejamento complexo, pois as duas opções oferecem a oportunidade de começar do zero com uma nova arquitetura de rede (Confiança Zero). Como primeiro passo, faça um inventário e uma avaliação profundos dos ambientes de centros de dados físicos e lógicos. Identifique e documente os vários sistemas no centro de dados, incluindo servidores, roteadores, switches e outra infraestrutura de segurança e de rede. Essa avaliação deve identificar e caracterizar todo o tráfego dos dados: o tráfego entre o centro de dados e sistemas externos (incluindo outros centros de dados dentro da sua organização), bem como o tráfego entre sistemas dentro do centro de dados.
Dica:
identifique o tráfego que
seja norte-sul (tráfego entre
o centro de dados e sistemas
externos) e leste-oeste (tráfego
no centro de dados) e foque
mais nas fraquezas ocultas de
segurança do leste-oeste.
Segmento do usuário Firewall DB Dev-DB WEB APP Segmen to de r ecursosPlaneje implantar as tecnologias básicas a seguir dentro da sua plataforma da Palo Alto Networks. Isso é essencial para ajudar você a entender o tráfego que flui pelo seu centro de dados, no que ele consiste, quais ativos ele tem como alvo e quem está tentando acessar. Tudo isso é fundamental para proteger os seus ativos de alto valor com eficácia.
• O User-ID™ verifica a identidade do usuário, e não apenas endereços IP, usando diretórios corporativos, ofertas de serviços de terminal ou o Microsoft® Exchange. O User-ID fornece um contexto detalhado sobre os usuários que acessam a rede. • O App-ID™ reconhece e categoriza nativamente milhares de aplicativos, incluindo
aplicativos web. O App-ID ajuda a identificar aplicativos que estão em uso, descobrir se os aplicativos estão usando portas padrão ou personalizadas e a encontrar aplicativos desconhecidos ou não autorizados na rede.
• O Content-ID™ permite que os clientes apliquem políticas para inspecionar e controlar o conteúdo que passa pela rede. O Content-ID combina mecanismos de prevenção de ameaças em tempo real, banco de dados de URL abrangentes e elementos de identificação de aplicativos para limitar transferências não autorizadas de dados e arquivos e para detectar e bloquear uma vasta gama de explorações, malware e conexões de web perigosas ou não autorizadas (HTTP e DNS). O Content-ID está disponível como parte da assinatura do Threat Prevention e permite que você implante controle de políticas sobre o conteúdo de tráfego não autorizado, limite a transferência não autorizada de arquivos e dados confidenciais, como números de cartão de crédito ou CPF e se defenda contra malware e explorações conhecidas e novas.
Dica:
há quatro “alavancas”
que você pode puxar para
proteger seus ativos do centro
de dados: controlar acesso,
inspecionar se há abuso dos
padrões de uso dos dados,
eliminar dados quando
a organização não precisar mais
deles ou criptografar dados
para desvalorizá-los caso sejam
roubados.
(Fonte: Forrester Research)
Tipo de política Descrição
Segurança Define se deve bloquear ou autorizar uma sessão com base nos atributos do tráfego, como a zona de segurança de origem e de destino, o IP de origem e de destino, aplicativo, usuário e serviço.
NAT Informa ao firewall sobre quais pacotes precisam de conversão e como fazer a conversão. O firewall suporta a conversão tanto do endereço de origem como de destino e/ou da porta.
QoS Identifica o tráfego que precisa de tratamento de QoS (seja tratamento preferencial ou limitante de largura de banda) usando um parâmetro definido ou vários parâmetros e a atribuição de uma classe a eles.
Encaminhamento baseado
em políticas Identifica o tráfego que deveria usar uma interface de saída diferente da que seria usada normalmente com base na tabela de encaminhamento.
Decodificação Identifica o tráfego criptografado cuja visibilidade, controle e segurança granular você quer inspecionar.
Substituição de aplicativos Identifica as sessões que você não quer que sejam processadas pelo mecanismo do App-ID, que é uma inspeção de Camada 7.
Portal cativo Identifica o tráfego cujo usuário precise ser conhecido. A política de portal cativo é acionada somente se outros mecanismos do User-ID não identificarem um usuário para associar ao endereço IP de origem.
Proteção DoS Identifica possíveis ataques de recusa de serviço (DOS - denial of service) e toma medidas protetivas em resposta às correspondências de regras.
Proteção de zona Fornece proteção adicional entre zonas de rede específica no mesmo firewall para proteger contra ataques, incluindo técnicas de evasão e aderência aos limites de tráfego.
O controle e a visibilidade do usuário e do aplicativo proporcionados pelo App-ID e User-ID, combinados com a inspeção de conteúdo proporcionados pelo Content-ID, permite que os departamentos de TI tomem decisões com base em risco que protejam as organizações contra ameaças e habilitem com segurança sistemas e aplicativos necessários para manter a empresa em operação.
A tabela abaixo resume os diversos tipos de política com suporte da Plataforma de segurança de última geração da Palo Alto Networks. Determine quais recursos e regras de política você vai implantar, e em que ordem, dando prioridade à sua finalidade no contexto das prioridades do centro de dados da sua organização, como a disponibilidade do sistema, o consumo de largura de banda ou as normas de segurança de dados. Guia do administrador:
• ativar política com base em grupo e em usuário • visão geral do App-ID
• implantações do VM-Series • configurar interfaces e zonas
ETAPA 2: VISIBILIDADE TOTAL DO TRÁFEGO DO CENTRO DE DADOS
O objetivo dessa etapa é identificar e validar toda a comunicação de aplicativos dentro e fora do centro de dados. Ao instalar a Plataforma de segurança de última geração pela primeira vez, recomendamos implantá-la primeiro no modo Tap.
O modo Tap oferece a capacidade de monitorar passivamente o tráfego da rede sem interrupção, mas não impede ou bloqueia qualquer conexão. Isso permite que o tráfego norte-sul e leste-oeste para o centro de dados seja monitorado e perfilado para aplicativos, ameaças e uso de tráfego sem interromper o tráfego de produção. A análise de logs de tráfego e ameaça criados no modo Tap também torna possível verificar os aplicativos, usuários e ameaças que foram identificados pela análise anterior de documentos e configurações existentes.
A coleta e análise de tráfego da rede pode permitir que você defina rapidamente o perfil do ambiente e detecte ameaças em tempo real. Esses dados podem ser usados para criar relatórios personalizados e uma Análise de Segurança de Ciclo de Vida (SLR) com rapidez, e inclui:
• identificação de aplicativos
• número de sessões e largura de banda consumida relacionados a cada aplicativo • redes de origem e de destino
• leque completo das ameaças desconhecidas observadas
• porcentagem de malware detectado pela plataforma que não foi detectada por soluções de AV de terceiros
• malware de dia zero e ameaças persistentes avançadas identificadas pelo WildFire da Palo Alto Networks
• vetores de ameaças de aplicativos e tipos de arquivos maliciosos • comportamento de risco do usuário
Depois que os dados de tráfego da rede para o centro de dados são coletados e
analisados, você pode criar alertas para ameaças comumente observadas. Isso permitirá que você analise melhor o seu ambiente por meio de recursos de relatórios históricos e de tendências para validação de tráfego para que você possa começar o processo a partir de um desenvolvimento de política mais avançada e abrangente.
Quando uma quantidade suficiente de dados for coletada no modo Tap, reconfigure a plataforma no modo VWire ou Camada 2 (L2)/Camada 3 (L3) para começar a agir sobre tráfego indesejado ou arriscado.
O VWire proporciona flexibilidade na aplicação de políticas distintas que podem ser usadas para gerenciar o tráfego em várias redes internas e separar e classificar o tráfego em zonas diferentes. Essa configuração isola logicamente um ambiente de ativos de alto valor de outros sistemas menos críticos. No modo VWire, a plataforma é instalada de forma transparente em um segmento de rede por meio da conexão de duas portas. Isso simplifica a instalação e configuração e não exige nenhuma mudança para dispositivos de rede adjacentes.
Dica:
instale a plataforma na
frente de qualquer dispositivo
de proteção antigo para que ela
possa examinar todo o tráfego
da rede antes que ele passe
pelo dispositivo antigo e dar
a visibilidade que talvez você
não tenha.
Dica:
a decodificação SSL pode
ser executada nas interfaces de
fio virtual (VWire), Camadas
2 ou 3, ou no modo TAP. Para
uma visualização mais uniforme
do seu tráfego do centro de
dados, lembre-se de decodificar
o máximo possível.
Dica:
a Plataforma de segurança
de última geração Palo Alto
Networks pode operar em
diversas implantações
simultaneamente, pois as
implantações ocorrem
no nível da interface.
A distribuição de centros de dados e/ou os switches centrais são configurados para enviar de forma seletiva apenas o tráfego de ativos de alto valor relevantes para a plataforma (por VLANs), permitindo que o ambiente mantenha a sua VLAN e o endereçamento IP. O modo VWire redireciona todo o tráfego pela plataforma para permitir o desenvolvimento de políticas iniciais e monitorar todo o tráfego de entrada e saída do ambiente.
Use as informações coletadas para desenvolver uma política de segurança inicial que descreva o acesso autorizado, como fontes aprovadas, redes de destino, grupos de aplicativos e de usuários. Depois, crie regras de segurança para a comunicação de entrada e de saída do centro de dados com agrupamentos de aplicativos conhecidos e/ou semelhantes, como banco de dados, web, aplicativo, Microsoft, gerenciamento e infraestrutura. Isso permite que você desenvolva uma estrutura ampla da política de segurança para classificar os aplicativos aprovados. Aplique perfis de proteção de ameaças a todas as políticas para ter uma visibilidade de segurança adicional, para que você esteja preparado para bloquear explorações, malware e tráfego de comando e controle sem afetar a comunicação dos negócios.
Para ter certeza de que você não está bloqueando nenhuma comunicação essencial enquanto constrói e testa sua política de centro de dados, implante uma regra de segurança catchall “permitir qualquer um” no final da hierarquia da política de segurança que permita explicitamente toda comunicação que ainda não estiver incluída em uma regra. Quaisquer aplicativos que usem portas ou protocolos não padrão, ou aplicativos não conhecidos, devem ser especialmente analisados e permitidos somente após a validação com o dono do sistema. Regras de aplicativos validadas devem ser incluídas acima da regra catchall na hierarquia para ativação segura e desenvolvimento de política lógica.
Ao final dessa etapa, a política de segurança deve incluir todos os aplicativos, portas, protocolos, redes de origem e de destino identificados e aprovados, e os usuários e grupos de usuários identificados, aprovados e autorizados a acessá-los. O resultado é que todo o tráfego aprovado é identificado por um aplicativo com uma política de segurança específica. Somente o tráfego aprovado acionará a regra catchall, e você pode então avaliar, validar e criar outra regra para permiti-lo especificamente. Por fim, para reforçar a proteção ativa, suspenda os alertas simples e mude para o bloqueio ativo de ameaças conhecidas, ao incluir perfis de segurança ao seu conjunto de regras. Substitua a regra catchall por uma nova regra “negar qualquer um” no fim da lista de políticas que está configurada para bloquear e registrar todo o tráfego recusado. Essa mudança de uma lista negra para uma abordagem de lista branca permite que o sistema recuse todo o tráfego que não foi expressamente permitido, enquanto maximiza a visibilidade e a prevenção de ameaças. A partir daí, você pode desativar a plataforma de segurança antiga e tirá-la de serviço.
Dica:
para avaliar o seu tráfego
sem análises de log demoradas
e manuais, desenvolva relatórios
personalizados, como aqueles
que cobrem os principais
aplicativos, as principais normas
de segurança e o tráfego
correspondente à regra de
segurança catchall “permitir
qualquer um”. Esses tipos de
relatórios fornecem uma base de
referência histórica dos dados
que permite que você e sua
equipe definam continuamente
o perfil do tráfego dentro e fora
do seu centro de dados.
Dica:
a ordem das regras é
fundamental para garantir
seus melhores critérios de
correspondência. Como a
política é avaliada de cima
para baixo, as políticas mais
específicas devem preceder as
mais gerais. Uma regra que é
colocada em uma posição mais
baixa não será avaliada se o
critério de correspondência for
atendido por outra regra que
a precede.
Prod-DB SAP-DB TI RH Jurídico Terceirizados ExecutivosDica:
a ordem das regras é
fundamental para garantir
seus melhores critérios de
correspondência. Como a
política é avaliada de cima
para baixo, as políticas mais
específicas devem preceder as
mais gerais. Uma regra que é
colocada em uma posição mais
baixa não será avaliada se o
critério de correspondência for
atendido por outra regra que
a precede.
Dica:
Como várias camadas de
codificação podem ser usadas
como uma técnica de evasão,
use a codificação de vários
níveis para garantir que os
arquivos não identificados que
não foram processados para
a verificação de ameaças não
passem pelo firewall para o seu
centro de dados.
Guia do administrador:
• monitoramento
• componentes de uma regra de segurança
• como configurar um dispositivo da Palo Alto Networks para operação no modo TAP • configurar políticas e perfis de segurança
• decodificação
• implantações de fio virtual • gerar relatórios personalizados
ETAPA 3: SEGURANÇA AVANÇADA DE CENTRO DE DADOS
Depois de ter sua plataforma de segurança básica configurada, você pode se concentrar em criar relatórios especiais adicionais, refinar regras de política e implantar recursos adicionais de prevenção, como perfis de segurança restrita, ambiente de análise de malware com base em nuvem WildFire™, serviço de segurança de força de trabalho móvel GlobalProtect™ e proteção avançada de terminais Traps™.
Habilite o encaminhamento para o WildFire para garantir que arquivos desconhecidos, especialmente os tipos de arquivos usados legitimamente, como arquivos Microsoft Office e Adobe® Acrobat®, não contenham quaisquer ameaças persistentes avançadas (APTs) ou malware de dia zero. O WildFire analisa arquivos desconhecidos e, depois, gera proteções contra malware, comando e controle e de URL quando um arquivo é considerado “malicioso”. O WildFire executa conteúdo suspeito em várias versões do aplicativo de destino localizado dentro dos sistemas operacionais virtualizados e identifica centenas de comportamentos associados a software malicioso, como modificações no host, tráfego suspeito de rede e técnicas de evasão antianálise. Juntamente com as proteções de aplicativos, esses comportamentos são também entregues dentro de um relatório que pode então ser usado para identificar positivamente os sistemas infectados. Se você tiver ativos que se comunicam externamente, sob qualquer forma, configure os
perfis de filtragem de URL para as regras aplicáveis para obter uma camada adicional de segurança para que esses ativos não possam se comunicar com URLs maliciosos e de alto risco.
Habilite o GlobalProtect em celulares e laptops corporativos para identificá-los além do seu endereço IP quando eles tentarem acessar ativos remotamente, amplie as proteções de segurança em sua plataforma quando eles estiverem fora da rede e garanta que sua conexão ao seu centro de dados seja segura. O GlobalProtect é uma fonte do User-ID™ que amplia o alcance da plataforma de segurança para seus usuários, onde quer que estejam, e garante que o acesso a ativos de alto valor no centro de dados esteja em conformidade com a política de segurança.
Implante a proteção avançada de endpoint do Traps em todos os servidores Windows e na Virtual Desktop Infrastructure (VDI) em execução no seu centro de dados para obter uma camada adicional de proteção contra exploração. O Traps é um agente que evita a exploração de vulnerabilidades de dia zero e ataques acionados por malware sem assinaturas, e protege os ativos do seu centro de dados de seu comprometimento. O agente Traps se insere em cada processo que é iniciado, e se concentra nas técnicas fundamentais de que um invasor deve se conectar para realizar um ataque. Se o processo tentar executar qualquer uma das principais técnicas de ataque, o Traps bloqueará imediatamente essa técnica, encerrará o processo e notificará o administrador de que um ataque foi evitado.
Guia do administrador:
• implantações de VPN • filtragem de URL
• habilitar encaminhamento básico de WildFire • usar uma lista dinâmica externa na política
Nosso compromisso em dar suporte aos nossos clientes
A Palo Alto Networks tem como compromisso garantir uma implantação bem-sucedida e fornece um suporte abrangente por meio da nossa organização de Atendimento Global ao Cliente. Temos plena ciência de que o fracasso não é uma opção. Nossas ofertas de suporte e programas de treinamento foram desenvolvidas para atenuar quaisquer preocupações que você possa ter com a implantação.
• Serviços de garantia de solução da Palo Alto Networks • Planos de suporte ao cliente da Palo Alto Networks • Serviços de consultoria da Palo Alto Networks • Serviços de treinamento da Palo Alto Networks
Junte-se à Comunidade LIVE da Palo Alto Networks para obter discussões de usuários, tutoriais e artigos da base de conhecimento.
• Guia do administrador PAN-OS, Versão 7.1 – Panorama • Guia do administrador PAN-OS, Versão 7.0 – Panorama • Guia do administrador PAN-OS, Versão 6.1 – Panorama
4401 Great America Parkway Santa Clara, CA 95054 Principal: +1.408.753.4000 Vendas: +1.866.320.4788 Suporte: +1.866.898.9087
© 2016 Palo Alto Networks, Inc. Palo Alto Networks é uma marca registrada da Palo Alto Networks. Uma lista de nossas marcas registradas pode ser encontrada em http://www. paloaltonetworks.com/company/trademarks.html. Todas as outras marcas aqui mencionadas podem ser marcas registradas de suas respectivas empresas. pan-wp-best-practiceschapter7-sddc-052716
Dica:
use o recurso de listas
dinâmicas externas para deter
os invasores, ao importar os
endereços IP de origem de
invasores reincidentes que
aparecem dentro de seus logs
de ameaças em um determinado
período de tempo e os bloqueie
por 24 horas ou mais.
Dica:
configure a sua plataforma
para receber atualizações de
proteção do WildFire a cada
cinco minutos.
Junte-se à comunidade Grupo de Usuários do Fuel da Palo Alto Networks para se conectar com profissionais do setor em todos os lugares do globo que estão prontos para discutir suas práticas recomendadas e seus insights conquistados com muito trabalho. Você também pode obter acesso exclusivo a especialistas no assunto para que respondam às suas perguntas mais desafiadoras relacionadas à segurança por meio de eventos online, como webinars e sessões de perguntas e respostas, bem como presenciais.
