Resumo executivo
As implantações de proxy hoje sobreviveram à sua utilidade e natureza prática. Elas entraram para uma longa lista de produtos de segurança legados, oferecendo funcionalidade de segurança limitada em relação às ameaças avançadas dos dias de hoje. Antigamente, os proxies atendiam a uma necessidade que os firewalls tradicionais não conseguiam satisfazer: visibilidade do tráfego da web, começando pela categorização de tráfego HTTP e, posteriormente, de tráfego HTTPS. No entanto, não foi dada a devida atenção ao tráfego e aos inúmeros aplicativos que utilizavam outros caminhos para ter acesso às redes corporativas. Os fornecedores de proxy ainda dão ênfase exagerada à importância do tráfego HTTP e HTTPS e depreciam a função dos aplicativos que utilizam outros pontos de entrada em ciberataques.
Os benefícios limitados das soluções de proxy têm um alto preço: latência da rede, implantações complexas e onerosas, limitações de segurança arbitrárias (como listas de bypass de aplicativos) e a lenta adoção de novas tecnologias de segurança são apenas alguns exemplos da decadência das implantações de proxy.
Com suas origens no controle de acesso à web, os proxies baseiam as decisões de segurança principalmente em categorias de URL e, em segundo lugar, no conteúdo, deixando os clientes de proxy vulneráveis a ataques, apesar das complexas implantações de segurança.
As deficiências dos proxies se intensificaram com o crescimento explosivo dos aplicativos baseados na web e em rede, combinado às mudanças no cenário de ameaças e ao aumento da adoção de tecnologia móvel. Essas mudanças trouxeram consigo a necessidade de soluções menos complexas, mais abrangentes e de melhor desempenho — uma necessidade atendida pelas atuais plataformas de segurança de última geração, com tecnologia de segurança totalmente integrada que protege todos os aplicativos, pontos de entrada e usuários com implantações enxutas e fáceis de gerenciar que conseguem dar conta da rapidez dos negócios nos dias de hoje.
Ascensão e queda dos proxies — Uma breve visão geral
Os firewalls tradicionais impunham o acesso à rede via modelos de controle positivo. As listas de controle de acesso (ACLs, Access Control Lists) desempenhavam essa função, muitas vezes em roteadores. Infelizmente, esses firewalls tradicionais compartilhavam uma deficiência em comum — a incapacidade de inspecionar todos os aplicativos que passavam pela rede por todas as portas e protocolos. Os dispositivos baseados em proxy permitiam fazer uma análise mais granular e mostravam um pequeno conjunto de aplicativos e protocolos que os firewalls tradicionais não enxergavam.
Muitas organizações começaram a implantar dispositivos baseados em proxy para conseguir ter um pouco mais de visibilidade e controle do tráfego da web, porque os firewalls tradicionais não tinham essa capacidade essencial. As organizações que acrescentaram proxies dedicados aos seus firewalls legados já existentes hoje tinham acesso a funções de segurança como filtragem de URL e controle do acesso à web.
Com o tempo, os dispositivos baseados em proxy evoluíram e começaram a fazer parte de uma coleção cada vez maior de soluções pontuais de segurança, como antivírus dedicados ou sistemas de prevenção de invasões (IPS, Intrusion Prevention Systems). Cada solução pontual mostrava o tráfego de rede de forma limitada, concentrando-se principalmente no tráfego HTTP (porta 80) e HTTPS (porta 443). Cada solução também aumentava a complexidade das redes de segurança e não melhorava a falta de visibilidade do tráfego não proveniente da web.
Os proxies web são inerentemente lentos. O trabalho necessário para inspecionar o tráfego HTTP e HTTPS em sequência aumenta a latência da rede, especialmente no atual ambiente de negócios acelerado, com tráfego da web cada vez mais intenso. O conteúdo da web tornou-se tão dinâmico que as latências associadas à inspeção do tráfico da web de proxies passaram a ser um grande problema para os departamentos de TI. As empresas começaram a implantar vários dispositivos proxy somente para acompanhar as demandas da rede, aumentando a complexidade do ambiente de rede.
A crescente irrelevância dos proxies
Visibilidade limitada de portas e protocolos
A lista de aplicativos e protocolos aceitos pela maioria dos proxies limita-se a um pequeno número de aplicativos (como clientes baseados na web e streaming de mídia) e protocolos específicos, como HTTP (porta 80), HTTPS (porta 443) e FTP (porta 21). Apesar de muitos aplicativos serem por natureza baseados na web e estarem usando as portas 80 ou 443, alguns aplicativos muito populares, como Skype, BitTorrent ou Lync, são capazes de procurar e utilizar de forma dinâmica qualquer porta disponível na rede. Esses recursos para pular portas permitem que tais aplicativos sejam ajustados e responsivos, atendam às necessidades dos usuários … e contornem as limitações de visibilidade e tecnologias de segurança dos dispositivos baseados em proxy. Da mesma forma, os proxies são limitados na sua capacidade de proteger contra técnicas evasivas usadas por ferramentas como servidores proxy abertos (por exemplo, PHProxy ou CGIproxy) ou anonymizers (como Tor ou Hamachi).
Varredura determinada pela categoria do URL e não pelo conteúdo
Com sua origem na categorização de URL, a funcionalidade de segurança dos proxies é baseada nessa capacidade. As decisões sobre segurança são tomadas com base na categorização de URL, sendo que a maioria das solicitações web identificadas contornam mecanismos de segurança adicionais. Apenas uma pequena parte de todo o tráfego da web é enviada para que seu conteúdo seja inspecionado, uma vez que a categoria do URL determina o que é analisado no conteúdo. Essa priorização de categorias de URL em relação ao conteúdo está associada a uma maior exposição a ameaças e menor segurança.
Diminuição do desempenho da rede
Os dispositivos baseados em proxy exigem muito mais recursos computacionais devido às outras conexões que são estabelecidas entre o cliente de origem, o dispositivo proxy e o servidor de destino. Essas demandas de carga de trabalho, junto com a latência introduzida com as conexões via proxy, têm feito com que os dispositivos baseados em proxy sejam implantados somente em cenários onde uma taxa de transferência rápida e a alta escalabilidade não são requisitos importantes. Restringir o uso de proxies a uma pequena parte do tráfego na rede pode ajudar; do contrário, o desempenho da rede da organização inteira pode ser afetado.
Listas crescentes de bypass de aplicativos
Para resolver os problemas de desempenho dos proxies, os fornecedores de soluções de segurança na web estão sempre aumentando a lista de aplicativos que contornam os mecanismos de segurança. Muitas vezes essa lista é determinada pelo fornecedor de segurança e não pode ser modificada pelo cliente. Além disso, os fornecedores dão aos clientes a opção de criar suas listas de bypass de aplicativos. Essas listas impõem limitações arbitrárias aos recursos da solução de segurança adquirida e reduzem sua efetividade.
Lenta adoção de novas funcionalidades de segurança
Os produtos baseados em proxy se esforçam para acompanhar o rápido desenvolvimento de novos aplicativos e atualizações de aplicativos ou protocolos existentes. Os proxies simplesmente não conseguem se ajustar de acordo para acompanhar o ritmo do conteúdo altamente dinâmico dos aplicativos Web 2.0 e da Internet que passam por atualizações e aprimoramentos continuamente.
Tecnologia interruptiva
Com implantações de proxy, todos os usuários da organização devem ter suas solicitações de tráfego dirigidas ao dispositivo baseado em proxy. Há dois métodos principais de implantação de proxy, explícito e transparente, sendo que ambos envolvem implementações complexas e desafios únicos. Nos dois cenários, é preciso cortar os pontos de egresso de tráfego e inserir os proxies fisicamente, o que causa interrupções no tráfego e complicações frequentes no fluxo do tráfego.
Um pesadelo administrativo e financeiro
de outros elementos de hardware necessários para implantar uma solução de proxy. Essa abordagem está se tornando cada vez mais onerosa e difícil de gerenciar. Como se pode ver na figura 1 abaixo, uma implantação típica de solução de proxy precisa muito ser simplificada.
Figura 1: Uma implantação de proxy típica é complexa demais para o ambiente de negócios dos dias de hoje
A vantagem de integrar a segurança na web a uma plataforma de segurança de última geração
Ao contrário das soluções de proxy, as plataformas de segurança de última geração têm total visibilidade dos aplicativos e portas da rede. A plataforma de segurança de última geração da Palo Alto Networks® resolve os problemas fundamentais associados a soluções de segurança baseadas em proxy, inclusive filtragem de URL autônoma. Ela combina os benefícios de Prevenção a Ameaças, Sandboxing e filtragem de URL ao abrangente controle de aplicativos do firewallde última geração da Palo Alto Networks e elimina o comprometimento classificando todo o tráfego, identificando o aplicativo independentemente da porta, determinando o conteúdo (mal intencionado ou outro) e mapeando o tráfego para o usuário, não importa o local ou o tipo de dispositivo. Desse modo as empresas conseguem atingir seus objetivos de segurança sem a latência ou a complexidade das implantações de proxy: • Obtenha visibilidade sem precedentes dos
aplicativos, do conteúdo relacionado e dos usuários com inteligência proativa para estabelecer diretivas, fazer análises e gerar relatórios
• Habilite aplicativos com segurança, permitindo somente os que você precisa para administrar os negócios e negando acesso a todos os demais implicitamente • Evite ameaças conhecidas eliminando
aplicativos indesejados, para reduzir o impacto das ameaças, e aplicando ao tráfego autorizado uma prevenção de ameaças agnóstica em relação às portas
“Eu não precisava mais dos proxies deles”
Um importante fornecedor de tecnologia de uma firma de consultoria internacional hoje protege cerca de 8.000 usuários através de um conjunto de plataformas de segurança PA-5020 de alta disponibilidade (HA, High Availability) da Palo Alto Networks no perímetro de rede. Esses dispositivos se integraram perfeitamente ao equipamento de comutação de alta velocidade que o cliente já tinha e foram colocados na frente dos dispositivos de filtragem de URL autônoma baseados em proxy.
Sete meses depois de ter implantado a plataforma de segurança da Palo Alto Networks, o consultor de design de rede percebeu que seus dispositivos de proxy não haviam registrado nenhum alerta de segurança. Ao investigar, eles descobriram que o equipamento da Palo Alto Networks estava detectando todos os malwares e continuava protegendo a rede contra ameaças.
O cliente decidiu desconectar e desativar os dispositivos baseados em proxy, simplificando a arquitetura da rede e economizando em despesas operacionais e de capital.
• Bloqueie ameaças desconhecidas que podem surgir por meio de aplicativos de nuvem recém-desen-volvidos com análise comportamental em tempo real baseada em sandbox e entrega de assinaturas automatizada
Uma plataforma de segurança unificada e
abran-gente para ameaças conhecidas e desconhecidas
A plataforma de segurança de última geração da Palo Alto Networks — uma combinação de firewall de ponta com tecnologias avançadas de prevenção a ameaças — oferece visibilidade e controle de aplicativos, usuários e conteúdo em redes de dados corporativas para proteger contra ameaças conhecidas e também desconhecidas. Tecnologias firmemente integradas identificam os aplicativos em uso em todas as portas, procuram ameaças no conteúdo e identificam o usuário associado ao evento. Tecnologias avançadas de proteção contra ameaças buscam e bloqueiam ameaças conhecidas e desconhecidas constantemente no tráfego de aplicativos. A primeira tarefa executada pela plataforma de segurança de última geração da Palo Alto Networks é determinar a identidade precisa do aplicativo, independentemente de porta, protocolo ou técnica evasiva empregada; a identidade então se torna a base da diretiva de segurança do firewall. A plataforma de segurança de última geração da Palo
Alto Networks é atualizada continuamente com informações sobre os mais recentes aplicativos e ameaças, além de detalhes de malware coletados pelo ambiente virtual baseado em nuvem WildFire™.
Tecnologia integrada fácil de implantar
A implantação da tecnologia de segurança de rede da Palo Alto Networks é fácil e não exige diversas soluções endpoint gerenciadas de maneira independente nem componentes de hardware. Com uma única diretiva, todas as tecnologias de segurança da Palo Alto Networks podem ser aplicadas ao tráfego dessa diretiva. Um administrador só precisa especificar um ou mais perfis de segurança no console de gerenciamento, criando diretivas de segurança eficazes. As plataformas de segurança da Palo Alto Networks oferecem modos de implantação flexíveis e um sofisticado conjunto de recursos de rede, assim os engenheiros de rede podem inserir a plataforma de segurança com facilidade em qualquer design de arquitetura já existente.
Visibilidade total sem a latência de um proxy
A plataforma da Palo Alto Networks vê todo o tráfego de rede em todas as portas. O desempenho previsível de alta velocidade é obtido por meio de um mecanismo de software single-pass que combina aplicativo,
conteúdo e ID do usuário, junto com uma plataforma de hardware especialmente desenvolvida que usa processamento específico de função para funções de rede, segurança, prevenção de ameaças e gerenciamento.
Políticas contextuais dinâmicas – mais do
que Filtragem de URL e Segurança na Web
A total visibilidade e o controle sobre aplicativos, usuários e conteúdo armam os administradores de segurança com pontos
“Uma solução verdadeira
não deve demorar muito”
Uma organização canadense do setor de energia, com mil funcionários, se empenhou para implementar dispositivos proxy no ambiente de rede. Ela ficou um ano inteiro trabalhando arduamente em seus proxies, mas não conseguiu fazê-los funcionar a contento, o que resultou em seis ou sete casos de uso que nunca foram totalmente resolvidos.
A Palo Alto Networks ofereceu uma avaliação de soluções. Instalando o equipamento usando um modo de implantação Layer 1 (Virtual Wire), o engenheiro conseguiu resolver todos os problemas de proxy da empresa em apenas meio dia.
Essa demonstração incisiva convenceu o cliente a comprar várias soluções da Palo Alto Networks e gerenciá-las com um console de gerenciamento central Palo Alto Networks Panorama.
de dados significativos a serem usados para criar políticas contextuais dinâmicas. Por outro lado, a tradicional filtragem de URL autônoma e os dispositivos de segurança na web, como proxies, enxergam apenas uma pequena parte do tráfego na rede e se dedicam exclusivamente a classificar os sites em categorias de URL definidas. Eles não têm a inteligência compartilhada oferecida pela plataforma de segurança de última geração da Palo Alto Networks.
O perfil de segurança da filtragem de URL da Palo Alto Networks trabalha junto com todas as outras tecnologias integradas e os perfis de segurança disponíveis, criando desse modo uma estrutura completa de proteção contra ameaças, usando o contexto obtido do tráfego na rede. Por exemplo, a tecnologia App-ID da Palo Alto Networks complementa perfeitamente o perfil de segurança da filtragem de URL para impor o controle da atividade de rede e ainda impede o uso de ferramentas que se esquivam da filtragem. Identificar o aplicativo e o usuário e saber de onde eles vêm é uma competência poderosa para aplicação de políticas, principalmente quando combinada a perfis de segurança de filtragem de URL e prevenção a ameaças. Por fim, isso libera os administradores de segurança para criar políticas que permitam o tráfego com segurança, em vez de simplesmente bloquear ou autorizar o tráfego para uma determinada categoria de URL.
Proteção na rede inteira para todos os dispositivos
A proteção oferecida pela plataforma de segurança de última geração pode ser perfeitamente estendida para usuários remotos e móveis através do GlobalProtect e da solução de segurança para endpoints, o Traps. As duas tecnologias estendem as políticas perfeitamente para usuários remotos, móveis e de endpoint. Isso elimina a necessidade de outras soluções pontuais, que aumentariam ainda mais a complexidade de uma implantação de proxy.
Figura 2: Plataforma de Segurança de Última Geração da Palo Alto Networks
NATIVAMENTE INTEGRADA EXTENSÍVEL AUTOMATIZADA INTELIGÊNCIA SOBRE AMEAÇAS EM NUVEM FIREWALL DE
ÚLTIMA GERAÇÃO PROTEÇÃO ENDPOINT AVANÇADA
NUVEM
R
4401 Great America Parkway Santa Clara, CA 95054 Principal: +1.408.753.4000
Copyright ©2015, Palo Alto Networks, Inc. Todos os direitos reservados. Palo Alto Networks, o logotipo da Palo Alto Networks, PAN-OS, App-ID e Panorama são marcas comerciais da Palo Alto Networks, Inc. Todas as especificações estão sujeitas a alterações sem prévio aviso. A Palo Alto Networks não se responsabiliza por
Indo além dos proxies com a Plataforma de Segurança de Última Geração
da Palo Alto Networks
Conforme os aplicativos e as ameaças continuam se desenvolvendo, torna-se cada vez mais difícil para algumas organizações protegerem suas redes sem atrapalhar os funcionários que conduzem os negócios. Os desafios aparecem quando usuários distintos percorrem a rede utilizando dispositivos variados, sejam pessoais ou da empresa, acessando novos tipos de aplicativos que se comunicam entre muitas portas e protocolos de rede diferentes. Embora os dispositivos baseados em proxy sejam compatíveis com os recursos originais dos firewalls tradicionais com um grau a mais de visibilidade e controle do tráfego da web, essa visibilidade se restringe a um número limitado de protocolos, como HTTP (porta 80) e HTTPS (porta 443).
A Palo Alto Networks oferece uma plataforma de segurança de última geração para proteger redes corporativas, utilizando diretivas dinâmicas que aproveitam o contexto compartilhado entre aplicativos, usuários e conteúdo coletado do local central da plataforma dentro da rede. A plataforma oferece total visibilidade da rede para aplicar segurança granular para os usuários de uma organização e a ativação segura de seus aplicativos, independentemente de portas, protocolos ou técnicas evasivas.
As organizações de TI que implementam as tecnologias de última geração de segurança e prevenção a ameaças da Palo Alto Networks têm a confiança para reavaliar seus requisitos originais de uso de dispositivos baseados em proxy, como as soluções de filtragem autônoma de URL.