PaloAlto

Piattaforma di firewalling basata sul riconoscimento delle applicazioni, l’identificazione del profilo virtuale associabile agli utenti che usufruiscono dei servizi di comunicazione e la possibilità di applicare filtri non solo sui livelli base dello stack TCP/IP (porte e IP), ma anche sulle applicazioni e sul loro comportamento. I prodotti Palo Alto Networks sono firewall di terza generazione in grado di analizzare tutto il traffico correlandolo alle applicazioni e agli utenti che lo generano e di definire delle regole ad hoc sulla base di tali parametri. Sarà quindi possibile abilitare solo certe applicazioni e solo ad uso di precise utenze arrivando anche a definire la banda a disposizione per quel servizio/applicazione in modo da non degradare le prestazioni di servizi/applicazioni critici per il business aziendale. Tali sistemi permettono di controllare e bloccare (per utente) applicazioni come skype o sistemi peer to peer che sfruttano meccanismi di evasione o di cifratura e che ad oggi non possono essere bloccati da un semplice firewall, ma necessitano l’utilizzo aggiuntivo di un server proxy o magari di un IPS con degrado delle prestazioni e con difficoltà di allineamento nella gestione dei diversi apparati. Con Palo Alto Networks si riesce a ricoprire le funzionalità del Firewall, Proxy, Antivirus, Url filtering, etc. con un’unica soluzione e garantendo prestazioni sull’ordine dei Gigabit. Inoltre il sistema può essere utilizzato in prima istanza per capire che cosa viaggia sulla propria rete per poi applicare delle regole che consentano il controllo reale dell’infrastruttura, garantendo pertando una visibilità integrale sull’uso delle applicazioni e sugli utenti che ne richiedono i servizi.

img 1

img 1

.

In aggiunta, i firewall PaloAlto si differenziano dagli altri leader di mercato per le seguenti feature:

  • Identificazione della applicazioni : la maggior parte delle applicazioni applica tecniche di evasione, che tendono a fare trovare sempre la possibile strada di uscita, anche quando i sistemi di perimetro la limitino. Di conseguenza l’unico modo che si ha di poterle raggruppare è eseguire un’analisi approfondita per inserirle in famiglie comportamentali. Su queste famiglie, censite da PaloAlto in più di 800 applicazioni, è quindi possibile creare dei permessi, come stringere al massimo i controlli applicativi su alcune di esse, oppure come definitivamente bloccarle qualora si ritengano dannose per la rete.

img 2

img 2

.

  • Controllo applicativo: su ogni applicazione è possibile eseguire dei controlli dettagliati, quali antivirus, antimalware, e di vulnerabilità.
  • Single Pass Parallel Processing Architecture: scansione dei flussi in un unico passaggio grazie all’esecuzione di processi paralleli.

img 3

img 3

.

  • Assegnazione dell’identità utente: attraverso un sistema di comunicazione con Active Directory, PaloAlto è in grado di assegnare l’identità agli utenti di dominio, in modo tale da creare delle politiche di sicurezza e controllo direttamente sugli utenti o sui gruppi, anziché ai singoli indirizzi IP o networks. E’ disponibile inoltre un sistema embedded di Captive Portal per associare un’identità ai client che non fanno parte del dominio corporate (tipicamente i guest user)

img 4

img 4

.

  • Decifrazione del traffico SSL: molte applicazioni vengono utilizzate attraverso un canale cifrato SSL, per massimizzarne l’anonimato. Questo vuol dire che i sistemi tradizionali non hanno la possibilità di interpretare il traffico originato, essendo in questo stato illeggibile. Il firewall PaloAlto esegue una decrittazione del traffico SSL per analizzarne il contenuto, per quindi ri-decrittarlo dopo l’ispezione.
  • Ricostruzione del profilo delle applicazioni non ancora supportate su protocollo http: il sistema è in grado mediante analisi del traffico in transito di ricostruire un profilo applicativo per ciascuna applicazione su protocollo http rendendo quindi possibile l’identificazione e la definizione di regole anche per le applicazioni non ancora supportate.
  • Censimento ed analisi del traffico di rete: la soluzione sfruttando la capacità di censire tutto il traffico discriminandolo sia per applicazione che per utente è in grado di fornire dopo un breve periodo un quadro completo sulle applicazioni che generano traffico, sull’occupazione di banda, sulle utenze che utilizzano le varie applicazioni etc… consentendo quindi di determinare eventuali criticità sull’utilizzo della banda che deteriori le prestazioni della rete ma anche l’utilizzo di applicazioni non consentite etc… Si fa presente a tale proposito che a breve Paolo Alto introdurrà la funzionalità del QoS dando quindi la possibilità di definire apposite risorse di banda per applicazioni/utente.
  • Multi-Gigabit Throughput : per garantire questi elevati canoni di ispezione il sistema deve assicurare elevati capacità di carico. PaloAlto firewall arriva a garantire un controllo dell’ordine di 5Gbps con il modello più prestante
  • Reportistica dettagliata in realtime : l’amministratore può generare della reportistica per capire cosa stia succedendo sulla rete, come può velocemente visualizzare i drill-down report o il log realtime direttamente sull’apparato
  • Semplicità di deployment: grazie alla flessibilità del sistema, è possibile posizionarlo i diversi environment. Bridge layer2, monitoring (utilizzando un TAP o Spanport di uno o più switch), oppure il più tradizionale NAT/Route mode. Tutte queste 3 modalità possono convivere nello stesso apparato, senza l’obbligo di utilizzo della funzionalità di Virtual Domain.

paloalto