10 atributos que o seu firewall precisa ter

of 14 /14
01/14 Muito já foi feito para proporcionar visibilidade das aplicações e controle sobre a segurança da rede. A razão é óbvia: aplicações podem facilmente escapar dos firewalls tradicionais baseados em portas. E o valor é óbvio: funcionários usam qualquer aplicação que precisam para que seu trabalho seja realizado – geral- mente, são indiferentes ao risco que este uso pode trazer ao negócio. Quase todo profissional que trabalha com segurança de rede admite que o controle de aplicações é uma parte cada vez mais crítica. Os firewalls de nova geração são definidos pelo Gartner como algo novo, diferenciado, focado nas necessidades corporativas, ao contrário do que afirmam alguns, de que esse tipo de solução é um subconjunto de outras funcionalidades (ex: UTM ou IPS). Oferecer visibilidade de aplicativos e conteúdo e ter o controle sobre o que circula em sua rede, mas utilizando um número limitado de assinaturas IPS ou uma base de dados externa não é a solução ideal. Essas funcionalidades não possuem uma integração total e sua matriz tecnológica ainda continua sendo a base Statefull. A nova geração de firewalls é uma classe revolucionária e diferente de produtos, que tem como visão não Não se trata de bloquear aplicações, mas permiti-las de modo seguro. Aplicações garantem a continuidade dos negócios e os profissionais precisam estar cientes de que as utilizam de forma segura www.techbiz.com.br bloquear aplicações, mas permiti-las de modo seguro e com controle. Aplicações garantem a continuidade dos negócios e os profissionais precisam estar cientes de que as utilizam de uma forma segura. Para as empresas que procuram os firewalls da nova geração, a mais importante consideração a se fazer é: Essa nova tecnologia irá permitir que os times de segu- rança habilitem as aplicações que tragam benefícios para a organização? Outras perguntas-chaves para este tipo de tecnologia são: Atributos que o seu próximo Firewall precisa ter 1 0
  • date post

    19-Oct-2014
  • Category

    Technology

  • view

    1.055
  • download

    1

Embed Size (px)

description

 

Transcript of 10 atributos que o seu firewall precisa ter

10 atributos que o seu firewall precisa ter

01/14

Muito j foi feito para proporcionar visibilidade das

aplicaes e controle sobre a segurana da rede. A

razo bvia: aplicaes podem facilmente escapar

dos firewalls tradicionais baseados em portas. E o valor

bvio: funcionrios usam qualquer aplicao que

precisam para que seu trabalho seja realizado geral-

mente, so indiferentes ao risco que este uso pode

trazer ao negcio. Quase todo profissional que trabalha

com segurana de rede admite que o controle de

aplicaes uma parte cada vez mais crtica.

Os firewalls de nova gerao so definidos pelo Gartner

como algo novo, diferenciado, focado nas necessidades

corporativas, ao contrrio do que afirmam alguns, de

que esse tipo de soluo um subconjunto de outras

funcionalidades (ex: UTM ou IPS). Oferecer visibilidade

de aplicativos e contedo e ter o controle sobre o que

circula em sua rede, mas utilizando um nmero

limitado de assinaturas IPS ou uma base de dados

externa no a soluo ideal. Essas funcionalidades

no possuem uma integrao total e sua matriz

tecnolgica ainda continua sendo a base Statefull.

A nova gerao de firewalls uma classe revolucionria

e diferente de produtos, que tem como viso no

No se trata de bloquear aplicaes, mas permiti-las de modo seguro. Aplicaes garantem a continuidade dos negcios e os profissionais precisam estar cientes de que as utilizam de forma segura

www.techbiz.com.br

bloquear aplicaes, mas permiti-las de modo seguro e

com controle. Aplicaes garantem a continuidade dos

negcios e os profissionais precisam estar cientes de

que as utilizam de uma forma segura.

Para as empresas que procuram os firewalls da nova

gerao, a mais importante considerao a se fazer :

Essa nova tecnologia ir permitir que os times de segu-

rana habilitem as aplicaes que tragam benefcios

para a organizao? Outras perguntas-chaves para este

tipo de tecnologia so:

Atributos que o seu prximo

Firewall precisa ter10

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurios de forar o uso do SSL em

muitos sites, os times de segurana possuem um grande e

crescente ponto cego ao no descriptografar, classificar,

controlar examinar o trfego SSL. Certamente, o firewall da

nova gerao precisa ser flexvel para que alguns tipos de

trfego SSL-encriptado possam ser permitidos (ex: trfego

web, trfego de servios financeiros ou de organizaes de

sade) enquanto outros tipos (ex: SSL em portas no padro,

HTTPS de websites no classificados da Europa Oriental)

possam ser descriptografados via poltica de segurana.

4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).

Muitas aplicaes possuem diferentes funes, apre-

sentando diferentes perfis de risco e valores, tanto para os

usurios quanto para a organizao. Bons exemplos disso

so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant

Messaging vs. a funcionalidade de transferncia de arquivos

e o Gmail padro vs. anexos enviados. Em ambientes regu-

lados ou em empresas altamente dependentes de proprie-

dade intelectual esse um ponto crucial.

Primeiramente (por padro), seu prximo firewall precisa

tentar classificar todo o trfego - essa uma rea em que

as arquiteturas anteriores e a discusso sobre segurana

tornam-se importantes. Para aplicaes customizadas ou

desenvolvidas pela prpria organizao, deve haver uma

maneira de identificar esta personalizao de forma que o

trfego contabilizado por conhecido e controlado.

7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.

Aplicaes compartilham sees. Para garantir que os

usurios continuem usando plataformas de aplicaes, seja

Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,

os desenvolvedores integram diferentes aplicaes que

geralmente possuem perfis de risco e valores de negcio

diferenciados. Vamos observar o exemplo do Gmail que

possui a habilidade de rodar uma seo do Google Talk

dentro do Gmail. So aplicaes fundamentalmente dife-

rentes, e o seu prximo firewall precisa reconhecer isso e

permitir respostas apropriadas nas polticas de segurana

para cada uma delas.

A simples classificao da plataforma ou do website no

funciona. Em outras palavras, o caminho mais rpido no

a opo a classificao uma vez feita ignora o fato que

aplicaes compartilham sees. O trfego precisa ser

continuamente avaliado para entendermos a aplicao,

suas mudanas, quando o usurio muda para uma aplicao

completamente diferente utilizando a mesma seo e refor-

ar as polticas de controle apropriadas.

Basta analisar de forma rpida os requisitos utilizados pelo

Gmail/Google Talk, por exemplo: o Gmail por default

HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso

deve ser constante, assim como a classificao da aplicao,

porque a qualquer momento o usurio pode iniciar um chat,

que pode ter uma poltica completamente diferente asso-

ciada a ele.

8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.

Cada vez mais, os usurios esto trabalhando longe dos

escritrios. Uma parte significativa dos profissionais capaz

de trabalhar remotamente. Seja em um coffee shop, em

casa, alocados no cliente, os usurios esperam conectar-se

s aplicaes via WiFi, 3G ou qualquer meio necessrio.

Independentemente de onde o usurio esteja, ou mesmo

onde a aplicao que ele utiliza possa estar, o mesmo

padro de controle deve ser aplicado. Se o seu prximo

firewall permite visibilidade de aplicativos e controle sobre

o trfego dentro do escritrio, mas no fora, ele abre uma

porta de ameaas ao ambiente.

Conceitualmente isso simples: seu prximo firewall

precisa ter visibilidade e controle consistentes sobre o

trfego, independentemente de onde o usurio esteja

dentro ou fora. Isso no quer dizer que as empresas tero as

mesmas polticas de segurana algumas organizaes

podem querer que seus empregados usem Skype quando

esto fora, mas no dentro da sede, enquanto outras podem

ter uma poltica que diga que se estiver fora do escritrio,

usurios no podem fazer download de anexos do sales-

force.com a no ser que tenham o disco rgido encriptado.

Isso pode ser obtido em seu prximo firewall sem introduzir

latncia significativa para o usurio final, ou pro-blemas

operacionais indevidos ao administrador, ou custo significa-

tivo para a organizao.

9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.

Muitas empresas lutam para incorporar mais fontes de

alimentao, mais polticas e mais regras no j sobrecar-

regado processo de gerenciamento de segurana e de

pessoas. Em outras palavras, se os times no podem geren-

ciar o que eles j possuem, adicionar mais gerncia, polti-

cas e informaes no ajudaro. Alm do mais, quanto mais

distribuda for a poltica (ex. Firewall baseado em portas,

trfego autorizado em porta 80, anlise de IPS para

bloqueio de ameaas e aplicaes, reforo de segurana em

portes web, filtragem URL), mais difcil para gerenciar

essa poltica. Onde os admins iro para permitir WebEx?

Como eles resolvem conflitos de polticas de segurana

sobre tantos equipamentos?

Dado que os firewalls tpicos, baseados em portas, possuem

bases de regras que incluem milhares de regras, adiciona-

ndo milhares de assinaturas de aplicaes por entre dezenas

de milhares de portas (veja #3) a complexidade aumentar

em muito.

Polticas de firewall precisam ser baseadas em usurios e

aplicaes. Anlises de contedo subsequentes podem ser

realizadas em trfego permitido, mas o controle fundamen-

tal de acesso precisa ser baseado em elementos relevantes

(aplicaes, usurios ou grupos). Isso pode ter um efeito

simplificador efetivo. Polticas de Firewall baseadas em

portas em endereo IP, seguidas de anlises subsequentes

para entendimento da aplicao tornam as coisas mais

complicadas do que j so.

10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.

Muitas empresas se esforam para garantir a segurana,

sem comprometer a performance. Muito frequentemente,

transformar recursos de segurana em domnio de segu-

rana de rede significa desassociar rendimento e perfor-

mance. Se a sua prxima gerao de firewall desenvolvida

da maneira certa, esse comprometimento desnecessrio.

A importncia da arquitetura bvia aqui tambm, mas de

uma maneira diferente. Associar um firewall baseado em

porta a outras funes de segurana de diferentes origens

tecnolgicas e a outras funes de segurana em geral,

indica a existncia de camadas de rede redundantes, ferra-

mentas de exame e polticas, que se traduzem em uma

baixa performance. Da perspectiva do software, o firewall

precisa ser desenvolvido para fazer

isso do comeo. Alm do mais, dadas as requisies para

tarefas computacionais intensas (ex: identificao de

aplicaes) realizadas em alto volume de trfego e com

pouca tolerncia latncia associada em infraestrutura

crtica, seu prximo firewall precisa do hardware desen-

volvido para a tarefa tambm significando processa-

mento de rede, segurana (incluindo terminaes SSL veja

#3), e exame de contedo dedicado.

02/14

Aumentar a visibilidade e o entendimento do trfego de aplicaes?

Expandir as opes de controle de trfego, para alm do autorizar/negar?

Ajudar a prevenir ameaas?

Eliminar a necessidade de comprometer a performance em prol da segurana?

Reduzir custos para minha organizao?

Far o gerenciamento de risco mais fcil ou simples?

Se a resposta a todas essas questes for sim, a transio fcil de justificar

Se o assunto for Firewalls, existem trs pontos que a soluo deve possuir fcil operao, funes de segurana robustas e tudo isso com performance. As funes de segurana so elementos que correspondem eficincia e controle sobre a segurana e a habilidade de gerenciar os riscos sobre o trfego da sua rede. Na operao, o maior questionamento : qual a complexidade de gesto da soluo? No quesito performance, a diferena simples: a soluo de Firewall faz todo o seu trabalho com o through-put e performance aceitveis?

Os 10 atributos que o seu Firewall precisa ter

DEFINIO: NOVA GERAO DE FIREWALL5 requisitos:

1. Identifica aplicaes, independentemente da porta, protocolo, ttica evasiva ou SSL;

2. Identifica usurios, independentemente de endereo IP;

3. Protege em tempo real contra ameaas incorporadas em aplicaes;

4. Garante alta visibilidade e polticas de controle sobre o acesso a aplicaes/ funcionalidades;

5. Multigigabit, implantao em linha, sem perda de performance.

Agora, os 10 atributos que seu Firewall de nova gerao deve possuir

1. Identificar e controlar aplicaes em qualquer porta;

2. Identificar e controlar circumventors*;

3. Descriptografar SSL de sada;

4. Possuir funes de controle de aplicaes;

5. Procurar e prevenir vrus e malware em aplicaes

colaborativas permitidas em seu ambiente;

6. Ter o controle sobre o trfego desconhecido a partir

de polticas de segurana;

7. Identificar e controlar aplicativos que possuam a

mesma conexo;

8. Permitir a mesma visibilidade de aplicaes e

controles para usurios remotos;

9. Tornar a segurana de rede mais simples, e no

mais complexa, com a adio de controles de aplica-

es;

10. Oferecer o mesmo throughput e performance com o

controle ativo das aplicaes;

www.techbiz.com.br

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurios de forar o uso do SSL em

muitos sites, os times de segurana possuem um grande e

crescente ponto cego ao no descriptografar, classificar,

controlar examinar o trfego SSL. Certamente, o firewall da

nova gerao precisa ser flexvel para que alguns tipos de

trfego SSL-encriptado possam ser permitidos (ex: trfego

web, trfego de servios financeiros ou de organizaes de

sade) enquanto outros tipos (ex: SSL em portas no padro,

HTTPS de websites no classificados da Europa Oriental)

possam ser descriptografados via poltica de segurana.

4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).

Muitas aplicaes possuem diferentes funes, apre-

sentando diferentes perfis de risco e valores, tanto para os

usurios quanto para a organizao. Bons exemplos disso

so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant

Messaging vs. a funcionalidade de transferncia de arquivos

e o Gmail padro vs. anexos enviados. Em ambientes regu-

lados ou em empresas altamente dependentes de proprie-

dade intelectual esse um ponto crucial.

Primeiramente (por padro), seu prximo firewall precisa

tentar classificar todo o trfego - essa uma rea em que

as arquiteturas anteriores e a discusso sobre segurana

tornam-se importantes. Para aplicaes customizadas ou

desenvolvidas pela prpria organizao, deve haver uma

maneira de identificar esta personalizao de forma que o

trfego contabilizado por conhecido e controlado.

7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.

Aplicaes compartilham sees. Para garantir que os

usurios continuem usando plataformas de aplicaes, seja

Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,

os desenvolvedores integram diferentes aplicaes que

geralmente possuem perfis de risco e valores de negcio

diferenciados. Vamos observar o exemplo do Gmail que

possui a habilidade de rodar uma seo do Google Talk

dentro do Gmail. So aplicaes fundamentalmente dife-

rentes, e o seu prximo firewall precisa reconhecer isso e

permitir respostas apropriadas nas polticas de segurana

para cada uma delas.

A simples classificao da plataforma ou do website no

funciona. Em outras palavras, o caminho mais rpido no

a opo a classificao uma vez feita ignora o fato que

aplicaes compartilham sees. O trfego precisa ser

continuamente avaliado para entendermos a aplicao,

suas mudanas, quando o usurio muda para uma aplicao

completamente diferente utilizando a mesma seo e refor-

ar as polticas de controle apropriadas.

Basta analisar de forma rpida os requisitos utilizados pelo

Gmail/Google Talk, por exemplo: o Gmail por default

HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso

deve ser constante, assim como a classificao da aplicao,

porque a qualquer momento o usurio pode iniciar um chat,

que pode ter uma poltica completamente diferente asso-

ciada a ele.

8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.

Cada vez mais, os usurios esto trabalhando longe dos

escritrios. Uma parte significativa dos profissionais capaz

de trabalhar remotamente. Seja em um coffee shop, em

casa, alocados no cliente, os usurios esperam conectar-se

s aplicaes via WiFi, 3G ou qualquer meio necessrio.

Independentemente de onde o usurio esteja, ou mesmo

onde a aplicao que ele utiliza possa estar, o mesmo

padro de controle deve ser aplicado. Se o seu prximo

firewall permite visibilidade de aplicativos e controle sobre

o trfego dentro do escritrio, mas no fora, ele abre uma

porta de ameaas ao ambiente.

Conceitualmente isso simples: seu prximo firewall

precisa ter visibilidade e controle consistentes sobre o

trfego, independentemente de onde o usurio esteja

dentro ou fora. Isso no quer dizer que as empresas tero as

mesmas polticas de segurana algumas organizaes

podem querer que seus empregados usem Skype quando

esto fora, mas no dentro da sede, enquanto outras podem

ter uma poltica que diga que se estiver fora do escritrio,

usurios no podem fazer download de anexos do sales-

force.com a no ser que tenham o disco rgido encriptado.

Isso pode ser obtido em seu prximo firewall sem introduzir

latncia significativa para o usurio final, ou pro-blemas

operacionais indevidos ao administrador, ou custo significa-

tivo para a organizao.

9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.

Muitas empresas lutam para incorporar mais fontes de

alimentao, mais polticas e mais regras no j sobrecar-

regado processo de gerenciamento de segurana e de

pessoas. Em outras palavras, se os times no podem geren-

ciar o que eles j possuem, adicionar mais gerncia, polti-

cas e informaes no ajudaro. Alm do mais, quanto mais

distribuda for a poltica (ex. Firewall baseado em portas,

trfego autorizado em porta 80, anlise de IPS para

bloqueio de ameaas e aplicaes, reforo de segurana em

portes web, filtragem URL), mais difcil para gerenciar

essa poltica. Onde os admins iro para permitir WebEx?

Como eles resolvem conflitos de polticas de segurana

sobre tantos equipamentos?

Dado que os firewalls tpicos, baseados em portas, possuem

bases de regras que incluem milhares de regras, adiciona-

ndo milhares de assinaturas de aplicaes por entre dezenas

de milhares de portas (veja #3) a complexidade aumentar

em muito.

Polticas de firewall precisam ser baseadas em usurios e

aplicaes. Anlises de contedo subsequentes podem ser

realizadas em trfego permitido, mas o controle fundamen-

tal de acesso precisa ser baseado em elementos relevantes

(aplicaes, usurios ou grupos). Isso pode ter um efeito

simplificador efetivo. Polticas de Firewall baseadas em

portas em endereo IP, seguidas de anlises subsequentes

para entendimento da aplicao tornam as coisas mais

complicadas do que j so.

10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.

Muitas empresas se esforam para garantir a segurana,

sem comprometer a performance. Muito frequentemente,

transformar recursos de segurana em domnio de segu-

rana de rede significa desassociar rendimento e perfor-

mance. Se a sua prxima gerao de firewall desenvolvida

da maneira certa, esse comprometimento desnecessrio.

A importncia da arquitetura bvia aqui tambm, mas de

uma maneira diferente. Associar um firewall baseado em

porta a outras funes de segurana de diferentes origens

tecnolgicas e a outras funes de segurana em geral,

indica a existncia de camadas de rede redundantes, ferra-

mentas de exame e polticas, que se traduzem em uma

baixa performance. Da perspectiva do software, o firewall

precisa ser desenvolvido para fazer

isso do comeo. Alm do mais, dadas as requisies para

tarefas computacionais intensas (ex: identificao de

aplicaes) realizadas em alto volume de trfego e com

pouca tolerncia latncia associada em infraestrutura

crtica, seu prximo firewall precisa do hardware desen-

volvido para a tarefa tambm significando processa-

mento de rede, segurana (incluindo terminaes SSL veja

#3), e exame de contedo dedicado.

03/14

Saiba mais

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurios de forar o uso do SSL em

muitos sites, os times de segurana possuem um grande e

crescente ponto cego ao no descriptografar, classificar,

controlar examinar o trfego SSL. Certamente, o firewall da

nova gerao precisa ser flexvel para que alguns tipos de

trfego SSL-encriptado possam ser permitidos (ex: trfego

web, trfego de servios financeiros ou de organizaes de

sade) enquanto outros tipos (ex: SSL em portas no padro,

HTTPS de websites no classificados da Europa Oriental)

possam ser descriptografados via poltica de segurana.

4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).

Muitas aplicaes possuem diferentes funes, apre-

sentando diferentes perfis de risco e valores, tanto para os

usurios quanto para a organizao. Bons exemplos disso

so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant

Messaging vs. a funcionalidade de transferncia de arquivos

e o Gmail padro vs. anexos enviados. Em ambientes regu-

lados ou em empresas altamente dependentes de proprie-

dade intelectual esse um ponto crucial.

Primeiramente (por padro), seu prximo firewall precisa

tentar classificar todo o trfego - essa uma rea em que

as arquiteturas anteriores e a discusso sobre segurana

tornam-se importantes. Para aplicaes customizadas ou

desenvolvidas pela prpria organizao, deve haver uma

maneira de identificar esta personalizao de forma que o

trfego contabilizado por conhecido e controlado.

7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.

Aplicaes compartilham sees. Para garantir que os

usurios continuem usando plataformas de aplicaes, seja

Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,

os desenvolvedores integram diferentes aplicaes que

geralmente possuem perfis de risco e valores de negcio

diferenciados. Vamos observar o exemplo do Gmail que

possui a habilidade de rodar uma seo do Google Talk

dentro do Gmail. So aplicaes fundamentalmente dife-

rentes, e o seu prximo firewall precisa reconhecer isso e

permitir respostas apropriadas nas polticas de segurana

para cada uma delas.

A simples classificao da plataforma ou do website no

funciona. Em outras palavras, o caminho mais rpido no

a opo a classificao uma vez feita ignora o fato que

aplicaes compartilham sees. O trfego precisa ser

continuamente avaliado para entendermos a aplicao,

suas mudanas, quando o usurio muda para uma aplicao

completamente diferente utilizando a mesma seo e refor-

ar as polticas de controle apropriadas.

Basta analisar de forma rpida os requisitos utilizados pelo

Gmail/Google Talk, por exemplo: o Gmail por default

HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso

deve ser constante, assim como a classificao da aplicao,

porque a qualquer momento o usurio pode iniciar um chat,

que pode ter uma poltica completamente diferente asso-

ciada a ele.

8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.

Cada vez mais, os usurios esto trabalhando longe dos

escritrios. Uma parte significativa dos profissionais capaz

de trabalhar remotamente. Seja em um coffee shop, em

casa, alocados no cliente, os usurios esperam conectar-se

s aplicaes via WiFi, 3G ou qualquer meio necessrio.

Independentemente de onde o usurio esteja, ou mesmo

onde a aplicao que ele utiliza possa estar, o mesmo

padro de controle deve ser aplicado. Se o seu prximo

firewall permite visibilidade de aplicativos e controle sobre

o trfego dentro do escritrio, mas no fora, ele abre uma

porta de ameaas ao ambiente.

Conceitualmente isso simples: seu prximo firewall

precisa ter visibilidade e controle consistentes sobre o

trfego, independentemente de onde o usurio esteja

dentro ou fora. Isso no quer dizer que as empresas tero as

mesmas polticas de segurana algumas organizaes

podem querer que seus empregados usem Skype quando

esto fora, mas no dentro da sede, enquanto outras podem

ter uma poltica que diga que se estiver fora do escritrio,

usurios no podem fazer download de anexos do sales-

force.com a no ser que tenham o disco rgido encriptado.

Isso pode ser obtido em seu prximo firewall sem introduzir

latncia significativa para o usurio final, ou pro-blemas

operacionais indevidos ao administrador, ou custo significa-

tivo para a organizao.

9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.

Muitas empresas lutam para incorporar mais fontes de

alimentao, mais polticas e mais regras no j sobrecar-

regado processo de gerenciamento de segurana e de

pessoas. Em outras palavras, se os times no podem geren-

ciar o que eles j possuem, adicionar mais gerncia, polti-

cas e informaes no ajudaro. Alm do mais, quanto mais

distribuda for a poltica (ex. Firewall baseado em portas,

trfego autorizado em porta 80, anlise de IPS para

bloqueio de ameaas e aplicaes, reforo de segurana em

portes web, filtragem URL), mais difcil para gerenciar

essa poltica. Onde os admins iro para permitir WebEx?

Como eles resolvem conflitos de polticas de segurana

sobre tantos equipamentos?

Dado que os firewalls tpicos, baseados em portas, possuem

bases de regras que incluem milhares de regras, adiciona-

ndo milhares de assinaturas de aplicaes por entre dezenas

de milhares de portas (veja #3) a complexidade aumentar

em muito.

Polticas de firewall precisam ser baseadas em usurios e

aplicaes. Anlises de contedo subsequentes podem ser

realizadas em trfego permitido, mas o controle fundamen-

tal de acesso precisa ser baseado em elementos relevantes

(aplicaes, usurios ou grupos). Isso pode ter um efeito

simplificador efetivo. Polticas de Firewall baseadas em

portas em endereo IP, seguidas de anlises subsequentes

para entendimento da aplicao tornam as coisas mais

complicadas do que j so.

10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.

Muitas empresas se esforam para garantir a segurana,

sem comprometer a performance. Muito frequentemente,

transformar recursos de segurana em domnio de segu-

rana de rede significa desassociar rendimento e perfor-

mance. Se a sua prxima gerao de firewall desenvolvida

da maneira certa, esse comprometimento desnecessrio.

A importncia da arquitetura bvia aqui tambm, mas de

uma maneira diferente. Associar um firewall baseado em

porta a outras funes de segurana de diferentes origens

tecnolgicas e a outras funes de segurana em geral,

indica a existncia de camadas de rede redundantes, ferra-

mentas de exame e polticas, que se traduzem em uma

baixa performance. Da perspectiva do software, o firewall

precisa ser desenvolvido para fazer

isso do comeo. Alm do mais, dadas as requisies para

tarefas computacionais intensas (ex: identificao de

aplicaes) realizadas em alto volume de trfego e com

pouca tolerncia latncia associada em infraestrutura

crtica, seu prximo firewall precisa do hardware desen-

volvido para a tarefa tambm significando processa-

mento de rede, segurana (incluindo terminaes SSL veja

#3), e exame de contedo dedicado.

Business case

www.techbiz.com.br

04/14

www.techbiz.com.br

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurios de forar o uso do SSL em

muitos sites, os times de segurana possuem um grande e

crescente ponto cego ao no descriptografar, classificar,

controlar examinar o trfego SSL. Certamente, o firewall da

nova gerao precisa ser flexvel para que alguns tipos de

trfego SSL-encriptado possam ser permitidos (ex: trfego

web, trfego de servios financeiros ou de organizaes de

sade) enquanto outros tipos (ex: SSL em portas no padro,

HTTPS de websites no classificados da Europa Oriental)

possam ser descriptografados via poltica de segurana.

4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).

Muitas aplicaes possuem diferentes funes, apre-

sentando diferentes perfis de risco e valores, tanto para os

usurios quanto para a organizao. Bons exemplos disso

so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant

Messaging vs. a funcionalidade de transferncia de arquivos

e o Gmail padro vs. anexos enviados. Em ambientes regu-

lados ou em empresas altamente dependentes de proprie-

dade intelectual esse um ponto crucial.

Primeiramente (por padro), seu prximo firewall precisa

tentar classificar todo o trfego - essa uma rea em que

as arquiteturas anteriores e a discusso sobre segurana

tornam-se importantes. Para aplicaes customizadas ou

desenvolvidas pela prpria organizao, deve haver uma

maneira de identificar esta personalizao de forma que o

trfego contabilizado por conhecido e controlado.

7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.

Aplicaes compartilham sees. Para garantir que os

usurios continuem usando plataformas de aplicaes, seja

Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,

os desenvolvedores integram diferentes aplicaes que

geralmente possuem perfis de risco e valores de negcio

diferenciados. Vamos observar o exemplo do Gmail que

possui a habilidade de rodar uma seo do Google Talk

dentro do Gmail. So aplicaes fundamentalmente dife-

rentes, e o seu prximo firewall precisa reconhecer isso e

permitir respostas apropriadas nas polticas de segurana

para cada uma delas.

A simples classificao da plataforma ou do website no

funciona. Em outras palavras, o caminho mais rpido no

a opo a classificao uma vez feita ignora o fato que

aplicaes compartilham sees. O trfego precisa ser

continuamente avaliado para entendermos a aplicao,

suas mudanas, quando o usurio muda para uma aplicao

completamente diferente utilizando a mesma seo e refor-

ar as polticas de controle apropriadas.

Basta analisar de forma rpida os requisitos utilizados pelo

Gmail/Google Talk, por exemplo: o Gmail por default

HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso

deve ser constante, assim como a classificao da aplicao,

porque a qualquer momento o usurio pode iniciar um chat,

que pode ter uma poltica completamente diferente asso-

ciada a ele.

8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.

Cada vez mais, os usurios esto trabalhando longe dos

escritrios. Uma parte significativa dos profissionais capaz

de trabalhar remotamente. Seja em um coffee shop, em

casa, alocados no cliente, os usurios esperam conectar-se

s aplicaes via WiFi, 3G ou qualquer meio necessrio.

Independentemente de onde o usurio esteja, ou mesmo

onde a aplicao que ele utiliza possa estar, o mesmo

padro de controle deve ser aplicado. Se o seu prximo

firewall permite visibilidade de aplicativos e controle sobre

o trfego dentro do escritrio, mas no fora, ele abre uma

porta de ameaas ao ambiente.

Conceitualmente isso simples: seu prximo firewall

precisa ter visibilidade e controle consistentes sobre o

trfego, independentemente de onde o usurio esteja

dentro ou fora. Isso no quer dizer que as empresas tero as

mesmas polticas de segurana algumas organizaes

podem querer que seus empregados usem Skype quando

esto fora, mas no dentro da sede, enquanto outras podem

ter uma poltica que diga que se estiver fora do escritrio,

usurios no podem fazer download de anexos do sales-

force.com a no ser que tenham o disco rgido encriptado.

Isso pode ser obtido em seu prximo firewall sem introduzir

latncia significativa para o usurio final, ou pro-blemas

operacionais indevidos ao administrador, ou custo significa-

tivo para a organizao.

9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.

Muitas empresas lutam para incorporar mais fontes de

alimentao, mais polticas e mais regras no j sobrecar-

regado processo de gerenciamento de segurana e de

pessoas. Em outras palavras, se os times no podem geren-

ciar o que eles j possuem, adicionar mais gerncia, polti-

cas e informaes no ajudaro. Alm do mais, quanto mais

distribuda for a poltica (ex. Firewall baseado em portas,

trfego autorizado em porta 80, anlise de IPS para

bloqueio de ameaas e aplicaes, reforo de segurana em

portes web, filtragem URL), mais difcil para gerenciar

essa poltica. Onde os admins iro para permitir WebEx?

Como eles resolvem conflitos de polticas de segurana

sobre tantos equipamentos?

Dado que os firewalls tpicos, baseados em portas, possuem

bases de regras que incluem milhares de regras, adiciona-

ndo milhares de assinaturas de aplicaes por entre dezenas

de milhares de portas (veja #3) a complexidade aumentar

em muito.

Polticas de firewall precisam ser baseadas em usurios e

aplicaes. Anlises de contedo subsequentes podem ser

realizadas em trfego permitido, mas o controle fundamen-

tal de acesso precisa ser baseado em elementos relevantes

(aplicaes, usurios ou grupos). Isso pode ter um efeito

simplificador efetivo. Polticas de Firewall baseadas em

portas em endereo IP, seguidas de anlises subsequentes

para entendimento da aplicao tornam as coisas mais

complicadas do que j so.

10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.

Muitas empresas se esforam para garantir a segurana,

sem comprometer a performance. Muito frequentemente,

transformar recursos de segurana em domnio de segu-

rana de rede significa desassociar rendimento e perfor-

mance. Se a sua prxima gerao de firewall desenvolvida

da maneira certa, esse comprometimento desnecessrio.

A importncia da arquitetura bvia aqui tambm, mas de

uma maneira diferente. Associar um firewall baseado em

porta a outras funes de segurana de diferentes origens

tecnolgicas e a outras funes de segurana em geral,

indica a existncia de camadas de rede redundantes, ferra-

mentas de exame e polticas, que se traduzem em uma

baixa performance. Da perspectiva do software, o firewall

precisa ser desenvolvido para fazer

isso do comeo. Alm do mais, dadas as requisies para

tarefas computacionais intensas (ex: identificao de

aplicaes) realizadas em alto volume de trfego e com

pouca tolerncia latncia associada em infraestrutura

crtica, seu prximo firewall precisa do hardware desen-

volvido para a tarefa tambm significando processa-

mento de rede, segurana (incluindo terminaes SSL veja

#3), e exame de contedo dedicado.

Business case

Requisitos

05/14

www.techbiz.com.br

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurios de forar o uso do SSL em

muitos sites, os times de segurana possuem um grande e

crescente ponto cego ao no descriptografar, classificar,

controlar examinar o trfego SSL. Certamente, o firewall da

nova gerao precisa ser flexvel para que alguns tipos de

trfego SSL-encriptado possam ser permitidos (ex: trfego

web, trfego de servios financeiros ou de organizaes de

sade) enquanto outros tipos (ex: SSL em portas no padro,

HTTPS de websites no classificados da Europa Oriental)

possam ser descriptografados via poltica de segurana.

4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).

Muitas aplicaes possuem diferentes funes, apre-

sentando diferentes perfis de risco e valores, tanto para os

usurios quanto para a organizao. Bons exemplos disso

so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant

Messaging vs. a funcionalidade de transferncia de arquivos

e o Gmail padro vs. anexos enviados. Em ambientes regu-

lados ou em empresas altamente dependentes de proprie-

dade intelectual esse um ponto crucial.

Primeiramente (por padro), seu prximo firewall precisa

tentar classificar todo o trfego - essa uma rea em que

as arquiteturas anteriores e a discusso sobre segurana

tornam-se importantes. Para aplicaes customizadas ou

desenvolvidas pela prpria organizao, deve haver uma

maneira de identificar esta personalizao de forma que o

trfego contabilizado por conhecido e controlado.

7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.

Aplicaes compartilham sees. Para garantir que os

usurios continuem usando plataformas de aplicaes, seja

Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,

os desenvolvedores integram diferentes aplicaes que

geralmente possuem perfis de risco e valores de negcio

diferenciados. Vamos observar o exemplo do Gmail que

possui a habilidade de rodar uma seo do Google Talk

dentro do Gmail. So aplicaes fundamentalmente dife-

rentes, e o seu prximo firewall precisa reconhecer isso e

permitir respostas apropriadas nas polticas de segurana

para cada uma delas.

A simples classificao da plataforma ou do website no

funciona. Em outras palavras, o caminho mais rpido no

a opo a classificao uma vez feita ignora o fato que

aplicaes compartilham sees. O trfego precisa ser

continuamente avaliado para entendermos a aplicao,

suas mudanas, quando o usurio muda para uma aplicao

completamente diferente utilizando a mesma seo e refor-

ar as polticas de controle apropriadas.

Basta analisar de forma rpida os requisitos utilizados pelo

Gmail/Google Talk, por exemplo: o Gmail por default

HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso

deve ser constante, assim como a classificao da aplicao,

porque a qualquer momento o usurio pode iniciar um chat,

que pode ter uma poltica completamente diferente asso-

ciada a ele.

8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.

Cada vez mais, os usurios esto trabalhando longe dos

escritrios. Uma parte significativa dos profissionais capaz

de trabalhar remotamente. Seja em um coffee shop, em

casa, alocados no cliente, os usurios esperam conectar-se

s aplicaes via WiFi, 3G ou qualquer meio necessrio.

Independentemente de onde o usurio esteja, ou mesmo

onde a aplicao que ele utiliza possa estar, o mesmo

padro de controle deve ser aplicado. Se o seu prximo

firewall permite visibilidade de aplicativos e controle sobre

o trfego dentro do escritrio, mas no fora, ele abre uma

porta de ameaas ao ambiente.

Conceitualmente isso simples: seu prximo firewall

precisa ter visibilidade e controle consistentes sobre o

trfego, independentemente de onde o usurio esteja

dentro ou fora. Isso no quer dizer que as empresas tero as

mesmas polticas de segurana algumas organizaes

podem querer que seus empregados usem Skype quando

esto fora, mas no dentro da sede, enquanto outras podem

ter uma poltica que diga que se estiver fora do escritrio,

usurios no podem fazer download de anexos do sales-

force.com a no ser que tenham o disco rgido encriptado.

Isso pode ser obtido em seu prximo firewall sem introduzir

latncia significativa para o usurio final, ou pro-blemas

operacionais indevidos ao administrador, ou custo significa-

tivo para a organizao.

9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.

Muitas empresas lutam para incorporar mais fontes de

alimentao, mais polticas e mais regras no j sobrecar-

regado processo de gerenciamento de segurana e de

pessoas. Em outras palavras, se os times no podem geren-

ciar o que eles j possuem, adicionar mais gerncia, polti-

cas e informaes no ajudaro. Alm do mais, quanto mais

distribuda for a poltica (ex. Firewall baseado em portas,

trfego autorizado em porta 80, anlise de IPS para

bloqueio de ameaas e aplicaes, reforo de segurana em

portes web, filtragem URL), mais difcil para gerenciar

essa poltica. Onde os admins iro para permitir WebEx?

Como eles resolvem conflitos de polticas de segurana

sobre tantos equipamentos?

Dado que os firewalls tpicos, baseados em portas, possuem

bases de regras que incluem milhares de regras, adiciona-

ndo milhares de assinaturas de aplicaes por entre dezenas

de milhares de portas (veja #3) a complexidade aumentar

em muito.

Polticas de firewall precisam ser baseadas em usurios e

aplicaes. Anlises de contedo subsequentes podem ser

realizadas em trfego permitido, mas o controle fundamen-

tal de acesso precisa ser baseado em elementos relevantes

(aplicaes, usurios ou grupos). Isso pode ter um efeito

simplificador efetivo. Polticas de Firewall baseadas em

portas em endereo IP, seguidas de anlises subsequentes

para entendimento da aplicao tornam as coisas mais

complicadas do que j so.

10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.

Muitas empresas se esforam para garantir a segurana,

sem comprometer a performance. Muito frequentemente,

transformar recursos de segurana em domnio de segu-

rana de rede significa desassociar rendimento e perfor-

mance. Se a sua prxima gerao de firewall desenvolvida

da maneira certa, esse comprometimento desnecessrio.

A importncia da arquitetura bvia aqui tambm, mas de

uma maneira diferente. Associar um firewall baseado em

porta a outras funes de segurana de diferentes origens

tecnolgicas e a outras funes de segurana em geral,

indica a existncia de camadas de rede redundantes, ferra-

mentas de exame e polticas, que se traduzem em uma

baixa performance. Da perspectiva do software, o firewall

precisa ser desenvolvido para fazer

isso do comeo. Alm do mais, dadas as requisies para

tarefas computacionais intensas (ex: identificao de

aplicaes) realizadas em alto volume de trfego e com

pouca tolerncia latncia associada em infraestrutura

crtica, seu prximo firewall precisa do hardware desen-

volvido para a tarefa tambm significando processa-

mento de rede, segurana (incluindo terminaes SSL veja

#3), e exame de contedo dedicado.

Requisitos

Business case

06/14

www.techbiz.com.br

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurios de forar o uso do SSL em

muitos sites, os times de segurana possuem um grande e

crescente ponto cego ao no descriptografar, classificar,

controlar examinar o trfego SSL. Certamente, o firewall da

nova gerao precisa ser flexvel para que alguns tipos de

trfego SSL-encriptado possam ser permitidos (ex: trfego

web