10 atributos que o seu firewall precisa ter
-
date post
19-Oct-2014 -
Category
Technology
-
view
1.055 -
download
1
Embed Size (px)
description
Transcript of 10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
01/14
Muito j foi feito para proporcionar visibilidade das
aplicaes e controle sobre a segurana da rede. A
razo bvia: aplicaes podem facilmente escapar
dos firewalls tradicionais baseados em portas. E o valor
bvio: funcionrios usam qualquer aplicao que
precisam para que seu trabalho seja realizado geral-
mente, so indiferentes ao risco que este uso pode
trazer ao negcio. Quase todo profissional que trabalha
com segurana de rede admite que o controle de
aplicaes uma parte cada vez mais crtica.
Os firewalls de nova gerao so definidos pelo Gartner
como algo novo, diferenciado, focado nas necessidades
corporativas, ao contrrio do que afirmam alguns, de
que esse tipo de soluo um subconjunto de outras
funcionalidades (ex: UTM ou IPS). Oferecer visibilidade
de aplicativos e contedo e ter o controle sobre o que
circula em sua rede, mas utilizando um nmero
limitado de assinaturas IPS ou uma base de dados
externa no a soluo ideal. Essas funcionalidades
no possuem uma integrao total e sua matriz
tecnolgica ainda continua sendo a base Statefull.
A nova gerao de firewalls uma classe revolucionria
e diferente de produtos, que tem como viso no
No se trata de bloquear aplicaes, mas permiti-las de modo seguro. Aplicaes garantem a continuidade dos negcios e os profissionais precisam estar cientes de que as utilizam de forma segura
www.techbiz.com.br
bloquear aplicaes, mas permiti-las de modo seguro e
com controle. Aplicaes garantem a continuidade dos
negcios e os profissionais precisam estar cientes de
que as utilizam de uma forma segura.
Para as empresas que procuram os firewalls da nova
gerao, a mais importante considerao a se fazer :
Essa nova tecnologia ir permitir que os times de segu-
rana habilitem as aplicaes que tragam benefcios
para a organizao? Outras perguntas-chaves para este
tipo de tecnologia so:
Atributos que o seu prximo
Firewall precisa ter10
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurios de forar o uso do SSL em
muitos sites, os times de segurana possuem um grande e
crescente ponto cego ao no descriptografar, classificar,
controlar examinar o trfego SSL. Certamente, o firewall da
nova gerao precisa ser flexvel para que alguns tipos de
trfego SSL-encriptado possam ser permitidos (ex: trfego
web, trfego de servios financeiros ou de organizaes de
sade) enquanto outros tipos (ex: SSL em portas no padro,
HTTPS de websites no classificados da Europa Oriental)
possam ser descriptografados via poltica de segurana.
4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).
Muitas aplicaes possuem diferentes funes, apre-
sentando diferentes perfis de risco e valores, tanto para os
usurios quanto para a organizao. Bons exemplos disso
so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant
Messaging vs. a funcionalidade de transferncia de arquivos
e o Gmail padro vs. anexos enviados. Em ambientes regu-
lados ou em empresas altamente dependentes de proprie-
dade intelectual esse um ponto crucial.
Primeiramente (por padro), seu prximo firewall precisa
tentar classificar todo o trfego - essa uma rea em que
as arquiteturas anteriores e a discusso sobre segurana
tornam-se importantes. Para aplicaes customizadas ou
desenvolvidas pela prpria organizao, deve haver uma
maneira de identificar esta personalizao de forma que o
trfego contabilizado por conhecido e controlado.
7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.
Aplicaes compartilham sees. Para garantir que os
usurios continuem usando plataformas de aplicaes, seja
Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,
os desenvolvedores integram diferentes aplicaes que
geralmente possuem perfis de risco e valores de negcio
diferenciados. Vamos observar o exemplo do Gmail que
possui a habilidade de rodar uma seo do Google Talk
dentro do Gmail. So aplicaes fundamentalmente dife-
rentes, e o seu prximo firewall precisa reconhecer isso e
permitir respostas apropriadas nas polticas de segurana
para cada uma delas.
A simples classificao da plataforma ou do website no
funciona. Em outras palavras, o caminho mais rpido no
a opo a classificao uma vez feita ignora o fato que
aplicaes compartilham sees. O trfego precisa ser
continuamente avaliado para entendermos a aplicao,
suas mudanas, quando o usurio muda para uma aplicao
completamente diferente utilizando a mesma seo e refor-
ar as polticas de controle apropriadas.
Basta analisar de forma rpida os requisitos utilizados pelo
Gmail/Google Talk, por exemplo: o Gmail por default
HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso
deve ser constante, assim como a classificao da aplicao,
porque a qualquer momento o usurio pode iniciar um chat,
que pode ter uma poltica completamente diferente asso-
ciada a ele.
8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.
Cada vez mais, os usurios esto trabalhando longe dos
escritrios. Uma parte significativa dos profissionais capaz
de trabalhar remotamente. Seja em um coffee shop, em
casa, alocados no cliente, os usurios esperam conectar-se
s aplicaes via WiFi, 3G ou qualquer meio necessrio.
Independentemente de onde o usurio esteja, ou mesmo
onde a aplicao que ele utiliza possa estar, o mesmo
padro de controle deve ser aplicado. Se o seu prximo
firewall permite visibilidade de aplicativos e controle sobre
o trfego dentro do escritrio, mas no fora, ele abre uma
porta de ameaas ao ambiente.
Conceitualmente isso simples: seu prximo firewall
precisa ter visibilidade e controle consistentes sobre o
trfego, independentemente de onde o usurio esteja
dentro ou fora. Isso no quer dizer que as empresas tero as
mesmas polticas de segurana algumas organizaes
podem querer que seus empregados usem Skype quando
esto fora, mas no dentro da sede, enquanto outras podem
ter uma poltica que diga que se estiver fora do escritrio,
usurios no podem fazer download de anexos do sales-
force.com a no ser que tenham o disco rgido encriptado.
Isso pode ser obtido em seu prximo firewall sem introduzir
latncia significativa para o usurio final, ou pro-blemas
operacionais indevidos ao administrador, ou custo significa-
tivo para a organizao.
9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.
Muitas empresas lutam para incorporar mais fontes de
alimentao, mais polticas e mais regras no j sobrecar-
regado processo de gerenciamento de segurana e de
pessoas. Em outras palavras, se os times no podem geren-
ciar o que eles j possuem, adicionar mais gerncia, polti-
cas e informaes no ajudaro. Alm do mais, quanto mais
distribuda for a poltica (ex. Firewall baseado em portas,
trfego autorizado em porta 80, anlise de IPS para
bloqueio de ameaas e aplicaes, reforo de segurana em
portes web, filtragem URL), mais difcil para gerenciar
essa poltica. Onde os admins iro para permitir WebEx?
Como eles resolvem conflitos de polticas de segurana
sobre tantos equipamentos?
Dado que os firewalls tpicos, baseados em portas, possuem
bases de regras que incluem milhares de regras, adiciona-
ndo milhares de assinaturas de aplicaes por entre dezenas
de milhares de portas (veja #3) a complexidade aumentar
em muito.
Polticas de firewall precisam ser baseadas em usurios e
aplicaes. Anlises de contedo subsequentes podem ser
realizadas em trfego permitido, mas o controle fundamen-
tal de acesso precisa ser baseado em elementos relevantes
(aplicaes, usurios ou grupos). Isso pode ter um efeito
simplificador efetivo. Polticas de Firewall baseadas em
portas em endereo IP, seguidas de anlises subsequentes
para entendimento da aplicao tornam as coisas mais
complicadas do que j so.
10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.
Muitas empresas se esforam para garantir a segurana,
sem comprometer a performance. Muito frequentemente,
transformar recursos de segurana em domnio de segu-
rana de rede significa desassociar rendimento e perfor-
mance. Se a sua prxima gerao de firewall desenvolvida
da maneira certa, esse comprometimento desnecessrio.
A importncia da arquitetura bvia aqui tambm, mas de
uma maneira diferente. Associar um firewall baseado em
porta a outras funes de segurana de diferentes origens
tecnolgicas e a outras funes de segurana em geral,
indica a existncia de camadas de rede redundantes, ferra-
mentas de exame e polticas, que se traduzem em uma
baixa performance. Da perspectiva do software, o firewall
precisa ser desenvolvido para fazer
isso do comeo. Alm do mais, dadas as requisies para
tarefas computacionais intensas (ex: identificao de
aplicaes) realizadas em alto volume de trfego e com
pouca tolerncia latncia associada em infraestrutura
crtica, seu prximo firewall precisa do hardware desen-
volvido para a tarefa tambm significando processa-
mento de rede, segurana (incluindo terminaes SSL veja
#3), e exame de contedo dedicado.
02/14
Aumentar a visibilidade e o entendimento do trfego de aplicaes?
Expandir as opes de controle de trfego, para alm do autorizar/negar?
Ajudar a prevenir ameaas?
Eliminar a necessidade de comprometer a performance em prol da segurana?
Reduzir custos para minha organizao?
Far o gerenciamento de risco mais fcil ou simples?
Se a resposta a todas essas questes for sim, a transio fcil de justificar
Se o assunto for Firewalls, existem trs pontos que a soluo deve possuir fcil operao, funes de segurana robustas e tudo isso com performance. As funes de segurana so elementos que correspondem eficincia e controle sobre a segurana e a habilidade de gerenciar os riscos sobre o trfego da sua rede. Na operao, o maior questionamento : qual a complexidade de gesto da soluo? No quesito performance, a diferena simples: a soluo de Firewall faz todo o seu trabalho com o through-put e performance aceitveis?
Os 10 atributos que o seu Firewall precisa ter
DEFINIO: NOVA GERAO DE FIREWALL5 requisitos:
1. Identifica aplicaes, independentemente da porta, protocolo, ttica evasiva ou SSL;
2. Identifica usurios, independentemente de endereo IP;
3. Protege em tempo real contra ameaas incorporadas em aplicaes;
4. Garante alta visibilidade e polticas de controle sobre o acesso a aplicaes/ funcionalidades;
5. Multigigabit, implantao em linha, sem perda de performance.
Agora, os 10 atributos que seu Firewall de nova gerao deve possuir
1. Identificar e controlar aplicaes em qualquer porta;
2. Identificar e controlar circumventors*;
3. Descriptografar SSL de sada;
4. Possuir funes de controle de aplicaes;
5. Procurar e prevenir vrus e malware em aplicaes
colaborativas permitidas em seu ambiente;
6. Ter o controle sobre o trfego desconhecido a partir
de polticas de segurana;
7. Identificar e controlar aplicativos que possuam a
mesma conexo;
8. Permitir a mesma visibilidade de aplicaes e
controles para usurios remotos;
9. Tornar a segurana de rede mais simples, e no
mais complexa, com a adio de controles de aplica-
es;
10. Oferecer o mesmo throughput e performance com o
controle ativo das aplicaes;
www.techbiz.com.br
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurios de forar o uso do SSL em
muitos sites, os times de segurana possuem um grande e
crescente ponto cego ao no descriptografar, classificar,
controlar examinar o trfego SSL. Certamente, o firewall da
nova gerao precisa ser flexvel para que alguns tipos de
trfego SSL-encriptado possam ser permitidos (ex: trfego
web, trfego de servios financeiros ou de organizaes de
sade) enquanto outros tipos (ex: SSL em portas no padro,
HTTPS de websites no classificados da Europa Oriental)
possam ser descriptografados via poltica de segurana.
4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).
Muitas aplicaes possuem diferentes funes, apre-
sentando diferentes perfis de risco e valores, tanto para os
usurios quanto para a organizao. Bons exemplos disso
so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant
Messaging vs. a funcionalidade de transferncia de arquivos
e o Gmail padro vs. anexos enviados. Em ambientes regu-
lados ou em empresas altamente dependentes de proprie-
dade intelectual esse um ponto crucial.
Primeiramente (por padro), seu prximo firewall precisa
tentar classificar todo o trfego - essa uma rea em que
as arquiteturas anteriores e a discusso sobre segurana
tornam-se importantes. Para aplicaes customizadas ou
desenvolvidas pela prpria organizao, deve haver uma
maneira de identificar esta personalizao de forma que o
trfego contabilizado por conhecido e controlado.
7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.
Aplicaes compartilham sees. Para garantir que os
usurios continuem usando plataformas de aplicaes, seja
Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,
os desenvolvedores integram diferentes aplicaes que
geralmente possuem perfis de risco e valores de negcio
diferenciados. Vamos observar o exemplo do Gmail que
possui a habilidade de rodar uma seo do Google Talk
dentro do Gmail. So aplicaes fundamentalmente dife-
rentes, e o seu prximo firewall precisa reconhecer isso e
permitir respostas apropriadas nas polticas de segurana
para cada uma delas.
A simples classificao da plataforma ou do website no
funciona. Em outras palavras, o caminho mais rpido no
a opo a classificao uma vez feita ignora o fato que
aplicaes compartilham sees. O trfego precisa ser
continuamente avaliado para entendermos a aplicao,
suas mudanas, quando o usurio muda para uma aplicao
completamente diferente utilizando a mesma seo e refor-
ar as polticas de controle apropriadas.
Basta analisar de forma rpida os requisitos utilizados pelo
Gmail/Google Talk, por exemplo: o Gmail por default
HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso
deve ser constante, assim como a classificao da aplicao,
porque a qualquer momento o usurio pode iniciar um chat,
que pode ter uma poltica completamente diferente asso-
ciada a ele.
8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.
Cada vez mais, os usurios esto trabalhando longe dos
escritrios. Uma parte significativa dos profissionais capaz
de trabalhar remotamente. Seja em um coffee shop, em
casa, alocados no cliente, os usurios esperam conectar-se
s aplicaes via WiFi, 3G ou qualquer meio necessrio.
Independentemente de onde o usurio esteja, ou mesmo
onde a aplicao que ele utiliza possa estar, o mesmo
padro de controle deve ser aplicado. Se o seu prximo
firewall permite visibilidade de aplicativos e controle sobre
o trfego dentro do escritrio, mas no fora, ele abre uma
porta de ameaas ao ambiente.
Conceitualmente isso simples: seu prximo firewall
precisa ter visibilidade e controle consistentes sobre o
trfego, independentemente de onde o usurio esteja
dentro ou fora. Isso no quer dizer que as empresas tero as
mesmas polticas de segurana algumas organizaes
podem querer que seus empregados usem Skype quando
esto fora, mas no dentro da sede, enquanto outras podem
ter uma poltica que diga que se estiver fora do escritrio,
usurios no podem fazer download de anexos do sales-
force.com a no ser que tenham o disco rgido encriptado.
Isso pode ser obtido em seu prximo firewall sem introduzir
latncia significativa para o usurio final, ou pro-blemas
operacionais indevidos ao administrador, ou custo significa-
tivo para a organizao.
9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.
Muitas empresas lutam para incorporar mais fontes de
alimentao, mais polticas e mais regras no j sobrecar-
regado processo de gerenciamento de segurana e de
pessoas. Em outras palavras, se os times no podem geren-
ciar o que eles j possuem, adicionar mais gerncia, polti-
cas e informaes no ajudaro. Alm do mais, quanto mais
distribuda for a poltica (ex. Firewall baseado em portas,
trfego autorizado em porta 80, anlise de IPS para
bloqueio de ameaas e aplicaes, reforo de segurana em
portes web, filtragem URL), mais difcil para gerenciar
essa poltica. Onde os admins iro para permitir WebEx?
Como eles resolvem conflitos de polticas de segurana
sobre tantos equipamentos?
Dado que os firewalls tpicos, baseados em portas, possuem
bases de regras que incluem milhares de regras, adiciona-
ndo milhares de assinaturas de aplicaes por entre dezenas
de milhares de portas (veja #3) a complexidade aumentar
em muito.
Polticas de firewall precisam ser baseadas em usurios e
aplicaes. Anlises de contedo subsequentes podem ser
realizadas em trfego permitido, mas o controle fundamen-
tal de acesso precisa ser baseado em elementos relevantes
(aplicaes, usurios ou grupos). Isso pode ter um efeito
simplificador efetivo. Polticas de Firewall baseadas em
portas em endereo IP, seguidas de anlises subsequentes
para entendimento da aplicao tornam as coisas mais
complicadas do que j so.
10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.
Muitas empresas se esforam para garantir a segurana,
sem comprometer a performance. Muito frequentemente,
transformar recursos de segurana em domnio de segu-
rana de rede significa desassociar rendimento e perfor-
mance. Se a sua prxima gerao de firewall desenvolvida
da maneira certa, esse comprometimento desnecessrio.
A importncia da arquitetura bvia aqui tambm, mas de
uma maneira diferente. Associar um firewall baseado em
porta a outras funes de segurana de diferentes origens
tecnolgicas e a outras funes de segurana em geral,
indica a existncia de camadas de rede redundantes, ferra-
mentas de exame e polticas, que se traduzem em uma
baixa performance. Da perspectiva do software, o firewall
precisa ser desenvolvido para fazer
isso do comeo. Alm do mais, dadas as requisies para
tarefas computacionais intensas (ex: identificao de
aplicaes) realizadas em alto volume de trfego e com
pouca tolerncia latncia associada em infraestrutura
crtica, seu prximo firewall precisa do hardware desen-
volvido para a tarefa tambm significando processa-
mento de rede, segurana (incluindo terminaes SSL veja
#3), e exame de contedo dedicado.
03/14
Saiba mais
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurios de forar o uso do SSL em
muitos sites, os times de segurana possuem um grande e
crescente ponto cego ao no descriptografar, classificar,
controlar examinar o trfego SSL. Certamente, o firewall da
nova gerao precisa ser flexvel para que alguns tipos de
trfego SSL-encriptado possam ser permitidos (ex: trfego
web, trfego de servios financeiros ou de organizaes de
sade) enquanto outros tipos (ex: SSL em portas no padro,
HTTPS de websites no classificados da Europa Oriental)
possam ser descriptografados via poltica de segurana.
4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).
Muitas aplicaes possuem diferentes funes, apre-
sentando diferentes perfis de risco e valores, tanto para os
usurios quanto para a organizao. Bons exemplos disso
so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant
Messaging vs. a funcionalidade de transferncia de arquivos
e o Gmail padro vs. anexos enviados. Em ambientes regu-
lados ou em empresas altamente dependentes de proprie-
dade intelectual esse um ponto crucial.
Primeiramente (por padro), seu prximo firewall precisa
tentar classificar todo o trfego - essa uma rea em que
as arquiteturas anteriores e a discusso sobre segurana
tornam-se importantes. Para aplicaes customizadas ou
desenvolvidas pela prpria organizao, deve haver uma
maneira de identificar esta personalizao de forma que o
trfego contabilizado por conhecido e controlado.
7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.
Aplicaes compartilham sees. Para garantir que os
usurios continuem usando plataformas de aplicaes, seja
Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,
os desenvolvedores integram diferentes aplicaes que
geralmente possuem perfis de risco e valores de negcio
diferenciados. Vamos observar o exemplo do Gmail que
possui a habilidade de rodar uma seo do Google Talk
dentro do Gmail. So aplicaes fundamentalmente dife-
rentes, e o seu prximo firewall precisa reconhecer isso e
permitir respostas apropriadas nas polticas de segurana
para cada uma delas.
A simples classificao da plataforma ou do website no
funciona. Em outras palavras, o caminho mais rpido no
a opo a classificao uma vez feita ignora o fato que
aplicaes compartilham sees. O trfego precisa ser
continuamente avaliado para entendermos a aplicao,
suas mudanas, quando o usurio muda para uma aplicao
completamente diferente utilizando a mesma seo e refor-
ar as polticas de controle apropriadas.
Basta analisar de forma rpida os requisitos utilizados pelo
Gmail/Google Talk, por exemplo: o Gmail por default
HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso
deve ser constante, assim como a classificao da aplicao,
porque a qualquer momento o usurio pode iniciar um chat,
que pode ter uma poltica completamente diferente asso-
ciada a ele.
8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.
Cada vez mais, os usurios esto trabalhando longe dos
escritrios. Uma parte significativa dos profissionais capaz
de trabalhar remotamente. Seja em um coffee shop, em
casa, alocados no cliente, os usurios esperam conectar-se
s aplicaes via WiFi, 3G ou qualquer meio necessrio.
Independentemente de onde o usurio esteja, ou mesmo
onde a aplicao que ele utiliza possa estar, o mesmo
padro de controle deve ser aplicado. Se o seu prximo
firewall permite visibilidade de aplicativos e controle sobre
o trfego dentro do escritrio, mas no fora, ele abre uma
porta de ameaas ao ambiente.
Conceitualmente isso simples: seu prximo firewall
precisa ter visibilidade e controle consistentes sobre o
trfego, independentemente de onde o usurio esteja
dentro ou fora. Isso no quer dizer que as empresas tero as
mesmas polticas de segurana algumas organizaes
podem querer que seus empregados usem Skype quando
esto fora, mas no dentro da sede, enquanto outras podem
ter uma poltica que diga que se estiver fora do escritrio,
usurios no podem fazer download de anexos do sales-
force.com a no ser que tenham o disco rgido encriptado.
Isso pode ser obtido em seu prximo firewall sem introduzir
latncia significativa para o usurio final, ou pro-blemas
operacionais indevidos ao administrador, ou custo significa-
tivo para a organizao.
9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.
Muitas empresas lutam para incorporar mais fontes de
alimentao, mais polticas e mais regras no j sobrecar-
regado processo de gerenciamento de segurana e de
pessoas. Em outras palavras, se os times no podem geren-
ciar o que eles j possuem, adicionar mais gerncia, polti-
cas e informaes no ajudaro. Alm do mais, quanto mais
distribuda for a poltica (ex. Firewall baseado em portas,
trfego autorizado em porta 80, anlise de IPS para
bloqueio de ameaas e aplicaes, reforo de segurana em
portes web, filtragem URL), mais difcil para gerenciar
essa poltica. Onde os admins iro para permitir WebEx?
Como eles resolvem conflitos de polticas de segurana
sobre tantos equipamentos?
Dado que os firewalls tpicos, baseados em portas, possuem
bases de regras que incluem milhares de regras, adiciona-
ndo milhares de assinaturas de aplicaes por entre dezenas
de milhares de portas (veja #3) a complexidade aumentar
em muito.
Polticas de firewall precisam ser baseadas em usurios e
aplicaes. Anlises de contedo subsequentes podem ser
realizadas em trfego permitido, mas o controle fundamen-
tal de acesso precisa ser baseado em elementos relevantes
(aplicaes, usurios ou grupos). Isso pode ter um efeito
simplificador efetivo. Polticas de Firewall baseadas em
portas em endereo IP, seguidas de anlises subsequentes
para entendimento da aplicao tornam as coisas mais
complicadas do que j so.
10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.
Muitas empresas se esforam para garantir a segurana,
sem comprometer a performance. Muito frequentemente,
transformar recursos de segurana em domnio de segu-
rana de rede significa desassociar rendimento e perfor-
mance. Se a sua prxima gerao de firewall desenvolvida
da maneira certa, esse comprometimento desnecessrio.
A importncia da arquitetura bvia aqui tambm, mas de
uma maneira diferente. Associar um firewall baseado em
porta a outras funes de segurana de diferentes origens
tecnolgicas e a outras funes de segurana em geral,
indica a existncia de camadas de rede redundantes, ferra-
mentas de exame e polticas, que se traduzem em uma
baixa performance. Da perspectiva do software, o firewall
precisa ser desenvolvido para fazer
isso do comeo. Alm do mais, dadas as requisies para
tarefas computacionais intensas (ex: identificao de
aplicaes) realizadas em alto volume de trfego e com
pouca tolerncia latncia associada em infraestrutura
crtica, seu prximo firewall precisa do hardware desen-
volvido para a tarefa tambm significando processa-
mento de rede, segurana (incluindo terminaes SSL veja
#3), e exame de contedo dedicado.
Business case
www.techbiz.com.br
04/14
www.techbiz.com.br
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurios de forar o uso do SSL em
muitos sites, os times de segurana possuem um grande e
crescente ponto cego ao no descriptografar, classificar,
controlar examinar o trfego SSL. Certamente, o firewall da
nova gerao precisa ser flexvel para que alguns tipos de
trfego SSL-encriptado possam ser permitidos (ex: trfego
web, trfego de servios financeiros ou de organizaes de
sade) enquanto outros tipos (ex: SSL em portas no padro,
HTTPS de websites no classificados da Europa Oriental)
possam ser descriptografados via poltica de segurana.
4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).
Muitas aplicaes possuem diferentes funes, apre-
sentando diferentes perfis de risco e valores, tanto para os
usurios quanto para a organizao. Bons exemplos disso
so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant
Messaging vs. a funcionalidade de transferncia de arquivos
e o Gmail padro vs. anexos enviados. Em ambientes regu-
lados ou em empresas altamente dependentes de proprie-
dade intelectual esse um ponto crucial.
Primeiramente (por padro), seu prximo firewall precisa
tentar classificar todo o trfego - essa uma rea em que
as arquiteturas anteriores e a discusso sobre segurana
tornam-se importantes. Para aplicaes customizadas ou
desenvolvidas pela prpria organizao, deve haver uma
maneira de identificar esta personalizao de forma que o
trfego contabilizado por conhecido e controlado.
7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.
Aplicaes compartilham sees. Para garantir que os
usurios continuem usando plataformas de aplicaes, seja
Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,
os desenvolvedores integram diferentes aplicaes que
geralmente possuem perfis de risco e valores de negcio
diferenciados. Vamos observar o exemplo do Gmail que
possui a habilidade de rodar uma seo do Google Talk
dentro do Gmail. So aplicaes fundamentalmente dife-
rentes, e o seu prximo firewall precisa reconhecer isso e
permitir respostas apropriadas nas polticas de segurana
para cada uma delas.
A simples classificao da plataforma ou do website no
funciona. Em outras palavras, o caminho mais rpido no
a opo a classificao uma vez feita ignora o fato que
aplicaes compartilham sees. O trfego precisa ser
continuamente avaliado para entendermos a aplicao,
suas mudanas, quando o usurio muda para uma aplicao
completamente diferente utilizando a mesma seo e refor-
ar as polticas de controle apropriadas.
Basta analisar de forma rpida os requisitos utilizados pelo
Gmail/Google Talk, por exemplo: o Gmail por default
HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso
deve ser constante, assim como a classificao da aplicao,
porque a qualquer momento o usurio pode iniciar um chat,
que pode ter uma poltica completamente diferente asso-
ciada a ele.
8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.
Cada vez mais, os usurios esto trabalhando longe dos
escritrios. Uma parte significativa dos profissionais capaz
de trabalhar remotamente. Seja em um coffee shop, em
casa, alocados no cliente, os usurios esperam conectar-se
s aplicaes via WiFi, 3G ou qualquer meio necessrio.
Independentemente de onde o usurio esteja, ou mesmo
onde a aplicao que ele utiliza possa estar, o mesmo
padro de controle deve ser aplicado. Se o seu prximo
firewall permite visibilidade de aplicativos e controle sobre
o trfego dentro do escritrio, mas no fora, ele abre uma
porta de ameaas ao ambiente.
Conceitualmente isso simples: seu prximo firewall
precisa ter visibilidade e controle consistentes sobre o
trfego, independentemente de onde o usurio esteja
dentro ou fora. Isso no quer dizer que as empresas tero as
mesmas polticas de segurana algumas organizaes
podem querer que seus empregados usem Skype quando
esto fora, mas no dentro da sede, enquanto outras podem
ter uma poltica que diga que se estiver fora do escritrio,
usurios no podem fazer download de anexos do sales-
force.com a no ser que tenham o disco rgido encriptado.
Isso pode ser obtido em seu prximo firewall sem introduzir
latncia significativa para o usurio final, ou pro-blemas
operacionais indevidos ao administrador, ou custo significa-
tivo para a organizao.
9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.
Muitas empresas lutam para incorporar mais fontes de
alimentao, mais polticas e mais regras no j sobrecar-
regado processo de gerenciamento de segurana e de
pessoas. Em outras palavras, se os times no podem geren-
ciar o que eles j possuem, adicionar mais gerncia, polti-
cas e informaes no ajudaro. Alm do mais, quanto mais
distribuda for a poltica (ex. Firewall baseado em portas,
trfego autorizado em porta 80, anlise de IPS para
bloqueio de ameaas e aplicaes, reforo de segurana em
portes web, filtragem URL), mais difcil para gerenciar
essa poltica. Onde os admins iro para permitir WebEx?
Como eles resolvem conflitos de polticas de segurana
sobre tantos equipamentos?
Dado que os firewalls tpicos, baseados em portas, possuem
bases de regras que incluem milhares de regras, adiciona-
ndo milhares de assinaturas de aplicaes por entre dezenas
de milhares de portas (veja #3) a complexidade aumentar
em muito.
Polticas de firewall precisam ser baseadas em usurios e
aplicaes. Anlises de contedo subsequentes podem ser
realizadas em trfego permitido, mas o controle fundamen-
tal de acesso precisa ser baseado em elementos relevantes
(aplicaes, usurios ou grupos). Isso pode ter um efeito
simplificador efetivo. Polticas de Firewall baseadas em
portas em endereo IP, seguidas de anlises subsequentes
para entendimento da aplicao tornam as coisas mais
complicadas do que j so.
10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.
Muitas empresas se esforam para garantir a segurana,
sem comprometer a performance. Muito frequentemente,
transformar recursos de segurana em domnio de segu-
rana de rede significa desassociar rendimento e perfor-
mance. Se a sua prxima gerao de firewall desenvolvida
da maneira certa, esse comprometimento desnecessrio.
A importncia da arquitetura bvia aqui tambm, mas de
uma maneira diferente. Associar um firewall baseado em
porta a outras funes de segurana de diferentes origens
tecnolgicas e a outras funes de segurana em geral,
indica a existncia de camadas de rede redundantes, ferra-
mentas de exame e polticas, que se traduzem em uma
baixa performance. Da perspectiva do software, o firewall
precisa ser desenvolvido para fazer
isso do comeo. Alm do mais, dadas as requisies para
tarefas computacionais intensas (ex: identificao de
aplicaes) realizadas em alto volume de trfego e com
pouca tolerncia latncia associada em infraestrutura
crtica, seu prximo firewall precisa do hardware desen-
volvido para a tarefa tambm significando processa-
mento de rede, segurana (incluindo terminaes SSL veja
#3), e exame de contedo dedicado.
Business case
Requisitos
05/14
www.techbiz.com.br
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurios de forar o uso do SSL em
muitos sites, os times de segurana possuem um grande e
crescente ponto cego ao no descriptografar, classificar,
controlar examinar o trfego SSL. Certamente, o firewall da
nova gerao precisa ser flexvel para que alguns tipos de
trfego SSL-encriptado possam ser permitidos (ex: trfego
web, trfego de servios financeiros ou de organizaes de
sade) enquanto outros tipos (ex: SSL em portas no padro,
HTTPS de websites no classificados da Europa Oriental)
possam ser descriptografados via poltica de segurana.
4. Seu prximo firewall precisa oferecer funo de controle de aplicao (ex. Share-Point Admin vs. SharePoint Docs).
Muitas aplicaes possuem diferentes funes, apre-
sentando diferentes perfis de risco e valores, tanto para os
usurios quanto para a organizao. Bons exemplos disso
so o WebEx vs. WebEx Desktop Sharing, Yahoo Instant
Messaging vs. a funcionalidade de transferncia de arquivos
e o Gmail padro vs. anexos enviados. Em ambientes regu-
lados ou em empresas altamente dependentes de proprie-
dade intelectual esse um ponto crucial.
Primeiramente (por padro), seu prximo firewall precisa
tentar classificar todo o trfego - essa uma rea em que
as arquiteturas anteriores e a discusso sobre segurana
tornam-se importantes. Para aplicaes customizadas ou
desenvolvidas pela prpria organizao, deve haver uma
maneira de identificar esta personalizao de forma que o
trfego contabilizado por conhecido e controlado.
7. Seu prximo firewall precisa identificar e controlar aplicaes que compartilham a mesma conexo.
Aplicaes compartilham sees. Para garantir que os
usurios continuem usando plataformas de aplicaes, seja
Google, Facebook, Microsoft, SalesForce, LinkedIn ou Yahoo,
os desenvolvedores integram diferentes aplicaes que
geralmente possuem perfis de risco e valores de negcio
diferenciados. Vamos observar o exemplo do Gmail que
possui a habilidade de rodar uma seo do Google Talk
dentro do Gmail. So aplicaes fundamentalmente dife-
rentes, e o seu prximo firewall precisa reconhecer isso e
permitir respostas apropriadas nas polticas de segurana
para cada uma delas.
A simples classificao da plataforma ou do website no
funciona. Em outras palavras, o caminho mais rpido no
a opo a classificao uma vez feita ignora o fato que
aplicaes compartilham sees. O trfego precisa ser
continuamente avaliado para entendermos a aplicao,
suas mudanas, quando o usurio muda para uma aplicao
completamente diferente utilizando a mesma seo e refor-
ar as polticas de controle apropriadas.
Basta analisar de forma rpida os requisitos utilizados pelo
Gmail/Google Talk, por exemplo: o Gmail por default
HTTPS, ento, o primeiro passo descriptograf-lo. Mas isso
deve ser constante, assim como a classificao da aplicao,
porque a qualquer momento o usurio pode iniciar um chat,
que pode ter uma poltica completamente diferente asso-
ciada a ele.
8. Seu prximo firewall precisa permitir a mesma visibilidade e controle de aplicativos para usurios remotos.
Cada vez mais, os usurios esto trabalhando longe dos
escritrios. Uma parte significativa dos profissionais capaz
de trabalhar remotamente. Seja em um coffee shop, em
casa, alocados no cliente, os usurios esperam conectar-se
s aplicaes via WiFi, 3G ou qualquer meio necessrio.
Independentemente de onde o usurio esteja, ou mesmo
onde a aplicao que ele utiliza possa estar, o mesmo
padro de controle deve ser aplicado. Se o seu prximo
firewall permite visibilidade de aplicativos e controle sobre
o trfego dentro do escritrio, mas no fora, ele abre uma
porta de ameaas ao ambiente.
Conceitualmente isso simples: seu prximo firewall
precisa ter visibilidade e controle consistentes sobre o
trfego, independentemente de onde o usurio esteja
dentro ou fora. Isso no quer dizer que as empresas tero as
mesmas polticas de segurana algumas organizaes
podem querer que seus empregados usem Skype quando
esto fora, mas no dentro da sede, enquanto outras podem
ter uma poltica que diga que se estiver fora do escritrio,
usurios no podem fazer download de anexos do sales-
force.com a no ser que tenham o disco rgido encriptado.
Isso pode ser obtido em seu prximo firewall sem introduzir
latncia significativa para o usurio final, ou pro-blemas
operacionais indevidos ao administrador, ou custo significa-
tivo para a organizao.
9. Seu prximo firewall precisa tornar a segurana de rede mais simples, e no mais complexa, com a aplicao de controles de aplicativos.
Muitas empresas lutam para incorporar mais fontes de
alimentao, mais polticas e mais regras no j sobrecar-
regado processo de gerenciamento de segurana e de
pessoas. Em outras palavras, se os times no podem geren-
ciar o que eles j possuem, adicionar mais gerncia, polti-
cas e informaes no ajudaro. Alm do mais, quanto mais
distribuda for a poltica (ex. Firewall baseado em portas,
trfego autorizado em porta 80, anlise de IPS para
bloqueio de ameaas e aplicaes, reforo de segurana em
portes web, filtragem URL), mais difcil para gerenciar
essa poltica. Onde os admins iro para permitir WebEx?
Como eles resolvem conflitos de polticas de segurana
sobre tantos equipamentos?
Dado que os firewalls tpicos, baseados em portas, possuem
bases de regras que incluem milhares de regras, adiciona-
ndo milhares de assinaturas de aplicaes por entre dezenas
de milhares de portas (veja #3) a complexidade aumentar
em muito.
Polticas de firewall precisam ser baseadas em usurios e
aplicaes. Anlises de contedo subsequentes podem ser
realizadas em trfego permitido, mas o controle fundamen-
tal de acesso precisa ser baseado em elementos relevantes
(aplicaes, usurios ou grupos). Isso pode ter um efeito
simplificador efetivo. Polticas de Firewall baseadas em
portas em endereo IP, seguidas de anlises subsequentes
para entendimento da aplicao tornam as coisas mais
complicadas do que j so.
10. Seu prximo firewall precisa oferecer o mesmo rendimento e desempenho com o con-trole ativo das aplicaes.
Muitas empresas se esforam para garantir a segurana,
sem comprometer a performance. Muito frequentemente,
transformar recursos de segurana em domnio de segu-
rana de rede significa desassociar rendimento e perfor-
mance. Se a sua prxima gerao de firewall desenvolvida
da maneira certa, esse comprometimento desnecessrio.
A importncia da arquitetura bvia aqui tambm, mas de
uma maneira diferente. Associar um firewall baseado em
porta a outras funes de segurana de diferentes origens
tecnolgicas e a outras funes de segurana em geral,
indica a existncia de camadas de rede redundantes, ferra-
mentas de exame e polticas, que se traduzem em uma
baixa performance. Da perspectiva do software, o firewall
precisa ser desenvolvido para fazer
isso do comeo. Alm do mais, dadas as requisies para
tarefas computacionais intensas (ex: identificao de
aplicaes) realizadas em alto volume de trfego e com
pouca tolerncia latncia associada em infraestrutura
crtica, seu prximo firewall precisa do hardware desen-
volvido para a tarefa tambm significando processa-
mento de rede, segurana (incluindo terminaes SSL veja
#3), e exame de contedo dedicado.
Requisitos
Business case
06/14
www.techbiz.com.br
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurios de forar o uso do SSL em
muitos sites, os times de segurana possuem um grande e
crescente ponto cego ao no descriptografar, classificar,
controlar examinar o trfego SSL. Certamente, o firewall da
nova gerao precisa ser flexvel para que alguns tipos de
trfego SSL-encriptado possam ser permitidos (ex: trfego
web