首頁
1
最新消息
2
產品快報
3
扛下解密流量負載,Palo Alto新版次世代防火牆平臺登場4
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓
當企業在公有雲環境建置多種應用系統時,若要及早掌控當中發生的資安威脅態勢,Check Point推出了CloudGuard Log.ic的雲端服務,能夠直接分析相關的事件記錄,找出異常。  雲端安全防護近來成為網路安全設備廠商所極力發展的領域,例如,Check Point在去年2月推出CloudGuard系列解決方案,當時先發表了原名為vSEC的CloudGuard IaaS,另一套CloudGuard SaaS原本預計在第二季上市,但直到11月才宣布全面供應;以次世代防火牆著稱的Palo Alto,今年5月底也發表Prisma系列的雲端安全解決方案,當中包含了Prisma Access、Prisma Public Cloud、Prisma SaaS,以及VM系列的次世代防火牆產品。  巧的是,隔沒幾週,Check Point推出了一套雲端原生的威脅防護和安全智慧解決方案,稱為CloudGuard Log.ic,號稱能夠讓用戶在租賃的公有雲環境當中,查看每個資料流,並且稽查、追蹤相關的軌跡,以便掌握在雲端存放的資料及執行的活動,加速整體資安鑑識與調查的流程。  這套新發表的雲端服務,讓人聯想到Check Point在去年併購的Dome9,該公司旗下有一套資安威脅情報服務Magellan,主打脈絡感知(Context-Aware)的特色,操作介面也和目前的CloudGuard Log.ic相當類似,不過,根據我們向Check Point詢問的結果,他們表示,CloudGuard Log.ic在正式推出之前,的確暫時用過Magellan這個稱呼,不過,當他們在修正所有功能之後,重新思考服務的命名,而決定取為Log.ic,因此,CloudGuard Log.ic和Dome9是不同的產品。  話雖如此,從目前看到的CloudGuard Log.ic網頁操作介面來看,左上角顯示的品牌圖示,標明的是Check Point CloudGuard Dome9。  從目前Check Point主打的功能來看,CloudGuard Log.ic可以有效偵測雲端服務的異常活動,阻擋威脅與入侵行為,並且呈現具有豐富脈絡關係的圖解,協助調查公有雲基礎架構下的資安突發事件。  這套雲端防護服務是如何運作?它的核心是一套功能相當豐富的引擎,能夠從多種事件記錄來源,去執行資料的核對與整理,舉例來說,在 AWS的環境下,可接收Virtual Private Cloud(VPC)服務的網路流向記錄(VPC Flow Logs),以及CloudTrail(專司AWS帳戶治理、法規遵循、操作過程稽核與風險稽核的服務),能從流向記錄、負載平衡器,以及其他雲端原生的服務元件裡面,取得豐富的資訊,讓IT人員能夠掌握更多關於執行期間的事件細節,更精確地理解整個環境的現況變化,進而施行更為嚴格的資安政策。  未來CloudGuard Log.ic會支援其他公有雲服務嗎?Check Point表示,微軟Azure已經在他們規畫的藍圖當中。  除了收集與分析租戶在公有雲環境的事件記錄,CloudGuard Log.ic也能整合Check Point網路威脅情報平臺ThreatCloud(不需額外付費),從這裡獲得惡意IP位址清單,而能預防進階威脅。基本上,ThreatCloud目前存放了非常多的入侵指標(IOC),收集到的惡意雜湊值、網站及命令與控制中心(C&C)的位址,已經超過7.5億筆資料,而提供的行為特徵數量也高達1千1百多萬個,本身也引用了十多種外部的威脅情報餵送機制,並且經由Check Point本身的人工智慧引擎,執行整併、驗證的程序,以便降低誤判率。  在CloudGuard Log.ic匯集、處理資料之後,資安團隊與DevOps團隊能夠運用這套解決方案,縮短相關作業的時間,迅速完成突發事件的因應、威脅獵捕的執行、既有資安政策的審視等工作,並且能橫跨多個雲端服務使用者帳戶強制施行控管原則。  在雲端服務環境當中,用戶對於使用者、群組、角色所配置的屬性,CloudGuard Log.ic也會予以分析,以便後續進行追蹤,不論是跨網域的聯邦性事件(federated events),或是組態變更,都能逐一查明,並且交互關連到個體或角色上。  此外,CloudGuard Log.ic還能將這些處理妥當的資料記錄流,透過自身的連接器,轉換成具有高度脈絡關係的JSON格式,餵送到第三方廠商的安全資訊事件管理系統(SIEM),像是Splunk、ArcSight。  整合到第三方廠商的安全資訊事件管理系統(SIEM),像是Splunk、ArcSight、LogRythm,讓這些產品執行更進階的調查,使得用戶能從生命週期相當短暫的資料當中,挖掘出關鍵情報,並且培養安全態勢感知的能力。  若希望系統能主動提報具有意義的事件、狀態統計,以及流量分布,用戶也可以自行訂定條件與內容傳送排程,即可定期收到報告──可透過電子郵件的形式,或經由ServiceNow、PagerDuty、Jira等IT服務管理平臺來發送。  既然察覺了資安威脅,就要儘快著手處理與復原,CloudGuard Log.ic也支援自動矯正的機制,這裡使用了一種無伺服器框架,稱為CloudBot,僅需一個按鍵的部署方式,就能夠在接收到惡意活動的特定警示之後,讓整個列管的網路環境,依照預先設定的反應方式,自動觸發相關的矯正功能,例如,執行存取隔離,或是先套上標記,以利後續的調查。產品資訊Check Point CloudGuard Log.ic●原廠:Check Point●可分析的資料類型:AWS(VPC Flow Logs、CloudTrail、AWS Inspector)、網路威脅情報feeds(Check Point ThreatCloud)、IP位址信譽資料庫、地理位置資料庫●整合SIEM的作法:提供JSON格式的資料 http://www.howhung.com.tw/hot_322039.html Check Point推雲端情資分析,幫企業找出公有雲環境威脅 2020-11-30 2021-11-30
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓 http://www.howhung.com.tw/hot_322039.html
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓 http://www.howhung.com.tw/hot_322039.html
https://schema.org/EventMovedOnline https://schema.org/OfflineEventAttendanceMode
2020-11-30 http://schema.org/InStock $NT 0 http://www.howhung.com.tw/hot_322039.html

相關連結:https://www.ithome.com.tw/review/123197

PAN-OS是Palo Alto次世代防火牆的系統平臺,今年新推出的8.1版,改良重點在於政策管理、SSL加密流量處理、進階威脅偵測等層面
pan-os_81_main.jpg

今年2月,以次世代防火牆(NGFW)著稱的Palo Alto,發布新版資安設備系統平臺PAN-OS 8.1,同時也推出新機型PA-3200系列、PA-5280、PA-220R的次世代防火牆,以及M-600和M-200等兩款管理設備。

PAN-OS 8.1增加了不少新功能,像是針對SSL流量的解密處理,提供了Decryption Broker機制,支援同時使用多種資安設備的整合防護應用。

基本上,Decryption Broker能夠將SSL解密的工作,卸載到Palo Alto的次世代防火牆執行,而且僅需一次作業,啟用之後,即可將明文流量串連、傳送到其他資安防護設備,使其能夠共享這些經過解密的流量,並且在處於線上模式的架構下,一起來實施額外的管制作業,例如資料外洩防護(DLP)。

這麼一來,也形同將主要網路安全的多種功能,都統合在次世代防火牆當中,將可提升整體網路的效能,減少設備數量,簡化架構,進而加速部署與維運工作。

而有了新版PAN-OS的幫忙,設備本身能支撐的解密連線數量,也跟著大幅提升,若以採用先前版本系統的設備為基準,安裝新版PAN-OS的PA-3200系列可處理20倍的解密連線容量(先前推出的PA-3060的SSL解密的同時連線數量為15,360個),此外,在整體效能和解密效能上,則各自達到5倍和7倍的增長,而另一款PA-5280,在解密連線容量上,則達到2倍的提升,整體效能也有所強化(吞吐量為68 Gbps)。

值得注意的是,Decryption Broker目前僅支援外發的SSL流量,也就是內部使用者存取網際網路的流量,根據Palo Alto公布的PAN-OS 8.1新功能指南來看,是透過SSL Forward Proxy來解密。

針對網路加密流量的防護,PAN-OS 8.1新增了Decryption Broker的功能,啟動SSL Forward Proxy解密的組態之後,防火牆會扮演解密協調者的角色——進行集中式的解密處理,然後將解密流量透過專屬的轉送介面,傳送至其他資安設備,套用一連串安全控管機制,使防火牆與這些設備之間,可以形成另一個內部的分析網路
這種作法免除了個別資安設備的SSL卸載作業,僅需解密一次,而這些設備不需要具備次世代防火牆的功能,也能處理加密流量,如此可降低網路架構的複雜性,簡化解密作業的實施方式,有利於日常管理與障礙排除。

 

Decryption Broker在安全鏈的應用上,也支援分散式負載(Distribute Load),以及運作狀態正常與否的檢查(Health Checks)。
所謂的安全鏈分散式負載,是指Decryption Broker能夠同時將流量轉送到多個安全鏈,提供處理備援與分析負載的平衡,避免單一安全鏈或當中的設備負載過重的狀況。
而Decryption Broker的安全鏈運作狀態檢查,在於監控安全鏈的狀態,像是連線(傳輸路徑)、處理速度與效率(HTTP延遲度)、HTTP檢測能力(HTTP連線監控),確保相關設備能夠有效處理流量。

針對進階威脅的偵測與預防功能強化,PAN-OS 8.1更新了雲端威脅分析服務WildFire,用戶現在可透過Palo Alto次世代防火牆,來找出運用加殼技術來迴避偵測的零時差漏洞攻擊、鎖定Linux伺服器與物聯網設備的惡意軟體,以及隱藏在7-Zip、RAR壓縮檔當中的惡意檔案,系統可將收集到的Linux ELF檔(Executable and Linking Format),以及7Z、RAR檔,自動轉送到WildFire執行分析。

在目標鎖定攻擊的因應措施上,Palo Alto次世代防火牆的事件記錄,也隨著新版PAN-OS的推出而強化,成為功能更強大的網路感測器,可收集豐富的資料來進行分析,並且可透過內容更新來擴充功能。

同時,用戶可運用Magnifier的雲端行為分析服務,來存取Palo Alto次世代防火牆所收集到的事件記錄,以便精準識別進階攻擊、內部威脅與惡意軟體,進而及時阻擋。

隨著PAN-OS 8.1的推出,Palo Alto次世代防火牆產品,還有一些變化,例如,發布了多款新機型,分別是PA-3200系列、PA-5280、PA-220R;同時,強調旗下的次世代防火牆在採用新版作業系統之後,能整合雲端行為分析服務Magnifier;而在多臺次世代防火牆的集中管理平臺Panorama,也推出8.1版,以及兩款新型應用設備——M-600和M-200等,提升防火牆管理的效率與規模。

  

與先前推出的PA-3000系列的軟硬體架構相比,新發表的PA-3200系列在管理層的處理器核心,從雙核心增加到4核心;特徵比對的部份,PA-3220運用軟體處理的方式,而其他兩款機型仍是硬體處理;在安全處理作業上,這裡所配置的處理器核心,也從6核心大幅增長,提供10核心至16核心。

對於Palo Alto次世代防火牆特有的應用程式識別技術App-ID,PAN-OS 8.1也提供更多增進使用效率的特色。例如,提供更簡易的工作流程政策審視工具,讓管理者能夠以確信的態度,實施基於應用程式層級的控管,並且搭配政策使用次數統計追蹤(rule usage tracking)的功能,維持緊密、有效的安全政策。

舉例來說,管理者可以針對新取得的App-ID,訂定個別的啟用門檻(預留一段等待確認時間),讓你能夠在這種暫時允許的情況下,仔細查看相關政策的內容變化,再決定是否進行更新,避免發布到設備的新App-ID,意外阻擋了原本允許的網路流量。

針對下載與安裝的內容更新,Palo Alto設備的管理者可以看到新增與修改的App-ID。以圖中的狀況為例,793-4894是下載且目前安裝的內容更新版本,我們可以點選右邊的「Review Policies」或是「Review Apps」,即可查看相關政策的清單,或是所能偵測與控管應用系統的細部資料。

上圖是點選「Review Policies」之後的呈現,管理介面列出793-4894版本對應的6條政策,以及各自涵蓋的來源、目的、應用程式、服務。

這是點選「Review Apps」之後的畫面,我們可以查看因為769版本的內容更新,而增加、修改的應用程式資訊。

在內容更新之後,管理者可以設定間隔幾個小時(也就是圖中的New App-ID Threshold)再新增AppID,,爭取更多能夠審慎評估的時間。

對於新進App-ID,你也可以建立個別政策,並且在網頁管理介面Application Command Center(ACC)當中,查看這類應用程式對應的網路流量活動。

此外,若要掌握政策在新增與變更App-ID之後的影響,PAN-OS 8.1也在設定頁面提供對應的資訊。

上一個 回列表 下一個