„Durch die Nutzung der IPS-Funktionalitäten der Next Generation Firewalls von Palo Alto Networks können Unternehmen ihre Risiken minimieren“, so Chad Kinzelberg, Vice President of Business and Corporate Development bei Palo Alto Networks. „Skybox Security liefert einen leicht verständlichen Bericht, mit dessen Hilfe Kunden bekannte Schwachstellen mit den IPS-Signaturen korrelieren können. Dadurch werden sie in die Lage versetzt, die IPS-Konfiguration so anzupassen, dass ein optimaler Schutz für das Netzwerk entsteht.“
Cloud, BYOD, Web 2.0 – die IT-Trends der letzten Jahre haben die Netzwerke der Unternehmen so weit geöffnet, dass der klassische Firewall-Schutz auf Port- und Protokollebene versagt. Die Firmen reagieren darauf zunehmend mit der Implementierung von so genannten Next Generation Firewalls, die Zugriffe auf der Ebene der Anwender, Applikationen und Inhalte erlauben oder verweigern können. Darf der Mitarbeiter, der über Skype telefonieren will, dieses Tool überhaupt nutzen? Ist das Veröffentlichen von eigenen Beiträgen auf Facebook vom Arbeitsplatzrechner aus erlaubt? Dürfen sensible Unternehmensinformationen auf unbekannte Webadressen hochgeladen werden, auch wenn ein legitimer Port benutzt wird und der betreffende Mitarbeiter ein Zugriffsrecht auf diese Informationen besitzt? Mit den Next Generation Firewalls von Palo Alto Networks können Unternehmen Antworten auf diese Fragen geben und in Form von Richtlinien anwenden und durchsetzen.
Allerdings stehen diese Firewalls nicht allein im Netzwerk, sondern in Verbindung untereinander und mit anderen Assets wie Servern, Switches, Applikationen etc. Erst wenn dieses Zusammenspiel inklusive der Abhängigkeiten untereinander vollständig transparent ist sowie überwacht und analysiert werden kann, lassen sich mögliche Angriffswege erkennen und die damit verbundenen Risiken für das Unternehmen bewerten. Geplante Änderungen an Firewall-Einstellungen und ihre Auswirkungen auf die Sicherheit im Netzwerk lassen sich modellieren, um Risiken bereits vor der Implementierung auszuschließen oder zu minimieren. Auch bestehende Regeln können vor der geplanten Migration auf Next Generation Firewalls von Palo Alto Networks auf ihr Risikopotenzial hin untersucht werden. Nur diese umfassende Analyse, Korrelation und Modellierung kann die Grundlage für eine realistische Risikobewertung bilden, die ihrerseits die Voraussetzung für einen sauber priorisierten und effektiven Aktionsplan zum Schließen aller kritischen Sicherheitslücken ist.
Genau dies leistet die erweiterte Unterstützung der Sicherheitssuite Skybox View Security Suite mit ihren Komponenten Firewall Assurance, Network Assurance und Risk Control für die Next Generation Firewalls von Palo Alto Networks. Die Skybox-Module analysieren die IPS-Informationen und machen Vorschläge, welche IPS-Signaturen ausgewählt und angewandt werden sollten, um Schwachstellen zu beseitigen. Darüber hinaus werden die vorhandenen Informationen auf Applikations- und Anwenderebene untersucht und nach den damit verbundenen Risiken bewertet. Außerdem bietet die Skybox-Lösungssuite einen kontrollierten Workflow für Firewall-Änderungen, überprüft automatisch die Regelkonformität der eingesetzten Palo Alto Networks-Geräte und erstellt Compliance-Berichte für ein optimales Firewall-Management.
Die wichtigsten Neuerungen auf einen Blick
- Vollständige Unterstützung für die Regelkonformität von Zugangspfaden und Regeln der Next Generation Firewalls sowohl auf Anwender- als auch Applikationsebene
- Umfassende, nach Bedarf erstellbare und individuell anpassbare Richtlinien-Audits nach PCI-DSS und NIST für Next Generation Firewalls
- Komplette Protokollierung von Änderungen an Regeln zu Anwendungen und Nutzern
- Erweiterte Analyse von bereits von anderen Netzwerk-Assets abgedeckten („shadowed rules“) sowie redundanten Regeln zu Anwendungen und Nutzern
- Umfassende Netzwerk-Modellierung und Analyse von Zugangspfaden, um Probleme im Zusammenhang mit der Anbindung von Applikationen zu lösen
- Analyse und Darstellung der Signatur-Konfiguration der in den Next Generation Firewalls von Palo Alto Networks eingebetteten IPS-Funktionalität