1. 차세대 보안 게이트웨이와 그 필요충분 조건 2. PaloAlto Solution 1.1 현재 보안 게이트웨이 장비의 한계

Presentation on theme: "1. 차세대 보안 게이트웨이와 그 필요충분 조건 2. PaloAlto Solution 1.1 현재 보안 게이트웨이 장비의 한계"— Presentation transcript:

1

2 1. 차세대 보안 게이트웨이와 그 필요충분 조건 2. PaloAlto Solution 1.1 현재 보안 게이트웨이 장비의 한계
1. 차세대 보안 게이트웨이와 그 필요충분 조건 1.1 현재 보안 게이트웨이 장비의 한계 1.2 Next Generation 방화벽의 필요충분 조건 1.3 PaloAlto vs .. 2. PaloAlto Solution 2.1 PaloAlto의 주요기능 2.2 PaloAlto Architecture 2.3 제품 및 벤더 상세정보 2.4 About PaloAlto

3 Application과 실제 사용자를 컨트롤 할 새로운 개념의 보안 시스템 필요
1.1 현재 보안 게이트웨이 장비의 한계 보안을 위하여 Gateway계위에 적절한 보안성 유지는 필수사항 그러나, 80(WEB) 포트로는 수많은 서비스가 제공되고 있음 Ports ≠Application IP 주소 ≠ 사용자 Packets ≠ Content Application과 실제 사용자를 컨트롤 할 새로운 개념의 보안 시스템 필요 2

4 1.2 Next Generation 방화벽의 필요충분 조건
방화벽의 진화 Port, protocol, 3rd APP, SSL등의 Application 분석 기존의 IP주소가 아닌 사용자 기준의 정책설정 Application에 대한 실시간 위협탐지 및 차단 시스템 Application을 기준으로 하는 정책 설정 기능 성능의 저하 없는 Multi-gigabit, in-line 구성 3

5 1.3 PaloAlto vs … PaloAlto vs Firewall PaloAlto vs IPS
기존 방화벽에서 사용자와 Application을 접목하여 방화벽 Policy를 핸들링 할 수 있는가?  PaloAlto 에서는 특정 사용자가 특정시간에 특정 포트 및 IP 뿐 아니라 특정 Application에 대한 사용 가능 여부를 방화벽 정책에 적용이 가능하다 PaloAlto vs IPS 기존 IPS에서 모든 Signature가 Default로 활성화 되어있는가?  PaloAlto 에서는 Default로 모든 Signature가 활성화 되어있으며, Anti-Virus Anti-Spyware URL Filter기능등을 포함하여 Min 5G 의 성능을 보장한다

6 80포트로 유입되는 수많은 Traffic은 단순 Web Browsing이 아니고 OVER HTTP Tunnel이다
1.3 PaloAlto vs … PaloAlto vs UTM 기존 UTM 장비가 가지고 있는 모든 기능(stateful 방화벽, IPSec VPN, IPS, 안티 바이러스, 스파이웨어, 안티 스팸 및 웹 필터링)을 적용하였을때 실제 퍼포먼스가 얼마나 될것인가? PaloAlto 에서는 모든 기능을 활성화 하였을 때, Min 5G의 성능을 보장한다 PaloAlto 에서는 모든 기능이 Single Pass로 처리된다 PaloAlto vs Proxy 80포트로 유입되는 수많은 Traffic은 단순 Web Browsing이 아니고 OVER HTTP Tunnel이다 기존 Proxy 장비에서 HTTP나 HTTPS로 유입되는 Application을 차단할수 있는가?  PaloAlto장비는 HTTP 혹은 HTTPS로 유입되는 Application을 직접 핸들링 한다 Proxy 우회기술에 안전한가?  PaloAlto 장비는 In-line 혹은 Out-of-Path 방식으로 구성한다

7 2.1.1 APP-ID 960여개 이상의 Application을 5개의 category와 25개의 sub-category를 활용하여 Policy-based control 이 가능하다 사용자 application의 정의가 가능하다 Business, internet ,networking application, networking protocol 등이 폭넓게 업데이트 된다 매주 새로운 Application이 업데이트 된다

8 2.1.2 User-ID 더 이상 IP 주소만 가지고 사용자 제어는 힘들다
Unobtrusive deployment: Unlike traditional firewalls that require re-authentication, the Palo Alto Networks agent works seamlessly No change to the Active Directory (AD) server or the user PCs The user identification agent is deployed on a windows workstation or on the AD server Multiple agents can be deployed; one agent can communicate with multiple devices 더 이상 IP 주소만 가지고 사용자 제어는 힘들다 특정 사용자가 어떤 Application을 사용하는지 어떤 침해사고가 있었는지를 실시간으로 확인 및 제어가 가능하다 PaloAlto의 효과적인 레포팅 시스템을 통해 사용자에 대한 다양한 정보에 대한 레포팅이 가능하다 7 7

9 2.1.3 Content-ID: Real-Time Content Scanning
실시간으로 탐지및 차단이 가능하며, 비인가 파일전송의 차단 혹은 비인가 웹서핑등의 차단이 가능하다 Stream-base 탐지 단일 signature engine을 통하여 Single Pass로 고성능의 시스템을 구현한다. Vulnerability exploits (IPS), viruses, spyware 등의 탐지 및 차단 주요 자산에 대한 파일전동이나 Data 전송을 차단 CC # , SSN pattern등의 차단 Web filtering은 integrate 된 URL database 통하여 지원한다 8 8 8

10 2.1.4 사용자와 Application 제어 Firewall security policy describes allowed applications Profiles activate inspection AV, IPS, WF, etc. as well as bandwidth management (QoS) 9 9 9

11 Skype 사용자 중 hzielinski 필터
2.1.4 사용자와 Application 제어 Application Command Center (ACC) - applications, URL, 위협, data filtering 상태 확인 - 필요한 결과를 얻기 위한 ACC data, 추가/삭제 내역 필터링 Skype 필터 Skype 사용자 중 hzielinski 필터 hzielinski라는 사용자를 확장 검색 10

12 2.1.5 실시간 Bandwidth Monitor 실시간으로 bandwidth 및 application, user, rule에 대한 Session 현황을 모니터링 11

13 2.1.6 레포팅 기능 12 12 12

14 2.1.6 유연한 구성 L2 – VLAN 10 Vwire L3 – DMZ L3 – Internet L2 – VLAN 20
Tap – Core Switch Tap Mode, Virtual Wire, Layer 2, Layer 3 등의 다양한 네트워크 구성안 제공 한대의 장비에서 다양한 모드를 동시에 지원 Virtualization – VLAN interfaces in L2 , L3, virtual routers , virtual systems. 13 13 13

15 2.1.7 주요기능 요약 어플리케이션 및 유저, 컨텐츠를 제어 할 수 있는 첨단 Firewall Feature PA-4060
강력한 네트워크 성능 Dynamic routing (OSPF, RIPv2) Tap mode: 모니터링 포트 연결 Layer 1 기반의 Virtual wire로 구현되는 리얼 인라인 모드 L2/L3 스위칭 성능 QoS traffic shaping 최대 및 트래픽 보장, 우선순위를 이용한 QoS 설정 유저, 어플리케이션, 인터페이스, 존 등을 통한 QoS 설정 PA-4050 PA-4020 단순하고 유연한 관리 CLI, Web, Panorama, SNMP, Syslog 가상화 시스템 하나의 장비로 여러 개의 가상화 방화벽 구성 가능 (PA4000 시리즈) PA-2050 Zone 기반 아키텍쳐 모든 인터페이스에 정책 적용을 위한 Security Zone 설정 가능 PA-2020 고가용성 Active / passive Configuration 및 session 동기화 Path, link, HA 모니터링 PA-500 VPN Site-to-site IPSec VPN SSL VPN 14

16 2.2.1 Single Pass Hardware Architecture
Operations once per packet Traffic classification (app identification) User/group mapping Content scanning threats, URLs, confidential data One policy 병렬처리 Hardware 기반의 병렬처리 엔진 Data/Control planes의 분리와 ASIC 기반의 Traffic 처리 Up to 10Gbps, Low Latency 15

17 2.2.2 Hardware Architecture : PA-4000 Series
Content Scanning Engine RAM Content Scanning HW Engine Palo Alto Networks’ uniform signatures Multiple memory banks – memory bandwidth scales performance Dedicated Control Plane Highly available mgmt High speed logging and route updates 10Gbps Multi-Core Security Processor High density processing for flexible security functionality Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression) CPU 1 CPU 2 CPU 3 CPU 16 RAM Dual-core CPU RAM . . RAM RAM SSL IPSec De-Compression HDD 10Gbps 10 Gig Network Processor Front-end network processing offloads security processors Hardware accelerated QoS, route lookup, MAC lookup and NAT QoS Route, ARP, MAC lookup NAT Control Plane Data Plane 16

18 2.2.3 Content-ID를 이용한 Stream 기반 스캐닝
파일 스캐닝 스트림 스캐닝 ID Content ID Content Buffer File 컨텐츠 스캔 그림좀 이쁘게 파일 스캔 컨텐츠 전송 컨텐츠 전송 Time Time 실시간 퍼포먼스를 제공하는 스트림 기반의 스캐닝을 통한 ‘동적 재구성’ 싱글패스상의 광범위한 보안위협 스캔할 수 있는 Uniform signature engine 취약점, 바이러스 및 스파이웨어의 보안 위협 탐지 17

19 2.2.4 일반적인 탐지 Architecture AV module IPS module WF module FW module 많은 Vendor에서 각각의 탐지모듈을 개별적으로 동작시킴으로서, 성능 저하를 유발한다 18 18 18

20 2.2.4 PaloAlto의 탐지 Architecture
L2/L3 Networking, HA, Config Management, Reporting App-ID Content-ID Policy Engine Application Protocol Detection and Decryption Application Protocol Decoding Heuristics Application Signatures URL Filtering Threat Prevention Data Filtering User-ID PaloAlto솔루션은 Single Pass로 모든 탐지엔진을 구동하여, 모든 기능이 유기적으로 동작한다 19 19 19

21 2.3.1 PaloAlto의 성능 테이블 사진포함해서 편집할것 PA-500 PA-2020 PA-2050 PA-4020
Firewall throughput 250 Mbps 500 Mbps 1 Gbps 2 Gbps 10 Gbps Threat prevention throughput 100 Mbps 200 Mbps 5 Gbps IPSec VPN throughput 50 Mbps 200Mbps 300 Mbps IPSec VPN tunnels/interfaces 250 1,000 2,000 4,000 SSL VPN concurrent users 100 500 5,000 10,000 New sessions per second 7,500 15,000 60,000 Max sessions 64,000 125,000 250,000 500,000 2,000,000 MAX Policy 2,500 20,000 Virture Router 2 3 20 125 Virture Systems - 5 10 25 Security zones 80 하드웨어 10/100/1000 8 12 16 SFP Optical gigabit 4 XFP 10G Optical 사진포함해서 편집할것

22 2.3.2 성능 비교 자료 21 Vendor Product Raw speed IPS-server IPS-client
Anti-virus AV+IPS-server AV+IPS-client Astaro ASG 425a 243 180 166 69 21 17.2 Check Point UTM 754 221 40 98 95 38 Cisco ASA5540 with SSM-20 IPS module 662 118 NS Crossbeam C25 1,000+ 122 28 58 54 27 Fortinet FortiGate 3600A 624 524 520 IBM System x3650 816 190 IBM/ISS Proventia MX5010 978 384 298 Juniper Networks ISG-1000 442 355 SSG-520M 426 157 138 Nokia IP290 156 29 33 25 Secure Computing Sidewinder 2150D with IPS acceleration 826 559 581 396 286 292 SonicWall Pro 5060 587 318 208 WatchGuard Firebox Peak X8500e 160 79 193 185 177 Palo Alto Networks PA-4020 1627 By Joel Snyder , Network World , 10/06/2008 21

23 2.3.3 구성방안 예시 Visibility Transparent In-Line Firewall Replacement
Inline 구성 없이 Application, 사용자 그리고 컨텐츠 식별 IPS with app visibility & control IPS 와 URL filtering의 통합 Firewall replacement with app visibility & control Firewall + IPS Firewall + IPS + URL filtering 22

24 2.4.1 Palo Alto Networks 2005년 설립 보안과 네트워크 분야에 세계적인 기술력을 지닌 팀을 꾸려 나가고 있음 특허 : App-ID, User-ID, Content-ID 850여개 이상의 Application을 핸들링 할 수 있으며, 신규 추가 기능도 있음 50여개국의 TAC에서 24시간 기술 지원 가능 Gartner에서 “Cool Vendor in 2008; 2008 Best of Interop Grand” 으로 선정 23

25 평균 15년 이상의 기술지원 경험을 바탕으로 한 TSEs
2.4.2 PaloAlto의 기술지원 깊이있는 네트워크 보안 및 인프라 지식을 가진 TSE팀 고객 기술지원은 항상 놀라웠다. 언제든 내가 기술지원을 요청할 때, 조금도 기다리지 않고 신속하게 유능한 엔지니어의 기술지원을 받을 수 있었다. TSEs는 가장 빠르고 완벽하게 해결책을 제시해 주었다. 내가 말한 모든 기술지원 사례는 곧 그들의 기술과 같다고 할 수 있다. -Mark Kimball, Hewlett-Packard 모든 주요 방화벽에 대한 기술지원 경험 평균 15년 이상의 기술지원 경험을 바탕으로 한 TSEs Sunnyvale, CA에서 공동으로 엔지니어링하는 TSEs 고객 기술지원은 커다란 도움이 되어왔다. 보통의 기술지원이 아닌 그들의 휼륭한 기술지원과 적극성은 다른곳과 는차원이 다르다. 이것은 PlaoAlto만의 믿기힘든 능력이다. -James Jones, UPMC 프리미엄 및 표준 기술지원 고객들로부터의 솔직한 리뷰 24

26 2.4.3 Palo Alto Networks 주요 고객사
Health Care Financial Services Government Media / Entertainment / Retail craigslist Service Providers / Services Mfg / High Tech / Energy Education 25

27 별첨 주요 고객사 리스트 Gartner의 Next-Generation Firewall 정의 MAPP 파트너쉽

28 Organizations Trust Palo Alto Networks
Health Care Financial Services Government Media / Entertainment / Retail Service Providers / Services Education Mfg / High Tech / Energy Page 27 | © 2009 Palo Alto Networks. Proprietary and Confidential 27

29 F1000 Organizations Trust Palo Alto Networks
Page 28 | © 2009 Palo Alto Networks. Proprietary and Confidential 28

30 Finance, Manufacturing, Energy, High Tech, Media
Financial Services Energy Media / Entertainment Hospitality / Retail craigslist Service Providers / Services Mfg / High Tech Page 29 | © 2009 Palo Alto Networks. Proprietary and Confidential 29

31 Health Care, Education, Government
K-12 Education Colleges and Universities Page 30 | © 2009 Palo Alto Networks. Proprietary and Confidential 30

32 Gartner의 Next-Generation Firewall의 정의

33 Microsoft Security Bulletins
Active member in MAPP (Microsoft Active Protections Program) Receive early access to Microsoft vulnerability info Close working relationship with Microsoft Threat researchers closely collaborating with Microsoft on new ways to research vulnerabilities Responsible for discovering 17 Microsoft vulnerabilities over the last 18 months 7 Critical and 2 Important severity already published 8 Microsoft vulnerabilities are currently pending We have a close working relationship with Microsoft relative to vulnerabilities and other malware. We have been credited for discovery of 9 vulnerabilities within the last 18 months or so with even more vulnerabilities pending. We were part of the initial group of companies invited to participate in the Microsoft Active Protection Program. We are under strict NDA relative to MAPP, so details of what Microsoft provides and the timeframe may not be discussed. But it is safe to say that prior to any Microsoft security bulletin, Palo Alto Networks receives vulnerability information from Microsoft prior to the public release. What that means for our customers is timely updates (same day as Microsoft’s public release) to Microsoft related security issues. MS 사의 파트너쉽 등록화면 Page 32 | © 2007 Palo Alto Networks. Proprietary and Confidential 32