Palo Alto Networks giúp Qúy vị bảo vệ Trung tâm Dữ liệu của mình – cho dù đó là vật lý hay dựa trên môi trường Điện toán Đám mây – bằng cách bộ giải pháp đồng bộ về thiết bị tường lửa thế-hệ-mới cùng các tính năng ngăn ngừa các mối đe doạ được triển khai bằng thiết bị phần cứng hoặc dưới dạng ảo hoá. Các công cụ quản lý tích hợp giúp chuẩn hoá và đồng bộ triển khai chính sách và giúp giảm thiểu chênh lệch thời gian giữa việc triển khai tải ứng dụng và cập nhật chính sách, giúp Qúy vị vận hành với tốc độ cao, đáp ứng được với sự thay đổi nhanh trong môi trường Điện toán Đám mây nếu Qúy vị có ý định sử dụng sau này.
Giúp vận hành ứng dụng an toàn bằng cách sử dụng mô hình Zero Trust
Thông thường câu hỏi nên hay không nên quản lý/điều khiển ứng dụng (application control) là phù hợp với môi trường Trung tâm Dữ liệu đang tăng lên do việc yêu cầu giới hạn lại các ứng dụng đã biết mà đang được sử dụng thông dụng. Triết lý ở đây là nếu chúng ta biết ứng dụng nào đang được sử dụng trong Trung tâm Dữ liệu, chúng ta sẽ bảo vệ nó dễ dàng hơn. Thực tế từ các vụ mất cắp và thất thoát dữ liệu nổi tiếng cho thấy rằng các kẻ tấn công sẽ dùng các ứng dụng thông dụng trong mạng (bao gồm cả mạng của Trung tâm Dữ liệu) để thực hiện tấn công và lấy cắp dữ liệu. Một số ví dụ như sau:
Dựa theo báo cáo của iSight Partners về trường hợp mất dữ liệu của Target, FTP, Netbios và Webdav là các ứng dụng được dùng bởi các kẻ tấn công để di chuyển bên trong mạng khi đánh cắp dữ liệu về thẻ tín dụng và người dùng. Điều này phản ánh xu hướng các kẻ tấn công đang che giấu hành vi của chúng bằng các ứng dụng thông thường. Dựa trên báo cáo Palo Alto Networks 2014 Application Usage and Threat Report, các ứng dụng kể trên đều được phát hiện sử dụng ở mọi hệ thống mạng trong số 5,500 mạng mà chúng tôi đã phân tích.
RDP và các ứng dụng truy cập từ xa khác cũng được dùng bởi các kẻ tấn công, theo như thống kê bởi Verizon trong báo cáo thường niên Data Breach Reports. Theo báo cáo 2014 Application Usage and Threat Report, trung bình khoảng 9 ứng dụng truy cập từ xa được phát hiện sử dụng trong 90% hệ thống mạng mà chúng tôi đã phân tích.
Nhiều ứng dụng kinh doanh khác như Microsoft Lync, SharePoint và Active Directory sử dụng các dải cổng dịch vụ rất rộng—bao gồm cả 80, 443 và một dải các cổng có chỉ số cao—làm cho việc điều khiển ứng dụng trở nên cần thiết, ví dụ chỉ cho mỗi ứng dụng Lync được truy cập nhưng không cho phép các ứng dụng khác được sử dụng với các cổng thông thường mà Lync đã sử dụng.
Trung bình, 8-10% của mạng là các thông lượng chưa biết—nó có thể là một ứng dụng được tuỳ biến (custom application), một ứng dụng thương mại chưa được nhận biết, hoặc là một mối đe doạ. Chức năng quan trọng mà Quý vị cần đó là khả năng quản lý các thông lượng chưa biết một cách có hệ thống bằng cách nhanh chóng phân tích thông lượng chưa biết, xác định đó là gì, nó đến từ đâu, và quản lý chúng thông qua các chính sách, các ứng dụng tuỳ biến hoặc các năng lực ngăn ngừa các mối đe doạ.
Với mỗi ví dụ ở trên, thiết bị tường lửa thế-hệ-mới của chúng tôi cho phép Quý vị triển khai các chính sách an ninh thông tin dựa trên mô hình Zero Trust, giúp đem lại năng lực hoàn thiện hơn về an ninh thông tin.
Mô hình Zero Trust giúp mở rộng áp dụng phân tách mạng (network segmentation) đến cấp độ cấp phép truy cập dựa trên ứng dụng cụ thể, cho phép người dùng truy cập dựa trên định danh và điều khiển nội dung nào có thể được gửi ở mỗi điểm phân tách. Tất cả dựa trên triết lý: Không bao giờ tin tưởng, luôn luôn phải kiểm tra.
Xác định rằng SharePoint được cho phép sử dụng, áp đặt nó phải sử dụng các cổng chuẩn được thiết kế sử dụng và cấm toàn bộ các ứng dụng khác được sử dụng.
Cho phép truy cập từ lớp máy chủ web vào SharePoint thông qua một bộ các cổng dịch vụ đã được xác định trước và áp dụng các chính sách ngăn ngừa đe doạ chuyên biệt cho ứng dụng.
Giới hạn truy cập vào cơ sở dữ liệu Microsoft SQL từ chính ứng dụng SharePoint, cấm truy cập đến cơ sở dữ liệu từ lớp máy chủ web.
Cho phép các người dùng thuộc nhóm Marketing, dựa trên quyền của nhóm, được truy cập đến mỗi SharePoint Docs và không được thực hiện chức năng nào khác. Chỉ cho phép nhóm IT sử dụng quyền SharePoint Admin khi phân tích sâu thông lượng bằng cách sử dụng các chính sách ngăn ngừa đe doạ chuyên biệt tương ứng với ứng dụng.
Phát hiện và ngăn ngừa các ứng dụng sử dụng sai mục đích hoặc sai cấu hình như RDP hoặc TeamViewer, và ngăn chặn chủ động với chính sách.
Quản lý thông lượng chưa biết một cách có hệ thống bằng chính sách. Tạo ứng dụng tuỳ biến App-ID cho các ứng dụng nội bộ, cho phép Qúy vị điều khiển truy cập dựa trên người dùng, phân tích họ để kiểm tra mã độc biết và chưa biết; các ứng dụng chưa được nhận dạng hoặc ứng dụng thương mại chưa có nhu cầu sử dụng có thể được cấm bởi chính sách, và gửi các yêu cầu về việc phát triển App-ID; cuối cùng, các công cụ phân tích chẩn đoán (forensics tools) và báo cáo có thể giúp Qu. vị loại bỏ thông lượng chưa biết có thể có liên quan đến mối đe doạ.
Việc áp dụng bảo vệ các ứng dụng của Trung tâm Dữ liệu bằng mô hình Zero Trust có thể được thực hiện cho cả mô hình Trung tâm Dữ liệu truyền thống (vật lý) và mô hình Điện toán Đám mây hiện đại, cho phép Quý vị điều khiển truy cập dựa trên ứng dụng hay tải ứng dụng tính toán, kết hợp với định danh của người dùng trong khi ngăn chặn các ứng dụng không được phép và nguy hiểm và ngăn ngừa bất cứ mối đe doạ nào xâm nhập Trung tâm Dữ liệu và di chuyển tiếp cận mục tiêu bên trong.
Ngăn chặn các mối đe doạ biết và chưa biết xâm nhập vào và di chuyển ngang bên trong Trung tâm Dữ liệu
Các mối đe doạ an ninh thông tin ngày nay thường xâm nhập mạng thông qua các hành động không mảy may nghi ngờ của người dùng hệ thống/nhân viên như truy cập liên kết độc hại, drive-by download hoặc nhiều cách thức khác. Một khi đã vào được mạng, chúng sẽ tiếp tục di chuyển ngang trong mạng và tìm kiếm mục tiêu. Trong Trung tâm Dữ liệu của Quý vị, các mối đe doạ an ninh thông tin có thể di chuyển ngang tiếp cận mục tiêu thông qua tải ứng dụng vật lý hoặc ảo hoá, đặt các ứng dụng và dữ liệu tối qua trọng của Quý vị vào tình huống rủi ro.
Trọng tâm trong việc bảo vệ Trung tâm Dữ liệu của Quý vị là triển khai các kỹ thuật phòng vệ và ngăn ngừa cho phép ngăn chặn và bảo vệ ở từng giai đoạn của chuỗi quy trình tấn công như ở dưới:
Trong Trung tâm Dữ liệu, áp dụng mức quản lý giám sát theo ứng dụng giữa các tải công việc giúp giảm thiểu ảnh hưởng từ các mối đe doạ đồng thời với việc phân tách thông lượng trong Trung tâm Dữ liệu dựa trên mô hình Zero Trust. Các chính sách ngăn ngừa đe doạ chuyên biệt cho ứng dụng có thể giúp ngăn ngừa các mối đe doạ biết và chưa biết xâm nhập vào Trung tâm Dữ liệu của Quý vị.
Giảm thiểu khó khăn trong quản lý
Việc cần thiết phải tiếp tục bảo vệ mạng vật l. kết hợp với việc bảo vệ môi trường Điện toán Đám mây nghĩa là sẽ hiếm khi bắt gặp các tình huống triển khai mà chỉ sử dụng một vài thiết bị tường lửa. Nhằm giúp giảm thiểu khó khăn và tăng tốc triển khai, một sự kết hợp giữa quản lý tập trung và các tính năng tích hợp có thể giúp chuẩn hoá và đơn giản hoá quy trình cập nhật chính sách trở nên cấp thiết hơn bao giờ hết.
Quản lý tập trung:
Panorama cho phép Quý vị quản lý tập trung toàn bộ thiết bị tường lửa thế-hệ-mới của Palo Alto Networks — kể cả dạng thiết bị phần cứng và dạng ảo hoá —, qua đó đảm bảo đồng nhất về chính sách và quản lý. Sử dụng giao diện giống như giao diện quản trị trên mỗi thiết bị đơn lẻ, Panorama giúp loại bỏ việc phải học thêm khi chuyển từ giao diện này sang giao diện khác. Panorama cho phép Quý vị quản trị toàn diện các thiết bị tường lửa thế-hệ-mới của Palo Alto Networks bao gồm:
Triển khai chính sách bao gồm an ninh thông tin, NAT, QoS, policy-based forwarding, giải mã, application override, captive portal, và phòng chống DoS.
Các chính sách dùng chung dựa trên pre- và post-rules được triển khai bởi người quản trị Panorama để áp đặt các chính sách chung trong khi cho phép chỉnh sửa chính sách ở nội bộ phía bên dưới. Các luật giữa pre- và post-rules có thể được chỉnh sửa nội bộ hoặc bởi người quản trị Panorama.
Cập nhật phần mềm và nội dung (Applications, Threats, Antivirus, WildFire), và các bản quyền (licenses) có thể được quản trị xuyên suốt trong toàn bộ các triển khai từ một điểm tập trung.
Thu thập bản ghi (log) và báo cáo một cách linh động từ các thiết bị tường lửa được quản lý. Panorama có thể được triển khai dưới dạng ảo hoá hoặc thiết bị phần cứng chuyên dụng. Thiết bị phần cứng chuyên dụng, M-100 hoặc M-500, có thể được dùng để xây dựng một kiến trúc quản lý phân tán bằng cách sử dụng các thiết bị M-100 hoặc M-500 riêng rẽ cho chức năng quản lý và lưu bản ghi (logging) tương ứng.
Đồng nhất triển khai chính sách và cập nhật:
Trong cả hai môi trường mạng vật lý và ảo hoá, Quý vị luôn phải đối mặt với thách thức quản lý sự thay đổi mà có thể xảy ra giữa các việc thêm, bớt hoặc chỉnh sửa tải công việc (workload) và làm cách nào nhanh nhất để có thể triển khai chính sách an ninh thông tin. Để giúp giảm thiểu những khó khăn này, các thiết bị tường lửa thế-hệ-mới của chúng tôi cung cấp bộ tính năng quản lý đầy đủ dồi dào giúp đồng nhất và đơn giản hoá việc triển khai chính sách để giúp chính sách an ninh thông tin có thể bắt kịp với sự thay đổi của tải ứng dụng tính toán của Quý vị.
Kết quả là Quý vị có được một sự giảm thiểu rất lớn trong độ trễ có thể có giữa sự thay đổi của tải công việc và cập nhật chính sách an ninh thông tin. Đồng thời để giúp tự động hoá và chuẩn hoá cập nhật chính sách trong tương lai, một hệ thống REST-based API được cung cấp để giúp Quý vị có thể tích hợp với các giải pháp quản lý của bên thứ 3, ví dụ như OpenStack và CloudStack.
Vận hành an ninh thông tin hiệu năng cao với kiến trúc phần cứng chuyên dụng
Palo Alto Networks cung cấp một dải sản phẩm phần cứng chuyên dụng dành cho bảo vệ an ninh thông tin của Trung tâm Dữ liệu. Kiến trúc bên dưới của phần cứng chuyên dụng dựa trên mô hình xử lý song song trong một tác vụ (Single-Pass Parallel Processing – SP3), cho phép nhận diện ứng dụng ngay từ ban đầu, bất kể chạy trên cổng dịch vụ nào, trong khi song song đồng thời xác định nội dung có độc hại hay không và ai là người sử dụng. Ba thành tố có liên quan đến vận hành kinh doanh: ứng dụng, người dùng, nội dung, trở thành yếu tố chủ đạo cho chính sách an ninh thông tin của Quý vị. Kiến trúc xử lý song song trong một tác vụ không chỉ giúp nâng cao năng lực an ninh thông tin của Quý vị mà còn giúp loại bỏ các quyết định chính sách dư thừa, từ đó giúp giảm thiểu độ trễ và nâng cao thông lượng vận hành khi cùng kết hợp với các chức năng xử lý chuyên biệt về mạng, an ninh thông tin, ngăn ngừa mối đe doạ và quản lý.
Comments are closed.