1 | © 2016, Palo Alto Networks. Confidential and Proprietary.
SECURE ANY
CLOUD
Alexandre Freire
Brazil Enterprise Accounts...
2 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Expansive Partner Ecosystem
Virtualization Networking Mobili...
3 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Quaquer um pode se tornar Atacante
4 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Postura de segurança muda o comportamento do Atacante
5 | © 2016, Palo Alto Networks. Confidential and Proprietary.
http://www.informationisbeautiful.net/visualizations/worlds-...
6 | © 2016, Palo Alto Networks. Confidential and Proprietary.
21% MS-RPC
15%
Web
Browsing
11% SMB
10% MS-SQL
Monitor
10%
M...
7 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Detecção e Remediação Prevenção
Thinking
7 | © 2016, Palo Al...
8 | © 2016, Palo Alto Networks. Confidential and Proprietary.8 | © 2016, Palo Alto Networks. Confidential and Proprietary....
9 | © 2016, Palo Alto Networks. Confidential and Proprietary.
END POINT
NETWORK
CLOUD
9 | © 2016, Palo Alto Networks. Conf...
10 | © 2016, Palo Alto Networks. Confidential and Proprietary.
CLOUD
Valor da Plataforma de Segurança de Próxima Geração
....
11 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Key Challenges in Cloud Computing – Gartner
http://www.gart...
12 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Cloud + Segurança = Desafios à frente
13 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Desafios de Segurança na Nuvem
…”Firewalls físicos” podem n...
14 | © 2016, Palo Alto Networks. Confidential and Proprietary.
• Na nuvem, diferentes aplicações de diferentes níveis de s...
15 | © 2016, Palo Alto Networks. Confidential and Proprietary.
 Provisionamento de aplicações pode ocorrer em
minutos com...
16 | © 2016, Palo Alto Networks. Confidential and Proprietary.
SPEAR PHISHING
EMAIL
EXPLOIT KIT
ou
INFECTAR
USUÁRIO
MOVIME...
17 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Enterprise
Network
Tráfego no Datacenter
Volume de tráfego ...
18 | © 2016, Palo Alto Networks. Confidential and Proprietary.
18
OVERVIEW PALO ALTO NETWORKS
NGFW
| ©2014, Palo Alto Netw...
19 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Como responder sobre o desconhecido?
20 | © 2016, Palo Alto Networks. Confidential and Proprietary.
 Defesa Ativa como única opção:
 Firewall;
 DLP;
 Antiv...
21 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Tráfego no Datacenter
Falha das arquiteturas de “legado”.
C...
22 | © 2016, Palo Alto Networks. Confidential and Proprietary.
344
KB172.16.1.10
source IP
64.81.2.23
destination IP
tcp/4...
23 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Tráfego Norte-Sul no Datacenter
Firewalls de “hardware”no p...
24 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Tráfego Leste-Oeste no Datacenter
Firewalls virtualizados. ...
25 | © 2016, Palo Alto Networks. Confidential and Proprietary.
+
O que fazer para proteger o datacenter?
…Segmentação, Mic...
26 | © 2016, Palo Alto Networks. Confidential and Proprietary.
The right security framework for the datacenter
• Construir...
27 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Wifi WMS
Acessos Externos
Sede da EmpresaDepósito
Clientes
...
28 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Wifi WMS
Acessos Externos
Sede da EmpresaDepósito
Clientes
...
29 | © 2016, Palo Alto Networks. Confidential and Proprietary.
• Apenas o grupo usuários específicos / usuário
pode acessa...
30 | © 2016, Palo Alto Networks. Confidential and Proprietary.
• Validar aplicações de data center; bloquear aplicações ma...
31 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Wifi WMS
Acessos Externos
Sede da EmpresaDepósito
Clientes
...
32 | © 2016, Palo Alto Networks. Confidential and Proprietary.
A mudança das características do Datacenter…
 Em um Softwa...
33 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Responsabilidade
Compartilhada
Responsabilidade
Única
Softw...
34 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Segurança de nuvens públicas, privadas e híbridas
…com Next...
35 | © 2016, Palo Alto Networks. Confidential and Proprietary.
• Características Consistentes assim como os Next Generatio...
36 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Imperativos para uma arquitetura de segurança preventiva
…p...
37 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Plataforma de Segurança de Próxima Geração
• Uso seguro de ...
38 | © 2016, Palo Alto Networks. Confidential and Proprietary.
• Política Unificada para
Gerenciamento do ciclo de vida
de...
39 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Configurações do PAN-OS
Políticas de Segurança
BYOL
Atualiz...
40 | © 2016, Palo Alto Networks. Confidential and Proprietary.
VM Monitoring:
• Integração nativa com o VMware
vCenter e E...
41 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Dynamic Address Groups
…automatizar a atualização de políti...
42 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Dynamic Address Groups
…automatizando a atualização de polí...
43 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Usuários/Grupos
Aplicação (Granular)
Threat Prevention
Anti...
44 | © 2016, Palo Alto Networks. Confidential and Proprietary.
VM-Series for Private Clouds
45 | © 2016, Palo Alto Networks. Confidential and Proprietary.
VM-1000-HV Panorama
VMware NSX
• Inserção dinâmica e transp...
46 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Provê
Switching Routing Firewalling Load
Balancing
VPN Conn...
47 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Logical
Switching
Logical
Routing
Load
Balancing
Physical
t...
48 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Internet
Security Policy
Security Admin
Traffic
Steering
(D...
49 | © 2016, Palo Alto Networks. Confidential and Proprietary.
VMware NSX e Palo Alto Network’s VM-Series
Conceito de Micr...
50 | © 2016, Palo Alto Networks. Confidential and Proprietary.
VMware NSX e Palo Alto Network’s VM-Series
Conceito de Micr...
51 | © 2016, Palo Alto Networks. Confidential and Proprietary.
VM-Series for Public Clouds
52 | © 2016, Palo Alto Networks. Confidential and Proprietary.
• Implantar a segurança de próxima
geração com base na dema...
53 | © 2016, Palo Alto Networks. Confidential and Proprietary.
 VPC gateway:
- Segurança de Next Generation Firewall para...
54 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Aumento de
tráfego
inesperado
Evento da
Empresa
GlobalProte...
55 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Instances
AWS Auto Scaling
Group (ASG)
AWS CloudWatch
monit...
56 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Riscos em Nuvens SaaS
EVASÃO MALICIOSA
DE INFORMAÇÕES
EXPOS...
57 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Melhores Práticas para SaaS
Bloqueio de Malwares na Nuvem
C...
58 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Proteja a Nuvem
APERTURE
GLOBALPROTECT
WILDFIRE
NEXT GEN FI...
59 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Entrega de Segurança na Nuvem
USER
AGNOSTIC
Sem necessidade...
60 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Ganhe Visibilidade
APERTURE
GLOBALPROTECT
WILDFIRE
NEXT GEN...
61 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Complete SaaS Reporting
62 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Controle o Uso APERTURE
GLOBALPROTECT
WILDFIRE
NEXT GEN FIR...
63 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Physical ServersVirtualized Servers / Private Cloud
Hardwar...
64 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Obrigado!!
afreire@paloaltonetworks.com
65 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Why Palo Alto Networks?
Prevention
Zero-Day
Reduce Risk
Pol...
66 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Próximos SlideShares
Carregando em…5
×

Secure Any Cloud

158 visualizações

Publicada em

A cada 1 Mbps de trafego que passa pelo perímetro são gerados 20Mbps de trafego dentro do Data Center!! Isso quer dizer que deixamos de visualizar grande parte do tráfego. Com o advento dos conceitos de cloud pública, privada e híbrida, o conteúdo está em todo lugar! Com a mudança do data center tradicional, as empresas precisam se preparar para os desafios de prover segurança de forma homogênea integrando-se a diferentes workloads sem impactar no dinamismo e eficiência da cloud.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
158
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Secure Any Cloud

  1. 1. 1 | © 2016, Palo Alto Networks. Confidential and Proprietary. SECURE ANY CLOUD Alexandre Freire Brazil Enterprise Accounts & Energy Sector Sales Engineer Sans GIAC Industrial Cybersecurity Professional | Sans GIAC Perimeter Protection Analyst Palo Alto Networks ww SCADA & Industrial Control Systems Tiger Team afreire@paloaltonetworks.com
  2. 2. 2 | © 2016, Palo Alto Networks. Confidential and Proprietary. Expansive Partner Ecosystem Virtualization Networking Mobility Security Analytics Enterprise Security 2 | © 2016, Palo Alto Networks. Confidential and Proprietary.
  3. 3. 3 | © 2016, Palo Alto Networks. Confidential and Proprietary. Quaquer um pode se tornar Atacante
  4. 4. 4 | © 2016, Palo Alto Networks. Confidential and Proprietary. Postura de segurança muda o comportamento do Atacante
  5. 5. 5 | © 2016, Palo Alto Networks. Confidential and Proprietary. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Vazamentos Maiores e Mais Frequentes
  6. 6. 6 | © 2016, Palo Alto Networks. Confidential and Proprietary. 21% MS-RPC 15% Web Browsing 11% SMB 10% MS-SQL Monitor 10% MS-Office Communicator 4% SIP 3% Other 2% Active Directory 2% RPC 1% DNS 25% MS-SQL 10 de um total de 1,395 aplicações geraram 97% de todos os logs de exploits Source: Palo Alto Networks, Application Usage and Threat Report. Jan. 2014. 9 dessas aplicações eram voltadas para datacenter Aplicações de datacenter alvo constante ..Atacantes mais próximos ao negócio explorando vulnerabilidades onde a Informação reside
  7. 7. 7 | © 2016, Palo Alto Networks. Confidential and Proprietary. Detecção e Remediação Prevenção Thinking 7 | © 2016, Palo Alto Networks. Confidential and Proprietary.
  8. 8. 8 | © 2016, Palo Alto Networks. Confidential and Proprietary.8 | © 2016, Palo Alto Networks. Confidential and Proprietary. Ciclo da Prevenção ..Controles adotados para prevenção de ameaças na plataforma da Palo Alto Networks
  9. 9. 9 | © 2016, Palo Alto Networks. Confidential and Proprietary. END POINT NETWORK CLOUD 9 | © 2016, Palo Alto Networks. Confidential and Proprietary. Valor da Plataforma de Segurança de Próxima Geração ..Aplicando os controles de preventivos de forma unificada na Cloud, rede e Endpoint.
  10. 10. 10 | © 2016, Palo Alto Networks. Confidential and Proprietary. CLOUD Valor da Plataforma de Segurança de Próxima Geração ..Aplicando os controles de preventivos de forma unificada na Cloud, rede e Endpoint.
  11. 11. 11 | © 2016, Palo Alto Networks. Confidential and Proprietary. Key Challenges in Cloud Computing – Gartner http://www.gartner.com/technology/topics/cloud-computing.jsp
  12. 12. 12 | © 2016, Palo Alto Networks. Confidential and Proprietary. Cloud + Segurança = Desafios à frente
  13. 13. 13 | © 2016, Palo Alto Networks. Confidential and Proprietary. Desafios de Segurança na Nuvem …”Firewalls físicos” podem não enxergar o tráfego Leste-Oeste  Posicionamento do Firewall é projetado em torno da expectativa de segmentação de camada 3 tradicional;  Alterações de configuração de rede necessárias para garantir que os fluxos de tráfego Leste-Oeste sejam inspecionados (alterações manuais, demoradas e complexas);  Necessária a capacidade de inserir segurança de forma transparente para o controle e inspeção do fluxo de tráfego Hypervisor MS-SQL SharePoint Web Front End VM VM VM
  14. 14. 14 | © 2016, Palo Alto Networks. Confidential and Proprietary. • Na nuvem, diferentes aplicações de diferentes níveis de segurança residem dentro de um mesmo servidor: • Tráfego Leste-Oeste entre VMs necessita ser inspecionado; • Segurança baseada em porta e protocolo não é suficiente • Segurança de Próxima Geração virtualizada é necessária para : • Permitir que o tráfego de aplicativos entre VMs com segurança • Proteger contra ataques cibernéticos MS-SQL SharePoint Web Front End Hypervisor VM VM VM Desafios de Segurança na Nuvem …”Recursos de segurança incompletos nas soluções de segurança virtuais existentes”
  15. 15. 15 | © 2016, Palo Alto Networks. Confidential and Proprietary.  Provisionamento de aplicações pode ocorrer em minutos com mudanças frequentes;  Aprovações e configurações de segurança podem demorar semanas / meses;  Políticas de segurança dinâmicas que compreendem o contexto das VMs são necessárias Desafios de Segurança na Nuvem …Políticas estáticas não se adequam ao dinamismo dos workloads virtuais.
  16. 16. 16 | © 2016, Palo Alto Networks. Confidential and Proprietary. SPEAR PHISHING EMAIL EXPLOIT KIT ou INFECTAR USUÁRIO MOVIMENTO LATERAL INFECÇÃO DO DATACENTER COMANDOS DO ATACANTE ROUBO DE DADOS A ameaça em comum dos incidentes Mesmo ciclo de vida de ataque é observado nas redes físicas tradicionais ou virtualizadas
  17. 17. 17 | © 2016, Palo Alto Networks. Confidential and Proprietary. Enterprise Network Tráfego no Datacenter Volume de tráfego Leste-Oeste frequentemente maior que o volume Norte-Sul Tráfego Norte/Sul Tráfego Leste/Oeste 1 MB de Tráfego Norte/Sul = 20 MB tráfego Leste/Oeste
  18. 18. 18 | © 2016, Palo Alto Networks. Confidential and Proprietary. 18 OVERVIEW PALO ALTO NETWORKS NGFW | ©2014, Palo Alto Networks. Confidential and Proprietary.1
  19. 19. 19 | © 2016, Palo Alto Networks. Confidential and Proprietary. Como responder sobre o desconhecido?
  20. 20. 20 | © 2016, Palo Alto Networks. Confidential and Proprietary.  Defesa Ativa como única opção:  Firewall;  DLP;  Antivirus;  IDS/IPS;  WAF;  SOC/NOC;  …  Não fornece visibilidade/contexto sobre ameaças internas ou como responder a elas… Tráfego no Datacenter Planejamento de Sistema de Defesa “Castelo Medieval” ineficaz.
  21. 21. 21 | © 2016, Palo Alto Networks. Confidential and Proprietary. Tráfego no Datacenter Falha das arquiteturas de “legado”. Cada um está parcialmente certo, porém todos estão errados. Design tradicional de segurança falha em entregar visibilidade completa e comunicar contexto para outras tecnologias de segurança
  22. 22. 22 | © 2016, Palo Alto Networks. Confidential and Proprietary. 344 KB172.16.1.10 source IP 64.81.2.23 destination IP tcp/443 destination port file-sharing URL category pdf file type roadmap.pdf file name bjacobs user prodmgmt group canada destination country SSL protocol HTTP protocol slideshare application slideshare-uploading application function unknown URL category shipment.exe file name china destination country . exe file type Guest group bjacobs user slideshare-uploading application function slideshare application Tráfego no Datacenter Contexto completo significa visibilidade, correlação de dados e controle de ameaças.
  23. 23. 23 | © 2016, Palo Alto Networks. Confidential and Proprietary. Tráfego Norte-Sul no Datacenter Firewalls de “hardware”no perímetro. Largura de banda, densidade de portas, HA e roteamento. Enterprise Network Tráfego Norte/Sul
  24. 24. 24 | © 2016, Palo Alto Networks. Confidential and Proprietary. Tráfego Leste-Oeste no Datacenter Firewalls virtualizados. VM’s provisionadas dinamicamente, vMotion e infra compartilhada Enterprise Network
  25. 25. 25 | © 2016, Palo Alto Networks. Confidential and Proprietary. + O que fazer para proteger o datacenter? …Segmentação, Microsegmentação e conceito de Zero Trust Network
  26. 26. 26 | © 2016, Palo Alto Networks. Confidential and Proprietary. The right security framework for the datacenter • Construir uma rede com a filosofia “Zero Trust Network” • Mitigar os riscos atráves da segmentação  Segmentar a rede criando zonas seguras • Controle sobre o fluxo de informações entre zonas • Permitir apenas aplicações, usuários e contéudo requirido para aquele segmento. • Qualquer tráfego que não é complementamente inspecionado = AMEAÇAS NÃO IDENTIFICADAS • Desafio da Cloud Computing • Politícas de segurança alinhada com as mudanças nas aplicações • Integração com softwares de automação e orquestração é uma necessidade. Zero Trust Model  Ensure all resources are accessed in a secure manner  Access control is on a need to known basis and strictly enforced  Inspect and log all traffic Forrester Zero Trust Model …Framework de segurança para Datacenter
  27. 27. 27 | © 2016, Palo Alto Networks. Confidential and Proprietary. Wifi WMS Acessos Externos Sede da EmpresaDepósito Clientes Consumidores Parceiros e Fornecedores Internet Internet Internet Autorizações para transações de cartão de crédito Private WAN Private WAN Private WANLoja Varejo Estação Gerente POVPOVPOV Inventariado/Distribuição Zonas Internet extranet e DMZ ERP & funções corporativas Gerencia Inventário Analytics Outras funções corporativas eCommerce Suporte e gestão de clientes Firewall(s) Firewall Gateway de Internet: • Visibilidade e controle de todo o tráfego Internet • Controle sobre o acesso parceiros / fornecedores (segmentação) • Inspeção de todo o tráfego de ameaças conhecidas e desconhecidas Forrester Zero Trust Model …Segmentação Datacenter tradicional Zero Trust Model
  28. 28. 28 | © 2016, Palo Alto Networks. Confidential and Proprietary. Wifi WMS Acessos Externos Sede da EmpresaDepósito Clientes Consumidores Parceiros e Fornecedores Internet Internet Internet Autorizações para transações de cartão de crédito Private WAN Private WAN Private WANLoja Varejo Estação Gerente POVPOVPOV Inventariado/Distribuição Zonas Internet extranet e DMZ ERP & funções corporativas Gerencia Inventário Analytics Outras funções corporativas eCommerce Suporte e gestão de clientes Firewall(s) Firewall Datacenter: • Perímetro: controle de alto desempenho e inspeção de todo o tráfego • Segmentação em zonas de perfil de segurança semelhantes Forrester Zero Trust Model …Segmentação Datacenter tradicional Zero Trust Model
  29. 29. 29 | © 2016, Palo Alto Networks. Confidential and Proprietary. • Apenas o grupo usuários específicos / usuário pode acessar zona do titular do cartão • "Oracle" é o único aplicativo permitido • Bloquear ameaças de entrada • Bloqueio de saída: Possíveis transferência de dados do titular do cartão • Negar e log de tudo Credit-Card ZoneUsers Zone Forrester Zero Trust Model …Segmentação em Zonas no Enforcement de Política de usuários, aplicações e inspeção ameaças
  30. 30. 30 | © 2016, Palo Alto Networks. Confidential and Proprietary. • Validar aplicações de data center; bloquear aplicações maliciosas • Bloqueio de ameaças conhecidas e desconhecidas • Controle de acesso com base na identidade do usuário • Desempenho da camada de aplicação previsível em até 200 Gbps • Dispositivos de hardware e fatores de forma baseados em chassis PA-7050 PA-5000 Series PA-3000 SeriesPA-7080 Appliances para Datacenter Palo Alto Networks Next Generation Firewall baseados em hardware
  31. 31. 31 | © 2016, Palo Alto Networks. Confidential and Proprietary. Wifi WMS Acessos Externos Sede da EmpresaDepósito Clientes Consumidores Parceiros e Fornecedores Internet Internet Internet Autorizações para transações de cartão de crédito Private WAN Private WAN Private WANLoja Varejo Estação Gerente POVPOVPOV Inventariado/Distribuição Zonas Internet extranet e DMZ ERP & funções corporativas Gerencia Inventário Analytics Outras funções corporativas eCommerce Suporte e gestão de clientes Firewall(s) Firewall Forrester Zero Trust Model …Segmentação Datacenter tradicional Zero Trust Model Datacenter virtualizado: • Visibilidade e controle do tráfego leste-Oeste (VM-to-VM)
  32. 32. 32 | © 2016, Palo Alto Networks. Confidential and Proprietary. A mudança das características do Datacenter…  Em um Software Defined Data Center, todos os elementos da infraestrutura - rede, armazenamento, CPU e segurança - são virtualizados e entregues como um serviço. Software Defined data center (Private Cloud) VM VM VM Virtualized Compute, Network & Storage Hybrid (Private + Public Cloud) Virtualized Compute, Network & Storage VM VM VM Virtualized Compute, Network and Storage VM VM VM Public Cloud  Mudança para infraestrutura dinâmica, escalável, auto-provisionada  Eliminação dos silos computacionais e restrições de onde o workload pode rodar Datacenter de hoje (Servidores Dedicados + virtualização) Hypervisor VM VM
  33. 33. 33 | © 2016, Palo Alto Networks. Confidential and Proprietary. Responsabilidade Compartilhada Responsabilidade Única Software as a Service(SaaS) Public Cloud(IaaS, PaaS) Apps & Data Private Cloud(NSX, OpenStack) Gerenciar os riscos se tornou mais complexo… ..com surgimento de nuvens privadas, públicas, híbridas e Software as a Service (SaaS) …
  34. 34. 34 | © 2016, Palo Alto Networks. Confidential and Proprietary. Segurança de nuvens públicas, privadas e híbridas …com Next-Generation Firewall VM-Series Software Defined Datacenter (SDN) Integration Orchestration Frameworks Hypervisor support Public clouds Microsoft Azure
  35. 35. 35 | © 2016, Palo Alto Networks. Confidential and Proprietary. • Características Consistentes assim como os Next Generation Firewalls baseados em hardware • App-ID • User-ID • Content-ID • Wildfire • Inspeciona e com segurança permite a comunicação intra-host (Tráfego Leste-Oeste) • Rastreia a criação e movimentação das VMs com uso dos Dynamic Address Group objects  Integração de API com orquestração: Automatizar workflows  Gerenciamento Centralizado com uso do Panorama Appliances para Datacenter Palo Alto Networks VM-Series Next Generation Firewall : Software Appliance workloads virtuais
  36. 36. 36 | © 2016, Palo Alto Networks. Confidential and Proprietary. Imperativos para uma arquitetura de segurança preventiva …provendo a segurança de deployments na cloud Proteger Usuários, Aplicações e Dados Automação e Integração Postura de Segurança Unificada e Consistente
  37. 37. 37 | © 2016, Palo Alto Networks. Confidential and Proprietary. Plataforma de Segurança de Próxima Geração • Uso seguro de aplicações dentro dos ambientes híbridos de cloud; • Conceder acesso a usuários com base na necessidade/ identidade dentro e fora de sua nuvem híbrida; • Proteger os dados contra malware conhecidos e desconhecidos Núvens Públicas Nuvem Privada Nuvens Híbridas …arquitetura preventiva para proteção de aplicações, usuários e dados
  38. 38. 38 | © 2016, Palo Alto Networks. Confidential and Proprietary. • Política Unificada para Gerenciamento do ciclo de vida de nuvens públicas privadas e híbridas; • Uso de templates e grupos de dispositos para compartilhar políticas através de todas as nuvens; • Constuir relatórios com dados unificados de todos os deployments de nuvens para atingir requerimentos de conformidade e auditoria. Gerenciamento Centralizado …provendo visibilidade granular através de todos os deployments na nuvem
  39. 39. 39 | © 2016, Palo Alto Networks. Confidential and Proprietary. Configurações do PAN-OS Políticas de Segurança BYOL Atualizações de Software Atualizações de Conteúdo Config Software Licenças Conteúdo Vinculado a um Device Group do Panorama Automação …Automatizar Implementações de Firewalls
  40. 40. 40 | © 2016, Palo Alto Networks. Confidential and Proprietary. VM Monitoring: • Integração nativa com o VMware vCenter e ESXi como VM Fontes de Informação • Consulta por tags e endereços IP • Atualizações para grupos de endereços dinâmicos • Continuação do apoio à fontes de informação personalizadas usando APIs Automação …Integração nativa com Workloads
  41. 41. 41 | © 2016, Palo Alto Networks. Confidential and Proprietary. Dynamic Address Groups …automatizar a atualização de políticas para cargas de trabalho temporárias
  42. 42. 42 | © 2016, Palo Alto Networks. Confidential and Proprietary. Dynamic Address Groups …automatizando a atualização de políticas para cargas de trabalho temporárias
  43. 43. 43 | © 2016, Palo Alto Networks. Confidential and Proprietary. Usuários/Grupos Aplicação (Granular) Threat Prevention Antivirus Anti-Spyware Vulnerability Protection URL Filtering Wildfire • Uma única base de regra unificada. Operacionalmente mais eficiente, mais fácil de demonstrar a conformidade aos auditores • Políticas não usam portas / protocolos de endereços / IP, ao menos que haja necessidade especifica de limitar comunicações para a porta padrão (de serviço) Dynamic address groups para servidores Enforcement de Segurança no Datacenter (Norte-Sul) Dynamic Groups em regras granulares orientadas a aplicação e controles prevenção
  44. 44. 44 | © 2016, Palo Alto Networks. Confidential and Proprietary. VM-Series for Private Clouds
  45. 45. 45 | © 2016, Palo Alto Networks. Confidential and Proprietary. VM-1000-HV Panorama VMware NSX • Inserção dinâmica e transparente do VM-Series como serviço de segurança durante a implantação de workloads; • Atualizações de política de segurança automatizada; • Micro segmentação dos aplicativos e dados; • Prevenção de ameaças conhecidas e desconhecidas; • Proteção contra o movimento lateral de ciberataques VMware NSX e Palo Alto Network’s VM-Series Solução conjunta e seus benefícios
  46. 46. 46 | © 2016, Palo Alto Networks. Confidential and Proprietary. Provê Switching Routing Firewalling Load Balancing VPN Connectivity to Physical VMware NSX e Palo Alto Network’s VM-Series NSX é a reprodução fiel dos Serviços de Rede e Segurança
  47. 47. 47 | © 2016, Palo Alto Networks. Confidential and Proprietary. Logical Switching Logical Routing Load Balancing Physical to Virtual Firewalling & Security One-Click Deployment via Cloud Management Platform VMware NSX e Palo Alto Network’s VM-Series NSX é o conceito de Virtualização da rede trazido pela evolução do Datacenter (SDN)
  48. 48. 48 | © 2016, Palo Alto Networks. Confidential and Proprietary. Internet Security Policy Security Admin Traffic Steering (Direção Tráfego) VMware NSX e Palo Alto Network’s VM-Series Inserção do Palo Alto Networks VM-Series como camada de serviço de segurança
  49. 49. 49 | © 2016, Palo Alto Networks. Confidential and Proprietary. VMware NSX e Palo Alto Network’s VM-Series Conceito de Micro segmentação de Datacenter – Segurança automatizada
  50. 50. 50 | © 2016, Palo Alto Networks. Confidential and Proprietary. VMware NSX e Palo Alto Network’s VM-Series Conceito de Micro segmentação de Datacenter – Segurança automatizada
  51. 51. 51 | © 2016, Palo Alto Networks. Confidential and Proprietary. VM-Series for Public Clouds
  52. 52. 52 | © 2016, Palo Alto Networks. Confidential and Proprietary. • Implantar a segurança de próxima geração com base na demanda de carga de trabalho; • Visibilidade em e controle sobre os aplicativos, não portas; • Segmentação de Aplicações para evitar propagação de malware; • Prevenção de ameaças conhecidas e desconhecidas; • Gerenciamento centralizado e agilidade nas atualizações de políticas AZ1b Palo Alto Networks VM-Series para AWS (Amazon) Aplicabilidade da plataforma de segurança de próxima geração para proteção de workloads públicos
  53. 53. 53 | © 2016, Palo Alto Networks. Confidential and Proprietary.  VPC gateway: - Segurança de Next Generation Firewall para tráfego VPC - Permitir aplicações, prevenção de ameaças conhecidas/desconhecidas e controle de acesso baseado em usuários  Hybrid cloud (IPSec VPN) - Extensão do datacenter físico/nuvem privada para AWS: VPN IPSEC + Segurança Next Generation Firewall  VPC-to-VPC protection - Gateway + híbrido para controlar o tráfego entre VPCs; bloqueio de ameaças conhecidas e desconhecidas de movimento lateral Dev App1 App2 Test App1 App2 App1 App2  GlobalProtect VPN para acesso remoto - Aproveitar a resiliência para usuários remotos - Estender as políticas de segurança de próxima geração para todos os usuários, locais e tipos de dispositivos Palo Alto Networks VM-Series para AWS (Amazon) Exemplos de deployments para nuvens Públicas e Híbridas no ambiente da Amazon
  54. 54. 54 | © 2016, Palo Alto Networks. Confidential and Proprietary. Aumento de tráfego inesperado Evento da Empresa GlobalProtect Client GlobalProtect Portal GlobalProtect Gateway Palo Alto Networks VM-Series para AWS (Amazon) Escalabilidade automática – Aumento ou redução de Instâncias de VM-Series para suportar demandas
  55. 55. 55 | © 2016, Palo Alto Networks. Confidential and Proprietary. Instances AWS Auto Scaling Group (ASG) AWS CloudWatch monitoring alarm ASG Scaling policy Origem Métricas de Alarme Como é usado AWS CPU %, Network, Disk, Instance health Metrics of apps or VM-Series to scale Condição Ação CPU > 60% for 10 minutes Start 2 VM- Series instances Min Size: 2 Max Size: 10 Nova instância provisionada Security Controller aka Worker Node PAN-OS Active Sessions, GP tunnels, DP CPU%.. Security Controller sends via API GP tunnels < 50% for 30 minutes Terminate 1 GP Gateway Palo Alto Networks VM-Series para AWS (Amazon) Escalabilidade automática – Aumento ou redução de Instâncias de VM-Series para suportar demandas
  56. 56. 56 | © 2016, Palo Alto Networks. Confidential and Proprietary. Riscos em Nuvens SaaS EVASÃO MALICIOSA DE INFORMAÇÕES EXPOSIÇÃO ACIDENTAL DE DADOS PROPAGAÇÃO DE MALWARE
  57. 57. 57 | © 2016, Palo Alto Networks. Confidential and Proprietary. Melhores Práticas para SaaS Bloqueio de Malwares na Nuvem Controle de Exposições Conheça seu uso de SaaS Controle o uso de SaaS 1 2 3 
  58. 58. 58 | © 2016, Palo Alto Networks. Confidential and Proprietary. Proteja a Nuvem APERTURE GLOBALPROTECT WILDFIRE NEXT GEN FIREWALL SANCTIONED BUSINESS 1
  59. 59. 59 | © 2016, Palo Alto Networks. Confidential and Proprietary. Entrega de Segurança na Nuvem USER AGNOSTIC Sem necessidade de agentes ou limitações de aplicações PREVINA AMEAÇAS Detecção de Malware através do WildFire POLÍTICAS RETROATIVAS Políticas aplicadas a eventos passados e futuros NETWORK AGNOSTIC Sem mudanças na rede ou novo hardware/software para implementar APERTURE WILDFIRE
  60. 60. 60 | © 2016, Palo Alto Networks. Confidential and Proprietary. Ganhe Visibilidade APERTURE GLOBALPROTECT WILDFIRE NEXT GEN FIREWALL SANCTIONED 2
  61. 61. 61 | © 2016, Palo Alto Networks. Confidential and Proprietary. Complete SaaS Reporting
  62. 62. 62 | © 2016, Palo Alto Networks. Confidential and Proprietary. Controle o Uso APERTURE GLOBALPROTECT WILDFIRE NEXT GEN FIREWALL UNSANCTIONED 6 ADVERTISING SANCTIONED TOLERATED CONSUMER 3 SANCTIONED BUSINESS
  63. 63. 63 | © 2016, Palo Alto Networks. Confidential and Proprietary. Physical ServersVirtualized Servers / Private Cloud Hardware Firewalls Virtual Firewalls Panorama: Central management of all PAN’s REST API External Network, WAN Public Cloud Hardware Firewalls Data Center Network HA Orchestration - REST API - OpenStack - UCS Director - Cisco ACI - NUAGE Wildfire Cloud-Based Threat Intelligence ESXi, KVM, Hyper-V SaaS DropBox, Box.com Aperture Secure Any Cloud Ecossistema de segurança do Datacenter
  64. 64. 64 | © 2016, Palo Alto Networks. Confidential and Proprietary. Obrigado!! afreire@paloaltonetworks.com
  65. 65. 65 | © 2016, Palo Alto Networks. Confidential and Proprietary. Why Palo Alto Networks? Prevention Zero-Day Reduce Risk Policy Visibility Remediation Detection Endpoint Data Center Mobility BYOD Management Vulnerability Responsive Exploit Anti-Malware Forensics Automation Private Cloud Public Cloud Performance Scalability Platform Segmentation Applications Users Control Agile Perimeter Integrated Support Web Security Command-&-Control Virtualization Ecosystem Context Correlation Services People Culture Safe Enablement Application
  66. 66. 66 | © 2016, Palo Alto Networks. Confidential and Proprietary.

×