Melhores práticas para segurança em um mundo multi cloud
•Transferir como PPTX, PDF•
0 gostou•110 visualizações
O documento discute as melhores práticas de segurança em ambientes multi-cloud, destacando que dados e aplicações estão em toda parte, tornando a segurança difícil. É necessária uma abordagem que forneça proteção consistente entre nuvens e localidades, aplicação avançada de prevenção de violações de dados e implementação e gerenciamento sem atrito. A plataforma de segurança operacional da Palo Alto Networks aborda esses desafios com proteções inline, baseadas em API e para hosts, oferecendo segurança preventiva em todos os ambientes.
Recomendados
Mais conteúdo relacionado
Semelhante a Melhores práticas para segurança em um mundo multi cloud
Semelhante a Melhores práticas para segurança em um mundo multi cloud (20)
Melhores práticas para segurança em um mundo multi cloud
- 1. Melhores Práticas de Segurança em um Mundo Multi-Cloud Alexandre Freire afreire@paloaltonetworks.com Enterprise & Industrial Cybersecurity Sales Engineer
- 2. DADOS E APLICAÇÕES ESTÃO EM TODO LUGAR 2 | © 2018, Palo Alto Networks. Confidential and Proprietary. SAAS PRIVATE CLOUD FÍSICO (DATACENTER TRADICIONAL) IAAS PAAS
- 3. PROVER SEGURANÇA DA NUVEM É UMA TAREFA DIFÍCIL 3 | © 2018, Palo Alto Networks. Confidential and Proprietary. Segurança Fragmentada Erros Humanos Segurança Manual
- 4. O QUE É NECESSÁRIO? 4 | © 2018, Palo Alto Networks. Confidential and Proprietary. Implentação e gerenciamentos sem atrito Aplicação Avançada e Prevenção de Violações de Dados Proteção Consistente entre diferentes localidades & Nuvens
- 5. SAASPRIVATE PHYSICAL DADOS E APLICAÇÕES ESTÃO EM TODO LUGAR 5 | © 2018, Palo Alto Networks. Confidential and Proprietary. IAAS PAAS
- 6. APLICAÇÕES ESTÃO UTILIZANDO CADA VEZ MAIS SERVIÇOS DE PAAS 6 | © 2018, Palo Alto Networks. Confidential and Proprietary. On-Premises Aplicação de Cloud WEB Object Storage Caching Database IaaS PaaS Web Server APP App Server
- 7. ABORDAGENS DE SEGURANÇA INSUFICIENTES PARA IAAS/PAAS 7 | © 2018, Palo Alto Networks. Confidential and Proprietary. Segurança Nativa da Cloud Única nuvem Produto Pontual de Segurança de Cloud Escopo limitado Solução de Segurança de Rede (Legado) Nega o valor da Cloud
- 8. ELEMENTOS PRINCIPAIS DA SEGURANÇA DE PUBLIC CLOUD WEB APP Web Server App Server Proteção e segmentação de workloads Cloud INLINE APLICAÇÃO EM CLOUD 1 Infrastructure-as-a-Service (IaaS) 8 | © 2018, Palo Alto Networks. Confidential and Proprietary.
- 9. APLICAÇÃO EM CLOUD Segurança do SO e Aplicações dentro dos workloads WEB APP Web Server App Server HOST Proteção e segmentação de workloads Cloud INLINE 1 2 Infrastructure-as-a-Service (IaaS) ELEMENTOS PRINCIPAIS DA SEGURANÇA DE PUBLIC CLOUD
- 10. APLICAÇÃO EM CLOUD Segurança do SO e Aplicações dentro dos workloads Segurança continua & Compliance API WEB APP Web Server App Server HOST Proteção e segmentação de workloads Cloud INLINE 1 2 3 Infrastructure-as-a-Service (IaaS) OBJECT STORAGE CACHING DATABASE Platform-as-a-Service (PaaS) ELEMENTOS PRINCIPAIS DA SEGURANÇA DE PUBLIC CLOUD
- 11. APLICAÇÃO EM CLOUD Segurança do SO e Aplicações dentro dos workloads OFERTA MAIS COMPLETA PARA SEGURANÇA DE PUBLIC CLOUD Segurança continua & Compliance API WEB APP Web Server App Server HOST Proteção e segmentação de workloads Cloud INLINE Infrastructure-as-a-Service (IaaS) OBJECT STORAGE CACHING DATABASE Platform-as-a-Service (PaaS)
- 13. Proteção e segmentação de workloads Cloud INLINE APLICAÇÃO EM CLOUD WEB APP Web Server App Server Infrastructure-as-a-Service (IaaS) OBJECT STORAGE CACHING DATABASE Platform-as-a-Service (PaaS) Visibilidade de Aplicações e segmentação de workloads Auto-scaling baseado em indicadores Prevenção de ataques externos e internos PROTEGER E SEGMENTAR OS WORKLOADS DE CLOUD - VM-SERIES 13 | © 2018, Palo Alto Networks. Confidential and Proprietary.
- 14. 14 | © 2018, Palo Alto Networks. Confidential and Proprietary. Cloud environment NEW 2013 2014 2015 2016 2017 2018 vCloud Air Google Cloud Deployment Manager Azure App Insights Azure Security Center Google Stackdriver AWS CloudFormation AWS ELB AWS Auto-Scaling Azure Azure ARM Config Drive AWS Lambda Azure App Gateway Azure Load Balancer Heat Templates Advanced Automation Traps for Windows Ambientes de Cloud Aperture for AWS Orquestração e Automação Traps for Linux MAIS DE CINCO ANOS DE INVESTIMENTOS CONTÍNUOS
- 15. AUTOMAÇÃO COM O PALO ALTO NETWORKS VM SERIES VM-Series Metrics Session Utilization % GlobalProtect Tunnel Utilization % Dataplane CPU Utilization % Dataplane Packet Buffer Utilization % SSL Proxy Utilization % Total Active Sessions GlobalProtect Active Tunnels Use as métricas do VM-Series para monitoramento e automação • Monitora o VM-Series a partir dos respectivos portais de gerenciamento de nuvem • Dispara ações baseadas em métricas • Auto Scaling personalizado Ambientes Suportados • Google Cloud Platform StackDriver • Azure Application Insights • AWS CloudWatch (February 2017) Novas métricas podem ser adicionadas através das atualizações de Conteúdo 15 | © 2018, Palo Alto Networks. Confidential and Proprietary.
- 16. ACELERANDO OS DEPLOYMENTS EM CLOUD - COMMUNITY APPROACH https://live.paloaltonetworks.com/cloudtemplate Participação ativa da comunidade para automatizar os deployments em cloud e propor Soluções a desafios. Samples da Palo Alto Networks,clientes e parceiros 16 | © 2018, Palo Alto Networks. Confidential and Proprietary. Diversos novos templates adicionados da AWS, Azure, Ansible and Terraform
- 18. MONITORAMENTO CONTÌNUO & COMPLIANCE EVIDENT 18 | © 2018, Palo Alto Networks. Confidential and Proprietary. API MFA está habilitado? Dados sensíveis expostos? Quais serviços estão rodando? Criptografamos os dados? Evident Descobrir e monitorar recursos Segurança de serviços de storage Report de Compliance EV
- 20. APP WORKLOAD Agente leve Prevenção contra malware e exploits em tempo real Protege workloads sem patches PROTEÇÂO DE HOSTS - TRAPS 20 | © 2018, Palo Alto Networks. Confidential and Proprietary. Prevenção de Ataques Multi-Método Traps Proteção Avançada de Endpoint NEW
- 21. IAAS PAAS 21 | © 2018, Palo Alto Networks. Confidential and Proprietary. PRIVATE PHYSICAL (Datacenter Tradicional) SAAS DADOS E APLICAÇÕES ESTÃO EM TODO LUGAR
- 22. RISCOS DE MULTI-EXPOSIÇÃO DO SAAS 22 | © 2018, Palo Alto Networks. Confidential and Proprietary. Uso descontrolado do SaaS Exposição de dados sensíveis Propagação de malware
- 23. ABORDAGENS DE SEGURANÇA SAAS 23 | © 2018, Palo Alto Networks. Confidential and Proprietary. Segurança Nativa SaaS Escopo limitado Vendors de CASB Segurança limitada Conteúdo de Segurança de Legado Contexto Limitado
- 24. O QUE É NECESSÁRIO PARA UMA SEGURANÇA EFICAZ EM SAAS? 24 | © 2018, Palo Alto Networks. Confidential and Proprietary. Deployment & Gerenciamento “sem atrito” Aplicação Avançada de Prevenção e Violação de Dados Proteção Consistente Entre Todas as Localidades & Clouds
- 25. ENHANCED PROTEÇÃO DE SEGURANÇA PARA SAAS DA PALO ALTO NETWORKS 25 | © 2018, Palo Alto Networks. Confidential and Proprietary. Remote Users Branch Headquarters Unmanaged Devices Managed Devices GlobalProtect Cloud Service NGFW Aperture API Sanctioned Tolerated Unsanctioned Visibilidade de Aplicações SaaS e enforcement granular (in line) Monitora atividade na cloud e protege dados com o Palo Alto Networks Aperture NEW ENHANCED NEW
- 26. PALO ALTO NETWORKS SECURITY OPERATING PLATFORM 26 | © 2018, Palo Alto Networks. Confidential and Proprietary. URL Filtering CLOUD- DELIVERED SECURITY SERVICES WEB Object Storage Caching Database IaaS PaaS Web Server APP App Server 3rd party feeds Customer data Amazon GuardDuty MineMeld Threat Prevention Malware Analysis Sanctioned Tolerated API EV API
- 27. PHYSICAL NETWORK MOBILE PRIVATE CLOUD POSTURA DE SEGURANÇA PREVENTIVA EM TODOS OS LUGARES 27 | © 2018, Palo Alto Networks. Confidential and Proprietary. IAAS SAAS PAAS
- 28. Obrigado! Email: afreire@paloaltonetworks.com Twitter: Afreire_ Linkedin: linkedin.com/in/afreire
Notas do Editor
- Há uma enorme quantidade de valor comercial que você pode obter da nuvem. Mas há muitos desafios em adotar essas nuvens com segurança. A verdadeira questão é como podemos abordar a nuvem a partir de uma perspectiva de segurança para obter realmente o benefício total da nuvem. Quando você diz a palavra nuvem, ela traz alguns casos de uso primários diferentes. Certamente, há muita atividade em torno de uma aplicação tradicional de datacenter e sua implantação em um ambiente de nuvem privada que seja dinâmico e automatizado e na infraestrutura que você possui. Além disso, a nuvem pública pode oferecer um enorme valor se você quiser aproveitar a infraestrutura e a plataforma como um serviço. E, finalmente, os aplicativos SaaS são realmente fáceis de adotar e geram vários benefícios de produtividade e colaboração para seus funcionários Nós vemos que a maioria de nossos clientes jã fazem uso nao de apenas um workload mas de diversos. Isso é ótimo e, na verdade, você pode obter uma enorme quantidade de valor ao consumir e implantar essas aplicações em diferentes workloads mas devemos observar que isso traz alguns desafios..
- Ao tentar atender às suas necessidades de segurança na nuvem, você começa a adquirir várias ferramentas de segurança para casos de uso de segurança específicos. E, se você não está prestando atenção, você pode acabar em uma arquitetura de segurança muito fragmentada, que pode ser impossível de operar. Então, à medida que você migra para a nuvem, existe tambem o risco de acabarmos usando os processos de segurança manuais, que sao usados no data center físico, e migrá-los para a nuvem. Isso não funciona, pois fica muito difícil gerenciar políticas e investigar incidentes em vários ambientes de nuvem e várias ferramentas. E, finalmente, pequenos erros humanos na nuvem são amplificados rapidamente. Esses erros podem acabar expondo dados muito sensíveis à Internet, onde você tem bots / scripts em execução para procurar esses vazamentos de dados públicos. (exemplo: crie uma nova máquina virtual na AWS com um IP público e você verá que ela está sendo investigada em segundos) E, finalmente, se você adotar a abordagem correta, esses desafios podem ser superados
- A Abordagem correta começa com grande segurança. Não acreditamos que você precise comprometer a segurança para aproveitar todos os benefícios da nuvem. Precisamos ser capazes de e fornecer segurança consistente em qualquer lugar onde seus aplicativos possam ser implantados. Precisamos também lutar contra o desafio da segurança fragmentada. Por ultimo, todas essas capacidades necessitam ser fáceis de serem implementadas e de forma dinamica para que a segurança seja movida e provisionada automaticamente ao mesmo tempo em que os workloads, ou seja, as cargas de trabalho são movidas na nuvem. Precisamos preencher a lacuna entre equipes de segurança altamente controladas e equipes de desenvolvimento que são extremamente ágeis.
- Agora, vamos ver como podemos aplicar esses princípios de segurança na nuvem aos serviços de nuvem pública – mais especificamente Infrastructure as a Service e Platform as a Service.
- A arquitetura para aplicacoes em nuvem está mudando rapidamente. Se estivéssemos tendo essa conversa há apenas alguns anos, provavelmente nós estaríamos falando sobre o levantamento e a mudança de aplicações do datacenter para a nuvem pública no conceito de “as is”, ou seja, essencialmente , nao mudariamos nada além do local de onde as aplicacoes são hospedadas. Mas Hoje, se você arquitetou um aplicativo para a nuvem, observamos que os desenvolvedores estão aproveitando cada vez mais a infraestrutura como serviço combinada com a plataforma como um serviço para criar esse aplicativo na nuvem. Existem muitos benefícios nessa abordagem, mas ela apresenta também uma série de aspectos e desafios que várioss para sua correta adoção.
- Se observarmos como a indústria está lidando com esses desafios, as abordagens usadas hoje são insuficientes. De um modo geral, as abordagens podem ser resumidas em três grupos: A segurança nativa da nuvem são recursos de segurança disponíveis nas próprias plataformas de nuvem - como a AWS, que fornece grupos de segurança ou serviços de segurança. Essa abordagem não é ruim, mas normalmente eles não têm uma perspectiva de segurança e certamente não ajuda na consistência entre todas as nuvens. Os produtos pontuais podem dar a impressão de que você conclui o trabalho depois de integrá-los, mas percebemos que a maioria dessas ferramentas realmente se concentram em casos de uso bastante específicos. Esses produtos também podem ser altamente automatizados e projetados para a nuvem, mas não são projetados para segurança de nível corporativo, pois foram projetados para serem ininterruptos. E por ultimo, As ferramentas de segurança de rede de legado são aquelas que você herda de seus ambientes físicos de datacenter e tentam encaixá-las na nuvem com a esperança de que ela atenda às suas necessidades. Infelizmente, em grande parte das vezes, você não tem a segurança de que precisa e essas tecnologias de legado vão atrapalhar na adoção de todo potencial e beneficio do dinamsmo que a nuvem tem a oferecer
- Agora, ao pensarmos sobre a arquitetura atual de aplicacoes, acreditamos que a segurança precisa ser abordada de maneira diferente. Ainda começamos com a segurança em linha - com a capacidade de proteger e segmentar o tráfego que chega as aplicacoes, o tráfego entre aplicacoes e o trafego que sai das aplicacoes. Este ainda é um local muito crítico em que a segurança deve ser implementada.
- E então, nós temos o host. Há uma oportunidade única para proteger a aplicação e o sistema operacional dentro da própria carga de trabalho. Em particular, isso pode ajudar a detectar e impedir até mesmo ataques de 0 day – o que chamamos de dia zero – os ataques que nunca foram vistos antes.
- Além disso, percebemos que os serviços IaaS e PaaS expõem um conjunto muito rico de APIs dessas plataformas em nuvem que fornecem informações ricas sobre como esses serviços estão sendo consumidos, configurados e implementados pelos desenvolvedores.
- Todos os três recursos precisam ser combinados para fornecer proteções críticas. A Palo Alto Networks implementa a proteção desses workloads com o uso do que chamamos de Plataforma de Segurança Operacional – que é compreendido pelo VM Series, que é a nossa solução para segurança embutida com recursos completos do NGFW projetados e arquitetados para a nuvem. Em seguida temos o Palo Alto Networks Traps, projetado para proteger o host e evitar a proliferação de ataques de exploits e proteção contra malware moderno. Em terceiro temos o Evident.IO, que se concentra na coleta de informações críticas por meio de APIs para serviços de IaaS e PaaS. Dessa forma observamos a segurança arquitetada na nuvem com diferentes tecnologias se unindo para fornecer proteções críticas para um ambiente extremamente dinamico e com a necessidade de implementarmos a segurança sem impactar na velocidade, no dinamismo e em toda a flexibilidade traziada pelos diferentes provedores de public cloud.
- Vamos agora falar sobre segurança em linha. Com o Palo Alto Networks VM-Series, é possível obter todos os recursos do NGFW para fornecer três funções principais: Podemos ajudar a impedir ataques de hackers externos que tentam comprometer seu ambiente de nuvem. Além disso, mesmo que um de seus workloads esteja comprometido internamente, é possivel ter todos os controles para evitar a exfiltração de dados de dentro de seu ambiente de public cloud. O VM-Series também está no local perfeito para fornecer visibilidade no nível de aplicação, muito alem da tradicional porta e protocolo para analisar com profundidade o tráfego de entrada / saída, bem como o trafego entre os workloads dentro da propria nuvem. Por exemplo, devemos ser capazes de criar políticas que especifiquem que os serviços de banco de dados podem apenas conversar com os workloads de aplicações através do protocolo MySQL. À medida que suas demandas de nuvem aumentam, a segurança deve ser capaz de escalar com seus aplicativos. O VM Series tem a capacidade de dimensionar automaticamente à medida que as novas cargas de trabalho aumentam e reduzir quando o pico de demanda voltar a cair. Também é importante observar que as políticas são totalmente automatizadas, e você não precisa adicionar / remover workloads manualmente de sua política. Este é o tipo de segurança onde conseguimos extrair o melhor da nuvem sem impactar em seu dinamismo implementando segurança de forma a não provocar atritos com a operação de seu ambiente.
- Nós investimos muitos anos e evoluimos o Palo Alto Networks VM Series no conceito de enforcement de segurança, ou no que podemos chamar de segurança em linha, para ambientes de cloud privada e cloud publica. Datando todo o caminho de volta para o final de 2012 / início de 2013, onde introduzimos o suporte para o primeiro hypervisor, o VMWare ESX, tivemos ao longo dos anos uma evolução continua em nossos investimentos que não só se estenderam por várias plataformas e hypervisors de nuvem, mas na metade inferior deste slide você pode ver que nos concentramos fortemente em extrair o melhor dos provedores de nuvem a partir da automação e orquestração. Em 2018 anunciamos agora o suporte para toda uma nova plataforma de nuvem, o Google Cloud Platform. Temos já uma parceria de longo prazo com AWS e Azure, e adicionamos vários novos recursos para tratar de novos casos de uso - incluindo a capacidade de suportar o VPC de Transito no conceito de Services VPC, os recursos avançados de dimensionamento automático da AWS com uso do auto scaling e juntamente com a nova integração na Central de Segurança do Azure para permitir a automação completa da segurança em seu ambiente do Microsoft Azure
- Os clientes estão usando serviços de automação e de nuvem nativa para construir arquiteturas centradas em nuvem que sejam seguras, resilientes e escaláveis. Eles estão usando ferramentas prontamente disponíveis, como CloudWatch, CloudTrail, Application Insights e StackDriver, para monitorar e reagir a alterações no ambiente. Ao exportar métricas do PAN-OS para essas ferramentas, o VM-Series pode ser monitorado e gerenciado junto com o restante dos recursos de nuvem. As métricas do PAN-OS podem ser exportadas para o Azure e Google Cloud Platform ingressando no suporte ja existente da WS. Além disso, se outras métricas precisarem ser adicionadas à lista de exportação, poderemos fazê-las por meio de atualizações de conteúdo, permitindo que continuemos avançando na introdução de novos produtos e serviços no mercado e também na na velocidade da nuvem.
- Este é um novo front end github no site da comunidaderojetado para ajudar os usuarios de nossa plataforma a encontrarem r recursos para resolver desafios de nuvem pública com contribuições de ambas as redes palo alto networks, comunidade de clientes / parceiros em geral. Entao esse endereço, que ja esta no ar, é o nosso repositorio publico de scripts e templates para auxiliar em diferentes cenarios de orquestracao e automatização em diferentes cenários que vao potencializar ainda mais a adoção da Palo Alto Networks para adequação a diferentes necessidades de proteção de workloads publicos.
- Nós falamos sobre uma abordagem baseada em API como uma das três proteções críticas. Como descrevemos anteriormente, o design das aplicações evoluiu ao longo dos anos para incluir agora os componentes Infrastructure as a service e platform as a service. O Evident Monitoring & Compliance permite que as organizações gerenciem proativamente o risco de segurança na nuvem, minimizando a superfície de ataque e melhorando a postura geral de segurança a partir de uma Visibilidade e controle automatizados e contínuos da segurança em uma infraestrutura multicloud. A partir do Evident é possivel manter rigorosos controles de segurança, Monitorando, testando e fornecendo uma visão prática de todas as verificações de conformidade passiveis de serem testadas. -----------------------------
- As aplicações consomem vários componentes e serviços - às vezes até mesmo código aberto. À medida que novas vulnerabilidades são expostas, é impossível corrigir suas aplicações instantaneamente. Como fazemos para nos mantermos protegidos contra explorações de zero day? Como atuamos para fazer a prevenção da integridade de um sistema operacional ou de uma aplicação? Benefícios e funções do Palo Alto Networks Traps para ambientes de cloud publica incluem a capacidade de prevenção em tempo real tempo contra incidencia de exploits e proliferação de malware moderno com a capacidade de proteger, inclusive, aqueles workloads que ainda nao possuem patches de segurança aplicados. Na ultima versão recem lançada do Palo Alto Networks Traps, fizemos a extensao para que o Traps passasse a proteger, inclusive, servidores Linux e Windows em diferentes workloads de public cloud.
- Vamos mudar o foco para o SaaS. É a forma mais fácil de aplicativos em nuvem. Muito fácil de adotar e migrar. É tão fácil que qualquer funcionário da empresa pode decidir usar qualquer aplicacao SaaS. Quando falamos de aplicacoes Saas falamos de um box, um dropbox, Office365, sharepoint, google drive.... Isso levou à consumerização de TI - uma grande quantidade de dados corporativos agora armazenados em aplicativos que podem não ser controlados pela TI. Há uma razão pela qual precisamos abordar esse desafio separadamente. Os requisitos de segurança são os mesmos, mas a abordagem é bem diferente. why we need to address this challenge separately. The security requirements are the same, but the approach is very different. Let’s dive in to understand why.
- Então, quando falamos sobre adoção descontrolada de SaaS, o desafio está claramente presente em todas as organizações hoje. Os funcionários usam aplicativos SaaS gratuitos ou pagos com seus próprios recursos e armazenam dados na nuvem que podem ser confidenciais. Os dados não estão mais sob controle das empresas e a visibilidade é muitas vezes perdida. Mesmo que os fornecedores de SaaS façam o possível para proteger os dados, não é responsabilidade deles no final decorrendo em um enorme risco de exposição a dados confidenciais. Isso pode ser tão simples quanto um funcionário que compartilha algo publicamente ou compartilhar algo com a pessoa errada, um grupo ou até mesmo alguém externamente. E muito comum também que funcionários e fornecedores que não estão mais trabalhando com a empresa, continuarem acessando informacoes ... Ja existiram inumeros casos de funcionarios que estavam deixando a empresa definindo todas as pastas para serem compartilhadas publicamente ou com um endereço de email externo para roubar os dados. Os aplicativos SaaS se tornam um novo ponto de entrada e distribuição de malware. O SaaS adiciona uma nova dimensão de risco aqui, pois os invasores podem simplesmente plantar um arquivo em uma pasta compartilhada onde o artefato será automaticamente sincronizado com todos os membros dessa pasta, incluindo todos os dispositivos de propriedade dos usuários.
- Observamos lgumas mudanças interessantes na indústria para resolver esses desafios. As abordagens no mercado hoje são semelhantes ao que você viu para a segurança de Infrastreucture as a service e platform as a service. Certamente insuficiente, o que leva à fragmentação e segurança manual para o seu ambiente SaaS. fornecedores de SaaS, como o Office 365 e o Box, todos eles investiram no fornecimento de recursos básicos de segurança em cada um desses aplicativos. O problema é que você será forçado a gerenciar políticas separadamente em cada nuvem. Todos nós sabemos que hoje a maioria das organizações empresariais adota de 20 a 30 aplicacoes sancionadas. Como você pode ver, a sobrecarga de gerenciamento pode se tornar muito complexa muito rapidamente. No que se tange aos Fornecedores de CASB - este mercado evoluiu muito rapidamente. A maioria dos fornecedores são essencialmente produtos pontuais. Outra pergunta importante é se realmente precisamos implantar uma nova rede de sobreposição de proxy apenas para controlar o tráfego de SaaS. As abordagens tradicionais introduzem uma grande complexidade no ambiente. Sobre a Segurança de Legado , Os Web proxies se encaixam para fornecer alguns recursos de segurança em linha. Porém, é importante lembrar que ferramentas como proxies têm um contexto muito limitado para aplicativos na nuvem. Quando você carrega um arquivo no Sharepoint, os proxies informam que os dados foram carregados no Sharepoint. Mas eles não podem dizer se o arquivo foi enviado para uma pasta que foi publicamente exposta. Ou, um determinado departamento tem acesso a essa pasta que pode ser contra a conformidade. Esse tipo de pergunta só pode ser respondida se você implantar uma abordagem in-line e baseada em API para a segurança SaaS ---------------------------------
- Quando falamos sobre os cenarios desejados para uma segurança eficaz em SAAS precisamos levar em consideração a necessidade de nos integramos a grande parte dos provedores para controlarmos todos os fatores de riscos que possam estar associados ao mau uso das aplicações. Tambem, faz-se necessario que esses controles sejam implementados de forma a garantir a cobertura da proteção de forma consistente entre todas as localidades e em diferentes provedores de SAAS. Por ultimo é muito importante que o deployment da segurança SAAS seja realizada a partir de uma integração fácil,e sem gerar atritos em relacao ao funcionamento das aplicacoes.
- Nossa abordagem à segurança SaaS é única no setor. Se você já está usando o nosso NGFW, é realmente um excelente ponto de partida. Você já tem uma visibilidade muito boa sobre quem está usando o aplicativo SaaS e quantos dados estão sendo enviados para esses aplicativos. O NGFW realmente fornece os recursos embutidos que você precisa para segurança SaaS. Temos diversos novos recursos no PAN-OS 8.1 que realmente se concentram no gerenciamento do seu risco de SaaS. Todos esses recursos agora são estendidos também ao nosso serviço GlobalProtect Cloud Services. . Com o GPCS, agora você pode ter um CASB inline totalmente entregue na nuvem, sem a necessidade de implantar nenhum hardware. Além disso, para seus aplicativos sancionados, onde a maioria de seus dados confidenciais provavelmente residirão, você precisará de controles mais profundos. É onde o Aperture se encaixa. Ele usa APIs ricas para se conectar com os aplicativos SaaS para fornecer proteções SaaS críticas, como DLP, rastreamento de atividades do usuário, classificação avançada de dados e muito mais recursos. Para uma segurança SaaS abrangente, você realmente precisa de proteções inline e baseadas em APIs para que possa enfrentar o desafio do Shadow IT, bem como aprofundar a atividade dentro de seus aplicativos sancionados.
- Como podemos juntar tudo isso? Nossos serviços de segurança fornecidos na nuvem são a inteligência de ameaças globalmente compartilhadas e que alimentam todos os componentes da nossa plataforma. Se houver uma carga desconhecida identificada pelo Traps, podemos detonar a carga útil, identificar se ela é mal-intencionada e compartilhar essas informações com o restante da plataforma. Dessa forma, o VM-Series pode impedir que o malware se propague pela rede e bloqueie qualquer comunicação C & C. O Evident IO pode checar por itens em nao comformidade e falhas operacioais enquanto o Aperture pode garantir que a carga útil não apareça em nenhum dos serviços de armazenamento nem realize atividades anômalas no ambiente de nuvem. Agora você pode entender o poder de uma abordagem de plataforma para proteger sua plataforma de nuvem.
- Bem prezados, chegamos ao fim de nossa apresentacao com o principal objetivo de transmitir a mensagem de que nosso objetivo é proteger toda a organização independente de onde o workload esteja rodando. Cloud Publica, Cloud Privada, Aplicacoes Saas, on primeses datacenter, rede tradicional... Protecoes consistentes e automatizadas para todos os seus locais, nuvens e usuários. Muito obrigado pela sua participação. Vamos permanecer por alguns minutos para responder possiveis duvidas através do Q&A da ferramenta. Tenham um bom dia.