10 июля 2017

Обзор решения Palo Alto NGFW

Друзья-специалисты в области информационной безопасности!
В своей работе в течение последнего времени мне всё чаще и чаще приходится сталкиваться с устройствами Palo Alto Networks. И, что не может не радовать, впечатления от этих устройств сплошь позитивные. На этот раз я решил подготовить небольшой обзор.
Palo Alto NGFW — одно из самых известных и популярных решений, предоставляющих функционал межсетевого экранирования следующего поколения. Компания предоставляет широкую линейку аппаратных платформ, способных обеспечить защиту как небольшого офиса в составе 15−20 рабочих станций, так и ЦОД. Кроме аппаратных решений, присутствуют и virtual appliance.
Нам же в очередной раз посчастливилось поработать с моделью PA3020 — одной из наиболее часто встречающихся моделей, ориентированной на представителей среднего и крупного бизнеса. Нельзя не отметить, что в комплекте с самим устройством нам был предоставлен полный набор подписок, позволяющих оценить все функциональные возможности решения.
Palo Alto NGFW - PA 3020
Один из наиболее популярных вариантов — PA 3020
В общем-то, Palo Alto сам по себе не только МЭ, функционал устройства весьма хорош: тут и система предотвращения вторжений, включающая различные средства для борьбы с malware, CnC-центрами и прочими зловредами, и возможность анализа трафика, и фильтрация по содержимому, и фильтрация по URL с внушительным списком различных категорий сайтов, включая различные российские площадки, и возможности для построения VPN-сетей, и идентификация пользователей, и многое другое.
Что обязательно следует отметить — как это всё управляется. Одним словом — шикарно! Вендор предоставляет возможность настройки устройства через web-интерфейс и этот web-интерфейс получился очень и очень удачным. Настолько удобного решения в плане настройки на моей памяти ещё не встречалось. Помимо веб-интерфейса, на радость любителям старой школы, присутствует и SSH, и консольный доступ.
Теперь же пройдемся по модулям чуточку более подробно.

Межсетевой экран

Классический МЭ, как он есть. Но и тут есть одна приятная фишка: Palo Alto обладает весьма богатой базой знаний различных сервисов. Вряд ли придётся гуглить и вбивать порты руками для настроек доступа для какой-нибудь не очень известной службы или сервиса, скорее всего, служба уже окажется в базе Palo Alto, достаточно лишь будет вбить её название. Мелочь, а приятно.

Система обнаружения и предотвращения вторжений

Этот модуль уже интереснее.
Помимо классической обширной базы различных сетевых и malware сигнатур, что далеко не редкость на сегодняшний день, устройство обладает ещё несколькими интересными фичами, часть из которых, насколько мне известно, экслюзив:
  • несколько различных способов блокировки зловредов, включая живую базу WildFire и correlation-based способы выявления атак;
  • пассивный сканер DNS-запросов, «на лету» обнаруживающий появление какого-либо CnC-сервера и блокирующий попытки подключения к нему;
  • работа с файлами в режиме «онлайн», позволяющая как блокировать файлы определённого типа, так и обрабатывать их потоковым антивирусом;
  • корреляционные движки, позволяющие быстро и наглядного определить, что же произошло в вашей сети в процессе расследования инцидента.
Далее. Возможности идентификации пользователей. Весьма полезная фича в условиях больших компаний. Необходимо заблокировать доступ до Facebook всей компании, но оставить его HR-отделу? Нет ничего проще, не надо устанавливать HR статичные IP-адреса или, упаси Боже, выделять им отдельную подсеть с последующей настройкой половины сетевого оборудования компании. Просто подключаемся к имеющемуся домену и настраиваем необходимые правила. И никаких агентов не требуется. С терминальными серверами чуточку сложнее: агент установить все же потребуется, но пока на рынке нет решения, позволяющего обойти эту проблему (по крайней мере, я о нём не слышал).
Сверху всё это необходимо приправить способностью анализа шифрованного трафика в режиме transparent proxy с возможностью блокирования всех неподдающихся анализу пакетов и, вуаля! У нас на руках полная и прозрачная карта трафика без каких-либо белых пятен. А отчёты по всему полученному и пойманному можно получить в формате PDF, при этом для их вычитывания не следует проходить специальное обучение — всё интуитивно понятно, ребята из Palo Alto Networks постарались и тут.
Полноценная настройка всех перечисленных функций позволяет практически свести на ноль возможность компрометации сети извне. А вкупе с клиентскими агентами, тесно интегрирующимися с устройством и заменяющим классический антивирус, сеть превращается в настоящую крепость.

Сетевые возможности

Честно говоря, мне не приходилось работать с более удобным в плане сетевого взаимодействия устройством. «Из коробки» устройство предлагает установить себя в режиме «virtual wire», как этакий прозрачный коммутатор. Но, если требуется более сложная интеграция, то вариантов — миллион. Устройство поддерживает различные популярные протоколы динамической маршрутизации (OSPF, BGP, RIP), возможность агрегации каналов (LACP), протокол обмена данными LLDP и VPN, поддерживающий популярные алгоритмы шифрования и авторизации. Естественно присутствуют и базовые функции вроде NAT, поддержка 802.1q (VLAN), QoS/DSCP, DHCP и прочее. Всё очень просто настраивается и работает.
Что важно: в случае развертывания кластера есть возможность развернуть комплекс в режиме active/active. Active/passive, конечно, тоже доступен, но по понятным причинам он гораздо менее интересен.

Ложка дегтя

Куда ж без неё? За всё когда-то приходится платить. И Palo Alto — не исключение. Цена кусается, она действительно очень высока. Но взамен Вы получаете реально работающее решение, интеграция которого хоть и отнимет у Вас некоторое время, но не потребует привлечения трёх дюжин специалистов, а также прохождения интересных и увлекательных квестов под названием «Как всё вернуть как было, пока никто ничего не заметил?»
Сюда, не без сожаления, отнесу я и работу потокового антивируса. Где-то год назад мы тестировали антивирусные функции Palo Alto и нескольких его одноклассников. Из двух сотен свежих вирусов (или около того) потоковый антивирус показал результат в 11 пойманных, что огорчило. Но, стоит заметить, что конкуренты Palo Alto показали ещё более удручающий результат. К сожалению, в этот раз протестировать антивирус не удалось. Очень надеюсь, что с тех пор функция была существенно доработана.

Краткий итог

Лично у меня это, пожалуй, любимое решение. Обладающее впечатляющим функционалом, предоставляющее массу возможностей, очень удобное и приятное в эксплуатации. Если, конечно, закрыть глаза на цену.
Стоит ли её платить? Никогда не узнаете, пока не попробуете. Все ведь относительно! Закажите у нас пилотный проект — это бесплатно. Мы инсталлируем тестовое устройство в вашу инфраструктуру и у вас появится возможность по достоинству оценить решение. Да и за пару недель пилотной эксплуатации всегда можно обнаружить массу интересных событий, происходящий в вашей сети и неизвестных практически никому. Пробуйте!
Ну, а совсем на конец я предоставляю Вам квадрант Gartner за май 2016 года по Enterprise Network Firewalls. Как говорится, комментарии излишни.
Филипп Заболотный
Ведущий инженер, Акрибия
Gartner Enterprise security firewalls, may 2016
Магический квадрант Gartner, категория Enterprise Security Firewalls, май 2016 года
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме