Обзор решения Palo Alto NGFW

Друзья-специалисты в области информационной безопасности!

В своей работе в течение последнего времени мне всё чаще и чаще приходится сталкиваться с устройствами Palo Alto Networks. И, что не может не радовать, впечатления от этих устройств сплошь позитивные. На этот раз я решил подготовить небольшой обзор.

Palo Alto NGFW — одно из самых известных и популярных решений, предоставляющих функционал межсетевого экранирования следующего поколения. Компания предоставляет широкую линейку аппаратных платформ, способных обеспечить защиту как небольшого офиса в составе 15−20 рабочих станций, так и ЦОД. Кроме аппаратных решений, присутствуют и virtual appliance.

Нам же в очередной раз посчастливилось поработать с моделью PA3020 — одной из наиболее часто встречающихся моделей, ориентированной на представителей среднего и крупного бизнеса. Нельзя не отметить, что в комплекте с самим устройством нам был предоставлен полный набор подписок, позволяющих оценить все функциональные возможности решения.

В общем-то, Palo Alto сам по себе не только МЭ, функционал устройства весьма хорош: тут и система предотвращения вторжений, включающая различные средства для борьбы с malware, CnC-центрами и прочими зловредами, и возможность анализа трафика, и фильтрация по содержимому, и фильтрация по URL с внушительным списком различных категорий сайтов, включая различные российские площадки, и возможности для построения VPN-сетей, и идентификация пользователей, и многое другое.

Что обязательно следует отметить — как это всё управляется. Одним словом — шикарно! Вендор предоставляет возможность настройки устройства через web-интерфейс и этот web-интерфейс получился очень и очень удачным. Настолько удобного решения в плане настройки на моей памяти ещё не встречалось. Помимо веб-интерфейса, на радость любителям старой школы, присутствует и SSH, и консольный доступ.

Теперь же пройдемся по модулям чуточку более подробно.

Классический МЭ, как он есть. Но и тут есть одна приятная фишка: Palo Alto обладает весьма богатой базой знаний различных сервисов. Вряд ли придётся гуглить и вбивать порты руками для настроек доступа для какой-нибудь не очень известной службы или сервиса, скорее всего, служба уже окажется в базе Palo Alto, достаточно лишь будет вбить её название. Мелочь, а приятно.

Этот модуль уже интереснее.

Помимо классической обширной базы различных сетевых и malware сигнатур, что далеко не редкость на сегодняшний день, устройство обладает ещё несколькими интересными фичами, часть из которых, насколько мне известно, экслюзив:

• несколько различных способов блокировки зловредов, включая живую базу WildFire и correlation-based способы выявления атак;
• пассивный сканер DNS-запросов, «на лету» обнаруживающий появление какого-либо CnC-сервера и блокирующий попытки подключения к нему;
• работа с файлами в режиме «онлайн», позволяющая как блокировать файлы определённого типа, так и обрабатывать их потоковым антивирусом;
• корреляционные движки, позволяющие быстро и наглядного определить, что же произошло в вашей сети в процессе расследования инцидента.

Далее. Возможности идентификации пользователей. Весьма полезная фича в условиях больших компаний. Необходимо заблокировать доступ до Facebook всей компании, но оставить его HR-отделу? Нет ничего проще, не надо устанавливать HR статичные IP-адреса или, упаси Боже, выделять им отдельную подсеть с последующей настройкой половины сетевого оборудования компании. Просто подключаемся к имеющемуся домену и настраиваем необходимые правила. И никаких агентов не требуется. С терминальными серверами чуточку сложнее: агент установить все же потребуется, но пока на рынке нет решения, позволяющего обойти эту проблему (по крайней мере, я о нём не слышал).

Сверху всё это необходимо приправить способностью анализа шифрованного трафика в режиме transparent proxy с возможностью блокирования всех неподдающихся анализу пакетов и, вуаля! У нас на руках полная и прозрачная карта трафика без каких-либо белых пятен. А отчёты по всему полученному и пойманному можно получить в формате PDF, при этом для их вычитывания не следует проходить специальное обучение — всё интуитивно понятно, ребята из Palo Alto Networks постарались и тут.

Полноценная настройка всех перечисленных функций позволяет практически свести на ноль возможность компрометации сети извне. А вкупе с клиентскими агентами, тесно интегрирующимися с устройством и заменяющим классический антивирус, сеть превращается в настоящую крепость.

Честно говоря, мне не приходилось работать с более удобным в плане сетевого взаимодействия устройством. «Из коробки» устройство предлагает установить себя в режиме «virtual wire», как этакий прозрачный коммутатор. Но, если требуется более сложная интеграция, то вариантов — миллион. Устройство поддерживает различные популярные протоколы динамической маршрутизации (OSPF, BGP, RIP), возможность агрегации каналов (LACP), протокол обмена данными LLDP и VPN, поддерживающий популярные алгоритмы шифрования и авторизации. Естественно присутствуют и базовые функции вроде NAT, поддержка 802.1q (VLAN), QoS/DSCP, DHCP и прочее. Всё очень просто настраивается и работает.

Что важно: в случае развертывания кластера есть возможность развернуть комплекс в режиме active/active. Active/passive, конечно, тоже доступен, но по понятным причинам он гораздо менее интересен.

Куда ж без неё? За всё когда-то приходится платить. И Palo Alto — не исключение. Цена кусается, она действительно очень высока. Но взамен Вы получаете реально работающее решение, интеграция которого хоть и отнимет у Вас некоторое время, но не потребует привлечения трёх дюжин специалистов, а также прохождения интересных и увлекательных квестов под названием «Как всё вернуть как было, пока никто ничего не заметил?»

Сюда, не без сожаления, отнесу я и работу потокового антивируса. Где-то год назад мы тестировали антивирусные функции Palo Alto и нескольких его одноклассников. Из двух сотен свежих вирусов (или около того) потоковый антивирус показал результат в 11 пойманных, что огорчило. Но, стоит заметить, что конкуренты Palo Alto показали ещё более удручающий результат. К сожалению, в этот раз протестировать антивирус не удалось. Очень надеюсь, что с тех пор функция была существенно доработана.

Лично у меня это, пожалуй, любимое решение. Обладающее впечатляющим функционалом, предоставляющее массу возможностей, очень удобное и приятное в эксплуатации. Если, конечно, закрыть глаза на цену.

Стоит ли её платить? Никогда не узнаете, пока не попробуете. Все ведь относительно! Закажите у нас пилотный проект — это бесплатно. Мы инсталлируем тестовое устройство в вашу инфраструктуру и у вас появится возможность по достоинству оценить решение. Да и за пару недель пилотной эксплуатации всегда можно обнаружить массу интересных событий, происходящий в вашей сети и неизвестных практически никому. Пробуйте!

Ну, а совсем на конец я предоставляю Вам квадрант Gartner за май 2016 года по Enterprise Network Firewalls. Как говорится, комментарии излишни.

Филипп Заболотный
Ведущий инженер, Акрибия