C'est une question bien légitime pour tous les possesseurs du Firewall Next Generation en haut à droite du Gartner. Si vous voulez avoir des informations très précises et exhaustives, Palo Alto a mis à disposition dans sa base de documentation un pdf de 152 pages présentant toutes celles-ci… (https://live.paloaltonetworks.com/docs/DOC-6602) Sinon vous trouverez dans la suite de cet article un petit résumé des features que j'estime comme les plus intéressantes à vous présenter.
- Support de Hardware Security module
La version 6 de Palo Alto supporte désormais cet équipement de gestion de clés digitales. En activant cette fonctionnalité, le firewall Palo Alto répond directement aux requêtes DNS pour des domaines considérés comme malicieux par une adresse IP particulière. Ainsi le PA peut repérer le client infecté lorsqu'il effectue une requête à destination de cette même IP. Avant cette fonctionnalité, seul le LDNS pouvait être identifié comme effectuant des requêtes DNS malicieuses.
- Blocage de la navigation web à travers d'autres sites
Aussi appelé inception de site web :). Prenons un exemple, si vous allez sur "translate.google.fr" et que vous cherchez à traduire "http://blog.nomios.fr", vous accéderez à votre page web préférée à travers l'url : "http://translate.google.fr/translate?sl=fr&tl=en&js=n&prev=_t&hl=fr&ie=UTF-8&u=http%3A%2F%2Fblog.nomios.fr". Donc même si le site blog.nomios.fr est dans une catégorie bloquée, l'utilisateur peut y accéder. Avec la version 6 de Palo Alto, c'est terminé. - Numérotation des règles de sécurité
Enfin! Une nouvelle colonne apparaît pour définir vos polices, il est généré automatiquement et correspond à la place de la règle dans la base de polices.
Petite feature, mais qui est primordiale dans certaines configurations. Vous pouvez désormais associer des couleurs à vos tags pour une meilleure visibilité.
- Déchiffrement sur un "port miror"
Une nouvelle fonctionnalité vous permet de déchiffrer un flux pour l'envoyer sur une interface particulière. le trafic ainsi déchiffré peut être envoyé sur un autre équipement pour analyse par exemple.
- Utilisation d'un serveur syslog intégré pour l'identification des utilisateurs
Si vous utilisez dans votre architecture des contrôleurs wifi, du 802.1x, un Open Directory Apple, un proxy, un NAC, ou n'importe quel autre équipement où vous pouvez obtenir une information IP/Utilisateur, l'agent UID (ou le Palo Alto directement si vous êtes en agentless) est capable d'être listener syslog, pour recevoir les logs de ces équipements et en extraire les informations utiles à l'identification. D'autres nouvelles fonctionnalités sont bien sûr disponibles, toute notre équipe technique reste disponible si vous voulez en discuter. Johan