23 février 2017

bouncy-cloud

Le 7 Février dernier, Palo Alto Networks organisait un événement en simultané dans plusieurs pays et en direct sur Internet.

A Paris, nous étions reçu dans l’amphithéâtre de TF1 à Boulogne.

Des messages forts ont été passés par Jim Reavis (Cloud Security Alliance), Yousef Khalidi (Fondateur de Microsoft Azure) et Dave McCann (VP AWS).

  • Dans les Clouds publics, la sécurité reste à la charge des clients.
  • Les problématiques sécurité de conformité restent les mêmes on-premise et dans le Cloud. La grosse différence est qu’elles sont maintenant partagées. Il faut donc revoir les stratégies d’implémentation.
  • La sécurité implémentée avec les outils tiers (en plus des outils natifs du Cloud) garantira dans le futur une plus grande compatibilité entre les différents Clouds publics et privés.

Ensuite Nir Zuk, CTO de Palo Alto Networks nous a expliqué une partie de sa vision.

  • La sécurité doit être déployée conjointement dans les Datacenters et sur les terminaux.
  • L’atout majeur du Cloud est de supprimer les guerres politiques entre les équipes Réseaux, System et Sécurité.

L’émission TV diffusée ce soir là est disponible en replay : https://www.paloaltonetworks.com/security-event

Après ces messages d’introduction, voici les principales nouveautés annoncées.

Palo Alto Networks a annoncé la sortie de PAN-OS 8 ainsi que de nouveaux équipements virtuels et physiques.

Ainsi pour sécuriser les environnements Cloud, est maintenant disponible un large panel de VM-series avec des performances accrues ! Les VM-series ne sont donc plus limitées à 1Gbits/s (App-ID) et 600Mbits/s (TP/FURL) !!

Trois nouveaux modèles sont désormais disponibles : VM-50, VM-500 et VM-700. En tirant partie de PAN-OS 8 les VM-300 et VM-1000HV disposent aussi dorénavant de plus de capacité de traitement.

Ci-dessous un tableau récapitulant l’ensemble des équipements virtuels avec les performances associées ainsi que les environnements Cloud public ou Cloud privé pour lesquels ils sont disponibles.

 

VM- series

Performances

Environnements supportés

VM50 200M App-ID, 50k max sessions ESXi, KVM, Hyper-V
VM100 2GB App-ID, 250k max sessions ESXi, KVM, Hyper-V, AWS, Azure, NSX
VM300 4GB App-ID, 1M max sessions ESXi, KVM, Hyper-V, NSX, AWS, Azure (Market Place and BYOL)
VM500 8GB App-ID, 2M max sessions ESXi, KVM, Hyper-V, NSX, AWS, Azure (BYOL only)
VM700 16GB App-ID, 10M max sessions ESXi, KVM, Hyper-V, AWS, Azure (BYOL only) – pas de support de NSX

Au-delà de l’aspect performance, PANOS-8 apporte une meilleure intégration de la solution dans ces environnements : Azure (intégration avec App Gateway et Load Balancer), Amazon (support de AWS CloudWatch), VMware NSX (l’ensemble de la configuration des règles de sécurité peut dorénavant s’effectuer depuis Panorama), Openstack (support de config-drive).

Toujours dans le domaine du Cloud, cette fois-ci côté applications Saas, Palo Alto Networks a enrichi la solution Aperture par une meilleure prise en charge des applications Office365, Dropbox et Salesforce et par la nouvelle prise en charge des applications Slack et Secure Data Space. De nouveaux Datacenters sont aussi dorénavant disponibles en zones EMEA et APAC.

Sur la partie matérielle deux nouvelles series (PA800 series et PA5200 series ) et un équipement PA220 viennent compléter la gamme existante. La nouvelle gamme PA800 vient combler « le trou » laissé vacant par l’arrêt de la commercialisation de l’ancienne gamme PA2000 tandis que la nouvelle gamme PA5200 s’insère entre la gamme PA5000 et les châssis. Cette dernière apporte une forte capacité de traitement, ceci en prenant en compte le besoin de déchiffrement SSL, ainsi qu’une grande diversité de connectiques (1G/10G Cu, 1G/10G SFP/SFP+, 40G/100GB QSFP) dans des boitiers standalone (3U).

PA-220    
 PA-220 500 Mbps App-ID150 Mbps Threat Prevention64,000 sessions 4200 connections/seconde 6400 concurrent decryption sessions8 interfaces 1Gits/s cuivre
Alimentation redondante (en option)32GB SSDSupport des modes HA A/P (avec synchronisation de sessions) et A/A

 

PA-800
 
PA-820
940 Mbps App-ID610 Mbps Threat Prevention128,000 sessions 8300 connections/sec 12800 concurrent             decryption sessions4 interfaces 1Gits/s cuivre8 interfaces SFP
 PA-850 1.9 Gbps App-ID780 Mbps Threat Prevention192,000 sessions

9500 connections/sec

19200 concurrent             decryption sessions4 interfaces 1Gits/s cuivre4 interfaces SFP

4 interfaces SFP+

Alimentation redondante240GB SSDPorts de HA dédiés1 U
PA-5200
 

PA-5220
18 Gbps App-ID9 Gbps Threat Prevention4M sessions 169M connections/sec 400M concurrent             decryption sessions4 interf. 40Gits/s QSFP+16 interf. 1G/10G SFP/SFP+

4 interf. 1G/10G Cu

 PA-5250 35 Gbps App-ID20 Gbps Threat Prevention8M sessions 348M connections/sec 800M concurrent             decryption sessions4 interf. 40G/100G QSFP2816 interf. 1G/10G SFP/SFP+

4 interf. 1G/10G Cu

 PA-5260
72 Gbps App-ID30 Gbps Threat Prevention32M sessions 458M connections/sec
3.2G concurrent             decryption sessions4 interf. 40G/100G QSFP2816 interf. 1G/10G SFP/SFP+

4 interf. 1G/10G Cu

Alimentation redondantedual SSD pour le système (240GB) ; dual HDD pour le logging (2TB)Ports de HA dédiés3 U

 

 

 

En parallèle de ces nouveaux produits Palo Alto Networks a aussi annoncé une amélioration de l’environnement WildFire par la mise en place de nouvelles techniques de détection, notamment la détonation dans des environnements « bare-metal » pour détecter les malwares « virtual sandbox aware ».

Toujours sur l’aspect « prévention des menaces », les signatures de Command&Control générées par WildFire sont désormais basées sur la structure du payload (et non plus seulement sur le nom DNS et sur l’URL) de manière à mieux les identifier mais surtout de manière à bloquer les variantes d’une même attaque. Ainsi, par exemple, une signature bloquera un phone home même si l’URL ou le domaine ont changé. En vrac, quelques autres informations portant sur la ‘’prévention des menaces’’ : les catégories PANDB associées aux malwares et aux sites de phishing sont désormais mises à jour toutes les 5 minutes ; les fichiers bloqués par une signature antivirus sont désormais aussi transmis à WildFire (cela permet d’enrichir WildFire, ainsi qu’Autofocus, des artifacts associés à une variante d’un malware bloquée par une signature ‘’générique’’) ; deux feeds contenant des adresses IP malicieuses sont désormais disponibles avec le licence Threat Prevention (et ils font partie de la mise à jour quotidienne de la base antivirus).

PAN-OS 8 introduit aussi de nouvelles fonctionnalités permettant de prévenir le « phishing ». Ainsi il est maintenant possible d’envoyer les liens présents dans les e-mails à WildFire pour analyse. Si WildFire détermine qu’il s’agit bien de phishing le lien est ajouté dans la catégorie « phishing » de PAN-DB. Il est aussi possible d’intercepter les login/mdp présents dans les pages web interrogées par les postes clients et de les comparer aux informations récupérées par le biais de la fonctionnalité USER-ID.

Dans un ordre d’idée similaire, pour bloquer les « mouvements latéraux » d’un poste compromis, il est désormais possible d’authentifier les flux réseaux par une « authentication policy » qui est analysée avant la « security policy ». La méthode d’authentification associée à « l’authentication policy » peut être de type 2FA ou MFA (pour se prémunir des mots de passe volés).

Sur le concept d’automatisation de la sécurité, PAN-OS 8 apporte la capacité de filtrer les événements de sécurité pour déclencher des actions sur des systèmes tiers (l’application Saas Service Now pour créer un ticket, le manager VMware NSX pour modifier un tag VMware ou toute solution REST API) ou sur le système lui-même en créant un auto-tag de manière à positionner l’adresse IP incriminée dans un « dynamic address group ». Il est aussi possible de filtrer les événements de sécurité de manière à n’envoyer à un système externe que les logs présentant un champ particulier.

Les événements de sécurité remontés par les agents TRAPS à la console ESM peuvent, quant à eux, être aussi remontés dans la console Panorama. Panorama est ainsi en mesure de corréler les alertes de sécurité visualisées sur le réseau avec les logs associés à une action de prévention de l’agent.

Dernier point ici, la version 8 de PAN-OS amène une amélioration significative de la réactivité de la console Panorama (sur les recherches et la génération de rapports).

PAN-OS 8 apporte 70 nouvelles fonctionnalités. Ci-dessous un tableau récapitulatif des principales. Pour visualiser le détail des nouvelles fonctionnalités vous pouvez vous rendre à :

 https://www.paloaltonetworks.com/documentation/80/pan-os/newfeaturesguide

 

App-ID
– IPv6 ALG support
– Deeper SaaS visibility and control
Virtualization
– Panorama driven workflows for VM-Series NSX Integration
– VM-Series performance improvements
– Multi Tenancy using VM-Series Instances
– Dynamic scaling for AWS
Management
– NetFlow on PA-7000 series
– PA-7000 log forwarding to Panorama
– Log forwarding filters and actions
– SNMP enhancements
– User-based commits and reverts
User-ID
– SAML 2.0 support
– User-ID Log database in UI
– User group capacity increase
Networking
– Tunnel content inspection (GRE, Null-encryption)
– MP-BGP support
– Route removal based on path monitoring
– IPv6 router advertisement for DNS
– Non-IP protocol control
– IKE peer capacity increase
– Multipath TCP Anti-Evasion
– DoS – H/W ACL block on ingress
– DoS – Firewall Protection
Panorama
– High-performance log analysis and reporting
– VM Panorama same logging infrastructure as M-series
– Traps log collection
GlobalProtect
– IPv6 support
– Clientless SSL VPN
– Internal gateway selection by src IP
– External gateway selection by location
Certifications
– Common Criteria for PAN-OS hardware and VM, Panorama, Cloud, WF-500, GP
– FIPS for PAN-OS hardware and VM, Panorama, Cloud, WF-500, GP
– UCAPL for PAN-OS hardware and VM, Panorama, WF-500
Content-ID
– Credential phishing prevention
– Automated C2 signatures
– IP blacklist feeds
– Forward blocked files to WildFire
– Document tag-based data filtering
– PAN-DB 5-minute updating of malware/phishing categories
– Globally unique threat IDs
– Threat telemetry collection
Decryption
– ECC-based certificate support
– Perfect Forward Secrecy for inbound inspection
– Managed certificate exclude list
Partager :

Auteurs

et