...

Tech-2 次世代ファイアウォール最新機能紹介配布用

by user

on
Category: Documents
21

views

Report

Comments

Transcript

Tech-2 次世代ファイアウォール最新機能紹介配布用
次世代ファイアウォール
最新機能紹介
次世代セキュリティプラットフォーム
脅威インテリジェンスクラウド
WildFire
AutoFocus
Aperture ※2016年年中に⽇日本市場で提供予定
Traps
次世代ファイアウォール
2 | © 2016, Palo Alto N etworks. C onfidential a nd Proprietary. アドバンスド
エンドポイント プロテクション
Global
Protect
PAN-­OS 歴史
PAN-­OS2.1
PAN-­OS4.1
PAN-­OS6.1
PAN-­OS4.0
PAN-­OS7.1
PAN-­OS6.0
PAN-­OS2.0
PAN-­OS3.1
PAN-­OS1.3
2005
2006
2007
2008
2009
PAN-­OS7.0
PAN-­OS5.0
PAN-­OS3.0
2010
2012
2011
2014
2013
2015
2016
設立
M-­100
PA-­2000
WF-­500
PA-­5000
PA-­3000
PA-­4000
PA-­500
PA-­7080
M-­500
PA-­200
PA-­7050
(10G IF)
VM Citrix Xen
Series ESXi
3 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. KVM
NSX
Extended Memory
40GIF
(PA-­
7000)
AWS
vCloud Air
Azure
Hyper-­V
次世代ファイアウォール
PAN-­OS™ 7.1
36+ 新機能
4 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. レポート機能の強化
SaaSアプリセキュリティ
年々増加するSaaSアプリ
全世界7,000社以上の企業の実データを元に算出:2015年 Palo Alto Networks調べ
6 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. 日本国内でも利用される確認
7 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. SaaS アプリケーション使用率 レポート
•
SaaS及び認められたアプリを包括的にレポート
8 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. SaaS アプリケーション使用率 レポート
アプリケーションの定義画面
許可されたアプリのタグにSanctionedを指定
レポート作成画面
新たに追加された「SaaSアプリケーション使用率」
9 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. 脅威インテリジェンスクラウド の強化
脅威分析クラウド WildFire
• クラウド上にあるサンドボックス環境でファイルを分析し、未知のマルウェアを発見&
防御するためのサービス※
• 世界中のお客様環境で発見されたマルウェアに対して、シグネチャを自動生成し配信
TM
WildFire
グローバルで9,000社・30,000台以上が利用
検査されるファイル数: 一日当たり 約300万 / DAY
発見されるマルウェア:
一日当たり 約4万 / DAY
※WildFire サービスの利用にあたっては、利用する次世代ファイアウォール
上で追加のサブスクリプションが必要です
11 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. WildFire サービスの伸び
2年前と比較して、WildFireに送信される
ファイルの数は 50倍以上 に
WildFire 上で検査されるファイル数の推移
100,000,000+ files per Month
OS Xにもランサムウェア
13 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. WildFire のサンドボックス検査対象OS
WF-­500とWildFire Japan
では未サポート
WildFire からのシグネチャ配信間隔
Oct ’11
15 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. Nov ’12
Aug ’14
Today
WildFire 設定例
WildFire分析の設定画面 -­ MacOSX追加
(PAN-­OS7.0からファイルブロッキングの設定項目からWildFireが分離)
アップデートサーバは5分間隔でシグネチャ作成
次世代ファイアウォールは最短1分間隔で取得可能
File Type: A nyにはOS X ファイルも含む
16 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. Firewall -­ Autofocusの連携
•
機能概要
•
•
機能内容
•
•
•
PAN-OS管理画面上で、ログデータ上の
IPアドレスやドメイン、URL情報を元にした
脅威の指標となる情報(IOC)表示が可能に
ログ詳細表示画面に対する機能拡張
詳細な分析が必要な場合は AutoFocus
画面にジャンプ
ユーザメリット
•
Firewall/Panorama上での脅威指標情報の
参照によりセキュリティ管理者による
インシデント調査時間の短縮化を実現
17 | © 2016, Palo Alto N etworks. C onfidential a nd Proprietary. 連携イメージ
ライセンス
サーバ
AF
アカウント単位で
AutoFocusライセンスを適用
カスタマーアカウント
18 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. FirewallからAutofocusで分析
検索可能なIOC
• IP address •
• URL
•
• User agent •
ログビューワーに
簡易表示
19 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. Threat name
Filename
SHA-256 hash
AutoFocus上で詳細検索
AutoFocusからファイアウォールをリモートサーチ
•
AutoFocus から1つまたはそれ以上のリモートサーチを起動(複数台可)
•
最大10までのAutoFocusのリモートサーチにファイアウォールを登録可能
AutoFocus
2. ログ分析
1. 分析
20 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 統合ログで調査を簡素化
各種ログを統合、インシデント分析のログ調査が容易に
21 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 外部ダイナミックリストの機能強化
AutoFocus
各種セキュリティ情報を
次世代ファイアウォールに適用
Webサーバ
リスト取得
脅威情報
サードパーティ
チェック
CIEM等
リストの種類
• Dynamic IP list 取得間隔
最短60分から5分に短縮
•
Dynamic Domain List
•
Dynamic URL List
外部ダイナミックリスト
•
External Dynamic Listsは、以下の情報を指定したURLから動的に取得
Dynamic IP list Dynamic Domain List (カスタムDNS シグネチャで使⽤用)
Dynamic URL List (カスタム URL カテゴリで使⽤用)
•
•
デバイスごとに最⼤大30まで設定可能
取得した情報を反映させるためのCommit 処理理は不不要
•
デバイスで保持可能なリスト数
Dynamic IP list
PA-‐‑‒5000シリーズ、7000シリーズは150000IPアドレス
PA-‐‑‒3000シリーズは、50000アドレス
Dynamic Domain 、URL リスト
デバイスごとに50000のユニークなエントリ
23 | © 2 015, Palo Alto N etworks. C onfidential a nd Proprietary. 外部ダイナミックリスト 設定例
24 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. AutoFocusからリスト作成
【PAN-­OS 外部ダイナミックリスト形式】
【Metadata形式】
25 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. THREAT VAULTの刷新
26 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 次世代セキュリティ
プラットフォーム
普及のための施策
ブートストラッピング
•
ファイアウォールの初期プロビジョニングのシンプル化、自動化
•
•
•
•
最小限、あるいは完全な設定情報のロードが可能に
Auth Code または、生成済みライセンスのロードも可能
Panorama へ VMシリーズの自動登録
インターネットへの接続は不要
•
全てのハードウェアベースのファイアウォールでサポート
•
以下のハイパーバイザー、クラウド・プラットフォームでサポート
•
•
ESXi, KVM 及び HyperV
AWS 及び Azure
Panorama (本社)
Branch Office
Customer Support Portal
本社IT部門
USB 2.0/3.0 サポート
28 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 拠点IT管理者
Remote Firewall
クラウドセキュリティ
仮想化ファイアウォール VM-­Series の強化
サポート環境として新たに Microsoft の Azure と Hyper-‐‑‒V を追加し、
すべてのクラウド環境で次世代ファイアウォールが利利⽤用可能
Microsoft Azure
Microsoft
Azure
パブリッククラウド
すべてのクラウドで⼀一貫したセキュリティ
物理理・仮想問わず中央⼀一元管理理が可能
ライセンスは従来と同じものを利利⽤用可能
プライベートクラウド
30 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. NSX環境向けマルチテナントサポート
エンタープライズ
プロバイダ、 MSSP
テナントごとの論理的に分離して適用
テナントごとにVMシリーズを適用
•
•
Support NSX service definition
•
Up to 32 device groups
Support NSX service profile
Up to 32 security zones
31 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. クラウド環境に適した機能を複数サポート
Vmtoolsの
サポート
ブートストラッピング
管理インタフェース
DHCP Clientサポート
32 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. ハードウェア紹介
Network Processing Card(PA-7000シリーズ)
Extended Memory
•
最大セッション 8M(既存NPCの2倍)
•
•
PA-­7050 最大48Mセッション
PA-­7080 最大80Mセッション
•
パフォーマンス(スループット)は既存NPCと同等
•
既存NPCと混在して使用可
PAN-PA-7000-20G-NPC
PAN-PA-7000-20GQ-NPC
PAN-PA-7000-20GXM-NPC
PAN-­PA-­7000-­20GQXM-­NPC
34 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. PAN-­OS™ 7.1 の新機能リスト
•
App-­ID
• Improved SaaS reporting
• VoIP improvements
• ALG CTD retransmission support
•
User-­ID
• Flexible redistribution
• Increased user group limits on PA-­
5060 and PA-­7050
•
Content-­ID
• AutoFocus integration
• External DNS and URL blocklist
•
WildFire
• 5-­minute updates f rom t he cloud (Malware & DNS signatures)
• Mac O S X binary analysis & signature support
•
GlobalProtect
• Improved t wo-­factor usability
• Dynamic app configuration support
• Legacy DES support
•
Management
• Add decryption f ailures t o session end reason logging
• Bootstrap PAN-­OS deployment
• Commit queuing
• Synchronize SNMP MIB and interface state
• Admin notification banners
• DHCP client support on management interface
• Consolidated log viewer
•
Virtualization
• Azure support
• Hyper-­V support
• Multi-­tenant policy w ith NSX
• VMware Tools support
• Device group hierarchy w ith NSX
•
Networking
• Increased ARP capacity on PA-­3000
• Failure detection w ith BFD
• Increased DHCP relay capacity
• Panorama
• Configurable MSS
• VMware Tools support
• L2 pre-­negotiation support
• Support f or 8TB disk on VM-­based • PVST+ rewriting
Panorama
• Floating IP binding
• Packet buffer abuse detection
• Decryption
• PFS support f or f orward proxy
IPSec
•
PAN-­OS ソフトウェアのサポート期間
メジャーまたはマイナーの2種類のリリースによってサポート期間が異なる
メジャーリリース
最初のメンテナンスリリースが提供されてから24ヶ月
マイナーリリース
最初のメンテナンスリリースが提供されてから48ヶ月
(基本的には通常リリースと特別リリースが交互に出てきます)
各メジャーリリースの最終マイナーリリースが48ヶ月サポートとなります。
PANOS 6.0.0
EoL 24ヶ月
7.1.0
PANOS 6.0.1
呼称:メジャー/マイナー/メンテナンス
PANOS 6.1.0
EEoL48ヶ月
PANOS 6.1.1
PANOS 7.0.0
EoL 24ヶ月
PANOS 7.0.1
14年01月
14年08月
15年01月
15年08月
16年01月
16年08月
17年01月
17年08月
18年01月
18年08月
19年01月
19年08月
Fly UP