Comments
Description
Transcript
Tech-2 次世代ファイアウォール最新機能紹介配布用
次世代ファイアウォール 最新機能紹介 次世代セキュリティプラットフォーム 脅威インテリジェンスクラウド WildFire AutoFocus Aperture ※2016年年中に⽇日本市場で提供予定 Traps 次世代ファイアウォール 2 | © 2016, Palo Alto N etworks. C onfidential a nd Proprietary. アドバンスド エンドポイント プロテクション Global Protect PAN-OS 歴史 PAN-OS2.1 PAN-OS4.1 PAN-OS6.1 PAN-OS4.0 PAN-OS7.1 PAN-OS6.0 PAN-OS2.0 PAN-OS3.1 PAN-OS1.3 2005 2006 2007 2008 2009 PAN-OS7.0 PAN-OS5.0 PAN-OS3.0 2010 2012 2011 2014 2013 2015 2016 設立 M-100 PA-2000 WF-500 PA-5000 PA-3000 PA-4000 PA-500 PA-7080 M-500 PA-200 PA-7050 (10G IF) VM Citrix Xen Series ESXi 3 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. KVM NSX Extended Memory 40GIF (PA- 7000) AWS vCloud Air Azure Hyper-V 次世代ファイアウォール PAN-OS™ 7.1 36+ 新機能 4 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. レポート機能の強化 SaaSアプリセキュリティ 年々増加するSaaSアプリ 全世界7,000社以上の企業の実データを元に算出:2015年 Palo Alto Networks調べ 6 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. 日本国内でも利用される確認 7 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. SaaS アプリケーション使用率 レポート • SaaS及び認められたアプリを包括的にレポート 8 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. SaaS アプリケーション使用率 レポート アプリケーションの定義画面 許可されたアプリのタグにSanctionedを指定 レポート作成画面 新たに追加された「SaaSアプリケーション使用率」 9 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. 脅威インテリジェンスクラウド の強化 脅威分析クラウド WildFire • クラウド上にあるサンドボックス環境でファイルを分析し、未知のマルウェアを発見& 防御するためのサービス※ • 世界中のお客様環境で発見されたマルウェアに対して、シグネチャを自動生成し配信 TM WildFire グローバルで9,000社・30,000台以上が利用 検査されるファイル数: 一日当たり 約300万 / DAY 発見されるマルウェア: 一日当たり 約4万 / DAY ※WildFire サービスの利用にあたっては、利用する次世代ファイアウォール 上で追加のサブスクリプションが必要です 11 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. WildFire サービスの伸び 2年前と比較して、WildFireに送信される ファイルの数は 50倍以上 に WildFire 上で検査されるファイル数の推移 100,000,000+ files per Month OS Xにもランサムウェア 13 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. WildFire のサンドボックス検査対象OS WF-500とWildFire Japan では未サポート WildFire からのシグネチャ配信間隔 Oct ’11 15 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. Nov ’12 Aug ’14 Today WildFire 設定例 WildFire分析の設定画面 - MacOSX追加 (PAN-OS7.0からファイルブロッキングの設定項目からWildFireが分離) アップデートサーバは5分間隔でシグネチャ作成 次世代ファイアウォールは最短1分間隔で取得可能 File Type: A nyにはOS X ファイルも含む 16 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. Firewall - Autofocusの連携 • 機能概要 • • 機能内容 • • • PAN-OS管理画面上で、ログデータ上の IPアドレスやドメイン、URL情報を元にした 脅威の指標となる情報(IOC)表示が可能に ログ詳細表示画面に対する機能拡張 詳細な分析が必要な場合は AutoFocus 画面にジャンプ ユーザメリット • Firewall/Panorama上での脅威指標情報の 参照によりセキュリティ管理者による インシデント調査時間の短縮化を実現 17 | © 2016, Palo Alto N etworks. C onfidential a nd Proprietary. 連携イメージ ライセンス サーバ AF アカウント単位で AutoFocusライセンスを適用 カスタマーアカウント 18 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. FirewallからAutofocusで分析 検索可能なIOC • IP address • • URL • • User agent • ログビューワーに 簡易表示 19 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. Threat name Filename SHA-256 hash AutoFocus上で詳細検索 AutoFocusからファイアウォールをリモートサーチ • AutoFocus から1つまたはそれ以上のリモートサーチを起動(複数台可) • 最大10までのAutoFocusのリモートサーチにファイアウォールを登録可能 AutoFocus 2. ログ分析 1. 分析 20 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 統合ログで調査を簡素化 各種ログを統合、インシデント分析のログ調査が容易に 21 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 外部ダイナミックリストの機能強化 AutoFocus 各種セキュリティ情報を 次世代ファイアウォールに適用 Webサーバ リスト取得 脅威情報 サードパーティ チェック CIEM等 リストの種類 • Dynamic IP list 取得間隔 最短60分から5分に短縮 • Dynamic Domain List • Dynamic URL List 外部ダイナミックリスト • External Dynamic Listsは、以下の情報を指定したURLから動的に取得 Dynamic IP list Dynamic Domain List (カスタムDNS シグネチャで使⽤用) Dynamic URL List (カスタム URL カテゴリで使⽤用) • • デバイスごとに最⼤大30まで設定可能 取得した情報を反映させるためのCommit 処理理は不不要 • デバイスで保持可能なリスト数 Dynamic IP list PA-‐‑‒5000シリーズ、7000シリーズは150000IPアドレス PA-‐‑‒3000シリーズは、50000アドレス Dynamic Domain 、URL リスト デバイスごとに50000のユニークなエントリ 23 | © 2 015, Palo Alto N etworks. C onfidential a nd Proprietary. 外部ダイナミックリスト 設定例 24 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. AutoFocusからリスト作成 【PAN-OS 外部ダイナミックリスト形式】 【Metadata形式】 25 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. THREAT VAULTの刷新 26 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 次世代セキュリティ プラットフォーム 普及のための施策 ブートストラッピング • ファイアウォールの初期プロビジョニングのシンプル化、自動化 • • • • 最小限、あるいは完全な設定情報のロードが可能に Auth Code または、生成済みライセンスのロードも可能 Panorama へ VMシリーズの自動登録 インターネットへの接続は不要 • 全てのハードウェアベースのファイアウォールでサポート • 以下のハイパーバイザー、クラウド・プラットフォームでサポート • • ESXi, KVM 及び HyperV AWS 及び Azure Panorama (本社) Branch Office Customer Support Portal 本社IT部門 USB 2.0/3.0 サポート 28 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. 拠点IT管理者 Remote Firewall クラウドセキュリティ 仮想化ファイアウォール VM-Series の強化 サポート環境として新たに Microsoft の Azure と Hyper-‐‑‒V を追加し、 すべてのクラウド環境で次世代ファイアウォールが利利⽤用可能 Microsoft Azure Microsoft Azure パブリッククラウド すべてのクラウドで⼀一貫したセキュリティ 物理理・仮想問わず中央⼀一元管理理が可能 ライセンスは従来と同じものを利利⽤用可能 プライベートクラウド 30 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. NSX環境向けマルチテナントサポート エンタープライズ プロバイダ、 MSSP テナントごとの論理的に分離して適用 テナントごとにVMシリーズを適用 • • Support NSX service definition • Up to 32 device groups Support NSX service profile Up to 32 security zones 31 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. クラウド環境に適した機能を複数サポート Vmtoolsの サポート ブートストラッピング 管理インタフェース DHCP Clientサポート 32 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. ハードウェア紹介 Network Processing Card(PA-7000シリーズ) Extended Memory • 最大セッション 8M(既存NPCの2倍) • • PA-7050 最大48Mセッション PA-7080 最大80Mセッション • パフォーマンス(スループット)は既存NPCと同等 • 既存NPCと混在して使用可 PAN-PA-7000-20G-NPC PAN-PA-7000-20GQ-NPC PAN-PA-7000-20GXM-NPC PAN-PA-7000-20GQXM-NPC 34 | © 2 016, Palo Alto N etworks. C onfidential a nd Proprietary. PAN-OS™ 7.1 の新機能リスト • App-ID • Improved SaaS reporting • VoIP improvements • ALG CTD retransmission support • User-ID • Flexible redistribution • Increased user group limits on PA- 5060 and PA-7050 • Content-ID • AutoFocus integration • External DNS and URL blocklist • WildFire • 5-minute updates f rom t he cloud (Malware & DNS signatures) • Mac O S X binary analysis & signature support • GlobalProtect • Improved t wo-factor usability • Dynamic app configuration support • Legacy DES support • Management • Add decryption f ailures t o session end reason logging • Bootstrap PAN-OS deployment • Commit queuing • Synchronize SNMP MIB and interface state • Admin notification banners • DHCP client support on management interface • Consolidated log viewer • Virtualization • Azure support • Hyper-V support • Multi-tenant policy w ith NSX • VMware Tools support • Device group hierarchy w ith NSX • Networking • Increased ARP capacity on PA-3000 • Failure detection w ith BFD • Increased DHCP relay capacity • Panorama • Configurable MSS • VMware Tools support • L2 pre-negotiation support • Support f or 8TB disk on VM-based • PVST+ rewriting Panorama • Floating IP binding • Packet buffer abuse detection • Decryption • PFS support f or f orward proxy IPSec • PAN-OS ソフトウェアのサポート期間 メジャーまたはマイナーの2種類のリリースによってサポート期間が異なる メジャーリリース 最初のメンテナンスリリースが提供されてから24ヶ月 マイナーリリース 最初のメンテナンスリリースが提供されてから48ヶ月 (基本的には通常リリースと特別リリースが交互に出てきます) 各メジャーリリースの最終マイナーリリースが48ヶ月サポートとなります。 PANOS 6.0.0 EoL 24ヶ月 7.1.0 PANOS 6.0.1 呼称:メジャー/マイナー/メンテナンス PANOS 6.1.0 EEoL48ヶ月 PANOS 6.1.1 PANOS 7.0.0 EoL 24ヶ月 PANOS 7.0.1 14年01月 14年08月 15年01月 15年08月 16年01月 16年08月 17年01月 17年08月 18年01月 18年08月 19年01月 19年08月