팔로알토네트웍스 차세대안 플랫폼 › assets › download › paloalto.pdf ·...

팔 로 알 토 네 트 웍 스차 세 대 보 안 플랫폼

Palo Alto Networks Korea

1

2010년 2011~16년 연속 Leader

Palo Alto Networks is positioned as a Leader in the Gartner Magic Quadrant for enterprise network firewalls.*

ˑ G a r t n e r 의 방 화 벽 제 품 평 가

LEGACY

POINT

PRODUCT

DETECTION

REACTIVE &MANUAL

ˑ 패 러 다 임 의 변 화 :

PROACTIVE &AUTOMATED

LEGACY

POINT

PRODUCT

DETECTION

NEXT-GEN

PREVENTION

PLATFORM

REACTIVE &MANUAL

ˑ 패 러 다 임 의 변 화 :

Anti-APT for po

rt 80 APTs

Anti-APT for

port 25 APTs

Endpoint AV

DNS protection cloud

Network AV

DNS protection for

outbound DNS

Anti-APT cloud

Internet

Enterprise Network

UTM/Blades

제한적인 가시성 수동 대응상호 연계성 결여

Vendor 1

Vendor 2

Vendor 3

Vendor 4

Internet Connection

Malware Intelligence

DNS AlertEndpoint Alert

AV Alert

SMTP Alert

AV Alert

Web Alert

Web Alert

SMTP Alert

DNS Alert

AV Alert

DNS Alert

Web Alert

Endpoint Alert

ˑ 리 거 시 보 안 아 키 텍 쳐 의 한 계

NATIVELY INTEGRATED

EXTENSIBLE

AUTOMATED

차세대 방화벽

엔드포인트 차단Traps

지능형 공격분석

WildFire

Unknowns Unknowns & zero-da

y discoveriesReal-time

Signatures

5~15 minute updates

TP/DNS/URL/WF Real-time

signatures

Confirm detectionIntegrated reporting

차세대방화벽

APP-ID, User-ID, Contents

알려진공격의차단

알려지지않은

공격은 Cloud

를통해서행동

기반탐지및차

단

가상화및

Mobile 환경

클라우드기반의 Threat Intelligence

네트워크와 Endpoint에서의모든

Threat 정보를 DB화

상관관계분석및정규화를통한효율적인

제어

클라우드기반의실시간 Threat DB 배포

모든프로세서와파일들의이상징후

판단

단말기반의각종행위를통제

클라우드와실시간연동

차세대 Endpoint 보안

ˑ 차 세 대 보 안 플 랫 폼

Non-Standard Ports- 표준 포트가 아닌 비표준 포트를 사용

- DNS, ICMP 등 오픈된 포트를 통한 악성코드 전파 및 기밀정보 유출

Tunneling Within Allowed Protocols- SSL and SSH

- HTTP

- DNS

Circumventors- Proxies, Anonymizers (Tor)

- 커스텀 암호화된 터널(e.g. Freegate, Ultrasurf)

Applications that can dynamically use non-standard ports.

Applications that can tunnel other apps and protocols

Applications designed to avoid security

ˑ 해 커 들 의 우 회 경 로

DNS 포트는 통한 통신 시도

알려지지 않은 포트를 통한 웹방식의 통신 시도

– Outbound 통신에 대한 애플리케이션 기반 탐지 필요

ˑ 포 트 및 프 로 토 콜 악 용 사 례

포트 기반이 아닌

애플리케이션 기반 탐지 필요

ˑ D N S 포 트 를 활 용 한 터 널 링

• tcp-over-dns

• dns2tcp

• Iodine

• Heyoka

• OzymanDNS

• NSTX원격 DNS서버로 TCP메세지를 캡슐화하여recursive queries로 데이터 전송

ˑ D N S 포 트 를 활 용 한 터 널 링

• P2P qvod기반의 커스터마이즈된 악성코드 통신 사례

• TCP 8080 또는 랜덤 포트 사용

ˑ 악 성 코 드 분 석 사 례

0100111011010100111101010100010101010100000011000100010101011100010110001001100111100011111100011100101101101111100001111001110111011000000000000011101111110000001010111111010000001101111111000001011111111110000111

Source Destination Service Application Action

Any Any Default kakaotalk-file-transfer

Deny

Any Any Default Kakaotalk,Web-Browsing

Allow

Any Any Default bittorrent Deny

Source Destination Service ApplicationGuaranteedBandwidth

MaxBandwidth

Any Any Default Business-systems 3Mbps 5Mbps

Any Any Default bittorrent 2Mbps 5Mbps

Any Any Default Any 0 3Mbps

Application을 구분하고 제어할 수 있는 차세대 보안 플랫폼

사전 정의된 Application DB를 통해 정책, QoS, Routing, Logging 및 Report의 단위 Object로 사용

Signature, Protocol Decoding, SSL Decryption, Heuristics 기법에 의한 Application 인지

Pre-defined application 뿐만 아니라 사용자 정의 Application 등록 가능

ˑ A p p l i c a t i o n - I D :

• 포트, 프로토 및 우회기술에 상관없이 애플리케이션을 탐지

• 트래픽 복호화 지원

• 알려지지 않은 트래픽 또는 악성코드 트래픽 차단

ˑ A P P - I D 분 석

• 포트, 프로토 및 우회기술에 상관없이 애플리케이션을 탐지

• 트래픽 복호화 지원

• 알려지지 않은 트래픽 또는 악성코드 트래픽 차단


다양한 Context를 제공하여 사용자가 보다 편하게 Custom application 및 Custom Signature를 생성

ˑ C u s t o m A p p l i c a t i o n / S i g n a t u r e 생 성

Distributed F/W Palo Alto Networks


포트기반의 제어로는 네트워크 가시성 확보가 불가능애플리케이션별 상세한 로깅 및 유저별 실행권한 관리 필요

구분 포트 상 세 기 능 비 고

TCP 445Microsoft-DS

(Active Directory, 윈도 공유, job scheduler,Samba, Sasser-worm, Zobotworm 등)

ˑ T C P - 4 4 5 ( M i c r o s o f t D a t a S h a r e P o r t )

• SQL Query의 경우 포트기반 제어가 아닌 Query문 제어 가능• DB에 악영향을 줄 수 있는 Query문 차단

ˑ S Q L Q u e r y 차 단 및 탐 지

데이터베이스(Oracle) 보안 강화 비인가 원격 DB명령어 실행 탐지 및 제어

사용자별 명령어 기반 제어를 통한 비정상적인 쿼리 탐지/차단

IP 또는 포트기반 한계 극복 Windows Update 및 IP기반 허용 시 비인가 응용 프로그램 통신 차단

Skype(면접 시 활용) 화상채팅 등 응용 프로그램 인지/통제

방문자/개발자 등 유저기반 지정된 응용 프로그램 통신만 허용

비인가 트래픽 차단 P2P 및 메신저 프로그램 제어(IP 및 Port기반 제어의 한계)

업무상 필요한 APP에 대한 사용자기반 허용 가능

TCP 445(MS data share)와 같이 다양한 응용 프로그램(Active Directory,

윈도우 공유, Job Scheduler 등) 선택적 제어 가능

ˑ 응 용 프 로 그 램 인 지 를 통 한 차 세 대 방 화 벽 활 용 사 례

Active Directory

Domain Login

Raduis, LDAP

Login Portal

내부인사DB

Login

API

Username IP Address

moonsj 10.1.1.7

isyoon 10.1.1.4

sang3620 10.1.1.92

… …

Source Destination Service ApplicationUser/Group

Action

Any Any Default Web Browsing moonsj Permit

Any Any Default bittorrent isyoon Deny

Source Destination Service ApplicationUser/Group

GuaranteedBandwidth

MaxBandwidth

Any Any Any Voip moonsj 3Mbps 5Mbps

Any Any Any Teamviewer IT-Group 5Mbps 8Mbps

User별 방화벽 정책 적용

User별 Traffic 사용량 & Reporting

User별 QoS 정책 적용

사용자 구분(User Identification)이 가능한 방화벽 (IP Address ≠ User)

사용자 ID 및 Group정보를 방화벽 정책, QoS, Routing, Logging 및 Reporting의 단위 Object로 사용

API를 통해 내부 인사DB를 사용하여 연동 가능

ˑ U s e r - I D : 엔 터 프 라 이 즈 디 렉 토 리 통 합

Newen-3.com(유럽)

DC1

DC2

newen-2.com(미주)DC1

DC2

Newen-4.com(기타)

DC1

DC2

newen-1.com(한국)DC1

DC2

Re

distrib

utio

nR

ed

istribu

tion

Re

dis

trib

uti

on

Re

dis

trib

uti

on

SSL Encryption

SSL Encryption

팔로알토 방화벽은 서로다른 사이트간의 User-id 정보를 방화벽간에 적은 용량으로 효율적으로 교환

ˑ 사 이 트 간 U s e r - I D 정 보 교 환 방 식

송수신 데이타의 콘텐츠 (Application Data) 부분을 분석하고 제어할 수 있는 방화벽

콘텐츠 필터링 엔진은 공격 및 위협 차단(Vulnerability, Virus, Spyware),

파일 및 Data 차단(File Blocking, Data Filtering) 및 URL 필터링 등의 기능을 수행

다양한 Log 와 Customizing이 가능한 Report 제공

01001110110101001111010101000101010101000000110001000101010111000101100010011001111000111111000111001011011

01111100001111001110111011000000000000011101111110000001010111111010000001101111111000001011111111110000111

10111011101010101010000011011011110110101000000110011000000011110110101010101010101010100000011100000000011

.doc.zip

www.sex.com

www.gambling.com

콘텐츠 필터링

Single Pass에정형화된signature engine

주기적인 Pattern Update를통해In-bound 및 Out-bond Traffic 모두적용

Vulnerability (IPS)

Anti Virus

Anti Spyware

정규식을이용한사용자정의Data Filter 적용가능파일 Type을인식하기위한 File

내부검사를수행하므로확장자가바뀌어도차단가능

Data Filtering

File Blocking

자체 URL database (61

categories)

내부, 국가별혹은산업에특화된surfing patterns 등능동적인 DB

적용

URL Filtering

.exe.pdf

ˑ C o n t e n t - I D : 실 시 간 콘 텐 츠 검 사

344 KB

file-sharingURL category

PDFfile type

roadmap.pdffile name

mjacobsenuser

prodmgmtgroup

canadadestination country

172.16.1.10source IP

64.81.2.23destination IP

TCP/443destination port

SSLprotocol

HTTPprotocol

slideshareapplication

slideshare-uploadingapplication function

Threat Preve

ntion Cloud

Internet

Files Protections

PE

APK

EMAIL

FLASH

JAR

MS OFFICE

PDF

Request

Sandbox

011010110

Malware

Signature

Benign

Grayware

Malware

Android

XP

Win7

ˑ W i l d F i r e

*Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner

Of 상위 6개백신제품에서 탐지하지 못하는

악성코드 파일

62.5%71.9M

5.3M

3.3M

All Files Malicious Undetectable

ˑ 지 능 형 위 협 분 석클 라 우 드 W i l d F i r e 를 통 한 새 로 운 보 안 위 협 대 응

Single Pass

패킷당 한 번의 작업

- 트래픽 분류 (App-ID)

- 사용자/그룹 매핑 (User-ID)

- 콘텐츠 검색 – 위협, URL, 데이타 (Content-ID)

Parallel Processing

각 기능별 고유의 병렬프로세싱 하드웨어

엔진보유(네트워크프로세서, 보안CPU, 시그니쳐매칭Chip)

Data Plane 과 Control Plane 의 분리

Single-Pass Parallel Processing™ (SP3) Architecture

ˑ 차 세 대 보 안 플 랫 폼 의 특 징 과 장 점

Control Plane Data Plane

Signature Match Processor

RAM

RAM

RAM

RAM

Dual-coreCPU

RAM

RAM

HDD

CPU16

. .

SSL IPSecDe-Compression

CPU1

CPU2

RAM

RAMCPU3

QoS

Route, ARP, MAC lookup

NAT

관리 포인트인 Control Plane과 실제 트래픽을 처리를 담당하는 Data Plane 의 분리를 통해

Data Plane에서 패킷 처리 부하 상황에서도 정책 설정 등 관리 Control 다른 쪽에 영향을 주지 않은 구조


Multi-Pass Architecture


Single-Pass Architecture


*Based on Palo Alto Networks Application Usage and Risk Report

출발지(all), 목적지(all), 포트(all)정책 1Traffic

출발지(all), 목적지(all), 포트(all)정책 2

출발지(all), 목적지(all), 포트(all),

정책 1Traffic App-ID

출발지(all), 목적지(all), 포트(all),정책 2

Firewall

Firewall

• 경쟁사

• Paloalto networks

Allow

Action

Allow

Action

Deny

Allow

출발지(all), 목적지(all), 포트(all),정책 3

Allowall

보안 프로파일

Application Control

Allow

Deny

Allow

Deny

MatchMatch

Match

Match

Match

Match

[정책 1]에서 IP, Port의 모든 세션 매칭이

되므로 다음 정책으로 넘어가지 못함

IP, Port 및 어플리케이션의 정

책별 매칭이 되어 처리

ˑ 어 플 리 케 이 션 적 용 방 식

• Signature-based:

• Antivirus

• Anti-Spyware

• Vulnerability

Heuristic-based:

Automated Correlation

Engine

Bot detection

Sandbox-based:

Wildfire

Protocol analysis-based:

App-ID

ˑ 차 세 대 보 안 플 랫 폼 을 통 한 보 안 위 협 분 석 및 대 응

Signature Update HierarchyWeekly

Daily

5-minute

App-ID updates “IPS” signatures(vulnerability, anti-spyware)

Antivirus Botnet support(zone file, dynamic DNS, malware URLs)

DNS signatures

WildFire signatures


단일통합보안정책설정1

Palo Alto Networks

FW, App, IPS, AV 보안기능별로개별보안정책설정

정책관리 리소스를 줄여줌. 잠재적인 보안홀을 없애줌 정책추가및 삭제시에정책관리의리소스가증가

개별보안정책간잠재적인보안홀발생

Positive 기반보안정책설정

허용정책외에 모두차단

Negative 기반보안정책설정

차단정책외에모두허용

단일통합로그모니터링제공

하나의센션기반, 트래픽, 위협 등의로그를통합된단일로그화면으로제공및 상관관계분석

동일세션에대한보안기능별로그모니터링

동일세션에대한보안 기능별로그분리로통합모니터링및상관관계분석이어려움

알려지지않은위협에대해직관적으로관리 알려지지않은위협에대한직관적대응기능미비

개별보안기능 정책으로인한 알려지지않은 위협에대한

탐지를어렵게함

고위험애플리케이션및알려지지않은멜웨어를탐지및차단

보안기능추가에따른성능보장 보안기능추가에따른성능감소

모든보안기능사용시에도데이타시트에명시된

성능보장

개별보안기능의사용 여부에따라성능편차가심함

2

3

4

5

Other firewall vendor

ˑ 차 세 대 보 안 플 랫 폼 과 리 거 시 보 안 플 랫 폼 의 비 교

•Yahoo Messenger

•BitTorrent Client

•Port 80

•Open

Port-Based Firewall

Port 5050

Blocked

Port 6681

Blocked

ˑ E v a s i v e A p p l i c a t i o n o n a T r a d i t i o n a l F i r e w a l l

Firewall Firewall

Palo Alto Networks Firewalls with App-IDTraditional Firewalls

Firewall Rule: ALLOW DNSFirewall Rule: ALLOW Port 53

DNS = DNS:Packet on Port 53: AllowAllow

DNS DNSDNS DNS

BitTorrent

BitTorrent ≠ DNS:

Visibility: BitTorrent detected and blocked

Deny

BitTorrent

Packet on Port 53: Allow

Visibility: Port 53 allowed

BitTorrent

ˑ S c e n a r i o 1 : D N S T r a f f i c

Traditional vs Palo Alto Networks Firewall

App IPSFirewall Firewall

Traditional Firewalls


DNS=DNS:Packet on Port 53: AllowAllow

DNS DNSDNS DNS

Bittorrent

BitTorrent ≠ DNS:Visibility: BitTorrent detected and blocked

Deny

Bittorrent

BitTorrent: DenyVisibility: BitTorrent detected and blocked

DNS

Bittorrent

Application IPS Rule: Block BitTorrent

Palo Alto Networks Firewalls with App-ID

ˑ S c e n a r i o 2 : B i t T o r r e n t

IPS vs APP-ID

Firewall Firewall

Legacy Firewalls


DNS=DNS:Packet on Port 53: AllowAllow

DNS DNSDNS DNS

Zero-day C & C

Command & Control ≠ DNS:

Visibility: Unknown traffic detected and blocked

Deny

BitTorrent

Visibility: Packet on Port 53 allowed

DNS

BitTorrent

Application IPS Rule: Block BitTorrent

BitTorrent

Zero-day C & C

Zero-day C & C

Zero-day C & C

C & C ≠ BitTorrent: Allow

App IPS

Palo Alto Networks Firewalls with App-ID

ˑ S c e n a r i o 3 : Z e r o - D a y M a l w a r e

IPS vs APP-ID

애플리케이션 사용 현황 분석

SaaS 애플리케이션 분석

URL 접속 정보 분석

파일 전송 분석

알려진 멜웨어와 알려지지 않은 멜웨어 탐지 및 현황 분석

CnC (Command-and-Control) 탐지 및 분석

자동 상관 관계 분석


Bandwidth Hogging – (Example : Youtube-Base)



SaaS Applications - Top Users



SaaS Applications – Top SaaS Application


Automated Correlation Engine



On Box Reporting Capability



네트워크의 가시성을 확보 하여 공격의 유입 경로를 최소화

네트워크 전반에 흐르는 트래픽에 대한 가시성 확보와Unknown traffic 을차단1애플리케이션별 정책 과 사용자 기반 정책 적용2악성 코드와 실행 파일등 위험요소 첨부 파일을 차단3

4 사용자 PC 와 서버등의 Endpoint 영역 보안 정책 적용

공격의 유입 경로를최소화!


알려진 익스플로잇, 맬웨어, C&C 통신 차단1악성코드 배포 사이트와 피싱 사이트로의 접근 차단2SaaS 기반 애플리케이션에 대한 알려진 맬웨어 스캐닝3

4 엔드포인트 영역에서 알려진 멜웨어와 익스플로잇 차단

알려진 위협을 차단!

알려진 위협에 대한 차단


알려지지 않은 위협 차단

파일과 URL 기반 알려지지 않은 위협에 대한 분석 과 탐지1알려지지 않은 위협에 대한 탐지를 통해 조직 전반에 걸친 프로텍션 업데이트 수행2알려지지 않은 위협에 대한 탐지수행 후 차단 시그니쳐 제공을 통해 선제 차단 수행3

4 엔드포인트 영역에서도 알려지지 않은 맬웨어와 익스프로잇 차단 수행

알려지지 않은 위협을탐지와 차단!


유연한 API 환경을 제공하여

타 시스템과 User ID/차단 IP 등록/차단 URL 등록 등 강력한 Integration 기능을 제공

ˑ 유 연 한 A P I 제 공

AS-IS

Groupware,방화벽정책 승인 시스템

방화벽 정책 신청보안관리자에 의한방화벽 정책 수동입력

방화벽 정책 설정 오류로 인한 인재 보안관리자의 실수로 인한 방화벽 설정 오류

사전 점검 및 시뮤레이션 부재로 인한 중복 정책 설정

방화벽 정책 사후 관리방안 부재 입력된 방화벽 정책 관리 방안 부재

보안사고 발생 시 사후 감사 방안 부재

ˑ 방 화 벽 정 책 자 동 화 흐 름 도

ˑ 방 화 벽 정 책 자 동 화 흐 름 도

TO-BE

Groupware,방화벽정책 승인 시스템

방화벽 정책 신청방화벽 정책자동화 시스템

보안관리자 개입없는 방화벽 정책 설정 시스템에 의한 방화벽 정책 입력

방화벽 정책 입력 전 시뮬레이션을 통한 방화벽 정책 자동 점검

방화벽 정책 사후관리 입력된 방화벽 정책에 대한 사후관리

요청자/신청자/변경자 등 방화벽 정책 이력관리 가능

PA-30202 Gbps FW/1 Gbps threat prevention250,000 sessions8 SFP, 12 copper gigabitVirtual system base 1/ max 6

PA-30504 Gbps FW/2 Gbps threat prevention500,000 sessions8 SFP, 12 copper gigabitVirtual system base 1/ max 6

PA-500250 Mbps FW/100 Mbps threat prevention/64,000 sessions8 copper gigabit

PA-505010 Gbps FW/5 Gbps threat prevention2,000,000 sessions4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabitVirtual system base 25/ max 125

PA-50205 Gbps FW/2 Gbps threat prevention1,000,000 sessions8 SFP, 12 copper gigabitVirtual system base 10/ max 20

PA-506020 Gbps FW/10 Gbps threat prevention4,000,000 sessions4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabitVirtual system base 25/ max 225

PA-200100 Mbps FW/50 Mbps threatprevention/64,000 sessions4 copper gigabit

PA-30604 Gbps FW/2 Gbps threat prevention500,000 sessions2 SFP+, 8 SFP, 8 copper gigabitVirtual system base 1/ max 6

PA-7080200 Gbps FW/100Gbps threat prevention80,000,000 sessions20 QSFP+, 120 SFP+, 120 copper gigabitVirtual system base 25/ max 225

PA-7050120 Gbps FW/60 Gbps threat prevention48,000,000 sessions12 QSFP+, 72 SFP+, 72 copper gigabitVirtual system base 25/ max 225

ˑ 팔 로 알 토 네 트 웍 스 차 세 대 보 안 제 품

PA-526072 Gbps FW / 30 Gbps threat prevention32,000,000 sessions4 QSFP28 (40 Gig / 100 Gig) 16 SFP/SFP+ (1 Gig / 10 Gig) 4 copper gigabitVirtual system base 25/ max 225

PA-220500 Mbps FW /1 50 Mbps threat prevention64,000 sessions8 copper gigabit

PA-8501.9 Gbps FW / 780 Mbps threat Prevention192,000 sessions4 copper gigabit, 4 SFP, 4 SFP+

PA-820940 Gbps FW / 610 Mbps threat Prevention128,000 sessions4 copper gigabit, 8 SFP

PA-525035 Gbps FW / 20 Gbps threat prevention8,000,000 sessions4 QSFP28 (40 Gig / 100 Gig) 16 SFP/SFP+ (1 Gig / 10 Gig) 4 copper gigabitVirtual system base 25/ max 125

PA-522018 Gbps FW / 9 Gbps threat prevention4,000,000 sessions4 QSFP+ (40 Gig) 16 SFP/SFP+ (1 Gig / 10 Gig) 12 copper gigabitVirtual system base 10/ max 20

ˑ 제 품 L i n e u p ( 2 0 1 7 N e w M o d e l )

감 사 합 니 다 .

55

팔로알토네트웍스 차세대안 플랫폼 › assets › download › paloalto.pdf ·...

Documents