› BRENNERCOM AG

b.SECURITY

PALOALTO FIREWALL

b.SECURITYPALOALTOINTRODUZIONEGENERALEÈ la soluzione di firewalling fornita da Palo Alto Networks che appartiene alla famiglia di prodotti b.SECURITY diBrennercom;idealeperleaziendechericercanoelevatistandarddisicurezza.

DESCRIZIONETECNICAL’offertab.SECURITY-PaloAltoNetworkspermettediacquisireuncontrollocompletosu:• trafficodirete• applicazioni• utenti• contenutiLe tecnologiedi identificazionediapplicazioni (App-ID),utenti (User-ID)e contenuti (Content-ID), sonoesclusivedeifirewallPaloAltoNetworkseconsentonodicreareefficacipolicydisicurezza.Quest’ultimesibasanoessenzialmentesulleapplicazioni,illorocomportamento,chileutilizzaeidatichequestegestiscono.I firewall Palo Alto si basano sulla “Single Pass Parallel Processing Architecture”; tale ingegnerizzazione consente dieseguire contemporaneamente tutti i controlli sul flusso dei dati, senza effettuare buffering o collegare inmodalitàserialepiùmodulioapparati.Ciògarantiscel’analisidelflussodeidatirealtime.

APP-ID:CLASSIFICAZIONEDITUTTELEAPPLICAZIONILeapplicazionimalevolesonoormaiingradodieludereicontrollistandarddisicurezzaalfinediinstauraretrafficononconsentito.Daquinascel’ideadeinext-generationfirewalldiPaloAltocheoltrealclassicocontrollodireteISO/OSI-Layer4:portaeprotocollo,agisconoanchealivelloISO/OSI-Layer7:livelloapplicativo.La tecnologia proprietaria che consente il controllo delle applicazioni è denominata App-ID. Essa è in grado dicatalogare e determinare l'esatta identità delle applicazioni che attraversano la retemediante l’utilizzo di sofisticatimeccanismidiclassificazioneemonitoraggio.

Oltreadidentificare l’applicazioneèpossibile individuarelesuefunzionalitàalfinediottenereuncontrollocompletodellastessa(es.èpossibileautorizzarel’utilizzodell’applicazioneSkypemainibireiltrasferimentodifiletraduehost).USER-ID:ABILITAZIONEDELLEAPPLICAZIONIINBASEAUTENTIEGRUPPILa natura sempre più dinamica degli ambienti informatici ha dimostrato come sia inefficace l'uso dei soli indirizzi IPcomemeccanismodimonitoraggioecontrollodell'attivitàdegliutenti.

LatecnologiaproprietariaUser-IDconsentediabilitareodisabilitareleapplicazionibasandosisull’utilizzodellestessedapartedigruppioutenti.Leinformazionisugliutentipossonoessereraccoltedadirectoryaziendali(MicrosoftActiveDirectory, eDirectory eOpen LDAP) e servizi terminal (Citrix eMicrosoft Terminal Services). Infine l'integrazione conMicrosoftExchange,CaptivePortaleAPIXMLconsentonoalleaziendediestendereicriteriagliutentiAppleMacOSX,AppleiOSeUNIXchegeneralmentesitrovanoaldifuorideldominio.

CONTENT-ID:PROTEZIONEDELTRAFFICOAUTORIZZATOLatecnologiaproprietariaContent-IDèunamotorereal-timeingradodimettereinrelazione:• databasediURL• firmedivirus• firmedivulnerabilità• elementidiidentificazionedelleapplicazioni.Essapermettedibloccaretrasferimentidifilenonautorizzati,individuareexploit,malwareetrafficoanomalo.

Dopo l’individuazione dell’applicazione, il Content-ID rende visibili le attività compiute dalla stessa senza introdurrelatenzedovuteaproxyantivirusoapparatiesterni(es.intrusionpreventionsystems).Èpossibileadesempio:• intercettareeimpediretuttiitrasferimentidatiopermetteresoloiltransitodideterminatetipologiedifile• cercareall’internodelfileintransitocontenutisensibili(es.cartedicreditoocodicefiscale)• ispezionareiltrafficoalfinediintercettaretentatividiexploit• ricercaretraccedioperazioniditipoCommand&Controlsumacchinecompromesse.• verificare la tipologiadegli indirizzi IPoURLcontattati e impediredeterminatecategoriedi contenuti (pornografia,giocod’azzardo,etc.).

ABILITAZIONESICURADELLEAPPLICAZIONILaperfetta integrazionediApp-ID,User-IDeContent-IDconsentealleorganizzazionidistabiliredeicritericoerentidiabilitazione delle applicazioni, in molti casi fino al livello funzionale, che vanno oltre i classici livelli di negazione oautorizzazione all'accesso. I criteri di abilitazione sicura iniziano con l'identità dell'applicazione che viene quindimappata all'utente associato tramiteUser-ID,mentre Content-ID esegue la scansione del contenuto del traffico perricercareminacce,file,patterndidatieattivitàWeb.

Questi risultati vengono visualizzati nel Application Command Center (ACC) dove l'amministratore è in grado diconoscere in tempo reale quello che accade nella rete. Successivamente, nell'editor dei criteri, le informazionivisualizzatenelACC relativealleapplicazioni,agliutentieal contenutopossonoessereutilizzatepercrearecriteridisicurezza appropriati che bloccano le applicazioni non desiderate, mentre autorizzano e abilitano le altre in modoprotetto. Infine, è possibile eseguire sui log un’analisi dettagliata, report o indagine forense sempre basandosi suapplicazioni,utentiecontenuto.Diseguitovengonopresentatiiprincipalicomponentichepermettonoilmonitoraggioelacreazionedellepolicydisicurezza.

APPLICATIONCOMMANDCENTERLanaturaApplicationCommandCenter(ACC)mostragraficamenteleapplicazionicheattraversanolarete,gliutentiche le utilizzano e il potenziale impatto sulla sicurezza. ACC viene aggiornato dinamicamente, utilizzando laclassificazione continuadel traffico eseguita daApp-ID.Qualora una applicazioneutilizzi unaporta diversa daquellainizialeosicomportiinmodoanomalooelusivo,App-IDcontinueràamonitorarneiltraffico,visualizzandoirisultatinelACC.

Leapplicazioni(nuoveosconosciute)visualizzatenelACCpossonoessereesaminateconunsingoloclicchemostraunadescrizionedell'applicazione, le relative funzioni chiave, lecaratteristiche funzionalie gliutenti che lautilizzano.Unamaggiore visibilità nelle categorie di URL delle minacce e dei dati fornisce una panoramica completa e dettagliatadell'attivitàdirete.GrazieadACCèpossibileacquisirerapidamenteulterioriinformazionisultrafficodireteetradurretalidatiinuncriteriodisicurezzapiùefficace.POLICYEDITOR:TRASFORMARELACONOSCENZAINPOLICYDIABILITAZIONEPROTETTALaLeinformazionidisponibilisuapplicazionieutenticonsentonoagliamministratorididistribuirerapidamentecriteridiabilitazione/disabilitazione.Ilcontrollogranularedellepolicyconsentedi:• ProteggereundatabaseOraclelimitandol'accessoaigruppifinanziari,forzandoilflussoditrafficoattraversoleportestandardeispezionandoloperricercareeventualipuntidivulnerabilitàdell'applicazione.

• abilitare il gruppo IT all'uso esclusivo di un set remoto di applicazioni di gestione (ad esempio, SSH, RDP, Telnet)attraversoleportestandard.

• Definire e applicare un criterio aziendale sull'uso di determinate webmail e applicazioni di Instant Messagingbloccandonel'usodellerispettivefunzioniditrasferimentofile.

• Abilitare ilteamdiamministrazioneall’utilizzodiMicrosoftSharePointeautorizzaretuttiglialtriutentiadaccederesoloaMicrosoftSharePointDocuments.

• Permetterel’accessoaisiticheoffronostremingdicontenutimultimedialimalimitarnel’utilizzodellabanda.• Distribuire criteri di abilitazione del Web che autorizzano e analizzano il traffico diretto ai siti Web di interessecommerciale,bloccandoinvecel'accessoasitievidentementenoncorrelatiallavoro,esorveglianol'accessoadaltrisititramitepaginedibloccopersonalizzate.

• Implementare criteri QoS per autorizzare l'uso di siti Web e applicazioni multimediali che richiedono un grandeconsumodilarghezzadibanda,malimitanol'impattosulleapplicazioniVoIP.

• Decifrare il traffico SSL verso i siti di social network ewebmail ed eseguire una scansione per rilevaremalware evulnerabilità.

• abilitare il download di file eseguibili da siti Web non classificati solo dopo la conferma da parte dell'utente perbloccaredownloadditipodrive-bytramitevulnerabilitàditipo"zero-day".

• Rifiutare tutto il trafficoprovenientedadeterminatipaesiobloccare le applicazioni indesideratequali condivisionefileP2P,programmicircumventoreproxyesterni.Permetterel’accessoaFacebookmaimpedireilpostdicontenuti.

• Permettere l’accessoaFacebookma impedire il postdi contenutio inibire l’utilizzodella chat tranneche inpausa

pranzo.Laperfetta integrazionedelcontrollodelleapplicazionibasatasuutentiegruppi,unitaallapossibilitàdisottoporreascansione il traffico autorizzato per rilevare un'ampia gamma di minacce, permette alle organizzazioni di ridurredrasticamente il numero di modifiche delle policy dovute ai dipendenti che ogni giorno aumentano, si spostano ocambianosettoreall'internodell'azienda.

LICENZEAGGIUNTIVELefunzionalitàdibasedeifirewallPaloAltogarantisconounelevatostandarddisicurezza.Tuttavia,attraversol’utilizzodellelicenzeintegrative(opzionali)diseguitodescritte,èpossibileelevareulteriormenteillivellodiprotezione.THREATPREVENTIONLafunzionalitàThreatPreventionhacomescopoprincipalequellodiproteggerelaretedatuttiimetodicheimodernimalwaremettonoinattopereludereicontrollistandarddisicurezza.Ciòavvienegrazieall’aggiuntadiulterioriopzionidicontrollo(all’internodellepolicydisicurezza)cheintegranolefunzionalitàtipichediunIPS,quali:• laricercaneltrafficodipatternCommand&Control• laricercadiexploitnoti• verificarelapresenzadimalware• ilfiltraggioeverificadellareputazionedegliURL• ilcontrollodeltrafficoDNSesinkholing• ilbloccooverificadeltrasferimentodeifile.Ciògarantiscenonsolounamassimacoperturarispettoaexploitnotimaancheunvalidoaiutonell’individuazionediminacce0-day (ovvero ancora non profilate e quindi non rintracciabili via signature) e diAdvanced Persisten Threat(ovveroattacchiavanzatiprolungatineltempo).GATEWAYWEBFILTERLa funzionalitàGatewayWebfilter permettedi bloccareo consentireuno specifico sitoWeb. Tale analisi si basa sulcontenutoditalesitoenonesclusivamentesulrelativoURL.Talecontrollorisultaefficaceedifficiledabypassareconimetodipiùcomuni(es.googlecacheogoogletranslate).LafunzionalitàGatewayWebfilterècomunementeutilizzatadalleaziendechedesideranoevitarelavisualizzazionedisitiwebinappropriati.Ilsuomotoreèbasatosuundatabaseinternazionaleall’internodelqualeisitiWebsonoclassificatiecategorizzatipertipologiadicontenuto(SocialNetworks,Finanza,News,ecc…).Queste informazionipermettonodiconfigurare delle specifiche filtering policy (per azienda o per dipendente). Infine è possibile inserire “pagine didissuasione”(cheinformanol’utentedeldivietodiaccessoatalicontenuti)ostabilireilbloccototaledelsitoWeb.GLOBALPROTECTLa funzionalitàGlobalProtect™permettediestendere lestessepolicydisicurezzadegliutentiche lavorano insedeaquelli che si trovano in trasferta. Indipendentemente dalla posizione geografica viene creato un perimetro logico diprotezione. Ciò è possibile collegando via VPN il device mobile all’apparato Palo Alto. Inoltre installando l’appositoagent èpossibile verificare lo statodi configurazionedeldeviceprimadipermetterne l’accessoalla rete internaoadeterminatiapplicativi.WILDFIRELaWildFire™metteadisposizioneunambientesandboxedbasatosucloud,ovveroun’ambientevirtualechesimulasiaunrealesistemaoperativochel’utentecheinteragisceconilfile.Aquestoambienteèpossibileinviareifilericevuti(es.viamailodownload)perintercettaretipologiedimalwarenonancoraprofilateequindinonrilevabilidaantivirusoIPS.lafunzionalitàWilfirepermetteInoltrediscaricarelesignatureaggiornateogni15minuti(nonsolounavoltaalgiornocomeprevistodallafunzionalitàtreathprevention)chetengonocontoditutteleanalisieseguiteallivellomondialefinaquelmomento.

SERVICELEVELAGREEMENTVENDITADESCRIZIONE KASKO[1Anno] KASKO[3Anni]

Orariodirisposta(finestradidisponibilità)

lunedì-venerdì 08.00-17.00 08.00-17.00sabato n.d. n.d.domenica n.d. n.d.festivitànaz./reg. n.d. n.d.

Presaincarico immediata immediata

Sostituzionehardware 2gg.lavorativi(12MESI)

2gg.lavorativi(36MESI)

Finestradiintervento

lunedì-venerdì 08.00-17.00 08.00-17.00sabato n.d. n.d.domenica n.d. n.d.festivitànaz./reg. n.d. n.d.

RaggiungibilitàServiceDeskTelefono ü ü e-mail ü ü

NOLEGGIODESCRIZIONE KASKO[3Anni]

Orariodirisposta(finestradidisponibilità)

lunedì-venerdì 08.00-17.00sabato n.d.domenica n.d.festivitànaz./reg. n.d.

Presaincarico immediata

Sostituzionehardware2gg.lavorativi(36MESI)

Finestradiintervento

lunedì-venerdì 08.00-17.00sabato n.d.domenica n.d.festivitànaz./reg. n.d.

RaggiungibilitàServiceDesk Telefono ü e-mail ü

CONDIZIONIDIFORNITURAVENDITA• IVA:22%;• Pagamento:20gg.datafattura;• Validitàdell’offerta:60gg.dalladatadellapresente;• Lafatturasaràemessaallaconclusionedeilavoriedopoilcollaudodell’apparato.

NOLEGGIO• Durataminima36mesinonmodificabile.• Alloscaderedei36mesidicontratto,dettosirinnovatacitamenteperulteriori12mesi (ecosìviadi12mesi in12 mesi);lagestionedelservizioavverràcomediseguitodescritto:- HARDWARE&MANUTENZIONE

§ Richiederelasostituzionedell'HW(oVM)conunnuovomodello(nuovocontratto);§ Continuare a utilizzare l’HW (o VM) presente e godere del servizio dimanutenzione per ulteriori 12mesi

(tacitorinnovo)senzavariazionidelcanonemensile.- SOFTWARE(license)

§ Richiedereladismissionedellelicenze;§ Continuare a utilizzare le licenze (SW) per ulteriori 12 mesi (tacito rinnovo) senza variazioni del canone

mensile.

SET-UPBASEFIREWALL• SpedizionedelFW• Aggiornamentoall’ultimofirmwarestabile• CollegamentoallaretedimgmtdiBrennercom• ConfigurazioneaccessoInternet(inmodalitàANYinuscita)• Testingdelservizio

SET-UPLICENZE(opzionale)• RegistrazionedellalicenzanelFW• Configurazionedellalicenza

La quotazione delle ore necessarie alla configurazione delle licenze dipende dalla quantità di regole configurate nelFirewall(serviziob.PROFESSIONAL-SystemIntegration)

Per ulteriori informazioni consultare le “Condizioni generali di contratto” e le “Commissioni in caso di recesso anticipato”, scaricabili alla pagina web: http://www.brennercom.it/it/support/download.

BRENNERCOM AG/SPAVia Pacinotti-Str. 12, I-39100 Bozen/BolzanoTel +39 0471 060 111 | fax +39 0471 060 188www.brennercom.it | info@brennercom.it | free call 800 832 832