UnterSchiede zwischen AWS-SicherheitsGruppen und Palo Alto Networks Virtual Firewall
Resolution
Einführung
Da Unternehmen weiterhin öffentliche Cloud-Ressourcen nutzen, ist es wichtig, die Sicherung von Anwendungen und Daten im Auge zu behalten. Nicht, weil Unternehmensdaten potenziell in einem anderen Rechenzentrum als dem eigenen liegen, sondern weil es immer noch Unternehmensdaten –, unabhängig von ihrer locale. Sicherheitsorganisationen innerhalb des Unternehmens müssen sich auf Firmen Anwendungen und Daten einstellen, die sich überall aufhalten, und von überall aus – und potenziell von jedem Gerät aus zugänglich sein. Dies untergräbt effektiv das Standard-Perimeter-Modell für die Sicherheit. Der Umkreis dreht sich nun um die Anwendungen und Daten, egal wo Sie sich aufhalten.
Dieser Übergang erfordert ein Verständnis dafür, welche Sicherheitsmerkmale vom Public Cloud-Anbieter angeboten werden können, und ebenso wichtig –, was nicht angeboten wird. Die eingebauten Sicherheits Angebote innerhalb der Public Cloud sind nicht mit denen der Sicherheitsplattform Palo Alto Networks vergleichbar. Dieses Dokument beleuchtet einige dieser Unterschiede – speziell für AWS, aber die gleichen Konzepte gelten für Azure. Gezeigt wird auch, wie der gleiche Platt Form Ansatz innerhalb des privaten Rechenzentrums auf die Public Cloud – oder wo auch immer Ihre Anwendungen und Daten zugänglich sind, ausgeweitet werden muss.
EIN Vergleich zwischen den beiden zeigt leicht, dass die eingebauten Sicherheitsmerkmale in Wirklichkeit sind , kein Vergleich zum Ansatz der Palo Alto Networks-Plattform. In der Tat sind Sie ergänzend und sollten gemeinsam eingesetzt werden. Für AWS kann die eingebaute Sicherheit nicht deaktiviert werden und ist eine Voraussetzung. AllerDings ist es etwas, was nicht einmal AWS empfiehlt[1] , wenn man seine Sicherheitshaltung nur mit dem eingebauten Motor verlässt.
Vergleich
Die folgende Tabelle ist nicht erschöpfend, hebt aber einige der Funktionen hervor, die nicht als Teil der eingebauten Sicherheitsmaschine innerhalb der AWS Public Cloud zur Verfügung gestellt werden. Das Ende der Tabelle listet einige der AWS-spezifischen Sicherheitskontrollen auf. Man darf nicht vergessen, dass die Entscheidung für Organisationen nicht "das eine oder andere" ist, sondern beide Ansätze für eine umfassende Sicherheitshaltung zu nutzen.
Hauptmerkmale | Pan | AWS |
Firewall |
|
|
Tausende von Anwendungen für Sichtbarkeit und Kontrolle; Fähigkeit, kundenspezifische Anwendungen zu erstellen; Fähigkeit, unbekannten Verkehr auf der Grundlage von Politik zu verwalten | X |
|
Benutzeridentifikation und-Steuerung: VPNs, WLAN-Controller, Captive-Portal, Proxies, Active-Verzeichnis, eDirectory, Exchange, Terminal-Dienste, syslog-Parsing, XML-API | X |
|
Granulare SSL-Entschlüsselung und-Inspektion (ein-und ausgehoben); pro-Policy-SSH-Steuerung (Inbound und Outbound) | X |
|
Vernetzung: dynamisches Routing (RIP, OSPF, BGP, Multiprotocol BGP), DHCP, DNS, NAT, Routen Umverteilung, ECMP, LLDP, BFD, Tunnel Content-Inspektion | X |
|
QoS: politikbasierte Verkehrsgestaltung (Priorität, Garantie, Maximum) pro Anwendung, pro Benutzer, pro Tunnel, basierend auf DSCP-Klassifizierung | X |
|
Zonenbasierte Netz Segmentierung und Zonen Schutz; DoS Schutz vor Überflutung von neuen Sitzungen | X |
|
Gefahrenabwehr |
|
|
Vermeidung einer Vielzahl von Bedrohungen, einschließlich Verletzungs Exploits, Malware und Botnetze | X |
|
Blockierung polymorphischer Malware durch Fokussierung auf Nutzlast statt Hash oder Dateiname | X |
|
SchutzSuchende werden alle fünf Minuten automatisch mit Wildfire aktualisiert | X |
|
FortGeschrittener Malware-Schutz (WildFire) |
|
|
Dynamische Analyse: Detonation von Dateien in einer maßgeschneiderten, Ausweich resistenten virtuellen Umgebung, die die Erkennung von Zero-Day-Malware und Exploits ermöglicht | X |
|
Statische Analyse: Erkennung von Malware und Exploits, die versuchen, dynamische Analyse zu umgehen; sofortige Identifizierung von Varianten bestehender Malware | X |
|
Maschinelles Lernen: Extraktion von Tausenden von einzigartigen Funktionen aus jeder Datei, Schulung eines vorausschauenden maschinellen Lern Klassifizierers zur Identifizierung neuer Malware und Exploits | X |
|
Nackte Metall Analyse: ausweichende Bedrohungen, die automatisch in eine reale Hardware-Umgebung zur Detonation gesendet werden, wodurch die Fähigkeit eines Gegners, Anti-VM-Analysen einzusetzen, vollständig beseitigt wird | X |
|
Automatisierte Signatur-Updates alle fünf Minuten für Zero-Day-Malware und Exploits von jedem WildFire-Abonnenten entdeckt | X |
|
KontextBezogene Bedrohung intelligenter Service (Autofokus) |
|
|
Kontext rund um Angriffe, Gegner und Kampagnen, einschließlich gezielter Industrien | X |
|
Beschleunigte Analyse-und reaktionsbemühungen, einschließlich priorisierter Warnungen für die kritischsten Bedrohungen | X |
|
URL-Filterung |
|
|
Schutz vor bösartigen Websites, die ihre Personen und Daten zu Malware und Exploit-Kits aussetzen | X |
|
Schutz vor Bescheinigung Phishing durch die Prüfung von Webseiten, um festzustellen, ob Inhalt und Zweck bösartiger Natur sind. BenutzerDefinierte URL-Kategorien, anpassbare Warnungen und Benachrichtigungs Seiten. | X |
|
Datei-und DatenFilterung |
|
|
Bidirektionale Kontrolle über die unerlaubte Übertragung von Dateitypen und Sozialversicherungsnummern, Kreditkartennummern und kundenspezifischen Datenmustern | X |
|
Mobile Security (Global Protect) |
|
|
Fernzugriff VPN (SSL, IPSec, Clientless) und Mobile Bedrohungs Prävention und Politik Durchsetzung auf Basis von apps, Nutzern, Inhalten, Gerät und Gerätezustand | X |
|
BYOD: App-Level VPN für die Privatsphäre der Nutzer | X |
|
Management-und Sichtbarkeits Werkzeuge (zentrales Politik Management) |
|
|
Intuitive politische Steuerung mit Anwendungen, Benutzern, Bedrohungen, fortgeschrittenem Malware-Schutz, URL, Dateitypen, Datenmustern – alle in der gleichen Richtlinie | X |
|
Handlungsfähiger Einblick in Traffic und Bedrohungen mit Application Command Center (ACC), vollständig anpassbare Berichterstattung | X |
|
Aggregierte Protokollierungs-und Ereignis Korrelation | X |
|
Konsequentes Management aller Hardware und aller VM-Serien, rollenbasierte Zutrittskontrolle, logische und hierarchische Gerätegruppen und Vorlagen | X |
|
GUI, CLI, XML-basierte REST-API | X |
|
Dynamisches Kennzeichnung für die Politik Automatisierung |
|
|
Einsatz von granularen Filter Richtlinien in Kombination mit automatischer Markierung, um kompromittierte Hosts zwischen Sicherheitsgruppen zu bewegen. D. H. Quarantäne ein Wirt, wenn Befehls-und Kontroll Verkehr zum Beispiel gesehen wird. | X |
|
Nutzung von Kennzeichnung-Richtlinien zur automatischen zusenden relevanter Daten an ein Ticketing-System bei Sicherheitsverletzungen | X |
|
Allgemeine Funktionen |
|
|
IP/Port/Protokoll basierte Sicherheit | X | X |
Hafenbereiche in der Politik | X | X |
Quelle und/oder Ziel innerhalb der Richtlinie (Anmerkung: AWS trennt Inbound und Outbound als separate Regeln) | X | X |
CIDR-basierte Regeln | X | X |
ACL-ähnliche Features innerhalb einer Politik | X | X |
Sicherheit nach dem Eintritt des Verkehrs in den VPC | X | X |
Drop vs verweigert Unterscheidung innerhalb einer Politik | X |
|
AWS-Besonderheiten |
|
|
Nutzung einer AWS-SicherheitsGruppe als Quelle/Reiseziel. * Hinweis: eine Alternative zu Palo Alto Networks kann sein, IPSec zwischen VPC es zu verwenden, um den Verkehr zu kontrollieren. | * | X |
Sicherheit angewendet, bevor der Verkehr in VPC. * Anmerkung: Dies wäre ein zusätzliches Feature, das in Verbindung mit den virtuellen Firewalls von Palo Alto Network verwendet wird. |
| X |
Auswirkungen der Verwendung von AWS-only-Sicherheit
Nur die SicherheitsGruppen und ACLs, die innerhalb von AWS verfügbar sind, zu nutzen, hieße, ihre Sicherheitshaltung in Bezug auf den Schutz um 25 Jahre zurück zu nehmen. Dies ist auf den Port/Protokoll zentrierten Ansatz von SicherheitsGruppen zurückzuführen. Es gab eine Zeit, in der mit dieser Methode war alles, was erforderlich war. Wenn HTTP-Traffic nur auf dem TCP-Port 80 zu sehen war, oder wenn Telnet-Traffic nur auf TCP-Port 23 etc. zu sehen war. Das ist einfach nicht mehr der Fall – und ist seit vielen Jahren nicht mehr der Fall. Der Anwendungs Verkehr liegt nicht nur auf einer breiteren Palette von Häfen, sondern diese Ports können oft dynamisch in der Natur sein und ein riesiges Spektrum abdecken. Dies macht es unmöglich, eine Sicherheitspolitik auf der Grundlage von Port-oder Port-Bereichen zu erstellen, da dies die Tür für Malware öffnet, die dieselben bekannten Ports verwenden kann.
Ein weiteres Problem bei der Verwendung von streng Port/Protokoll-basierter Sicherheit ist, dass viele Anwendungen potenziell die gleichen Port-Bereiche verwenden. Moderne Sicherheit erfordert eine Möglichkeit, zwischen Anwendungen zu unterscheiden, unabhängig vom Port oder dem Protokoll, das in Gebrauch ist. Der folgende Screenshot zeigt die auf dem AWS-Modell eingebaute Port/Protokoll-basierte Sicherheit:
Beachten Sie die Spalte "Typ" im Beispiel. Das ist nicht zu verwechseln mit der Bewerbungs Erkennung. Dies ist nur eine Möglichkeit, eine Anwendung aus einer Liste zu wählen, nur um den Standard-Port in die tatsächliche Regel einfügen zu lassen. Um die Anwendungs Identifikation unabhängig von Port oder Protokoll durchzuführen, bedarf es einer tiefen Prüfung der Sitzungs Pakete. Dies ist jedoch nicht so, wie eine Port/Protokoll-basierte Engine funktioniert.
Ob Unternehmensdaten in einem Unternehmens Datenzentrum oder in der Public Cloud Leben, es ist wichtig, die Angriffsfläche innerhalb der Sicherheitsposition zu reduzieren. Durch das Whitelisting von Anwendungen, die für das Geschäft benötigt werden, und die Beseitigung unbekannter Anwendungen kann die Angriffsfläche erheblich reduziert werden. In Kombination mit der Einschränkung des Zugriffs auf nur die Anwendungen/Daten, die beispielsweise auf der Basis von Rolle oder Gruppe benötigt werden, wird die Angriffsfläche noch weiter reduziert. Dies erfordert die erweiterten Funktionen der Palo Alto Networks der Next Generation Firewall. Dies gilt unabhängig davon, wo die Daten liegen.
Wo kommen die eingebauten Sicherheitsmerkmale von AWS ins Bild? Sie werden als ergänzende Sicherheitsschicht und nicht als Ersatz für eine moderne Verkehrskontrolle eingesetzt. Zum Beispiel könnte man die SicherheitsGruppen-Funktionen auf dem Umkreis (außerhalb) des VPC verwenden, um den Verkehr aus bestimmten IP-Bereichen (z.b. Geo-basierte, oder schlechte-IP-Adressen, etc.) zu lassen. Ein weiterer potenzieller Anwendungsfall ist die Steuerung des Managements an den VPC oder die Steuerung des Verkehrs zwischen den VPC 's. Die Anforderung an erweiterte Inspektions Funktionen besteht nach wie vor außerhalb der Verwendung von AWS eingebauten Sicherheitskomponenten.
Zusammenfassung
Zusammenfassend lässt sich zwei Fragen stellen, wenn es um einen "ein oder anderen" Ansatz für die öffentliche Cloud-Sicherheit geht.
Würden Sie es sich bequem tun, ihre NGFWs an den Hauptstandorten zu verlassen und die Nutzer und Unternehmensdaten (Perimeter und Rechenzentrum) zu schützen und Sie komplett durch eine AWS-Firewall (SicherheitsGruppen und ACLs) zu ersetzen?
Wenn die Antwort "Nein" lautet, ist es dann sinnvoll, nur AWS-Sicherheit zu nutzen, um Ihre Unternehmensdaten in der Public Cloud zu schützen?
Die beiden Komponenten sind ergänzend und sollten zusammen eingesetzt werden, so wie Sie mehrere Schichten in Haupt-und Niederlassungen verwenden.
Referenzen und Notizen
[1] AWS geteiltes Verantwortungs Modell : https://AWS.Amazon.com/Compliance/Shared-Responsibility-Model/
Was ist die beste Praxis für den Einsatz von AWS und Palo Alto Networks VM-Serie Firewall in der Public Cloud?
In der AWS VPC Steuern Sicherheitsgruppen und Netzacls den ein-und ausgehenden Verkehr; Sicherheitsgruppen regulieren den Zugriff auf die EC2-Instanz, während Network ACLs den Zugriff auf das Subnetz regulieren. Weil Sie die Firewall der Palo Alto Networks VM-Series einsetzen, setzen Sie mehr zugelassene Regeln in Ihren Sicherheitsgruppen und Netzwerk-ACLs ein und ermöglichen es der Firewall, Anwendungen im VPC sicher zu aktivieren, während Sie Sitzungen für Malware und bösartige Aktivitäten prüft.
AWS-SicherheitsGruppen verwenden Port/Protokoll:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_Network_and_Security.html
"Sie können Sicherheitsgruppen nutzen, um zu kontrollieren, wer auf Ihre Instanzen zugreifen kann. Diese sind analog zu einer eingehenden Netzwerk-Firewall, die es Ihnen ermöglicht, die Protokolle, Ports und Quell-IP-Bereiche anzugeben, die Ihre Instanzen erreichen dürfen. Sie können mehrere Sicherheitsgruppen erstellen und jeder Gruppe unterschiedliche Regeln zuweisen. Sie können dann jede Instanz einer oder mehrere Sicherheitsgruppen zuordnen, und wir verwenden die Regeln, um festzustellen, welcher Verkehr die Instanz erreichen darf. Sie können eine Sicherheitsgruppe so konfigurieren, dass nur bestimmte IP-Adressen oder bestimmte Sicherheitsgruppen Zugriff auf die Instanz haben. "
http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html
"Eine Sicherheitsgruppe fungiert als virtuelle Firewall, die den Verkehr für eine oder mehrere Instanzen steuert. Wenn Sie eine Instanz starten, assoziieren Sie eine oder mehrere Sicherheitsgruppen mit der Instanz. Sie fügen jeder Sicherheitsgruppe Regeln hinzu, die den Verkehr zu oder von den zugehörigen Instanzen erlauben. "
http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html
"Wenn Sie Anforderungen haben, die von Sicherheitsgruppen nicht erfüllt werden, können Sie Ihre eigene Firewall auf einer ihrer Instanzen neben der Verwendung von Sicherheitsgruppen pflegen."
SicherheitsGruppen und ACLs zusammen werden auf eine "Firewall" innerhalb von AWS verwiesen:
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html
"Eine Netzwerk-Access-Control-Liste (ACL) ist eine optionale Sicherheitsschicht für Ihren VPC, die als Firewall dient, um den Verkehr in und aus einem oder mehr Subnetzen zu steuern. Sie können Netzwerk-ACLs mit Regeln einrichten, die Ihren Sicherheitsgruppen ähneln, um Ihrem VPC eine zusätzliche Sicherheitsschicht hinzuzufügen. "
AWS-Regel Typen werden einfach durch den Standard-Port ersetzt, der typischerweise von der Anwendung verwendet wird:
AWS-Outbound-Regeln folgen der gleichen Port/Protokoll-Syntax:
Im folgenden ist ein Beispiel-Standard-Netzwerk AWS ACL für einen VPC, der IPv4 nur unterstützt:
Beispiel AWS ACL Kreation: