Palo Alto Networks下一代安全平臺五大創新功能:雲安全爲重中之重
【51CTO.com原創稿件】做爲全球首先提出下一代防火牆概念的公司,Palo Alto Networks目前在業界也還是最具行業標杆表明性的防火牆提供者。近日,Palo Alto Networks在中國正式發佈了自主研發的下一代安全平臺「Palo Alto Networks PAN-OS 8.0版」。前端
Palo Alto Networks 大中華區總裁陳文俊後端
攻擊防護需從四方面作起安全
衆所周知,傳統的防火牆就是基於端口防禦的。隨着技術的發展和應用的發展,僅經過網絡端口防護已經遠遠不夠。如今,須要在七層裏防禦可以作的更完備,不管是針對已知的威脅仍是未知的威脅。Palo Alto Networks 大中華區總裁陳文俊認爲,面對日益嚴峻的網絡威脅,要想進行有效的威脅防護,須要從可視化、減小攻擊面、防護已知威脅和未知威脅四個方面進行防禦,減小攻擊成功率。服務器
首先,在可視化方面,要實現對網絡、移動終端和雲端的可視化,作到對從應用進來、從雲進來、從打包流量進來咱們都有手段看得見,能看見就能防。其次,攻擊面多則受攻擊的機會也多,由於黑客是團體做戰發起攻擊成本低,對於企業來講攻擊面越寬,黑客攻擊的範圍越廣,致使企業很難防禦。另外,攻擊成本低更容易發動攻擊,黑客獲益機會越大。最後,檢測不出的威脅最可怕,所以不但要作好已知威脅防禦也應作好未知威脅的防禦。markdown
陳文俊表示,針對未知威脅,Palo Alto Networks經過智能雲與全球全部的客戶設備同步,若是發現最新的威脅,可在五分鐘以內通知到部署在全球各地的設備中,作好防禦。另外,Palo Alto Networks還採用機械學習、AI、行爲分析等多種手段,實現未知威脅的防護。網絡
下一代安全平臺PAN—OS 8.0的五大創新升級: 雲安全爲重中之重運維
Palo Alto Networks 大中華區技術總監耿強機器學習
並基於以上四個層面, PAN-OS 8.0版實現了雲安全、多元威脅防護、憑證盜竊防護、規範化管理、全新硬件的五大創新升級。性能
雲安全:PAN-OS 8.0版最重要的創新就在雲安全,它提供了AWS、Azure、NSX、ESXi、Hyper-V、KVM等多種雲服務,可以爲企業在各個環節提供一致的安全防護級別。Palo Alto Networks 大中華區技術總監耿強表示,爲了可以更好的幫助客戶在雲上更好的運維,防護威脅入侵,Palo Alto Networks實現了雲上擴展並支持自動化安全防護。在VM虛擬化的應用上,提供最佳性能和覆蓋範圍。在公有云上,平臺良好的擴展性可與AWS和Azure服務的完美集成。其中,在 Azure拓展方面,可與App Gateway和 Load Balancer 實現集成;在AWS拓展方面,與Auto Scaling 和 ELB/ALB實現集成,可實現安全的動態擴展,且與工做負載無關,無縫支持CloudWatch。同時,針對SaaS應用,新版本對SaaS使用狀況有了更深度的理解,可以生成更詳細的報告,爲用戶提供準確和及時的安全信息。學習
多元威脅防護:談到安全防護問題,耿強先向記者解釋了關於虛擬逃逸的問題,當黑客將惡意軟件放進虛擬環境後,他會嘗試分析企業的系統和硬件,而後進行滲透嘗試入侵動做。可是,若是他發現這是一個開源沙箱環境時,惡意軟件將會放棄攻擊行爲。由於,黑客知道安全廠商都會用沙箱技術。可是,雖然沒有發起攻擊,可是惡意軟件仍然存在。那麼,咱們該如何針對這種逃逸的惡意軟件進行進一步的防護呢?2016年年終,Palo Alto Networks曾推出PAN-OS 7.1版,採用靜態分析的方式,對已知滲透入侵、惡意軟件及其最新變種進行檢測;在未知威脅方面,採用動態分析的方式對零日攻擊和惡意軟件快速顯示。這次新版本的發佈,Palo Alto Networks獨立開發的一套虛擬環境,在動態分析方面實現了100%定製型反逃逸惡意軟件分析環境,而且經過啓發式引擎將高逃逸性能夠文件動態導向裸機;而後進行裸機分析,在純化硬件環境下誘發惡意軟件,檢測出所有虛機感知型惡意軟件。
憑證盜竊防護:憑證盜竊是網絡攻擊者威脅和操縱企業以獲取寶貴資產的常見手段之一。傳統用來阻止憑證釣魚的方法都是最基本的、須要人工手動而且數量極其有限,主要依賴培訓員工在遇到釣魚網站時能對其進行識別。Palo Alto Networks現推出業內首個多元化、可擴展和自動化技術,可有效防止基於憑證的攻擊發生。PAN-OS 8.0版主要實現了自動識別和阻截釣魚網站、阻止用戶提交憑證到釣魚網站、防止使用被盜憑證的憑證防盜功能。目前,Palo Alto Networks下一代防火牆就可防止憑證被盜和濫用,輔助其餘惡意軟件及威脅防禦產品,保障應用程序的啓用功能,從而擴展企業客戶防護網絡攻擊的能力。
規範化智能管理: PAN-OS 8.0經過中央管理,將7000系列和端點的日誌整合到中央管理上,當WildFire、威脅日誌發現連接(客戶端IP)警報,可對應現有策略作精細的日誌過濾、NGFW自動操做等自動安全操做,這就說明這個IP是一個感染的,這樣的用戶出現這樣的問題的時候,就強制他作雙重認證的動做。一樣這樣的日誌和關聯不只在咱們的中央系統,也能夠在其餘方面來作。
全新硬件:雲端部署和高流量對硬件提出了更高的性能要求,爲此, Palo Alto Networks共發佈了6款全新硬件平臺,包括三款高端PA—5200,兩款中端PA—800,以及一款入門級PA—220。在性能上,實現了高達10倍的性能和容量提高,最多可增長35倍的SSL會話容量。在加密流量的解密上,實現了高達10倍的解密性能提高,更高的端口密度,靈活的I/O和硬件彈性,前端到後端冷卻設計升級。
採訪結束,在與耿強的交流時,他向記者表示,這次下一代安全平臺發佈單就安全升級來講,最突出的就是針對逃逸和C2服務器的防護。過去,企業安全研究人員存在對網絡流量的分析難以徹底覆蓋,且人力不足等狀況。C2服務器的有效載荷簽名對安全人員的防禦工做相當重要,可是企業卻不得不在安全防禦的速度和質量間權衡。所以,在C2服務器規模化防護方面,下一代安全平臺着重提高了企業安全分析師的工做效率。平臺中整合了專用的有效載荷簽名生成引擎,經過雲端沙箱和威脅情報雲,對C2服務的有效載荷自動提取並全球更新,以實現對內網存在的攻擊者C2服務器訪問請求和鏈接流量實現更快速的中斷和響應。
雲計算時代,做爲一家老牌的安全廠商,Palo Alto Networks因勢而動,順勢而爲。依託先進技術,Palo Alto Networks產品始終針對應用層開展防禦,產品逐漸從下一代防火牆升級到一體化的下一代安全平臺PAN-OS 8.0版。該版本很是注重雲安全防禦功能的創新實現,對公有云、私有云、SaaS應用都可作安全防護,之外還實現瞭如可視化、加強自動化、行爲分析、機器學習能力等70多個全新功能,不管從網絡端仍是雲端都能爲客戶提供有效的安全防禦。
做者:杜美潔 來源:51CTO