Novità in casa Palo Alto Networks - Enterprise Next Generation Firewall PanOS News

Hai mai sentito parlare di Palo Alto Networks - Enterprise Next Generation Firewall? Hai necessità di installare Firewall NG in ambienti non solo enterprise che ti richiedono elevate prestazioni ed affidabilità? Hai mai lavorato con il sistema operativo PanOS di Palo Alto Networks? Con la fine di Febbraio 2011 Palo Alto Networks ha annunciato il rilascio della versione 4.0 del sistema operativo PanOS, installabile su tutti gli appliance Next Generation Firewall a listino. PanOS 4.0 Operating System introduce la funzionalità denominata GlobalProtect in grado di fornire agli host remoti lo stesso grado di sicurezza messo a disposizione per la rete enterprise, seguendo il trend dei maggiori vendor come Cisco, Juniper e Checkpoint e cercando di annullare in questo modo il confine tra rete “esterna” e rete “interna”. Per chi non avesse mai sentito nominare Palo Alto Networks o non avesse mai visto all’opera i prodotti di sicurezza di questa giovane azienda è necessario ricordare che nell’ultimo Gartner Magic Quadrant for Enterprise Network Firewalls datato Marzo 2010 l’azienda californiana ha avuto un’eccellente posizione tra i visionari. Ad oggi è infatti in grado di fornire una soluzione integrata di sicurezza di grande respiro mettendo a disposizione appliance dedicati ad elevate perfomance con caratteristiche uniche di controllo che tutti i vendor concorrenti stanno cercando di emulare.

Quali le maggiori innovazioni di PanOS Operating System version 4.0?

PanOS 4.0 Operating System prevede circa 50 caratteristiche aggiuntive rispetto alle precedenti versioni 3.1.x in aggiunta alla classica lista di risoluzione di bug più o meno importanti che sempre accompagnano questo genere di major release.
Da menzionare la nuova possibilità di controllo del traffico cifrato SSH. Attraverso una parziale decrittazione e tecniche euristiche il firewall è ora in grado di identificare il tipo di traffico veicolato nel tunnel ssh, per verificare se è effettivamente legittimo oppure non permesso della policy aziendale. Insieme ad una migliore categorizzazione delle applicazione e alla semplificazione del processo di creazione di app personalizzate i Palo Alto Networks Next Generation Firewall si pongono come punto di riferimento per la creazione di regole di firewall basate solamente su utente e applicazione. Dimenticatevi dei vecchi IP e PORTA, benvenuti nel futuro!
Sono state inoltre introdotte migliorie come l’identificazione del comportamento botnet, costantemente seguite dai Palo Alto Labs, permettendo così ora di individuare velocemente computer compromessi appartenenti alle reti controllate. Profili di limitazione attacchi Denial of Service (DoS) basati su oggetto destinatario e non più su interfaccia, insieme alla possibilità di indicare un timeout per mettere in blocco attacker sorgente e victim destinatario amplificano ed estendo le pure capacità di sicurezza perimetrale.
Dal punto di vista network è finalmente stata introdotta l’alta disponibilità di tipo active-active per venire in contro a quelle realtà aziendali complesse dove sono presenti problemi di routing asimmetrico. Altre interessanti migliorie riguardano le sofisticate sottointerfacce non taggate o la possibilità di usare indirizzi overlappati in differenti virtual router. Di sicuro però la novità più interessante è la caratteristica di DNS proxy in grado di risolvere gli annosi problemi di risoluzione DNS quando si trattano domini complessi.

GlobalProtect

Questo nuovo servizio mira a fornire la medesima sicurezza e controllo implementata all’interno dell’azienda anche a quegli utenti nomadic, teleworker o road warrior che agiscono all’esterno del perimetro dell’enterprise. Tale innovazione è in linea con il trend di sicurezza proposte Cisco Systems con la nuova Anyconnect 3 e Juniper Pulse.
In pratica il funzionamento si basa sull’instaurazione di un collegamento VPN SSL o IPSEC di tipo Remote Access con il Portal aziendale, l’interscambio di un profilo host e l’esecuzione di una posture. In questo modo si certifica l’host non solo come credenziali ma anche come comportamento, controllando ad esempio la presenza di antivirus, firewall software personali o chiavi di registro partivolari. Una volta superati i controlli si permette successivamente la navigazione all’interno o all’esterno della rete aziendale usando un’unica policy centralizzata. Rispetto alle soluzioni concorrenti l’host remoto che usufruisce del servizio GlobalProtect ha la possibilità di selezionare un Gateway alternativo su base regionale rispetto al Portal generale in modo da ottimizzare la connessione pur mantenendo i medesimi profili di sicurezza. Tale scelta permetterà in un futuro di fornire Security as a Service (SaaS) da parte di quei carrier di telecomunicazioni che vorranno rivedere servizi di sicurezza.

Il servizio GlobalProtect è disponibile con licenza aggiuntiva, per ora solamente per  gli host basati su Windows OS. Si dovrà attendere qualche mese per le versioni Mac e Linux mentre non vi sono particolari indicazioni per l’estensione del servizio ai dispositivi mobile, importante fetta di mercato enterprise e sempre più usati in ambito professionale.

Conclusioni

PanOS 4.0 Operating System fornisce un grande set di migliorie e nuove caratteristiche ma ha il pregio fondamentale di fornire l’indicazione che quelli di Palo Alto Networks non si sono seduti sugli allori. Hanno costruito quello è che ad oggi uno dei prodotti di network security più interessanti dell’intero panorama, ne sono consapevoli e credono nel suo sviluppo futuro. Consiglio vivamente a tutti quelli che non hanno mai visto il prodotto all’opera di richiedeci una demo o una valutazione in loco, rimarrete sicuramente affascinati dalle potenzialità offerte.