1. User ID:
ID người dùng hoàn toàn tích hợp với Microsoft Active Directory, lưu lại thông tin người dùng và nhóm cụ thể, cho phép bộ phận IT theo dõi kiểm soát các ứng dụng và nội dung theo từng nhân viên, theo các nhóm người dùng hay theo các phòng ban trong công ty.
• Tăng khả năng hiển thị ứng dụng, nội dung, và lưu lượng truy cập dựa trên thông tin người dùng và nhóm (không chỉ dựa vào địa chỉ IP luôn thay đổi)
• Kiểm soát ứng dụng dựa theo người dùng
• Thực hiện giám sát sự cố bảo mật và tạo các báo cáo dữ liệu bao gồm thông tin nhận dạng người dùng
Doanh nghiệp ngày càng linh động, các nhân viên truy cập vào mạng từ bất cứ nơi nào trên thế giới, mạng không dây cấp lại địa chỉ IP khi người dùng di chuyển từ vùng này đến vùng khác, và người sử dụng mạng không phải luôn là nhân viên của công ty. Kiểm soát địa chỉ IP không đủ để theo dõi hoạt động người dùng.
Công nghệ ID người dùng của Palo Alto Networks liên kết địa chỉ IP với thông tin người dùng cụ thể trong Active Directory. ID người sử dụng là một tính năng tiêu chuẩn trên tất cả tường lửa Palo Alto Networks. Khi được sử dụng kết hợp với công nghệ ID-App và Content-ID, các tổ chức có khả năng hiển thị và kiểm soát người dùng, ứng dụng và cả các mối đe dọa tấn công từ bên ngoài.
1.1 Giới thiệu User-ID
Công nghệ ID người dùng tích hợp trong tường lửa Palo Alto Networks cho phép quản trị dữ liệu theo nhóm người sử dụng và khả năng hiển thị ứng dụng. Palo Alto Networks User Agent kết nối với AD, lập bản đồ thông tin người sử dụng với địa chỉ IP mà họ đang sử dụng tại một thời gian nhất định. Các đại lý thường xuyên sử dụng nhiều kỹ thuật nhận dạng để duy trì xác minh người sử dụng với địa chỉ IP:
• Giám sát đăng nhập: hoạt động đăng nhập được theo dõi theo địa chỉ IP và thông tin người dùng.
• Mỗi máy tính được xác minh địa chỉ IP để lập bản đồ khi người dùng di chuyển mà không cần xác thực lại.
• Cổng thông tin xác thực người dùng và địa chỉ IP trong các trường hợp xác thực dựa trên trang web.
Ngoài ra, các đại lý nhận dạng người dùng duy trì một bản đồ người sử dụng. ID người dùng làm việc với các cơ sở hạ tầng hiện có, không cần phải cài đặt thêm phần mềm trên các máy tính.
1.2 Khả năng hiển thị ứng dụng của người dùng:
Sức mạnh của ID người dùng trở nên rõ ràng khi một quản trị viên tìm thấy một ứng dụng lạ trên mạng (qua công nghệ App-ID), với một nhấp chuột, có thể nhanh chóng xác định xem người dùng hoặc một nhóm nào đang sử dụng. Quản trị viên không chỉ nhìn thấy tất cả các người dùng và các ứng dụng cá nhân, mà còn thấy băng thông tiêu thụ và thời gian tự động thoát, nguồn và điểm đến của lưu lượng truy cập cũng như bất kỳ các mối đe dọa liên quan. Điều tra các ứng dụng khác mà một người dùng cá nhân có thể truy cập dễ dàng chọn tên người dùng và click chuột. Khả năng hiển thị hoạt động ứng dụng ở mức độ người dùng, không chỉ là địa chỉ IP, là cần thiết trong việc giành lại quyền kiểm soát các ứng dụng qua mạng. Quản trị viên có thể sắp xếp việc sử dụng ứng dụng với các yêu cầu kinh doanh và nếu thích hợp, có thể thông báo cho người dùng đang vi phạm chính sách của công ty, hoặc trực tiếp ngăn chặn hoàn toàn ứng dụng của người dùng.
1.3 Kiểm soát chính sách theo người sử dụng
Tăng khả năng sử dụng App-ID, nhanh chóng phân tích vai trò và nguy cơ của các ứng dụng, người sử dụng, sau đó có thể dễ dàng dịch những thông tin vào các chính sách kiểm soát người sử dụng ứng dụng. Khả năng kiểm soát các ứng dụng dựa trên người dùng và các nhóm, không chỉ theo địa chỉ IP là một khác biệt quan trọng của Palo Alto Networks. Ví dụ về các chính sách dựa trên người sử dụng có thể bao gồm:
• Cho phép nhóm hỗ trợ dịch vụ sử dụng Yahoo Messenger.
• Cho phép nhóm hoạt động máy chủ sử dụng MS-RDP nhưng chỉ trên cổng mặc định.
• Chặn việc sử dụng tất cả các ứng dụng chia sẻ tập tin sử dụng công nghệ P2P trừ những người được phép sử dụng BitTorrent cho mục đích chuyển giao tập tin.
1.4 Nhận dạng người dùng đăng nhập và báo cáo
Khả năng hiển thị ứng dụng người dùng và các hoạt động đe dọa có trên có trong tất cả các thiết bị Palo Alto Networks, mở rộng các chức năng đăng nhập và báo cáo. Phân tích ứng dụng của người dùng và hoạt động đe dọa có thể được thực hiện một cách nhanh chóng. Quản trị viên có thể dễ dàng tạo các bộ lọc mạnh mẽ, được mở rộng bằng cách kết hợp thêm nhiều tiêu chí. hoạt động của người sử dụng có thể được tạo ra bằng cách sử dụng bất kỳ một trong hơn 30 báo cáo có sẵn hoặc tạo ra một báo cáo tùy chỉnh. Báo cáo tùy chỉnh có thể được nhanh chóng tạo ra từ đầu hoặc bằng cách sửa đổi một báo cáo có sẵn và có thể được xuất sang CSV hoặc PDF, hoặc gửi qua thư điện tử.
2. App-ID
ID ứng dụng là công nghệ độc quyền trên tường lửa Palo Alto Networks đang chờ cấp bằng sáng chế công nghệ, phân loại xác định hơn 700 ứng dụng, không phân biệt cổng, giao thức hay mã hóa SSL.
• Khả năng hiển thị và kiểm soát lưu lượng truy cập ứng dụng
• Giúp tổ chức hiểu rõ giá trị và rủi ro của từng ứng dụng cụ thể
• Cho phép tạo và thực thi các chính sách sử dụng ứng dụng thích hợp
Phân loại Công nghệ App-ID sử dụng trong các ứng dụng, bộ phận CNTT cần phải biết nhiều hơn về nhận dạng ứng dụng được tạo ra bởi App-ID. ID App sử dụng bốn kỹ thuật khác nhau để xác định các ứng dụng:
• Phát hiện ứng dụng mã hóa: App-ID nhận dạng giao thức ứng dụng đang sử dụng (ví dụ HTTP). Nếu App-ID thấy giao thức mã hóa SSL, nó sẽ giải mã, sau đó chuyển tới App-ID phân tích thêm. App-ID sau đó tái mã hóa giao thức và gửi đi.
• Giải mã ứng dụng: Việc áp dụng giải mã giao thức trong App-ID phục vụ hai mục đích đầu tiên, nó cho phép App-ID thu hẹp phạm vi các ứng dụng. Và thứ hai, nó loại bỏ đi giao thức có thể được sử dụng tạo đường hầm. Bộ giải mã giao thức App-ID xác định nếu ứng dụng đang sử dụng một giao thức ứng dụng bình thường (như HTTP cho các ứng dụng duyệt web), hoặc nếu nó sử dụng các giao đó để ẩn các giao thức ứng dụng thực tế (ví dụ, Yahoo Messenger có thể ẩn bên trong HTTP).
• Chữ ký ứng dụng: App-ID sử dụng chữ ký để tìm ứng dụng đặc biệt và giao dịch liên quan đến các cổng được sử dụng.
• Heuristics: Trong một số trường hợp, các ứng dụng vẫn không thể được phát hiện ngay cả khi đã phân tích chữ ký. Khi đó, cần phân tích hành vi để xác định ứng dụng - chẳng hạn như peer-to-peer hoặc các ứng dụng VoIP sử dụng mã hóa độc quyền. Phân tích heuristic được sử dụng khi cần thiết.
Định danh ứng dụng là khả năng hiển thị rõ danh tính của ứng dụng bao gồm đặc điểm và những công nghệ nó sử dụng. Palo Alto Networks giới thiệu nền tảng bổ sung hơn 700 ứng dụng. Các trình duyệt ứng dụng là một công cụ nghiên cứu mạnh mẽ, có thể truy cập thông qua trang web của Palo Alto Networks (www.paloaltonetworks com / arc) và là một phần không thể tách rời của giao diện quản lý. Trong cả hai trường hợp, các quản trị viên có thể lọc các ứng dụng theo danh mục, thể loại, công nghệ cơ bản, và đặc tính bao gồm cả khả năng truyền tập tin, lỗ hổng đã biết, khả năng tránh bị phát hiện, xu hướng tiêu thụ băng thông, truyền dẫn, lây lan phần mềm độc hại, các cổng thường được sử dụng và một bản tóm tắt các đặc tính ứng dụng. Tổ chức có thể áp dụng các chính sách theo nhóm người dùng Active Directory.
Đặc tả ứng dụng: quản trị viên có thể nghiên cứu các ứng dụng và thiết lập chính sách bảo mật bằng cách sử dụng 8 đặc tính ứng dụng.
• Chuyển tập tin: Có thể chuyển các tập tin từ một mạng sang mạng khác. Các ứng dụng có thể chuyển các tập tin được truyền trên các tiện ích truyền thống như FTP, TFTP, webmail, các ứng dụng chia sẻ file trực tuyến như Megaupload, YouSendIt.
• Được sử dụng bởi phần mềm độc hại: Đã được sử dụng để truyền bá phần mềm độc hại, bắt đầu một cuộc tấn công hoặc ăn cắp dữ liệu. Các ứng dụng sử dụng phần mềm độc hại được tập trung chủ yếu ở email, IM, chia sẻ tập tin.
• Tiêu thụ quá nhiều băng thông: ứng dụng tiêu thụ 1 Mbps hoặc nhiều hơn việc sử dụng bình thường. Bao gồm các ứng dụng như BitTorrent, Xunlei, DirectConnect P2P, cập nhật phần mềm và các ứng dụng kinh doanh khác.
• Lảng tránh cổng hoặc giao thức với ý định dễ dàng triển khai hoặc ẩn khỏi cơ sở hạ tầng bảo mật hiện tại.
• Sử dụng rộng rãi: đã triển khai rộng rãi.
• Các ứng dụng có lỗ hổng đã biết
• Dễ bị lợi dụng: sử dụng cho mục đích bất chính hoặc có thể dễ dàng cấu hình. Ví dụ như SOCKS, mới hơn như DropBoks, AppleJuice và NEOnet.
• Ứng dụng có thể vận chuyển các ứng dụng khác. Bao gồm SSH, SSL, Hopster, RTSP, RTMPT…