Od najmanjih do najvećih - sigurnost nove generacije
description
Transcript of Od najmanjih do najvećih - sigurnost nove generacije
Od najmanjih do najvećih-
sigurnost nove generacije
Danijel Šurina, dipl. ing. el.Integra Group d.o.o.
Sadržaj
• UVOD• SIGURNOSNA RJEŠENJA NOVE
GENERACIJE• CASE STUDY – THE BANKA• BUDUĆNOST• ZAKLJUČAK
Uvod
Uvod
Sigurnosna rješenja nove generacije
• NGFW - Next Generation Firewall– Detekcija aplikacija– Primjena granularnih sigurnosnih politika– Integrirani IPS (Intrusion Prevention System)
• UTM – Unified Threat Management– NGFW + puno toga više– Antivirus, Antispam, Data Leak Prevention, Endpoint Control,
Vulnerability Scan– Wireless controller– VPN, AD integracija– Two-way auth, Traffic optimization– …
NGFW - UTM
NGFW - UTM
UTM
UTM
UTM funkcionalnosti
• Antivirus– Proxy, flow based– Https inspekcija
• Web filtering– Predefinirane kategorije, lokalne kategorije (allow, block, monitor,
warning)– Definirane quote za određene kategorije (trajanje u minutama)
• Application Control– Preko 1600 definiranih aplikacija
• Intrusion Protection (IPS)
UTM funkcionalnosti
• E-mail filtering– Protocol opcije – secure protokoli IMAPS, SMTPS
• Data leak prevention– Definiranje senzora koji će nadgledati promet i tražiti
uzorak unutar WEB/E-MAIL
• Endpoint Control– Nadzor klijentskih računala
Ostale mogućnosti
• AD integracija– Instalacija kolektora na Domain contollere– Podešavanje korisnika/grupa korisnika za autentikaciju– Identity-based politike
• VPN pristup– SSL VPN, integracija korisnika s AD-om– Web only mode – tunnel mode
• Two-way autentikacija– FortiToken– Email, SMS
• WAN optimizacija
UTM
Ema, financijski analitičar, instalirala Skype aplikaciju na svoje službeno prijenosno računalo.
Igor, djelatnik marketinga, uređuje podatke o svojoj kompaniji na Facebooku
David, GZR, želi prebaciti ovu prezentaciju na svoj gmail account
Ivana, želi komunicirati sa svojim sjedištem na siguran način iz svog omiljenog kafića
Endpoint Control
2-Factor Authentication
VPN TunnelingWAN Optimization
Identity-Based Policies
Data Leak Protection
Ostale mogućnosti
• Logiranje– Lokalno na disk– Udaljeno na uređaja za logiranje– U oblak –npr. https://fams.fortinet.com
• Virtualno okruženje• Licenciranje
Wireless pristup
• Izazovi klasičnih enterprise WI-FI sustava– Kompleksna rješenja – višeslojna arhitektura– Nesigurna – kontrola, rogue AP– Neskalabilna – odabir kontrolera
• Pojednostavljenje povezanosti i sigurnosti– Security management– User management– Configuration management– Reporting system
Wireless pristup
Wireless management
• Jedinstvena (jednostavna) konzola
Rogue AP
• Detekcija neovlaštenih AP-ova
Case study – The BANKA
• Implementacija opreme zbog zahtjeva PCI-DSS i internih potreba za poboljšanjem razine sigurnosti
• PCI-DSS – sigurnosni standard za kartično poslovanje
• Svaki komad opreme koji prenosi, skladišti ili obrađuje kartičarske informacije automatski ulazi u sigurnosni scope
PCI-DSS
PCI-DSS zahtjevi
• Kontrola i ometanje wireless rogue AP (FortiGate + FortiAP)
• Wireless IPS/IDS (FortiGate + FortiAP)• IPS/IDS na perimetru mreže (FortiGate)• Zaštita web aplikacija (FortiWeb)
• Prevencija SQL injekcije, XSS, buffer overflow, improper access control, cross-site request forgery, DOS i DDOS napada, directory traversal...
PCI-DSS zahtjevi
• Zaštita log datoteka od izmjena (FortiAnalyzer)– Brisanjem log datoteka hackeri sakrivaju svoje radnje– Svi mrežni uređaji i serveri šalju logove na uređaj koji ih
čuva, kreira izvještaje prema PCI-DSS zahtjevima– Moguće usmjeravanje logova na treći uređaj gdje će se
logovi kriptirati i čuvati od modificiranja
• Vulenrability scan (FortiAnalyzer)– Interni scan kvartalno– Scan web aplikacija (FortiWeb)
• Arhiviranje e-mailova (FortiMail)
Budućnost
• Sigurnosne politike• IP adrese• Self Learning Device Identity• Identitet korisnika - AD
• Sigurnosne politike - budućnost• Prema vrsti uređaja, MAC adresi…
• Take Your Device Home
BYOD - prednosti
Smanjenje troškova
Povećanje
produktivnosti
Zadovoljstvo
djelatnika
Zaposlenici mogu pristupati svojim sustavima sa svih lokacija
Zaposlenici sudjeluju u troškovima koristeći svoja računala
Zaposlenici imaju osjećaj da su dobili veću slobodu prilikom rada
BYOD- nedostaci
Rizik prema gubitku podataka
Rizik prema mrežnoj sigurnosti
Nedostatak kontrole
Uređaji nemaju zadnje sigurnosne zakrpe, AV programe…
Povećani pristup broja uređaja prema svim podacima poduzeća
Uređaji ne mogu biti upravljani od strane IT odjela
BYOD - uređaji
Laptops Tablets Smartphones
Productivity Devices
ZAKLJUČAK
• Sve ove mogućnosti dostupne za široki raspon uređaja - SMB – ENTERPISE
• UTM je budućnost