GlobalProtect - Palo Alto Networks

PALO ALTO NETWORKS: Scheda tecnica GlobalProtect
GlobalProtect™: utilizzo dei dispositivi mobili, in tutta sicurezza
GlobalProtect fornisce una soluzione
unica per la sicurezza mobile, che
Utente sede
centrale
Dipendente
costantemente
in mobilità
combina tecnologie tradizionalmente
separate per la gestione e la protezione
del dispositivo e per il controllo dei dati.
Globa
unque
lProtect: Sicu
rezza coerente, ov
Componenti di GlobalProtect:
•Gateway GlobalProtect: fornisce prevenzione delle
minacce mobili e applicazione delle policy basata
su applicazioni, utenti, contenuti, dispositivo e stato
del dispositivo
•GlobalProtect App: consente la gestione dei
dispositivi, fornisce informazioni sul loro stato e
stabilisce una connettività sicura
•GlobalProtect Mobile Security Manager: fornisce
gestione di dispositivi e app e rilevamento del
malware, e condivide le informazioni sullo stato
del dispositivo con Gateway GlobalProtect
Dirigente
Professionista
mobile
Il mobile computing è una delle forze più dirompenti
all'interno dell'IT e sta rivoluzionando il modo e il luogo di
lavoro dei dipendenti, nonché gli strumenti che utilizzano
per svolgere le rispettive mansioni. I dispositivi mobili
non sono solo strumenti per accedere alle applicazioni
esistenti, come l'e-mail aziendale, ma costituiscono anche
la piattaforma di partenza per nuove forme di business.
Le organizzazioni devono quindi adottare misure per gestire i rischi associati a
questi dispositivi. Per realizzare appieno tutti i benefici della mobilità e abilitare
in modo sicuro i dispositivi mobili, le aziende necessitano di:
Gestione dei dispositivi
• Assicurarsi che i dispositivi siano abilitati in modo sicuro configurandoli
con impostazioni di sicurezza appropriate. Per semplificarne la distribuzione
e la configurazione è necessario implementare configurazioni comuni, quali
impostazioni di account di posta elettronica e credenziali quali certificati.
Protezione dei dispositivi
• È necessario proteggere il dispositivo mobile da exploit e malware.
La protezione del dispositivo è importante anche per garantire la tutela dei dati,
che naturalmente non sono protetti se il dispositivo risulta compromesso.
Controllo dei dati
• È necessario controllare l'accesso ai dati e monitorarne il transito tra le
applicazioni, ma anche definire policy che stabiliscano chi può accedere alle
applicazioni sensibili, nonché i dispositivi specifici che è possibile utilizzare.
Palo Alto Networks® presenta GlobalProtect
GlobalProtect di Palo Alto Networks consente l'utilizzo sicuro dei dispositivi
mobili in un contesto aziendale, offrendo una soluzione unica per gestire e
proteggere il dispositivo, oltre che per controllare i dati. GlobalProtect unisce
la tecnologia e l'intelligence necessarie per fornire una soluzione completa
per la sicurezza mobile, consentendo all'organizzazione di bloccare le minacce
mobili, applicare le policy di sicurezza e proteggere le reti da dispositivi mobili
compromessi e non conformi.
PALO ALTO NETWORKS: Scheda tecnica GlobalProtect
GlobalProtect include tre componenti principali:
• Gateway GlobalProtect: fornisce prevenzione delle minacce
mobili e applicazione delle policy basata su applicazioni, utenti,
contenuti, dispositivo e stato del dispositivo; estende un tunnel VPN
ai dispositivi mobili mediante GlobalProtect App; si integra con
WildFire per prevenire nuovi malware.
• GlobalProtect App: consente la gestione dei dispositivi, fornisce
informazioni sul loro stato e stabilisce una connettività sicura;
si collega al gateway GlobalProtect per accedere alle applicazioni e
ai dati in conformità alle policy; condivide configurazione e stato
del dispositivo con GlobalProtect Mobile Security Manager.
• GlobalProtect Mobile Security Manager: fornisce gestione dei
dispositivi per la relativa configurazione; utilizza le firme malware di
WildFire per identificare i dispositivi contenenti applicazioni infette;
condivide le informazioni sul dispositivo e sul relativo stato con il
Gateway GlobalProtect per l'applicazione delle policy di sicurezza;
ospita un app store aziendale per la gestione delle applicazioni
di business; isola i dati di business controllandone il movimento
laterale, tra app di business e personali.
Gateway GlobalProtect
Gateway GlobalProtect stabilisce connessioni VPN per proteggere
il traffico, applica le policy per gestire l'accesso ad applicazioni
e dati e fornisce protezione contro le minacce mobili. Gateway
GlobalProtect si basa sul firewall di nuova generazione di Palo
Alto Networks, disponibile in fattori di forma hardware (come la
serie PA-3000 o PA-200) e virtualizzati (come VM-Series).
Connessioni VPN IPSec/SSL per privacy di rete e sicurezza
coerente ovunque
Allo scopo di proteggere il traffico di rete, Gateway GlobalProtect
offre connessioni VPN IPsec ed SSL ai dispositivi mobili mediante
GlobalProtect App. La connessione VPN conserva la privacy della rete
anche quando il dispositivo mobile viene utilizzato in luoghi pubblici
come alberghi, sale conferenze e bar. È possibile distribuire più gateway
GlobalProtect agli utenti del servizio in diverse aree geografiche:
GlobalProtect App selezionerà automaticamente il gateway ottimale
per massimare le prestazioni in una determinata posizione.
La connessione VPN termina in corrispondenza del Gateway
GlobalProtect in esecuzione sul firewall di nuova generazione,
fornendo così applicazione coerente delle policy di sicurezza della
rete, indipendentemente dalla posizione dell'utente. GlobalProtect
è in grado di stabilire automaticamente una connessione VPN ogni
volta che la connettività è disponibile e di estendere un perimetro
"logico" che protegge costantemente gli utenti locali e remoti
mediante le stesse policy, ovunque si trovino.
Prevenzione delle minacce mobili
Gateway GlobalProtect offre prevenzione delle minacce mobili
utilizzando tecnologie collegate al firewall di nuova generazione,
ottimizzate da un sistema per raccogliere e distribuire intelligence
relativa alle applicazioni e alle minacce mobili più recenti. Le tecnologie
di prevenzione delle minacce identificano e bloccano exploit, malware,
URL dannosi e traffico command & control, per interrompere il ciclo
di vita dei moderni malware.
Al fine di identificare le minacce emergenti, WildFire di Palo
Alto Networks analizza dinamicamente i comportamenti dei
campioni raccolti da app store e gateway GlobalProtect in
tutto il mondo. Quando individua un nuovo malware, WildFire
fornisce automaticamente nuove firme al Gateway GlobalProtect
PAGINA 2
(per prevenire le minacce) e a GlobalProtect Mobile Security
Manager (per rilevare i dispositivi infetti). GlobalProtect può
adottare provvedimenti immediati contro i dispositivi infetti,
avvisando l'utente e limitando l'accesso alle aree sensibili della rete.
Controllo dell'accesso ad applicazioni e dati
I team di sicurezza possono definire policy basate su applicazioni,
utenti, contenuti, dispositivo e stato del dispositivo per mantenere
un controllo granulare sugli utenti e sui dispositivi con accesso a
una data applicazione.
GlobalProtect utilizza un Profilo Informazioni Host (HIP, Host
Information Profile) per condividere le informazioni relative
al dispositivo e al suo stato. L'HIP include informazioni sulle
caratteristiche, la configurazione e lo stato del dispositivo, utilizzabili
per prendere decisioni di policy sulle risorse accessibili dal dispositivo
stesso. Ad esempio, l'organizzazione può consentire al personale
autorizzato di accedere ai dati dei clienti da un dispositivo aziendale,
bloccando invece l'accesso da un dispositivo personale.
L’organizzazione può anche decidere di applicare policy che limitano
l'accesso in base ad altre caratteristiche del dispositivo. Ad esempio,
i team di sicurezza possono fornire accesso illimitato a dispositivi con
sistemi operativi aggiornati, limitandolo invece per dispositivi con
piattaforme meno recenti e non supportate.
Controllo del movimento dati attraverso blocco dei file e filtraggio
dei dati
Gateway GlobalProtect include la tecnologia di filtraggio di file e dati
per controllare lo spostamento dei dati. Le funzionalità di filtraggio
dei dati consentono agli amministratori di implementare policy che
riducono i rischi associati al trasferimento di dati e file non autorizzati.
I metodi di blocco dei file e filtraggio dei dati includono:
• Blocco dei file per tipo: controllo dei trasferimenti di file in base
a policy per tipi di file specifici.
• Filtraggio dei dati: controllo dei trasferimenti di pattern di dati
riservati, come numeri di carte di credito e codici fiscali.
• Controllo della funzione di trasferimento file: abilitazione delle
applicazioni con accesso utente, ma limitazione o restrizione
dell'utilizzo delle funzioni di trasferimento file.
Gateway interno
Gateway GlobalProtect può essere utilizzato anche per aumentare
la sicurezza della rete interna. Anziché considerare implicitamente
affidabile chiunque sia connesso alla rete locale, molte organizzazioni
stanno adottando policy che non considerano affidabile alcun utente
prima di averlo identificato. I gateway GlobalProtect interni aiutano
le organizzazioni a implementare controlli interni più rigorosi,
individuando identità dell'utente e stato del dispositivo prima di
fornire accesso ad applicazioni sensibili.
GlobalProtect App
GlobalProtect App su dispositivi mobili stabilisce una connessione
VPN al Gateway GlobalProtect a livello di dispositivo per proteggere
il traffico e applicare le policy di sicurezza. La stessa applicazione si
collega a GlobalProtect Mobile Security Manager per consentire la
gestione dei dispositivi e condividere informazioni sul relativo stato.
GlobalProtect App è in grado di selezionare automaticamente il
gateway ottimale per una determinata posizione allo scopo di fornire
un'esperienza utente trasparente a scopo di sicurezza. Su dispositivi iOS,
è possibile configurare GlobalProtect App per una VPN a livello di app.
PALO ALTO NETWORKS: Scheda tecnica GlobalProtect
GlobalProtect Mobile Security Manager
GlobalProtect Mobile Security Manager garantisce che i dispositivi siano
correttamente configurati per l'utilizzo in un ambiente aziendale, gestisce
la distribuzione delle applicazioni di business e fornisce la protezione
dei dati di business residenti su dispositivi mobili. GlobalProtect Mobile
Security Manager viene eseguito sull'appliance GP-100 e funziona in
combinazione con Gateway GlobalProtect e GlobalProtect App.
sul movimento laterale dei dati di business, da un'applicazione di
business gestita a una personale.
• Formattazione selettiva: la formattazione selettiva consente alle
organizzazioni di formattare applicazioni gestite, account e dati
senza influenzare il resto dei contenuti personali dell'utente.
Stato del dispositivo
Gestione di dispositivi
GlobalProtect Mobile Security Manager esegue controlli continui per
monitorare la configurazione e lo stato di un dispositivo mobile gestito.
Le informazioni sullo stato del dispositivo svolgono un ruolo importante
per la conformità costante con le policy di sicurezza, consentendo al
team dedicato di restare al passo con l'impiego di dispositivi e app
all'interno dell'organizzazione. Le informazioni sullo stato del dispositivo
consentono agli amministratori di identificare una serie di condizioni
di rischio, ad esempio se il dispositivo ha subito jailbreak o rooting.
GlobalProtect Mobile Security Manager può contribuire alla
risoluzione dei problemi relativi ai dispositivi mobili degli
utenti, eseguendo operazioni chiave come bloccare o sbloccare
il dispositivo in remoto o formattare un dispositivo smarrito.
GlobalProtect Mobile Security Manager condivide le informazioni
sullo stato del dispositivo con il Gateway GlobalProtect, che a
sua volta le utilizza per prendere decisioni relative alle policy sulla
sicurezza. Ad esempio, una policy potrà utilizzare lo stato del
dispositivo come parte dei criteri per determinare il livello di accesso,
escludendolo per i dispositivi non conformi e compromessi.
GlobalProtect Mobile Security Manager consente di configurare e
gestire le impostazioni del dispositivo, come requisiti di complessità
per codici di accesso e password. Alcuni team di sicurezza potranno
ad esempio decidere di creare policy che disattivano particolari
funzioni del dispositivo (come la fotocamera). Inoltre, GlobalProtect
Mobile Security Manager è in grado di configurare le impostazioni
di account per posta elettronica e reti Wi-Fi e VPN.
• Gestione e distribuzione delle app GlobalProtect Mobile Security
Manager può essere impostato come app store aziendale. Può
eseguire il push delle applicazioni di business ai dispositivi mobili
dall’App Store di Apple, dal programma Volume Purchase Program
(VPP) e da Google Play, consentendo così agli utenti di ottenere le
applicazioni di cui hanno bisogno per svolgere le proprie mansioni.
Segmentazione dei dati di business
Per iOS7 e versioni successive:
GlobalProtect Mobile Security Manager esegue un inventario delle
applicazioni presenti sul dispositivo e ricerca eventuali malware
utilizzando le firme di Wildfire. Quando GlobalProtect Mobile
Security Manager individua un malware, il Gateway GlobalProtect
può intervenire per limitare le risorse accessibili al dispositivo fino
alla risoluzione del problema.
• Isolamento dei dati di business e controllo dei movimenti di dati:
GlobalProtect Mobile Security Manager è in grado di isolare i dati
di business dai dati personali, fornendo alle organizzazioni controllo
Specifiche di Gateway GlobalProtect
Connessione VPN
• IPsec
• SSL
• Rilevamento automatico del gateway ottimale
• Selezione manuale del gateway
• Connessione manuale o automatica
Motore di policy intelligente
• Ampia visibilità e classificazione del traffico
• Policy basate su applicazione, utente, contenuti, dispositivo e stato
del dispositivo
Stato del dispositivo
L'HIP (Host Information Profile) fornisce informazioni di dettaglio sullo
stato del dispositivo endpoint/mobile.
Per le piattaforme Windows e Mac, l'HIP include informazioni
aggiuntive, quali ad esempio:
• Gestione delle patch • Antispyware host
• Antivirus host • Firewall host
• Crittografia del disco • Backup del disco
• Prevenzione della • Condizioni host personalizzate
perdita di dati (ad esempio voci di Registro,
software in esecuzione)
Per le piattaforme iOS e Android, l'HIP include informazioni
aggiuntive sullo stato del dispositivo, quali ad esempio:
• Stato dispositivo gestito/ • Condizione di jailbreak/rooting
non gestito
• Infezione malware
PAGINA 3
• Proprietà del dispositivo (Corporate/BYOD)
• Impostazioni di sicurezza
del dispositivo (stato del codice di
accesso del dispositivo, crittografia)
• IMEI
• Numero di serie
• Applicazioni in white list
• Applicazioni in black list
Prevenzione delle minacce mobili
• Protezione da vulnerabilità (IPS) e malware (AV)
• Filtraggio degli URL a scopo di protezione da siti Web dannosi
• Analisi WildFire statica e dinamica
Autenticazione
Tutti i metodi di autenticazione PAN-OS™ supportati, inclusi:
• Kerberos
• RADIUS
• LDAP
• Certificati client
• Database utenti locale
Autenticazione a due fattori: certificato e password, password one-time,
smart card
Su Windows: supporta single sign-on tramite piattaforma di accesso a
Windows, compresi fattori di forma hardware (come serie PA-5000, PA-3000
e PA-200) e virtuali (VM-Series).
Piattaforma
• Piattaforma di sicurezza di prossima generazione di Palo Alto Networks,
compresi fattori di forma hardware (come serie PA-5000, PA-3000 e PA200) e virtuali (VM-Series).
PALO ALTO NETWORKS: Scheda tecnica GlobalProtect
Specifiche di GlobalProtect Mobile Security Manager
Specifiche GP-100
Impostazioni di gestione dei dispositivi
I/O
Configurazione e gestione delle impostazioni dei dispositivi mobili, tra cui:
• Codice di accesso
• Certificati
• Limitazioni del dispositivo
• Impostazioni degli account e-mail
• Reti Wi-Fi
• Impostazioni VPN
• (4) 10/100/1000 (1), portale seriale console DB9
Storage
• GP-100 con 1 TB in RAID 2 x HDD certificati da 1 TB in RAID per
1 TB di storage RAID
Alimentazione (consumo medio/massimo)
Rilevazione dello stato del dispositivo
• 500W/500W
• MAX BTU/HR
• 1.705
Acquisizione dello stato del dispositivo a scopo di visibilità, conformità
e applicazione automatica delle policy. La rilevazione dello stato del
dispositivo include:
• Sistema operativo del dispositivo
• Identificativi del dispositivo: Numero di serie, IMEI
• Condizione di jailbreak, rooting
• Applicazioni in white list
• Infezione malware
• Applicazioni in black list
Tensione in ingresso (frequenza in ingresso)
• 100-240 VAC (50-60Hz)
Consumo massimo di corrente
• 10A a 100 VAC
Operazioni
Tempo medio tra i guasti (MTBF)
• Formattazione del dispositivo
• Formattazione selettiva
• Blocco del dispositivo
• Sblocco del dispositivo
• Individuazione del dispositivo
• Push delle policy al dispositivo
• Invio di un messaggio al dispositivo
14,5 anni
Installabile in rack (dimensioni)
• Rack standard 1U da 19'' (1,75" H x 23" P x 17,2" L)
Peso (dispositivo autonomo/come fornito)
• 26,7 lb/35 lb
Rilevazione di malware
Sicurezza
• Rilevazione di malware su dispositivi Android utilizzando le firme di
WildFire
• UL, CUL, CB
• EMI
• FCC Classe A, CE Classe A, VCCI Classe A
Generazione di report
• Dashboard e report su utilizzo e stati del dispositivo e su conformità
rispetto alle policy
Ambiente
Piattaforme
• Temperatura di esercizio: da 5° a 40° C
• Temperatura non di esercizio: da -40° a 65° C
• Palo Alto Networks GP-100
• Numero massimo di dispositivi supportati: 100.000
Specifiche di GlobalProtect App
Piattaforme supportate
Localizzazione
• Windows 8.1, 8, 7, Vista, XP
• Mac OS X 10.6 e versioni successive
• Android 4.0.3 e versioni successive
• Apple iOS 6.0 e versioni successive
• Linux supportato tramite client vpnc di terze parti
• Inglese
• Spagnolo
• Tedesco
• Francese
• Giapponese
• Cinese
4401 Great America Parkway
Santa Clara, CA 95054
Telefono: +1.408.753.4000
Vendite: +1.866.320.4788 Assistenza:+1.866.898.9087
www.paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. Tutti i diritti riservati. Palo Alto
Networks, il logo Palo Alto Networks, PAN-OS, App-ID e Panorama sono
marchi di Palo Alto Networks, Inc. Tutte le specifiche sono soggette a modifica
senza preavviso. Palo Alto Networks non si assume alcuna responsabilità in
merito a eventuali inesattezze presenti nel documento e non ha alcun obbligo di
aggiornare le informazioni ivi contenute. Palo Alto Networks si riserva il diritto
di modificare, trasferire o altrimenti correggere la presente pubblicazione senza
preventiva notifica. PAN_DS_GP_100214