- Palo Alto Networks

Propaganda
PANORAMA
As implantações de segurança são complexas e sobrecarregam as equipes
de TI com regras de segurança complicadas e montanhas de dados de diversas
fontes diferentes. O gerenciamento de segurança de rede Panorama™ dá a
você o poder de criar políticas consolidadas e fáceis para implantar recursos de
gerenciamento centralizado. Configure e controle firewalls de forma centralizada
com funcionalidades líderes no setor e uma base de regras eficientes e ganhe
insight sobre o tráfego e ameaças em toda a rede.
RA
O
N
PA
Principais recursos de segurança:
A
• Implante políticas corporativas de forma
centralizada para que sejam usadas
juntamente com políticas locais para ter
o máximo de flexibilidade.
M
GERENCIAMENTO
PANORAMA
• Política poderosa e simplificada
• Gerenciamento de classe empresarial
• Visibilidade inigualável
Sede
Centro de dados
• Delegue níveis adequados de controle
administrativo em nível de dispositivo
ou globalmente com o gerenciamento
baseado em função.
• Agrupe dispositivos em grupos de
dispositivos lógicos e hierárquicos para
ter maior flexibilidade de gerenciamento.
• Utilize pilhas de modelos para configurar
com facilidade os dispositivos e redes.
• Importe facilmente as configurações de
dispositivos existentes para o Panorama.
VISIBILIDADE E SEGURANÇA:
• Correlacione automaticamente os
indicadores de ameaças para ter maior
visibilidade e confirmação de hosts
comprometidos em toda sua rede.
• Analise, investigue e relate de forma
centralizada sobre o tráfego de rede,
incidentes de segurança e modificações
administrativas.
• Visualize um resumo gráfico altamente
personalizável de aplicativos, usuários,
conteúdos e ameaças de segurança.
• Gere relatórios acionáveis e personalizáveis para visualizar o tráfego de aplicativos
e ameaças, uso de SaaS e comportamento
de usuários em toda sua configuração.
Palo Alto Networks | Folha de dados do Panorama
Escritórios remotos
Filiais
Escritórios regionais
Figura 1: Implantação do Panorama
Política poderosa e simplificada — O Panorama fornece regras estáticas
em um cenário de ameaças e redes em constante mudança. Gerencie sua
segurança de rede com uma única base de regras de segurança para firewall,
prevenção de ameaças, filtragem de URL, conscientização sobre aplicativos,
identificação de usuários, aplicação de áreas limitadas, bloqueio de arquivos
e filtragem de dados. Essa simplificação crucial, juntamente com atualizações
dinâmicas de segurança, reduz a carga de trabalho dos administradores e,
ao mesmo tempo, melhora sua postura geral de segurança.
Gerenciamento de classe empresarial — O Panorama tem o usuário
empresarial em mente. Controle a borda da sua Internet e centro de
dados e as implantações em nuvem privada e pública, tudo isso a partir
de um único console. O Panorama pode ser implantado através de
dispositivos virtuais, uma seleção de dispositivos de dimensão adequada
ou uma combinação dos dois. Utilize dispositivos como unidades de
gerenciamento do Panorama ou como coletores de log em opções de
implantação hierárquica. Conforme a sua rede cresce, você só precisa
incluir os coletores de log – nós cuidamos do resto!
1
Visibilidade e conscientização automatizadas e inigualáveis
— A correlação automatizada de ameaças, com um
conjunto predefinido de objetos de correlação, acaba
completamente com a confusão criada por quantidades
monstruosas de dados. Ela identifica hosts comprometidos
e comportamentos maliciosos correlacionados a superfícies
que de outra forma seriam enterrados no caos do excesso
de informações. Isso reduz o tempo de permanência das
ameaças críticas em sua rede. O centro de comando de
aplicativo (Application Command Center – ACC) simples e
totalmente personalizável fornece insight abrangente sobre
os dados atuais e históricos da rede e de ameaças.
Controle simples de políticas: habilitar aplicativos com segurança
Habilitar aplicativos com segurança significa permitir o acesso
a determinados aplicativos, mas protegê-los com prevenções
de ameaças específicas, QoS e políticas de filtragem de URL,
dados ou arquivos. O Panorama permite que você defina
uma política com uma única base de regras de segurança
e simplifique o processo de importação, duplicação ou
modificação de regras em toda a sua rede. A combinação
do controle administrativo centralizado e local sobre as
políticas e objetos permite um equilíbrio entre uma segurança
consistente a nível mundial e uma flexibilidade ao nível local.
Gerenciamento de classe empresarial
Implantar grupos de dispositivos hierárquicos garante que os
grupos de níveis mais baixos herdem as configurações dos
grupos de níveis mais altos. Isso simplifica a gestão central
e permite organizar os dispositivos com base na função e
no local sem uma configuração redundante. As pilhas de
modelos permitem uma configuração simplificada de redes
e dispositivos. Além disso, uma interface de usuário comum
para o gerenciamento e os firewalls de última geração
tornam o gerenciamento intuitivo. Recursos como a pesquisa
global e o agrupamento de regras com base na etiqueta
permitem que os administradores de TI tirem proveito
de todas as informações na sua rede com facilidade.
Grupo compartilhado global
Unidades de negócios X DG
Ramificações DG
Centros de dados DG
Sede DG
Figura 1: ACC
Visibilidade de rede poderosa: Centro de Comando
de Aplicativo (ACC)
O centro de comando de aplicativo (ACC) do Panorama dá
a você uma visualização gráfica e altamente interativa dos
aplicativos, URLs, ameaças e dados (arquivos e padrões) que
passam pelos seus firewalls da Palo Alto Networks®. O ACC
inclui uma visualização com guias das atividades de rede,
atividades de ameaças e atividades bloqueadas e cada guia
inclui widgets pertinentes para uma melhor visualização dos
padrões de tráfego na sua rede. Guias personalizadas podem
ser criadas, as quais incluem widgets que permitem fazer
uma busca detalhada das informações mais importantes
para o administrador. O ACC fornece uma visualização
abrangente e totalmente personalizada de não apenas
os dados atuais, mas também dos dados históricos.
Dados adicionais sobre categorias de URL e ameaças
fornecem uma imagem completa e coerente das atividades
de rede. A visibilidade do ACC permite que você tome
decisões substanciadas sobre políticas e responda
rapidamente a potenciais ameaças de segurança.
Menor tempo de resposta: mecanismo de correlação
automatizada
O mecanismo de correlação automatizada integrado no
NGFW revela ameaças críticas que podem estar escondidas
na sua rede. Ele inclui objetos de correlação que são
definidos pela equipe de pesquisa de ameaças da Palo Alto
Networks. Esses objetos identificam padrões de tráfego
suspeitos ou uma sequência de eventos que indiquem um
resultado malicioso. Alguns objetos de correlação podem
identificar padrões dinâmicos que têm sido observados em
amostras de malware no WildFire™.
Palo Alto Networks | Folha de dados do Panorama
Finanças
Convidado
DC oeste
Zona do
aplicativo
Web
Troca.
DC leste
Zona do
aplicativo
Troca
Figura 2: Hierarquia de grupos de dispositivos
Modelo de ramificação
Modelo DC
Modelo de ramificação
Modelo leste
Modelo oeste
Modelo global
Figura 3: Pilhas de modelos
Monitoramento de tráfego: análise, relatórios e investigação
forense
O Panorama utiliza o mesmo conjunto de ferramentas
poderosas de monitoramento e relatórios disponíveis no nível
de gerenciamento de dispositivos locais. À medida que você
realiza consultas de log e gera relatórios, o Panorama extrai de
forma dinâmica os dados mais atuais diretamente dos firewalls
sob gerenciamento ou de logs encaminhados para o Panorama.
• Visualizador de log: seja para um dispositivo individual
ou para todos os dispositivos, você pode rapidamente
visualizar as atividades de log usando a filtragem de
log dinâmica ao clicar em um valor de célula e/ou usar
o construtor de expressões para definir um critério de
classificação. Os resultados podem ser salvos para consultas
futuras ou exportados para análises mais aprofundadas.
• Relatórios personalizados: relatórios predefinidos podem ser
usados da forma como estão, personalizados ou agrupados
em um relatório para atender a necessidades específicas.
2
• Relatórios de atividades de usuário: um relatório de
atividades de usuário mostra os aplicativos usados,
as categorias de URLs visitadas, os sites visitados e todas
as URLs visitadas durante um determinado período
de tempo por um único usuário. O Panorama constrói
os relatórios usando uma visualização agregada das
atividades dos usuários, independentemente do firewall
pelos quais elas estão protegidas ou do IP ou dispositivo
que eles possam estar usando.
• Relatórios de SaaS: um relatório de ameaças e uso de
SaaS fornece uma visibilidade detalhada de todas as
atividades de SaaS e ameaças relacionadas.
• Encaminhamento de log: o Panorama agrega os logs
coletados de todos os seus firewalls da Palo Alto Networks,
tanto fator forma físico como virtual, e os encaminha para
um destino remoto para fins de armazenamento de longo
prazo, investigação forense ou relatórios de conformidade.
O Panorama pode encaminhar todos os logs ou logs
selecionados, interceptações SNMP e notificações de
e-mail para um destino de logs remoto, como um servidor
syslog (sobre UDP, TCP ou SSL).
Arquitetura de gerenciamento do Panorama
O Panorama permite que organizações gerenciem seus
firewalls da Palo Alto Networks usando um modelo que
fornece tanto supervisão central como controle local.
O Panorama fornece diversas ferramentas para uma
administração centralizada:
• Modelos/Pilhas de modelos: o Panorama gerencia uma
configuração de dispositivos e redes comum através de
modelos. Os modelos podem ser usados para gerenciar
uma configuração de forma centralizada e, em seguida,
aplicar as alterações em todos os firewalls gerenciados. Essa
abordagem evita a necessidade de fazer a mesma alteração
de um firewall repetidamente em vários dispositivos. Para
tornar as coisas ainda mais fáceis, os modelos podem ser
empilhados e usados como blocos de construção durante
a configuração de dispositivos e redes.
• Grupos de dispositivos hierárquicos: o Panorama
gerencia políticas e objetos comuns através de grupos
de dispositivos hierárquicos. Grupos de dispositivos de
vários níveis são usados para gerenciar de forma central
as políticas em todos os locais de implantação com
necessidades comuns. Exemplos de grupos de dispositivos
podem ser determinados geograficamente (por exemplo,
Europa e América do Norte). Cada grupo de dispositivos
pode ter um subgrupo funcional de dispositivos
(por exemplo, perímetro ou centro de dados). Isso permite
que políticas comuns sejam compartilhadas em diferentes
sistemas virtuais em um dispositivo.
Você pode usar políticas compartilhadas para obter
um controle central enquanto ainda oferece ao seu
administrador de firewall local a autonomia para fazer
ajustes específicos para as necessidades locais. No nível
de grupos de dispositivos, é possível criar políticas
compartilhadas que são definidas como o primeiro conjunto
de regras (pré-regras) e o último conjunto de regras
(pós-regras) para serem avaliadas em relação aos critérios
de correspondência. As pré-regras e pós-regras podem ser
visualizadas em um firewall gerenciado, mas elas apenas
podem ser editadas a partir do Panorama no contexto das
funções administrativas que foram definidas. As regras de
dispositivos locais (aquelas entre pré-regras e pós-regras)
podem ser editadas pelo administrador de firewall local ou
por um administrador do Panorama que mudou para um
contexto de firewall local. Além disso, uma organização pode
Palo Alto Networks | Folha de dados do Panorama
usar objetos compartilhados definidos por um administrador
do Panorama, o que pode ser referenciado pelas regras de
dispositivos gerenciados localmente.
• Administração com base na função: a administração com
base na função é usada para delegar acesso administrativo
de nível de recursos, incluindo disponibilidade de dados
(ativado, somente leitura ou desativado e oculto da
visualização) para diferenciar membros da sua equipe.
Certos indivíduos podem ter um acesso adequado às
tarefas que sejam pertinentes aos seus trabalhos e,
ao mesmo tempo, é possível tornar outros acessos
ocultos ou somente leitura.
Gerenciamento de atualizações de software, conteúdo e
licença: à medida que sua implantação aumenta de tamanho,
você pode querer ter certeza de que essas atualizações
sejam enviadas para caixas downstream de uma maneira
organizada. Por exemplo, as equipes de segurança podem
preferir qualificar de forma centralizada a atualização de um
software antes que ela seja enviada através do Panorama
para todos os firewalls de produção de uma só vez. Usando
o Panorama, o processo de atualização pode ser gerenciado
de forma centralizada para atualizações, conteúdos
(atualizações de aplicativos, assinaturas de antivírus,
assinaturas de ameaças, banco de dados de filtragem
de URL etc.) e licenças de software.
VM
Coletor de log
M-100 M-500
Gerente
M-100 M-500
Coletor de log
M-100 M-500
Coletor de log
M-100 M-500
Figura 3: Arquitetura do Panorama
Usando modelos, grupo de dispositivos, administração com
base na função e gerenciamento de atualizações, é possível
delegar um acesso adequado para todas as funções de
gerenciamento, ferramentas de visualização, criação de
políticas, relatórios e registros em um nível global, assim
como no nível local.
Flexibilidade de implantação
As organizações podem implantar o Panorama tanto com
dispositivos de hardware como dispositivos virtuais.
Dispositivos de hardware
O Panorama pode ser implantado nos dispositivos de
gerenciamento M-100 ou M-500, os componentes de logs
e o gerenciamento individual podem ser separados de forma
distribuída para acomodar grandes volumes de dados de
log. O Panorama executado nesses dispositivos pode ser
implantado das seguintes maneiras:
• Centralizado: nesse cenário, todas as funções de
gerenciamento e logs do Panorama são consolidadas em
um único dispositivo (com a opção de alta disponibilidade).
3
• Distribuído: é possível separar as funções de gerenciamento
e logs em diversos dispositivos, dividindo as funções entre
gerentes e coletores de log.
• Gerente do Panorama: o gerente do Panorama é responsável
por lidar com as tarefas associadas à configuração de
políticas e dispositivos em todos os dispositivos gerenciados.
O gerente não armazena os dados de log localmente,
mas sim utiliza coletores separados de log para lidar com os
dados de log. O gerente analisa os dados armazenados nos
coletores de log para obter relatórios centralizados.
• Coletor de log do Panorama: organizações com grande
volume de logs e necessidades de retenção podem
implantar dispositivos de coletor de log do Panorama
dedicados que agregarão informações de log de diversos
firewalls gerenciados.
A separação do gerenciamento e coleta de log permite otimizar
sua implantação do Panorama para atender às necessidades de
escalabilidade, geográficas ou organizacionais.
Dispositivo virtual
O Panorama também pode ser implantado como um
dispositivo virtual no VMware® ESXi™, permitindo que
organizações apoiem suas iniciativas de virtualização e
consolidem espaço de rack, que, às vezes, é limitado ou
dispendioso em um centro de dados.
Especificações do Panorama
Número de dispositivos suportados
•Até 1.000
Alta disponibilidade
•Ativo/Passivo
Autenticação do administrador
•Banco de dados local
•RADIUS
APIs e ferramentas de gerenciamento
•Interface gráfica do usuário (GUI)
•Interface de linha de comando (CLI)
•REST API baseado em XML
O dispositivo virtual pode servir como um gerente
do Panorama e é responsável por lidar com as tarefas
associadas à configuração de políticas e dispositivos em
todos os dispositivos gerenciados. Ele pode ser implantado
de duas formas:
• Centralizado: todas as funções de gerenciamento e logs
do Panorama são consolidadas em um único dispositivo
virtual (com a opção de alta disponibilidade).
• Distribuído: a coleta de logs distribuídos do Panorama
requer uma combinação do dispositivo de hardware
e virtual.
Observação: o dispositivo virtual não pode ser usado como
um coletor de log do Panorama. Os coletores de log do
Panorama (dispositivos M-100 ou M-500) são responsáveis
por descarregar coletas de logs pesados e processar tarefas.
Fornecer a opção de um dispositivo de hardware ou virtual,
assim como a opção de combinar ou separar as funções
do Panorama, dá a você o máximo de flexibilidade para
gerenciar diversos firewalls da Palo Alto Networks em um
ambiente de rede distribuída.
Especificações do dispositivo virtual
Requisitos mínimos do servidor
•Disco rígido de 40 GB
•4 núcleos de CPU
•4 GB de RAM
Suporte de VMware
•VMware ESX 3.5, 4.0, 4.1, 5.0
Suporte de navegador
•IE v7 ou superior
•Firefox v3.6 ou superior
•Safari v5.0 ou superior
•Chrome v11.0 ou superior
Armazenamento de log
•Disco virtual VMware: 8 TB no máximo
•NFS
Palo Alto Networks | Folha de dados do Panorama
4
Figura 4: Dispositivo Panorama M-100
Figura 5: Dispositivo Panorama M-500
Dispositivo M-100
Dispositivo M-500
E/S
E/S
•(4) 10/100/1000, [1] porta serial de console DB9,
(1) porta USB
•Atualmente suportado: (3) 10/100/1000, (1) porta serial
de console DB9
•(4) 10/100/1000, (1) porta serial de console DB9,
(1) porta USB, (2) portas 10 GigE
•Atualmente suportado: (3) 10/100/1000, (1) porta serial
de console DB9
Armazenamento
Armazenamento
•Máximo suportado: RAID de 4 TB: 8 x HDD certificado
RAID de 1 TB para 4 TB de armazenamento RAID
Fonte de alimentação/Consumo máx. de energia
•500 W/500 W
BTU/h máximo
•Configuração máxima: RAID de 12 TB: 24 x HDD certificado
RAID de 1 TB para 12 TB de armazenamento RAID
•Atualmente suportado: 8 pares de RAID com 16 x HDD
certificado RAID de 1 TB para 8 TB de armazenamento RAID
•Configuração de envio padrão: 4 TB: 8 x HDD certificado
RAID de 1 TB para 4 TB de armazenamento RAID
Fonte de alimentação/Consumo máx. de energia
•1.705 BTU/h
Tensão de entrada (frequência de entrada)
•100-240 VCA (50-60 Hz)
•Duas fontes de alimentação, configuração redundante
hot swap
•1200 W/493 W (sistema total)
BTU/h máximo
Consumo máx. de corrente
•1.681 BTU/h
•10 A a 100 VCA
Tensão de entrada (frequência de entrada)
Tempo médio entre falhas (MTBF)
•100-240 VCA (50-60 Hz)
•14,5 anos
Consumo máx. de corrente
Montável em rack (dimensões)
•1 U, rack padrão de 19” (1,75”A x 23”P x 17,2”L)
Peso
•4,2A a 120 VCA
Tempo médio entre falhas (MTBF)
• 6 anos
•26,7 lbs.
Montável em rack (dimensões)
Segurança
•2 U, rack padrão de 19” (3,5”A x 21”P x 17,5”L)
•UL, CUL, CB
Peso
EMI
•Classe A de FCC, Classe A de CE, Classe A de VCCI
Ambiente
•Temperatura operacional: 40 a 104 °F, 5 a 40 °C
•Temperatura não operacional: -40 a 149 °F, -40 a 65 °C
•42,5 lbs.
Segurança
•UL, CUL, CB
EMI
•Classe A de FCC, Classe A de CE, Classe A de VCCI
Ambiente
•Temperatura operacional: 50 a 95 °F, 10 a 35 °C
•Temperatura não operacional: -40 a 158 °F, -40 a 65 °C
4401 Great America Parkway
Santa Clara, CA 95054
Principal:+1.408.753.4000
Vendas:+1.866.320.4788
Suporte:+1.866.898.9087
www.paloaltonetworks.com
© 2016 Palo Alto Networks, Inc. Palo Alto Networks é uma marca
registrada da Palo Alto Networks. Uma relação de nossas marcas
registradas pode ser encontrada em http://www.paloaltonetworks.com/
company/trademarks.html. Todas as outras marcas aqui mencionadas
podem ser marcas registradas de suas respectivas empresas.
pan-ds-panorama-040116
Download