PA L O A LT O N E T W O R K S : F i c h a Té c n i c a d a S o l u ç ã o G l o b a l P r o t e c t GlobalProtect™: Dispositivos móveis autorizados com segurança GlobalProtect é uma solução única para segurança de dispositivos móveis que integra tecnologias antes distintas Sede Usuário Usuário fora da empresa para gerenciamento, proteção dos dispositivos e controle dos dados. Componentes da solução GlobalProtect: •GlobalProtect Gateway: oferece prevenção de ameaças em ambientes móveis e ativação de políticas de acordo com os apps, usuários, conteúdo, dispositivo e estado do dispositivo •GlobalProtect App: possibilita o gerenciamento de dispositivos, oferece informações sobre o estado do dispositivo e estabelece conectividade segura •GlobalProtect Mobile Security Manager: oferece gerenciamento de dispositivo e apps, detecção de malwares e compartilha informações sobre o estado do dispositivo com o GlobalProtectGateway Glob here alProte ct: Consistent Security Ever y w Executivo Usuário corporativo com dispositivo móvel A computação móvel é uma das forças mais perturbadoras da tecnologia da informação. A computação móvel está revolucionando como e onde os funcionários trabalham e as ferramentas que eles utilizam para trabalhar. Os dispositivos móveis não são apenas mais um veículo de acesso aos aplicativos como o e-mail da empresa, mas a plataforma que desvenda meios totalmente novos de se fazer negócios. As empresas precisam tomar precauções para administrar os riscos enfrentados pelos dispositivos móveis. Para aproveitar todos os benefícios possíveis com a mobilidade e autorizar a entrada desses dispositivos na empresa de forma segura, as empresas precisam: Gerenciar o dispositivo • Garantir que os dispositivos sejam autorizados e protegidos com as devidas configurações de segurança. Simplifique a implementação e a configuração aprovisionando configurações comuns como ajustes da conta de e-mail e credenciais como os certificados. Proteger o dispositivo • Proteger o dispositivo móvel contra explorações e malwares. A proteção do dispositivo também exerce um papel importante na proteção dos dados também, porque os dados não ficam seguros em um dispositivo comprometido. Controlar os dados • Controlar o acesso aos dados e a movimentação desses dados entre os aplicativos. Estabelecer políticas que definam quem pode acessar aplicativos confidenciais e quais dispositivos podem ser utilizados. Apresentamos GlobalProtect da Palo Alto Networks® GlobalProtect da Palo Alto Networks possibilita o uso seguro de dispositivos móveis nas empresas, oferecendo uma solução única para gerenciar os dispositivos, proteger os dispositivos e controlar os dados. Combina a tecnologia e a inteligência necessárias para oferecer uma solução abrangente para a segurança móvel, permitindo que a empresa impeça as ameaças móveis, ative políticas de segurança e proteja as redes de dispositivos comprometidos e que não estejam em conformidade. PA L O A LT O N E T W O R K S : F i c h a Té c n i c a d a S o l u ç ã o G l o b a l P r o t e c t A solução GlobalProtect é composta de três componentes fundamentais: • GlobalProtect Gateway: oferece prevenção contra ameaças móveis e ativação de políticas de acordo com o app, usuário, conteúdo, dispositivo e estado do dispositivo. O gateway estende o alcance do túnel VPN para os dispositivos móveis com o GlobalProtect App. Integra-se com o WildFire para impedir a entrada de novos malwares. • GlobalProtect App: possibilita o gerenciamento de dispositivos, oferece informações sobre o estado do dispositivo e estabelece conectividade segura. Conecta-se ao GlobalProtect Gateway para acesso aos aplicativos e dados de acordo com as políticas. Faz um intercâmbio da configuração e do estado do dispositivo com o GlobalProtect Mobile Security Manager. • GlobalProtect Mobile Security Manager: oferece gerenciamento do dispositivo para configuração do dispositivo. Usa as assinaturas de malware do WildFire para identificar os dispositivos com apps infectados. Compartilha informações sobre o dispositivo e o seu estado com o GlobalProtect Gateway para ativação das políticas de segurança. Hospeda uma loja de apps corporativos para gerenciamento de apps corporativos. Isola os dados corporativos controlando a movimentação dos dados laterais entre os apps pessoais e corporativos. GlobalProtect Gateway O GlobalProtect Gateway estabelece conexões VPN para proteção do tráfego, ativa a política para gerenciamento de acesso aos aplicativos e dados e ainda oferece proteção contra as ameaças móveis. O gateway roda no firewall de próxima geração da Palo Alto Networks, disponível no formato hardware (como o PA-3000 Series ou o PA-200) e virtualizado (como o VMSeries). Conexões VPN IPSec/SSL para privacidade da rede e segurança consistente opnde e quando necessário Para proteger o tráfego da rede, o GlobalProtect Gateway oferece conexões VPN IPsec e SSL para os dispositivos móveis usando o GlobalProtect App. A conexão VPN mantém a privacidade da rede até mesmo quando o dispositivo móvel estiver sendo usado em locais públicos como hotéis, salas de conferência e coffee shops. Podem ser implementados vários GlobalProtect Gateways para atender os usuários em diferentes regiões. O GlobalProtect App irá selecionar automaticamente o mais indicado deles para oferecer melhor desempenho em um determinado local. A conexão VPN termina no GlobalProtect Gateway executado no firewall de próxima geração, para maior consistência na aplicação das políticas de segurança da rede, independentemente da localização do usuário. O GlobalProtect consegue estabelecer automaticamente uma conexão VPN sempre que houver conectividade e ampliar o perímetro “lógico” que protege consistentemente os usuários locais e remotos com as mesmas políticas, onde quer que eles estejam. Prevenção Contra Ameaças Móveis O GlobalProtect Gateway oferece proteção contra ameaças móveis usando tecnologias de firewall de próxima geração, com a ajuda de um sistema que coleta e distribui inteligência sobre os apps e ameaças móveis mais recentes. As tecnologias de prevenção contra ameaças identificam e bloqueiam as explorações, malwares, URLs maliciosas e tráfego de comando e controle para atrapalhar o ciclo de vida dos malwares modernos. Para identificar as ameaças emergentes mais recentes, o WildFire da PaloAlto Networks analisa dinamicamente os comportamentos das amostras coletadas das app stores e dos GlobalProtect Gateways em PAGE 2 todo mundo. Quando o WildFire descobre um novo malware, ele oferece automaticamente novas assinaturas para o GlobalProtect Gateway (para prevenção de ameaças) e o GlobalProtect Mobile Security Manager (para detecção dos dispositivos infectados por malware). O GlobalProtect consegue tomar medidas automaticamente com relação aos dispositivos infectados, notificando o usuário e restringindo o acesso a partes confidenciais da rede. Controle de Acesso aos Aplicativos e Dados As equipes de segurança conseguem definir políticas de acordo com o aplicativo, usuário, conteúdo, dispositivo e estado do dispositivo para controle mais detalhado sobre os usuários e dispositivos que acessam um determinando aplicativo. GlobalProtect utiliza um HIP (Host Information Profile, Perfil com Informações do Host) para compartilhar informações sobre o dispositivo e o estado do dispositivo. O HIP contém informações sobre as características, configurações e estado dos dispositivos que podem ser usadas para tomar decisões sobre as políticas e sobre os recursos que os dispositivos podem acessar. Por exemplo, uma empresa pode permitir que funcionários aprovados acessem dados dos clientes a partir de um dispositivo corporativo, bloqueando o acesso a partir de um dispositivo de uso pessoal. Uma empresa pode querer aplicar políticas que restrinjam o acesso com base em outras características do dispositivo. Por exemplo, pode ser que as equipes de segurança queiram fornecer acesso total aos dispositivos com os sistemas operacionais atuais, mas restrinjam o acesso a dispositivos com plataformas mais antigas e não compatíveis. Controlando o Movimento dos Dados com Bloqueio de Arquivos e Filtragem de Dados O GlobalProtect Gateway inclui tecnologia de filtragem de arquivos e dados para controle da movimentação dos dados. Recursos de filtragem de dados permitem que os administradores implementem políticas que reduzem os riscos associados à transferência de arquivos e dados não autorizados. Entre os métodos de bloqueio de arquivos e filtragem de dados estão: • Bloqueio de arquivos por tipo: Controleas transferências de arquivo de acordo com as políticas específicas para tipos de arquivos. • Filtragem de dados: Controle a transferência de padrões de dados confidenciais, como números de cartão de crédito e de documentos de identidade. • Controle da transferência de arquivos: Permite que os usuários acessem aplicativos, mas limitem ou restrinjam o uso de funções de transferência de arquivos. Gateway Interno O GlobalProtect Gateway também pode ser usado para reforçar também a segurança da rede interna. Em vez de confiar implicitamente em todos que estão conectados a uma rede local, várias empresas estão adotando políticas para não confiar em ninguém até que o usuário seja identificado. Os GlobalProtect Gateways internos ajudam as empresas a reforçar os controles internos, detectando a identidade do usuário e o estado do dispositivo antes de autorizar o acesso aos aplicativos confidenciais. GlobalProtect App O GlobalProtect App nos dispositivos móveis cria uma conexão VPN por dispositivo para o GlobalProtect Gateway para proteger o tráfego e ativas políticas de segurança. O mesmo app se conecta ao GlobalProtectMobile Security Manager para habilitar o gerenciamento dos dispositivos e compartilhar informações sobre o estado do dispositivo. O GlobalProtect App consegue selecionar automaticamente o melhor gateway para um PA L O A LT O N E T W O R K S : F i c h a Té c n i c a d a S o l u ç ã o G l o b a l P r o t e c t determinado local para oferecer uma experiência transparente para o usuário. Nos dispositivos com iOS, o GlobalProtect App pode ser configurado para uma VPN por app. GlobalProtect Mobile Security Manager O GlobalProtect Mobile Security Manager garante que os dispositivos sejam devidamente configurados para uso no ambiente corporativo, gerencia a distribuição dos apps corporativos e oferece proteção para os dados corporativos residentes nos dispositivos móveis. O GlobalProtect MobileSecurity Manager roda no appliance GP-100 e opera em conjunto com o GlobalProtect Gateway e o GlobalProtect App. Gerenciamento de Dispositivos O GlobalProtect Mobile Security Manager configura e gerencia ajustes nos dispositivos como os requisitos para a definição de uma senha e a complexidade da senha. É possível que algumas equipes de segurança queiram criar políticas que desativem determinadas funções do dispositivo como a câmera, por exemplo. Além disso, o GlobalProtect Mobile Security Manager consegue configurar ajustes de contas de e-mail, para redes VPN e Wi-Fi. O GlobalProtect Mobile Security Manager ainda consegue ajudar os usuários que estão enfrentando problemas com seus dispositivos móveis, realizando operações importantes como bloqueio e desbloqueio de dispositivos e até apagamento de um dispositivo perdido, tudo remotamente. • Gerenciamento e Distribuição de Apps – O GlobalProtect MobileSecurity Manager pode ser configurado como app store corporativa. Ele pode transferir apps corporativos para dispositivos móveis a partir da Apple App Store,Apple Volume Purchase Program (VPP) e Google Play, ajudando assim os usuários a obter os apps que eles precisam para trabalhar. Segmentação dos Dados Corporativos Para iOS7 ou posterior: Especificações do GlobalProtect Gateway CONEXÃO VPN • IPsec • SSL • Detecção automática do melhor gateway • Seleção manual de gateway • Conexão automática ou manual MECANISMO INTELIGENTE DE POLÍTICA • Maior visibilidade e classificação do tráfego • Aplicação de política de acordo com o aplicativo, usuário, conteúdo, dispositivo e estado do dispositivo ESTADO DO DISPOSITIVO O HIP (Host Information Profile, Perfil de Informações do Dispositivo) oferece detalhes sobre o estado do dispositivo e a condição do terminal;/dispositivo móvel. Para plataformas Windows e Mac, o HIPinclui mais informações, entre elas: • Gerenciamento de patches • Antispyware no host • Antívirus no host • Firewall no host • Criptografia do disco • Backup do disco • Prevenção contra • Condições personalizadas do host perda de dados (por ex., entradas do registro, softwares executados) PAGE 3 • Isoledados corporativos e controle a movimentação dos dados: O GlobalProtect Mobile Security Manager consegue isolar os dados corporativos dos dados pessoais, oferecendo às empresas controle sobre o movimento lateral dos dados corporativos de um app corporativo gerenciado para um app pessoal. • Apagamento seletivo: O apagamento seletivo permite que as empresas excluam apps gerenciados, contas e dados, sem afetar o resto do conteúdo pessoal do usuário. Estados dos Dispositivos GlobalProtect Mobile Security Manager realiza verificações ininterruptas para monitorar a configuração e o estado de um dispositivo móvel gerenciado. As informações sobre o estado do dispositivo exercem um papel importante para a conformidade com as políticas de segurança, permitindo que a equipe de segurança fique sempre bem informada sobre a utilização do dispositivo e do app dentro da empresa. O estado do dispositivo ajuda os administradores a identificarem a quantidade de condições de risco, como se o dispositivo foi invadido ou infectado, por exemplo. GlobalProtect Mobile Security Manager compartilha informações sobre o estado do dispositivo com o GlobalProtect Gateway, que por sua vez, usa essas informações para tomar as decisões com base nas políticas de segurança. Por exemplo, pode ser que uma política use o estado do dispositivo como parte dos critérios para determinar o nível de acesso, impedindo o acesso dos dispositivos comprometidos e que não estiverem em conformidade. GlobalProtect Mobile Security Manager faz um inventário dos aplicativos presentes no dispositivo e o varre em busca de malwares usando assinaturas do WildFire. Quando o GlobalProtect Mobile Security Manager encontra um malware, o GlobalProtect Gateway pode tomar a dianteira, limitando os recursos que podem ser acessados pelo dispositivo até que o problema seja resolvido. Para plataformas iOS e Android, o HIPinclui mais informações sobre o estado do dispositivo, entre elas: • Status do dispositivo gerenciado/ • Invadido/infectado não gerenciado • Infecção por malware • Proprietário do dispositivo • IMEI (Empresa/Pessoal) • Número de série • Ajustes de segurança do dispositivo • Apps na lista branca (status dá senha do dispositivo, • Apps na lista negra criptografia) PREVENÇÃO DE AMEAÇAS EM DISPOSITIVOS MÓVEIS • Proteção contra vulnerabilidades (IPS) e malwares (AV) • Filtragem de URL para proteção contra sites maliciosos • Análises estáticas e dinâmicas feitas pelo WildFire AUTENTICAÇÃO Compatibilidade com todos os métodos de autenticação PAN-OS™ , entre eles • Kerberos • RADIUS • LDAP • Certificados de clientes • Banco de dados local de usuários Autenticação dupla: Certificado e senha, uma senha,smart card On Windows: Compatibilidade com single sign-on via login Windows,inclusive em hardware (como o PA-5000 series, o PA-3000 series e o PA-200) e virtual (VMSeries). PLATAFORMA • A plataforma de segurança de próxima geração da Palo Alto Networks, inclusive hardware (como PA-5000 series, PA-3000 series e PA-200) e virtual (VMSeries). PA L O A LT O N E T W O R K S : G l o b a l P r o t e c t D a t a s h e e t Especificações do GlobalProtect Mobile Security Manager ESPECIFICAÇÕES DE GP-100 GERENCIA AS CONFIGURAÇÕES DOS DISPOSITIVOS E/S • Senha • Certificados • Restrições dos dispositivos • Configurações das contas de e-mail • Redes Wi-Fi • Configurações VPN • (4) portas seriais 10/100/1000 (1), DB9 ARMAZENAMENTO • GP-100 1TB RAID: 2 discos rígidos RAID de 1TB ENERGIA (CONSUMO MÉDIO/MÁX) DETECÇÃO DO ESTADO DO DISPOSITIVO Obtenha o estado do dispositivo para maior visibilidade, conformidade e ativação automática de políticas, A detecção do estado do dispositivo inclui: • Sistema operacional do dispositivo • Identificadores do dispositivo: número serial, IMEI • Invadido/infectado • Apps na lista branca • Infecção por malware • Apps na lista negra • 500W/500W • MáX BTU/HR • 1.705 TENSÃO DE ENTRADA (FREQUÊNCIA DE ENTRADA) • 100-240VAC (50-60Hz) CONSUMO MÁXIMO • 10A@100VAC OPERAÇÕES TEMPO MÉDIO ENTRE FALHAS (MTBF) • Apagamento do dispositivo • Apagamento seletivo do dispositivo • Bloqueio do dispositivo • Desbloqueio do dispositivo • Localização do dispositivo • Transferência de políticas para o dispositivo • Envio de mensagens para o dispositivo • 14,5 anos MONTAGEM EM RACK (DIMENSÕES) • Rack padrão de 19 polegadas, 1U (1,75”A x 23”P x 17,2”L) PESO (SÓ O DISPOSITIVO/COMO ENTREGUE) • 26,7 libras (11,97 k)/35 libras (15,87 k) DETECÇÃO DE MALWARE SEGURANÇA • Detecta malwaresem dispositivos Android usando assinaturas do WildFire • UL, CUL, CB • EMI • FCC Classe A, CE Classe A, VCCI Classe A CRIAÇÃO DE RELATÓRIOS • Painel e criação de relatórios sobre o uso, estado e conformidade do dispositivo com políticas PLATAFORMAS • Palo Alto Networks GP-100 • Número máximo de dispositivos suportados: 100.000 AMBIENTE • Temperatura operacional: 40 a 104 ºF, 5 a 40 ºC • Temperatura não operacional: -40 a 149 ºF, -40 a 65 ºC Especificações do GlobalProtect App PLATAFORMAS SUPORTADAS LOCALIZAÇÃO • Windows 8.1, 8, 7, Vista, XP • Mac OS X 10.6 e posterior • Android 4.0.3 e posterior • Apple iOS 6.0 e posterior • Linux suportado usando vpns cliente de terceiros • Inglês • Espanhol • Alemão • Francês • Japonês • Chinês 4401 Great America Parkway Santa Clara, CA 95054 Principal:+1.408.753.4000 vendas: +1.866.320.4788 Suporte:+1.866.898.9087 www.paloaltonetworks.com Copyright ©2014, Palo Alto Networks, Inc. Todos os direitos reservados. Palo Alto Networks, o logo da Palo Alto Networks, PAN-OS, App-ID e Panorama são marcas comerciais da Palo Alto Networks, Inc. Todas as especificações estão sujeitas a mudanças sem aviso prévio. A Palo Alto não assume qualquer responsabilidade por imprecisões neste documento e não tem obrigação alguma de atualizar tais informações. A Palo Alto Networks reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio. PAN_DS_GP_100214