I firewall di nuova generazione da Palo Alto Networks

di Alessia Valentini

scritto il

Intervista a Jose Muniz, System Engineer della Palo alto Networks, che introduce i vantaggi dei firewall di nuova generazione dell'azienda

Abbiamo intervistato a Jose Muniz, System Engineer della Palo alto Networks, responsabile per Italia, Malta, Cipro, Grecia di tutte le attività di tipo tecnico, e specialista EMEA per VPN & Security. Insieme a lui abbiamo investigato le potenzialità e la portata innovativa dei loro firewall di nuova generazione per aziende.

La Palo Alto Networks fondata da Nir Zuck (attuale CTO), un “guru” del settore sicurezza a livello mondiale, si presenta al mercato Italiano offrendo firewall di nuova generazione dotati di controlli basati su una approccio diverso della semplice combinazione fra protocollo e porta utilizzato dai firewall comunemente in commercio.

Parlando con Muniz si ha l’immediata percezione dell’importanza che la Palo Alto Networks attribuisce a tecnologia e innovazione. Questi due aspetti infatti sono curati in ogni fase del rapporto con il cliente, dalla prevendita, alle presentazioni fino ai partner che sono il canale distributivo, affinché tutti siano al 100% autonomi tecnicamente, abbiano la giusta formazione e le certificazioni opportune per supportare al meglio i clienti finali. In ultimo Jose Muniz è anche un “evangelista” della nuova tecnologia utilizzata dai firewall della Palo Alto Networks perché ci conferma “È ora finalmente di risolvere i problemi dei firewall”.

Quali sono i problemi dei firewall di oggi ? In cosa i vostri prodotti sono migliori e innovativi?

Internet è cambiato molto negli ultimi anni; sedici anni fa quando è nata la tecnologia stateful inspection (TSI) i firewall erano adatti, perché gli applicativi erano associati ai protocolli di trasporto (IEEE OSI L4) e le “porte”, erano i “sockets” dove gli applicativi ascoltavano per gestire le chiamate in ingresso come ad esempio: “Telnet TCP:23, POP3 TCP:110” e così via. Il firewall proteggeva gli applicativi da attacchi al livello protocollare, applicativo e permetteva di controllare le autorizzazioni di accesso agli applicativi in base alle loro corrispondenza al modello IEEE OSI L3 e alle porte assegnate della IANA a detti applicativi.

Oggi gli applicativi non parlano più quella lingua e non ha senso specificare la porta TCP:80 per Google, la porta TCP:81 per Facebook o la porta TCP:82 per Facebook-Chat etc. Gli applicativi si localizzano geograficamente nella “Cloud” ovvero nel mondo IPv4/IPv6, sono cioè applicativi raggiungibili attraverso la rete pubblica sempre utilizzando la porta TCP:80 o la porta TCP:443 o cifrati e trasportati su SSL. Un “firewall 1.0” non riesce a distinguere il tipo di flusso di dati: non sa quindi se è attribuibile a Facebook portale oppure a Facebook Chat oppure Facebook FarmVille. In sostanza non lo sa permettere, o limitare. E così le aziende finiscono per non cogliere le opportunità del cluod computing o dei social network per finalità di business.

[continua la risposta dalla pagina precedente]

Un altro problema è che le regole di “policy” in un firewall di vecchia generazione identificano l’utente in base all’indirizzo IP. Oggi però non ci sono più’ indirizzi utenti allocati staticamente dove possiamo confermare che “Pippo Disney” sta all’indirizzo 1.1.1.1 tutti i santi giorni! Tutti i dispositivi come PC, Laptop, Macbook, iPhone e iPad ricevono un indirizzo attraverso DHCP quindi non prevedibile dai firewall 1.0 che non sa schermare e proteggere le attività del singolo utente. Il comportamento degli utenti spesso non è consono alle regole di sicurezza aziendali: vi sono utenti che pur trattando dati sensibili (di privacy, relativi a carte di credito), o aziendalmente strategici (prototipi, brevetti), navigano il web con il rischio di perdere quei dati o di veicolare nei sistemi aziendali infezioni di worm, trojan, spyware e rat-bot.

Altro elemento da tenere sotto controllo è il consumo di banda sprecato da utenti che scaricano o accedono in streaming a risorse web quali video o film in orario di lavoro. La nostra tecnologia, identifica chi è l’utente, il suo ruolo nella ditta ed i suoi permessi, identifica gli applicativi a cui accede l’utente e ne controlla il modo d’uso dinamicamente, proteggendo da diversi tipi di minacce.

La sfida per tutti i vendor è proteggere ma in modalità “line speed” il che evidenzia un altro problema dei firewalls 1.0 di vecchia generazione: un firewall 1.0 dichiarato con 20Gbps in pratica degrada a 2 Gbps abilitando IDP, cala a 50Mbps con l’AntiVirus e forse non regge attivando URL e content filtering. I firewall di Palo Alto Networks nascono con tecnologia hardware e software per specificamente progettata a mantenere le performance anche con tutte le caratteristiche abilitate.

Quali sono le caratteristiche funzionali distintive?

Dal punto di vista Hardware abbiamo disegnato la nostra architettura su ASICS, FPGA’s e processori MIPS64 RISC con software disegnato appositamente per processare tutti pacchetti di una sessione ad alte prestazione. Funzionalmente si possono definire “security policy” molto potenti perché dettagliabili a livello di utenza, nome e funzionalità di una applicazione, periodi di tempo prefissati, ampiezza di banda: con una singola regola sarebbe possibile abilitare i venditori “pippo, pluto e paperino”, su facebook-mail, facebook-chat, webmail e p2p ma soltanto durante la pausa pranzo, controllando che la banda consumata questi tre non superi 1Mbps monitorando contemporaneamente tutti flussi per identificare e bloccare viruses, trojans, worms, spyware e altre minacce”.

I firewall sono concorrenziali anche come come pricing?

Dal punto di vista di prezzi un firewall di Palo Alto Networks costa meno di una soluzione formata da un firewall 1.0 cui si devono poi aggiungere sistema IDP, un AntiVirus gateway, un DLP e quanto altro occorre per schermare correttamente un’azienda. Costiamo di meno del punto di vista dell’Hardware ma anche rispetto a licenze, contratti di supporto e manutenzione, costi operativi, consumo elettrico, senza contare che le altre soluzioni mediocri di mercato neanche funzionano.

Quali servizi post-vendita offrite?

Il supporto è fornito localmente attraverso i nostri partner attraverso il territorio Italiano come nel resto del mondo in modalità 24 x 7 x 365 giorni al anno in USA, EMEA e APAC.

Dove si può visionare il prodotto o vedere una demo? sarete presenti a fiere di settore italiane?

È possibile mostrare delle demo in vari modi: Attraverso il nostro sito Internet alla voce demo o per chi fosse interessato mediante WebConference meeting contattando me via mail (jose@paloaltonetworks.com). Infine è possibile vedere una demo on-site attraverso uno dei nostri partner che dotati di un firewall possono fare un AVR “Application, Visibility and Risk Report” a costo zero, ossia un report che dichiara tutti gli applicativi in rete, il loro rischio associato, e la percentuale e numero dei rischi trovati.

Chi fosse interessato a chi deve rivolgersi e come vi può contattare?

Alberto Bugini, RSM Italy abugini@paloaltonetworks.com oppure contattando i vari partner che abbiamo in Italia.