En este artículo te explicamos cómo funciona la tecnología de los Firewalls de Palo Alto Networks, y por qué son considerados entre los mejores del mercado.
Palo Alto Networks basó el diseño de la arquitectura de sus firewalls en la segmentación de sus procesadores para definir las tareas que cada plano ejecuta. Cada uno de ellos posee sus propios recursos de hardware dedicados (CPU, RAM y almacenamiento) que los hacen independientes entre sí.
Existen dos planos principales sobre los cuales se ejecutan la totalidad de los procesos.
El Management Plane, el cual es el encargado de las configuraciones, de generar los reportes y de llevar un registro de todos los logs que existen dentro del firewall; lo que nos permite obtener reportes, realizar configuraciones y validar los registros al instante sin afectar la capacidad de procesamiento de tráfico del equipo.
Y por el otro lado tenemos el Data Plane, el cual es el encargado de tres subprocesos que se ejecutan dentro del mismo:
La tecnología de siguiente generación que ofrece la plataforma de Palo Alto Networks, inspecciona todo el tráfico a medida que fluye una sola vez, mediante el uso de la tecnología denominada Single Pass Parallel Processing, con la cual se acelera el proceso al que se somete el contenido, minimizando el tiempo máximo requerido para dar un veredicto y por ende minimizando la latencia en la red.
El tipo de análisis de tráfico obedece a la metodología Zero Trust, la cual se basa en el principio de "nunca confiar, siempre verificar", y está diseñado para abordar el movimiento de amenazas laterales (tráfico de este a oeste) dentro de una red, mediante la segmentación de la red y la aplicación de la aplicación de seguridad en cada límite de la red.
Una de las tantas ventajas que posee el firewall de siguiente generación Palo Alto es el mapeo de los usuarios mediante USER-ID, el cual por medio de la identificación de los usuarios permite una visibilidad total de los procesos que se ejecutan y el contenido al que acceden, quién, cómo, cuándo y dónde, robusteciendo la solución basada en el método Zero Trust.
Dicho contenido es inspeccionado a profundidad por mecanismos como Content-ID, el cual inspecciona todo el tráfico permitido utilizando múltiples técnicas de prevención de amenazas, con un control granular sobre las aplicaciones permitidas, reduciendo de esta manera la superficie de ataque en la red.
Gracias al Content-ID, la inspección del tráfico va más allá de la aplicación de políticas por puertos. Hoy en día las aplicaciones y su contenido asociado permiten fácilmente evadir los firewalls tradicionales.
Palo Alto ofrece la opción de decriptar el tráfico con motivo de ofrecer completa visibilidad de todo lo que ocurre en la red, cuándo, dónde, quién, y cómo se están ejecutando los procesos en la red, de manera transparente para los usuarios, actuando como un proxy con el método SSL Forward Proxy.
<< Leer también: ¿Qué es el firewall y cómo ayuda a detener los ataques?
Es gracias al mecanismo de APP-ID, tecnología desarrollada específicamente para estos casos; permite identificar eficazmente los cambios que se producen en las aplicaciones categorizando dichos movimientos como APP-SHIFT, el cual identifica todas las aplicaciones dependientes de una aplicación en específico, dándole completa visibilidad al Next Generation Firewall del tráfico.
APP-ID identifica las aplicaciones al comparar las Signatures y las características transaccionales de cada aplicación contra la base de datos de Palo Alto.
Una vez identificada la aplicación se pueden crear políticas que pueden bloquear o permitir las aplicaciones específicas de interés para su negocio, garantizando así el control granular sobre las aplicaciones en su red.
El Sandbox virtualizado (WildFire), analiza el comportamiento de los virus, amenazas y exploits desconocidos, haciéndole creer al perpetrador que ha logrado ingresar a su red. Una vez identificada la amenaza, se genera una firma correspondiente al exploit o malware correspondiente.
Otra ventaja de la arquitectura diseñada por Palo Alto, al tener dos equipos iguales, se puede configurar los equipos en modo High Availability (HA), lo que permite tener redundancia en caso de fallar uno de los equipos, sin perder una cantidad significativa de paquetes, fortaleciendo de esa manera la confiabilidad de su red.
Existen dos tipos de configuraciones en High Availability; la configuración Activo/Activo le permite duplicar la capacidad de procesamiento de sus firewalls dividiendo el tráfico para ser procesado por los firewalls.
Mientras que la configuración Activo/Pasivo, lo cual le permite ser más flexible en cuanto a sus ventanas de mantenimiento, dado que en caso de querer actualizar los equipos, cualquiera de las dos cajas puede asumir el rol activo manteniendo operativos todos los servicios.
Como se pudo ver muchas son las ventajas que ofrecen los Next Generation Firewall, y múltiples la razones por las cuáles Forrester Wave centra a la plataforma Palo Alto como la oferta más sólida y la estrategia más fuerte.
