Metodología de mejores prácticas del centro de datos.Las siguientes metodologías de mejores prácticas aseguran la detección y prevención en múltiples etapas del ciclo de vida del ataque.
METODOLOGÍA DE MEJORES PRÁCTICAS ¿PORQUE ES ESTO IMPORTANTE?
Inspeccione todo el tráfico para obtener visibilidad completa Ver el tráfico de red le permite identificar la presencia de atacantes. Inspeccione el tráfico para ver los usuarios, las aplicaciones y el contenido que fluyen dentro, a través y fuera del centro de datos:
Implemente firewalls de próxima generación en posiciones donde puedan inspeccionar todo el tráfico de la red. No permita que el tráfico fluya hacia el centro de datos o entre segmentos de red sin colocar un firewall para examinar el tráfico.
Habilite el descifrado SSL en todo el tráfico que ingresa o sale del centro de datos, a menos que las reglamentaciones o las normas de cumplimiento requieran que usted excluya categorías como salud, finanzas, gobierno o militares. Debe ver las amenazas para proteger su red contra ellos. Debido a que más del 50 por ciento del tráfico de una red típica está cifrado y ese porcentaje está aumentando, si no descifra el tráfico, no puede proteger completamente su red.
Use App-ID para identificar aplicaciones y cree aplicaciones personalizadas para aplicaciones propietarias, de modo que el firewall pueda identificar y clasificar esas aplicaciones de manera apropiada y aplicar la regla de política de seguridad correcta. Esto es especialmente importante para las aplicaciones heredadas más antiguas que de otro modo se clasifican como «navegación web» o «tcp desconocido» en lugar de categorizarse correctamente.
Si tiene políticas de anulación de aplicaciones existentes que creó únicamente para definir tiempos de espera de sesión personalizados para un conjunto de puertos, convierta las políticas de anulación de aplicaciones existentes en políticas basadas en aplicaciones configurando tiempos de espera de sesión basados en servicios para mantener el tiempo de espera personalizado para cada aplicación y luego migrando la regla una regla basada en la aplicación.
Las políticas de anulación de aplicaciones están basadas en puertos. Cuando usa políticas de anulación de aplicaciones para mantener tiempos de espera de sesión personalizados para un conjunto de puertos, pierde la visibilidad de la aplicación en esos flujos, por lo que no sabe ni controla qué aplicaciones usan los puertos. Los tiempos de espera de sesión basados en servicios logran tiempos de espera personalizados al tiempo que mantienen la visibilidad de la aplicación.
Habilite la identificación de usuario en todo el tráfico que ingresa o sale del centro de datos para asignar el tráfico de la aplicación y las amenazas asociadas en su contenido a los usuarios y servicios. Habilita la ID de usuario en los segmentos de red (zonas), por lo que debe segmentar la red para habilitar la ID de usuario. La segmentación de la red es una práctica recomendada para ganar visibilidad y reducir la superficie de ataque.
Implemente GlobalProtect en modo interno como una puerta de enlace para controlar el acceso al centro de datos. GlobalProtect verifica la información del usuario para verificar a los usuarios y la información del host para verificar que la seguridad del host esté actualizada, comparando la información del host con los objetos y perfiles HIP que usted defina. Esto garantiza que los hosts que se conectan a su red mantengan su nivel de estándares de seguridad.
Habilite «iniciar sesión al final de la sesión» en todas las reglas de política de seguridad.
La visibilidad en el tráfico permite que el firewall use sus tecnologías nativas de identificación de aplicaciones, identificación de contenido e identificación de usuario para vincular las aplicaciones, las amenazas y el contenido a los usuarios, independientemente de la ubicación del usuario o el tipo de dispositivo, puerto, cifrado o técnica evasiva .
Reduzca la superficie de ataque
La superficie de ataque es todos los puntos de interacción de la red, tanto hardware como software, incluidas las aplicaciones, el contenido y los usuarios, junto con servidores, conmutadores, enrutadores y otros equipos físicos y virtuales. La reducción de la superficie de ataque deja menos vulnerabilidades para los atacantes. Cuanto más reduzca la superficie de ataque, más difícil será romper la red.
Evalúe su centro de datos para conocer las aplicaciones, el contenido y los usuarios en la red.
Utilice la aplicación de seguridad positiva al crear reglas de políticas de seguridad basadas en aplicaciones que permitan que solo las aplicaciones con un uso comercial legítimo en la red y las reglas bloqueen todas las aplicaciones de alto riesgo que no tienen un caso de uso legítimo.
Use la información de la evaluación del entorno para crear una estrategia que segmente la red en zonas según los requisitos comerciales, la funcionalidad común y los requisitos de políticas globales, de modo que los recursos en cada zona necesiten el mismo nivel de seguridad. Dentro del centro de datos, segmente los niveles de aplicaciones como bases de datos, servidores web, servidores de aplicaciones, servidores de desarrollo y servidores de producción en zonas. La segmentación le permite ver el tráfico entre diferentes niveles de aplicación porque el tráfico debe atravesar un firewall cuando fluye entre zonas.
La segmentación granular le permite construir reglas de política de seguridad que se centran en los requisitos comerciales de cada zona y proporcionan la protección adecuada para cada segmento. La segmentación también ayuda a detener el movimiento lateral de malware hacia y dentro del centro de datos porque la combinación de ID de aplicación, ID de contenido (prevención de amenazas) e ID de usuario le permite identificar el tráfico al que se debe permitir el acceso y negar el resto.
Implemente GlobalProtect en modo interno como una puerta de enlace para controlar el acceso al centro de datos.
Para reducir aún más la superficie de ataque, en las reglas de política de seguridad que permiten el tráfico de aplicaciones, aplique los perfiles de bloqueo de archivos para bloquear tipos de archivos maliciosos y riesgosos. Evite las infracciones de robo de credenciales utilizando la política de autenticación del firewall para habilitar la autenticación multifactor, de modo que incluso si los atacantes logran robar credenciales, no podrán acceder a la red del centro de datos.
Prevenir amenazas conocidas
Los perfiles de seguridad adjuntos a la política de seguridad permiten que las reglas analicen el tráfico en busca de amenazas conocidas, como virus, spyware, vulnerabilidades de vulnerabilidad de la capa de aplicación, archivos maliciosos y más. El firewall aplica una acción como permitir, alertar, descartar, bloquear IP o restablecer la conexión a esas amenazas en función de la configuración del perfil de seguridad.
Siga las mejores prácticas de actualización de contenido e instale actualizaciones de contenido lo antes posible después de descargarlas para actualizar los perfiles de seguridad y aplicar las últimas protecciones a su centro de datos. Los perfiles de seguridad son protecciones fundamentales que son fáciles de aplicar a las reglas de política de seguridad.
Las listas dinámicas externas (EDL) también protegen contra amenazas conocidas. Las EDL importan listas de direcciones IP, URL o dominios maliciosos y riesgosos en el firewall para evitar amenazas conocidas. Los EDL provienen de terceros confiables, de EDL predefinidos en el firewall y de EDL personalizados que usted crea. Las EDL se actualizan dinámicamente en el firewall sin requerir una confirmación.
La prevención de amenazas conocidas es otra razón por la cual es importante habilitar el descifrado. Si no puede ver la amenaza, no importa si la conoce, aún puede ser víctima porque no puede verla.
Prevenir amenazas desconocidas
¿Cómo se detecta una amenaza que nadie ha visto antes? La respuesta es reenviar todos los archivos desconocidos a WildFire para su análisis.
WildFire identifica malware desconocido o dirigido. La primera vez que un firewall detecta un archivo desconocido, el firewall reenvía el archivo a su destino interno y también a la nube WildFire para su análisis.
WildFire analiza el archivo (o un enlace en un correo electrónico) y devuelve un veredicto al firewall en tan solo cinco minutos. WildFire también incluye una firma que identifica el archivo, transformando el archivo desconocido en un archivo conocido. Si el archivo contenía una amenaza, ahora se conoce la amenaza. Si el archivo es malicioso, la próxima vez que el archivo llegue al firewall, el firewall lo bloqueará.
Puede verificar los veredictos en los registros de envío de WildFire (MonitorRegistrosEnvíos de WildFire) Configure las actualizaciones de contenido del dispositivo WildFire para descargar e instalar automáticamente cada minuto, de modo que siempre tenga el soporte más reciente. Por ejemplo, el soporte para archivos Linux y SMB se entregó por primera vez en las actualizaciones de contenido del dispositivo WildFire.
Adicionalmente:
Administre firewalls de forma centralizada con Panorama para aplicar de manera coherente la política en entornos físicos y virtuales y para una visibilidad centralizada.
Utilice la aplicación de seguridad positiva para permitir el tráfico que desea en la red de su centro de datos y niegue el resto.
Cree un diseño estandarizado y escalable que pueda replicar y aplicar consistentemente en los centros de datos.
Obtenga la aceptación de ejecutivos, administradores de TI y de centros de datos, usuarios y otras partes afectadas.
Fase en la seguridad de la próxima generación enfocándose en las amenazas más probables para su negocio y red en particular, y luego determine los activos más importantes para protegerlos y protegerlos primero. Haga las siguientes preguntas para ayudar a priorizar los activos a proteger primero:
¿Qué hace que nuestra empresa sea lo que es?¿Qué propiedades definen y diferencian su empresa, y qué activos se asignan a esas propiedades? Los activos que se relacionan con las ventajas competitivas patentadas de su empresa deben ocupar un lugar destacado en la escala de prioridad de protección. Por ejemplo, una compañía de desarrollo de software daría prioridad a su código fuente, o una compañía farmacéutica daría prioridad a sus fórmulas de medicamentos.
¿Qué mantiene a la empresa en el negocio?¿Qué sistemas y aplicaciones necesita para soportar la operación diaria de la empresa? Por ejemplo, su servicio de directorio activo (AD) proporciona a los empleados acceso a aplicaciones y estaciones de trabajo. Comprometer su servicio de AD le da al atacante acceso a todas las cuentas dentro de su empresa, lo que le da al atacante acceso total a su red. Otros ejemplos incluyen infraestructura crítica de TI, como herramientas de administración y servidores de autenticación, y servidores que albergan los datos más críticos para las operaciones comerciales.
Si perdiera este activo, ¿qué pasaría?Cuanto peores sean las consecuencias de perder un activo, mayor será la prioridad para proteger ese activo. Por ejemplo, la experiencia del usuario puede diferenciar una empresa de servicios, por lo que proteger esa experiencia es de alta prioridad. Los procesos y equipos patentados pueden diferenciar a una empresa de fabricación, por lo que proteger la propiedad intelectual y los diseños patentados es de alta prioridad. Cree una lista de prioridades para definir qué proteger primero.
Defina el estado futuro ideal de la red de su centro de datos y trabaje en fases para lograrlo. Revise periódicamente su definición para tener en cuenta los cambios en su negocio, los nuevos requisitos legales y reglamentarios y los nuevos requisitos de seguridad.
Leer también:Cómo evaluar su centro de datos; Cómo segmentar el centro de datos; Crear una estrategia de segmentación del centro de datos
This post is also available in:
Español
