Embed Size (px)
Citation preview
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 8
White Paper
Seleção de um firewall de próxima geração: 10 principais considerações
Itens obrigatórios para empresas de médio porte
Resumo
Muitas empresas de médio porte chegaram a um momento crítico da segurança da própria rede: elas devem
reforçar a solução tradicional de segurança para incluir as novas tendências que estão surgindo com a mobilidade
e a nuvem, assim como para atender a um cenário de ameaças que não para de crescer. Essa dinâmica complica
o desafio de manter a segurança da rede e exige demais da capacidade da rede para apresentar um excelente
desempenho para os negócios.
Os firewalls tradicionais não são eficazes no que diz respeito a detectar o que os usuários estão fazendo, quais
tipos de aplicativo eles estão acessando ou os dispositivos que estão usando. Os firewalls de próxima geração
foram desenvolvidos para ajudar a resolver algumas falhas. Este documento apresenta as 10 considerações que
as empresas de médio porte devem ponderar ao avaliar uma solução de firewall de próxima geração:
1. O firewall foi criado sobre uma base de firewall com informações de estado abrangentes?
2. A solução oferece suporte ao acesso remoto robusto e seguro para usuários de dispositivos móveis?
3. O firewall proporciona proteção proativa contra ameaças?
4. O firewall pode manter o desempenho quando vários serviços de segurança estiverem em execução?
5. A solução oferece profunda visibilidade dos aplicativos com controles granulares de aplicativo?
6. O firewall pode disponibilizar informações de usuário, rede, aplicativos e dispositivos para ajudar a orientar a
proteção com reconhecimento de contexto?
7. O firewall proporciona segurança da Web na nuvem?
8. Você pode implantar uma solução preparada para o futuro que possa ser dimensionada à medida que sua
empresa se expande?
9. O fornecedor do firewall têm suporte e serviços amplos para facilitar o caminho de migração?
10. O fornecedor do firewall oferece opções de financiamento atraentes para agilizar o momento da implantação?
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 8
Um firewall de próxima geração deve ser uma solução completa que apresente uma variedade de serviços de
firewall de próxima geração que tenham preços acessíveis e sejam fáceis de implantar e gerenciar. Este
documento o ajudará a avaliar os firewalls de próxima geração e, assim, fazer a melhor escolha para sua empresa
de médio porte.
Chance de comprometimento da rede: 100%
De acordo com o Relatório de Segurança Anual da Cisco de 2014, "todas as empresas devem supor que foram
invadidas".1 Os pesquisadores do Cisco Security Intelligence Operations (SIO) descobriram que o tráfego mal-
intencionado é visível em 100% das redes corporativas; isso significa que há evidências de que os adversários
adentraram nessas redes e podem estar operando sem serem detectados há muito tempo.2
Essas descobertas ressaltam por que é essencial a todas as empresas implantar uma solução de firewall de
próxima geração que possa oferecer segurança contínua e visibilidade de ponta a ponta na rede de segurança.
Os ataques bem-sucedidos são inevitáveis, e as equipes de TI devem estar aptas a determinar o escopo dos
danos, conter o evento, reparar e trazer as operações de volta ao normal, e rapidamente.
Como fazer a migração para um novo modelo de segurança
Um firewall de próxima geração é um importante componente de um modelo de segurança centrado em ameaças.
É importante migrar para um modelo centrado em ameaças para ganhar visibilidade da rede e reagir
apropriadamente às ameaças antes, durante e depois de um ataque. Ao avaliar os firewalls de próxima geração
para sua empresa, lembre-se de que qualquer solução deve:
● Proporcionar proteção abrangente: defender a rede no cenário moderno de ameaças exige a melhor
proteção contra invasões e antimalware da categoria, com base na pesquisa de vulnerabilidade, na
pontuação da reputação e em outros fatores essenciais.
● Trabalhar com política corporativa: um firewall de próxima geração deve oferecer aplicação completa de
políticas para uso de aplicativos. Ele também deve garantir que os diversos aplicativos de colaboração e
Web 2.0 usados por motivos pessoais e profissionais possam ser monitorados e controlados, em nível
granular, com base na política corporativa.
● Garantir que as políticas sejam aplicadas por dispositivo e usuário: um firewall de próxima geração
deve proporcionar uma visão completa de quais dispositivos e usuários estão acessando a rede, e de quais
locais. Ele também deve garantir que as políticas de segurança possam ser diferenciadas, com base no
usuário, no grupo e no tipo de dispositivo (versão específica do iPhone da Apple, iPod, dispositivos móveis
Android, etc.).
Além disso, quando vários serviços são ativados, uma solução de firewall de próxima geração não deve
comprometer muito o desempenho enquanto estiver assegurando proteção, política, estabilidade e contexto, tudo
de uma vez, e em alta velocidade.
Leve em consideração estas importantes perguntas ao escolher uma solução de firewall de próxima geração:
1 Relatório de Segurança Anual da Cisco de 2014: https://grs.cisco.com/grsx/cust/grsCustomerSurvey.html?SurveyCode=9117&KeyCode=000420186. 2 Ibid.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 8
1. O firewall foi criado sobre uma base de firewall com informações de estado abrangentes?
Um firewall de próxima geração precisa conhecer o tráfego de rede e as ameaças. Uma solução criada em uma
base de firewall com informações de estado abrangentes pode proporcionar visibilidade de possíveis brechas de
segurança, como portas abertas. O firewall deve apresentar um mecanismo de inspeção com extensas
informações de estado que ajude a proteger ativos essenciais e, ao mesmo tempo, proporcione segurança e
confiabilidade de alto desempenho. O firewall de próxima geração deve potencializar a segurança da rede com
políticas claras e determinantes de Camada 3 e Camada 4. Os recursos como rede virtual privada (VPN) site a
site, conversão de endereços de rede (NAT) e roteamento dinâmico também ajudam a proporcionar segurança de
perímetro robusta, bem como acesso seguro e confiável.
O firewall de próxima geração também deve poder identificar quais usuários estão se conectando à rede e de
onde, quais dispositivos eles estão usando e quais aplicativos e sites estão sendo acessados. Verifique se o
firewall também proporciona visibilidade aos usuários, dispositivos e aplicativos.
2. A solução oferece suporte ao acesso remoto robusto e seguro para usuários de dispositivos móveis?
Os usuários de hoje exigem acesso à rede em qualquer lugar e a qualquer hora de uma variedade de dispositivos
móveis pessoais ou da empresa. Porém, abrir a rede para acomodar esse tipo de acesso gera perda de controle e
de visibilidade. Para permitir a conectividade segura de dispositivos a aplicativos e, ao mesmo tempo, proteger a
rede, as empresas precisam saber, sempre, quem são os usuários e quais tipos de dispositivo estão sendo
usados para obter acesso à rede.
Um firewall de próxima geração que possa permitir a identificação do usuário, bem como o reconhecimento de
dispositivos e aplicativos, o ajuda a aplicar o controle de acesso e a mitigar as ameaças com base no contexto da
solicitação. Os controles de comportamento refinados e de identidade em toda a rede combinados com a
tecnologia VPN podem ajudá-lo a proteger a rede e os usuários de dispositivos móveis.
3. O firewall proporciona proteção proativa contra ameaças?
Um firewall proativo de próxima geração bloqueará a maioria (mais de 80%) do malware no gateway, com
exigência mínima de intervenção dos administradores.
Procure por um banco de dados de filtragem da Web sólido e integrado. As soluções de filtragem da Web que
permitem criar mais de uma política de filtragem de URL permitem que você disponibilize acesso diferenciado à
Internet. Você pode criar regras de filtragem da Web ou URL para diferentes usuários e grupos, de acordo com os
respectivos requisitos.
4. O firewall pode manter o desempenho quando vários serviços de segurança estiverem em execução?
Comprar, implantar e gerenciar vários módulos de serviços de segurança dedicados é um processo caro e
complexo. No passado, essa era a única maneira que as empresas tinham de expandir à medida que suas
necessidades mudavam. Atualmente, com os firewalls de próxima geração, você pode reduzir o número de caixas
a serem gerenciadas e implantadas com uma solução em pacote único que combina soluções de firewall, VPN,
segurança na Web, antimalware e sistema de prevenção contra invasões (IPS).
O hardware de aceleração da segurança criado para esse fim (por exemplo, expressão regular e criptografada
para agilizar o processamento de VPN e IPS) precisa fazer parte da plataforma básica para oferecer várias
camadas de segurança avançada sobre o firewall sem causar impacto no desempenho.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 8
Para simplificar a administração, procure serviços de segurança avançados que possam ser ativados
simplesmente pela ativação da licença de software apropriada. Os serviços de segurança expandidos devem ser
disponibilizados com mínimo impacto no desempenho da rede.
5. A solução oferece profunda visibilidade dos aplicativos com controles granulares de aplicativo?
As empresas não podem controlar o que não podem ver. Para garantir o uso aceitável e a aplicação das políticas
de segurança em sites da Web 2.0 que contenham aplicativos incorporados, uma solução de firewall de próxima
geração deve poder identificar e controlar, com precisão, aplicativos individuais que utilizam assinaturas de
aplicativo ou outros métodos.
Os serviços de firewall de próxima geração que oferecem controles bastante granulares permitem aos
administradores criar políticas de firewall que correspondam às necessidades empresariais atuais variadas. O
controle granular de aplicativos é essencial, considerando o volume de ações que podem ser executadas em um
aplicativo usado frequentemente, como o Facebook: publicar conteúdo, "curtir" o status de um usuário, enviar e-
mails, bate-papo, entre outros. Os administradores devem poder identificar facilmente as dezenas de milhares de
aplicativos e microaplicativos, como os jogos do Facebook (por exemplo, FarmVille, Candy Crush Saga e Bingo
Blingo), mensagens do Facebook, bate-papo do Facebook, ao tomar decisões de controle de acesso.
Um firewall de próxima geração deve poder identificar o comportamento do aplicativo: qual ação um usuário está
executando em um aplicativo. Os administradores também devem poder definir controles granulares para
categorias específicas, como vídeo do Facebook; por exemplo, permitir que os usuários visualizem e marquem
vídeos, mas não os carreguem.
6. O firewall pode disponibilizar informações de usuário, rede, aplicativos e dispositivos para ajudar a determinar a proteção com reconhecimento de contexto?
A inteligência da rede permite às empresas definir políticas de segurança diferenciadas para usuários,
especialmente para aqueles que entram na rede de outros locais e usando os próprios dispositivos. Procure um
firewall que o ajude a oferecer suporte às práticas "traga seu próprio dispositivo" (BYOD) da empresa de forma
mais segura.
A visão dos perfis de dispositivo, das posturas de dispositivos e dos detalhes da autenticação 802.1x permite que
as empresas disponibilizem controle de acesso estável e granular.
7. O firewall proporciona segurança da Web na nuvem?
A proteção contra ameaças proporcionada pela nuvem pode ajudar as empresas de todos os portes a obter um
perímetro de segurança altamente distribuído que pode permitir novos aplicativos e proteger todos os usuários
proativamente.
Procure um firewall que proporcione proteção de dia zero a todos os usuários, independentemente da localização.
Uma prática recomendada é disponibilizar segurança na Web, controle de aplicativos, gerenciamento e relatórios
totalmente integrados em um serviço baseado na nuvem que ofereça segurança e controle líderes do setor, com
99,99% de disponibilidade e tempo de atividade, com proteção contra ameaças de dia zero por meio de análise
heurística.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 8
8. Você pode implantar uma solução preparada para o futuro que pode ser dimensionada à medida que sua empresa se expande?
À medida que uma empresa expande suas operações, sua segurança precisa mudar. Porém, dimensionar
soluções de segurança para atender às necessidades empresariais em constante mudança não deve ter um custo
elevado - nem aumentar a complexidade administrativa.
Um firewall de próxima geração deve ser uma solução em pacote único facilmente gerenciável que ofereça
suporte à sua empresa de médio porte à medida que ela se expande. O seu firewall de próxima geração reduz os
custos de capital e operacionais consolidando várias soluções de segurança, incluindo firewall com informações
de estado, gateway de VPN, controle de aplicativos, segurança na Web, IPS e antimalware em um único pacote?
Isso simplifica a implantação do firewall de próxima geração e reduz a complexidade de administração com um
único console de gerenciamento unificado?
Além disso, seu fornecedor pode ajudar a dimensionar a solução à medida que sua empresa aumenta e suas
exigências mudam? Escolha um fornecedor que possa ajudá-lo a implantar uma solução de segurança
abrangente, que inclua firewall de próxima geração, IPS de próxima geração e proteção antimalware avançada
para proporcionar proteção contra ameaças, integrando reconhecimento contextual em tempo real, automação de
segurança inteligente e eficácia da prevenção contra ameaças líder do setor.
9. O fornecedor do firewall têm suporte e serviços amplos para facilitar o caminho de migração?
Migrar para um firewall de próxima geração é uma tarefa muito importante. Cada infraestrutura corporativa é
única, e manter a segurança durante a transição para uma nova solução exige planejamento detalhado e
gerenciamento cuidadoso da mudança. Mesmo os curtos períodos de tempo de inatividade podem enfraquecer a
lucratividade e a segurança. Qualquer fornecedor de firewall de próxima geração ou seus parceiros certificados
devem poder proporcionar experiência e conhecimento profundos, bem como as melhores práticas e ferramentas
(incluindo de terceiros) para minimizar a interrupção e oferecer suporte à continuidade dos negócios durante a
migração, e de forma econômica.
Além de oferecer soluções de firewall inovadoras, o fornecedor deve poder prestar serviços profissionais para
ajudar a melhorar a experiência de migração, minimizar a interrupção e oferecer suporte à continuidade de
negócios durante a migração.
Verifique se o fornecedor de firewall e seus parceiros especializados podem ajudar a sua empresa a fazer uma
migração precisa e completa. Esteja você atualizando para uma nova plataforma ou migrando de uma plataforma
de terceiros, verifique se o provedor de serviços tem experiência e conhecimentos profundos, bem como as
melhores práticas e ferramentas exigidas para mitigar os riscos enquanto sua empresa migra para uma solução
de próxima geração. Pergunte sobre a flexibilidade de serviços: o fornecedor presta esses serviços apenas para
entrega no local? Ele pode fazer isso remotamente ou por meio de uma combinação de entrega remota e no local,
de modo a oferecer suporte às necessidades, preferências e disponibilidade de capital de sua empresa?
A assistência técnica depois da instalação também é um fator relevante. O fornecedor disponibiliza à sua equipe
de TI acesso a qualquer momento (24 horas, 365 dias por ano) a engenheiros especializados? Ele oferece
cobertura flexível de hardware, diagnóstico proativo de dispositivo, recursos de autoatendimento, ferramentas ou
treinamento online? Um excelente suporte técnico ajuda a reduzir o tempo de inatividade da rede e mantém sua
empresa funcionando.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 8
10. O fornecedor do firewall oferece opções de financiamento atraentes para acelerar o tempo de implantação?
Distribuir o custo de uma solução de firewall de próxima geração ao longo do tempo descomplica o orçamento e
os pagamentos se tornam mais gerenciáveis. Os fornecedores que disponibilizam financiamentos oferecem às
empresas a liberdade de adquirir a tecnologia necessária para expandir seus negócios, bem como a flexibilidade
para reagir às necessidades de mercado em constante mudança. Investir na tecnologia adequada sem fazer um
grande gasto de capital também permite às empresas direcionar os recursos financeiros para outras áreas do
negócio e obter sucesso. Procure opções de financiamento com taxas competitivas, com a flexibilidade de adiar
pagamentos e financiar a solução inteira, da tecnologia aos serviços.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 7 de 8
Mantenha-se à frente das ameaças e reduza os custos e a complexidade
O firewall de próxima geração (NGFW) Cisco ASA 5500-X Series ajuda as empresas de médio porte a atender às
importantes exigências descritas acima, para que possam se manter à frente das ameaças emergentes com
inteligência de segurança coletiva. Ele permite que os administradores vejam e controlem as atividades dos
usuários, o acesso ao dispositivo e o comportamento mal-intencionado. Ele também reduz a complexidade, os
custos de capital e operacionais com menos dispositivos para gerenciar e implantar. A Cisco, juntamente com a
Sourcefire, proporciona segurança de rede de próxima geração para atender às suas exigências relacionadas ao
BYOD, à nuvem e às novas ameaças.
Figure 1. A Cisco redefine o firewall de próxima geração com o ASA 5500-X NGFW
O Cisco Migration Services para Firewalls, disponibilizado pelos engenheiros de segurança da Cisco ou pelos
parceiros especializados em segurança da Cisco, ajuda as empresas a migrar com tranquilidade para a nova
plataforma Cisco ASA 5500-X NGFW. A Cisco disponibiliza orientação e suporte especializados para ajudar as
empresas a manter a segurança durante uma migração, bem como para melhorar a precisão e a integridade do
processo. O Cisco SMARTnet® Service ajuda a reduzir o tempo de inatividade da rede e outros problemas críticos
de rede com acesso a suporte técnico especializado, 24 horas por dia, 365 dias por ano, e com uma cobertura de
hardware flexível e diagnóstico proativo de dispositivos. O financiamento da Cisco Capital está disponível com
prazos que atendem às suas exigências financeiras e corporativas.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 8 de 8
Acesse:
www.cisco.com/go/asa para obter mais informações sobre o Cisco ASA 5500-X NGFW
www.cisco.com/go/services/security para obter mais informações sobre o Cisco Migration Services para Firewalls
www.cisco.com/go/smartnet para obter mais informações sobre o Cisco SMARTnet® Service
www.ciscocapital.com para obter mais informações e encontrar um representante local da Cisco Capital
Impresso nos EUA C11-730935-00 02/14
