Upload
amazon-web-services-latam
View
452
Download
0
Embed Size (px)
Citation preview
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Palo Alto Networks VM-Series para AWS
Gerardo Littman Systems Engineer Palo Alto Networks Mexico [email protected]
Movimiento hacia una infraestrucura de cómputo auto-provisionada, escalable y dinámica. Eliminar los silos de cómputo y las restricciones sobre donde puede correr una carga de trabajo
Evolución del Centro de Datos
Nube Pública!(IaaS, PaaS)!
Software as a Service!(SaaS)!
Private Cloud!(SDN, NSX, ACI)!
Lineamiento Común en los Incidentes de Pérdida de Datos El mismo Ciclo de Vida se sigue a través de tanto redes físicas como virtuales
SPEAR PHISHING EMAIL
EXPLOIT KIT
or
INFECTAR AL USUARIO
MOVERSE A TRAVES DE LA RED
INFECTAR EL CENTRO DE DATOS
COMANDOS DEL ADVERSARIO
ROBO DE DATOS
$
CONSTRUIR BOTNETS
COSECHAR BITCOINS
Seguridad: Una Responsabilidad Compartida
AWS Foundation Services Cómputo Almacenamiento Base de
Datos Redes
AWS Global Infrastructure Regiones
Zonas de Disponibilidad Ubicaciones de Edge
Administración de Encryption Keys
Encripción Cliente & Servidor
Protección del Tráfico de Red
Plataforma, Aplicaciones, (Administración) Identidad & Acceso
Sistema Operativo, Configuración de Red & Firewall
Contenido del Cliente
LosClientessonresponsablesporsuseguridadENlaNube
AWSesresponsableporlaseguridaddelaPlataforma
CVE-2014-4061 vulnerabilidad
root usuario
Servidor de Aplicación
SQL Server
172.16.1.10 IP Fuente
172.16.2.10 IP Destino
TCP/1433 Puerto Destino
MSSQL-DB
protocolo
Contexto – Más allá de la Capa 4
11344 KB
DoS Vuln
CVE-2014-4061 vulnerabilidad
Remote Exec
web-browsing applicación
.exe Tipo de Archivo
root ususrio
shipment.exe Nombre de Archivo
desconocido Categoría de URL
North Korea País Destino
172.16.1.10 IP Fuente
64.81.2.23 IP Destino
TCP/443 Puerto Destino
SSL protocolo
HTTP protocolo
Contexto – Outbound desde AWS
344 KB
Servidor de Aplicación
Plataforma de Seguridad de Siguiente Generación para AWS
§ Reunir amenazas potenciales de la red y los end points
§ Análisis y Correlación de Inteligencia Contra Amenazas
§ Disemina la inteligencia contra amenazas a la red y los end points
Nube de Inteligencia contra amenazas
§ Identificar e Inspeccionar todo el tráfico
§ Bloquear amenazas conocidas
§ Enviar los desconocido a la nube
§ Extender los servicios a los ambientes móviles y redes virtuales
Firewall de Siguiente Generación
§ Inspeccionar todos los procesos y archivos
§ Prevenir exploits tanto conocidos como descnonocidos
§ Integració con la nube para prevenir malware (conocido & desconocido)
Protección Avanzada para End Point
NGFW como un Gateway de AWS § VMs y datos (VPCs) protegidos
por políticas de listas blancas § Tráfico de VPC-a-VPC se
protégé de malware § El tráfico de subred-a-subred
también es controlado y protegido
§ Acceso a usuarios basado en necesidad/credenciales
Habilitar y Proteger Aplicaciones en AWS
AZ2
c
DB VPC
DB1
DB2
AZ1
b
Web VPC
Web1
Web2
Subred1
Subredt2
Subred1
Subred2
Prevención en todas las fases del ataque
AZ1
b Web1
DB1
Subnet1
Subnet2
Uso de Exploit
Firewall de Siguiente Generación
Prevención de Amenazas (Bloqueo de Amenazas
Conocidas)
Execute Malware
WildFire (Bloqueo de Amenazas
Desconocidas)
Prevención de Amenazas (Anti-Malware)
Prevención de Amenazas (Prevenir C&C)
Controlar el Canal Prevención de Amenazas (Bloqueo de Movimiento
Lateral)
Prevención de Amenazas (Prevenir C&C)
Steal Data
Bloqueo de Archivos y Exfiltrado de Datos
Híbrida: extender su Centro de Datos a AWS
Segmentación: Separar Aplicaciones y Datos para Compliance de Seguridad
Escenarios de Deployment
Gateway: Protección contra amenazas de
internet
GlobalProtect: Consistencia en
Políticas para la nube, la red y sus dispositivos
Caso de Uso: Protección de Subredes, Inter-VPC
AZ2
c
DB VPC
DB1
DB2
AZ1
b
Web VPC
Web1
Web2
Subnet1
Subnet2
Subnet1
Subnet2
Links de Interes: Palo Alto Networks & AWS
AZ1
b Web1
DB1
Subnet1
Subnet2
Test Drive de Palo Alto Networks en ambiente AWS: http://media.paloaltonetworks.com/lp/aws-vm-series/form/index-form.html?CampaignId=70170000000lvwaAAA&referer=null&utm_medium=banner&utm_source=Amazon Información adicional: Documentos, Videos, Demos, y más https://www.paloaltonetworks.com/products/secure-the-network/virtualized-next-generation-firewall/vm-series-for-aws