Introduction à Palo Alto Networks

Palo Alto Networks ayant récemment mis à jour l’ensemble de ses offres sécurité, cet article va vous présenter les nouveautés proposées par l’éditeur, tout en revenant sur les gammes historiques.

Présentation de Palo Alto Networks

Palo Alto Networks (PAN) est une société et éditeur de solutions de sécurité fondé en 2005 par Nir Zuk. Leur produit phare est le pare-feu de nouvelle génération (Next-Generation FireWall) fonctionnant sous le système PAN-OS.

Mapping palo-alto

Magic Quadrant pour les pare-feu de réseaux d’entreprise

65 000 entreprises utilisent aujourd’hui leurs solutions de sécurité, qu’elles soient matérielles, logicielles et/ou hébergées dans le Cloud. L’ensemble de ces solutions est aujourd’hui regroupé en trois catégories :

  • Secure the Entreprise
  • Secure the Cloud
  • Secure the Future

Intéressons-nous de plus près à chacune d’elles.

Les solutions Secure the Entreprise

Cette catégorie englobe toutes les solutions existantes autour du NGFW.

Les pare-feu

Du PA-220 à la série des PA-7000, PAN propose différents modèles de pare-feu en fonction de la taille du parc informatique à protéger. Les pare-feu sont disponibles sous la forme d’équipements physiques et de machines virtuelles à déployer dans son environnement virtualisé local ou Cloud.

Panorama

L’outil Panorama permet d’offrir une administration centralisée pour l’ensemble des solutions PAN.

Il permet également de recevoir les logs des différents équipements PAN pour les corréler et ainsi améliorer la visibilité sur l’ensemble des événements de sécurité du parc.

Les modules de sécurité

Afin de couvrir les différents types de menace, il existe plusieurs modules de sécurité :

  • Threat Prevention : Protection contre les malwares, les failles de sécurité (exploits) et les serveurs de command-and-control (C2)
  • URL Filtering : Permet de se protéger contre les URL malicieuses avec la PAN-DB
  • GlobalProtect : Client VPN/SSL et IPsec assurant notamment la sécurité des accès nomades (BYOD).
  • WildFire : Bloque les attaques de type 0-day grâce à un bac à sable (Sandbox) intégré.
  • DNS Security : Bloque les domaines malicieux et empêche les attaques basées sur le DNS tunneling (vol de données et détection des C2)
  • SD-WAN : Composant permettant d’interconnecter des pare-feu PAN entre eux via des tunnels IPsec. Son intérêt réside dans la facilité de déploiement d’un nouvel équipement, mais également dans le maillage et l’automatisation du routage entre les sites. La gestion centralisée pourra se réaliser depuis le Panorama ou via la solution hub Prisma Access SD-WAN abordée un peu plus loin.

Les solutions Secure the Cloud

Nous retrouverons ici toutes les solutions Prisma.

Prisma Cloud

Que l’infrastructure Cloud soit hébergée chez GCP, AWS et/ou Azure, Prisma Cloud détecte les comportements suspects des utilisateurs, les vulnérabilités, les malwares… grâce à un large panel de politiques de sécurité existantes, une machine learning (apprentissage par l’intelligence artificielle) et en se basant sur les API de nombreux autres éditeurs.

Prisma Cloud inclut également un outil de reporting pour la mise en conformité (RGPD, ISO, etc.).

Le déploiement des machines virtuelles et des conteneurs comme Docker dans le Cloud peuvent être aujourd’hui automatisés via des solutions comme Kubernetes ou Terraform. Prisma Cloud possède un outil d’analyse des images de conteneurs et des modèles IaC (Infrastructure aCode) pour sécuriser ces déploiements.

Prisma SaaS

Prisma SaaS protège contre la fuite de données, contre les menaces et permet la mise en conformité sur les applications SaaS tel que Office 365, Salesforce, Box ou encore G Suite. Grâce notamment à une connexion par API à ces différents services, Prisma SaaS est une offre CASB (Cloud Access Security Broker) complète.

Prisma Access

Prisma Access est la passerelle Cloud sécurisée de PAN. Les connexions des applications SaaS passant par cette passerelle unique, cela offre aux administrateurs une visibilité complète sur le trafic. Grâce à son infrastructure full-cloud, Prisma Access permet de faciliter la connexion des utilisateurs mobiles, l’ajout de nouvelles succursales… et y intègre les outils de sécurité PAN.

Les solutions Secure the Future

Secure the Future inclut les solutions Cortex, Demisto et Autofocus.

Cortex XDR

Cortex XDR est un outil de réponse à incident. Il collecte les logs des différents équipements et solutions PAN pour trier l’ensemble des alertes. Il fournit ainsi une image complète des attaques :

Cortex XDR répondant à incident

L’outil Traps est intégré à Cortex XDR. Il s’agit d’un EDR (Endpoint Detection and Response). Installé en tant qu’agent, il possède un moteur de machine learning sécurisant le poste utilisateur ou le serveur contre les 0-day, les virus, les ransomwares, etc.

Cortex Data Lake

Cortex Data Lake est un concentrateur de logs qui dispose d’outils éditeur (MineMeld ou Directory Sync) et des modules d’intelligence artificielle et de machine learning. Cela permet d’unifier et de normaliser des billions d’artéfacts multi-sources (applications SaaS, machines virtuelles hébergées dans le Cloud, solutions PAN comme GlobalProtect, Traps, Cortex XDR, etc.) dans le but de faciliter l’analyse à grande échelle.

Demisto

Demisto est un SOAR (Security Orchestration, Automation, and Response) qui permet :

  • D’orchestrer différentes tâches en utilisant notamment les API des différents éditeurs,
  • De disposer d’un outil de ticketing pour un Security Operations Center (SOC) par exemple,
  • De collaborer avec les équipes (tchat, historique des commandes effectuées, etc.),
  • D’automatiser les réponses aux incidents grâce au machine learning.

AutoFocus

AutoFocus est une base de données des menaces de sécurité et des vulnérabilités tenue à jour notamment grâce à l’équipe de chercheurs PAN nommée Unit 42. Elle s’appuie également sur les données de l’ensemble des briques de sécurité des environnements PAN :

L’objectif est de disposer d’un outil complet et enrichie, servant de base de données pour toutes solutions de sécurité, qu’elles soient propriétaires ou non.

Synetis vous accompagne

Bien que la liste des offres de cette présentation se veut exhaustive, l’équipe commerciale de Synetis est disponible pour vous apporter un accompagnement personnalisé sur les solutions de cybersécurité adaptées à vos besoins.

Bien qu’elles ne soient pas abordées dans cet article, l’écosystème Palo Alto Networks apporte de multiples interactions entre l’ensemble des outils de l’éditeur, offrant ainsi une protection toujours plus complète et adaptée aux nouvelles menaces. Dans le cadre d’un déploiement, nos consultants Synetis certifiés sauront ainsi vous apporter leur expertise et leur retour d’expérience pour mener à bien votre projet.

  • Post published:3 août 2020
  • Post author:

VincentG

Consultant Sécurité Senior / SecOp