Sicurezza
Mentre le soluzioni tradizionali in genere rilevano le minacce di rete una volta che hanno violato la rete, inviando all’amministratore notifiche del log, Barracuda Advanced Threat Protection (ATP) implementa l’emulazione dell’intero sistema fornendo ampia visibilità del comportamento malware. I file vengono controllati a fronte di un database hash di crittografia che viene costantemente aggiornato. Qualora il file risulti sconosciuto, viene emulato in una sandbox virtuale in cui è possibile rilevare il comportamento dannoso.
Barracuda ATP offre agli amministratori il controllo granulare basato sul tipo di file, che include le funzioni di messa in quarantena automatica e di inserimento in elenchi di blocco al fine di mantenere il più alto livello di protezione della rete aziendale.
Barracuda Advanced Threat Protection è un abbonamento facoltativo.
La protezione da botnet e spyware protegge dalle infezioni da botnet bloccando l'accesso a siti e server dannosi e rileva i client potenzialmente infetti in base alla tecnologia DNS Sinkholing. DNS Sinkholing impedisce ai client di accedere a domini dannosi monitorando le richieste DNS in uscita che passano attraverso il firewall. Le richieste DNS ai domini dannosi vengono reindirizzate a un sinkhole interno, impedendo così l'esfiltrazione dei dati e identificando la vittima. Una volta rilevato, un client infetto può essere isolato automaticamente. Un avviso può anche essere creato o segnalato da Barracuda Firewall Report Creator.
Il sistema di rilevamento e prevenzione delle intrusioni (IDS/IPS) di Barracuda CloudGen Firewall rafforza notevolmente la protezione della rete fornendo una protezione completa in tempo reale contro una vasta gamma di minacce, vulnerabilità, exploit ed esposizioni basati sulla rete che possono riguardare sistemi operativi, applicazioni e database. Tale protezione impedisce attacchi di rete quali:
• SQL injection ed esecuzioni di codice arbitrario
• Tentativi di controllo degli accessi ed escalation dei privilegi
• Cross-site scripting e overflow del buffer
• Attacchi Denial of Service (DoS) e Distributed Denial of Service (DDoS)
• Attacchi trasversali alle directory e tentativi di esecuzione del probe e della scansione
• Attacchi backdoor, trojan, rootkit, virus, worm e spyware
• Tentativi di controllo degli accessi ed escalation dei privilegi
• Cross-site scripting e overflow del buffer
• Attacchi Denial of Service (DoS) e Distributed Denial of Service (DDoS)
• Attacchi trasversali alle directory e tentativi di esecuzione del probe e della scansione
• Attacchi backdoor, trojan, rootkit, virus, worm e spyware
Barracuda CloudGen Firewall fornisce funzioni avanzate di protezione dagli attacchi e dalle minacce, quali:
• Segmentazione dei flussi e protezione dalle anomalie dei pacchetti
• Protezione da TCP split handshake
• Deframmentazione IP e RPC
• Protezione da evasione FTP
• Decodifica di URL e HTML
• Protezione da TCP split handshake
• Deframmentazione IP e RPC
• Protezione da evasione FTP
• Decodifica di URL e HTML
Di conseguenza, Barracuda CloudGen Firewall è in grado di identificare e bloccare i tentativi di evasione e le tecniche di offuscamento di livello avanzato che gli hacker utilizzano per eludere e ingannare i sistemi tradizionali di prevenzione delle intrusioni.
Nell'ambito dell'abbonamento a Barracuda Energize Updates, gli aggiornamenti automatici delle firme vengono forniti a cadenza regolare o in situazioni di emergenza per garantire che Barracuda CloudGen Firewall sia costantemente aggiornato. Se l’unità firewall è gestita a livello centrale, gli aggiornamenti vengono adeguatamente distribuiti da Barracuda Firewall Control Center.
Nell'odierno mondo popolato da botnet, uno dei compiti principali della protezione di perimetro è di garantire costantemente la disponibilità della rete per legittimare le richieste e di rilevare e respingere pericolosi attacchi di tipo Denial of Service. Grazie alla protezione contro TCP SYN flood, Barracuda CloudGen Firewall opera in maniera efficace come proxy TCP generico, inoltrando solo il traffico TCP legittimo all’interno della rete.
Inoltre, Barracuda CloudGen Firewall consente la definizione di un limite di velocità che viene applicato al numero massimo di sessioni per indirizzo di origine che può essere gestito dal firewall. I pacchetti che arrivano a una velocità superiore a quella consentita verranno semplicemente persi. In un attacco DDoS di massa, gli hacker possono semplicemente voler saturare il collegamento trasmettendo un numero elevato di pacchetti UDP. La funzione integrata di monitoraggio ambientale di Barracuda CloudGen Firewall diagnostica tali condizioni tramite il monitoraggio del collegamento e dell'indirizzo di destinazione. Quando la risposta dell'indirizzo di destinazione remoto all'esecuzione del probe ICMP genera un errore, è possibile configurare il sistema per attivare diversi percorsi e uplink (ad esempio, linea di backup, ISDN, xDSL). L'utilizzo di tale funzione consente al traffico di avere libero accesso alle linee non compromesse e la connettività site-to-site e site-to-Internet rimane operativa.
La funzione di protezione da malware integrata in Barracuda CloudGen Firewall protegge la rete interna da contenuti dannosi sottoponendo a scansione i contenuti web (HTTP e HTTPs), le e-mail (SMTP, POP3) e i trasferimenti di file (FTP) tramite due motori antivirus completamente integrati. La protezione da malware di Barracuda si basa su regolari aggiornamenti delle firme, nonché su tecniche euristiche avanzate per il rilevamento del malware o di altri programmi potenzialmente indesiderati anche prima che le firme siano disponibili. La protezione da malware di Barracuda si applica a virus, worm, trojan, applet Java dannosi e programmi che utilizzano exploit noti su PDF, foto e documenti Office, macro virus e molti altri ancora, anche quando utilizzano tecniche di stealth o di morphing per l'offuscamento.
Tutti i modelli Barracuda CloudGen Firewall possono applicare IPS, protezione antivirus, controllo delle applicazioni, filtro degli URL e persino Advanced Threat Protection al traffico web con crittografia SSL utilizzando l'affidabile approccio standard Man-In-The-Middle. L'intercettazione SSL può essere regolata in modo da escludere reti locali, utenti/gruppi, categorie di filtro degli URL o domini personalizzati dall'ispezione SSL.
Al centro di ogni Barracuda CloudGen Firewall c'è un motore di ispezione stateful approfondita dei pacchetti ad alte prestazioni che esamina l'intestazione e la parte dati di ogni pacchetto che passa. I pacchetti malformati vengono ignorati, proteggendo l'infrastruttura dietro il dispositivo Barracuda dagli attacchi a livello di rete. I pacchetti conformi al protocollo vengono quindi controllati per verificare se corrispondono a una delle regole del firewall definite.
Una volta che un pacchetto di dati viene aperto per l'ispezione da parte del firewall, tutti gli altri meccanismi di ispezione di sicurezza come IPS/IDS, antivirus, vengono applicati anche al pacchetto o al flusso di pacchetti consecutivi. L'ispezione di sicurezza viene eseguita in modalità a passaggio singolo, senza la necessità di passare a un proxy separato.
L'autenticazione a più fattori (MFA) è diventata lo standard per prevenire l'accesso non autorizzato alle informazioni critiche dell'azienda. Barracuda CloudGen Firewall supporta e applica metodi di autenticazione a più fattori per le risorse protette, le connessioni SSL-VPN e VPN. Ciò rende obsoleta la necessità di acquistare un'ulteriore soluzione di autenticazione a più fattori o di gestione delle identità e degli accessi (IAM).
Le password monouso basate sul tempo (TOTP) sono comunemente utilizzate per l'autenticazione a due fattori e sono oggi lo standard de-facto per i metodi di autenticazione a più fattori utilizzati dai fornitori di applicazioni cloud. Ogni Barracuda CloudGen Firewall include una funzione avanzata di autenticazione a più fattori che utilizza l'algoritmo TOTP per proteggere le risorse critiche dell'azienda, nonché le connessioni SSL-VPN e VPN dall'uso non autorizzato.
Connettività e SD-WAN
Se il rilevamento dinamico della larghezza di banda e della latenza indica che la larghezza di banda misurata di un uplink non è sufficiente per sostenere il traffico business-critical minimo richiesto (ad esempio, VoIP), Barracuda CloudGen Firewall sposta automaticamente le sessioni per il traffico non business-critical su collegamenti secondari per liberare larghezza di banda per il traffico critico.
Barracuda CloudGen Firewall utilizza il rilevamento dinamico della larghezza di banda e della latenza per bilanciare automaticamente le sessioni esistenti all'interno dei tunnel VPN logici su tutti gli uplink disponibili. Questo bilanciamento in tempo reale ottimizza l'efficienza della rete e l'utilizzo della larghezza di banda in qualsiasi momento.
Una combinazione unica di sicurezza di nuova generazione e tecnologia di routing WAN adattivo consente a Barracuda CloudGen Firewall di assegnare dinamicamente larghezza di banda disponibile, uplink e informazioni di routing non solo in base a protocollo, utente, posizione e contenuto, ma anche in base ad applicazioni, categorie di applicazioni e persino categorie di contenuti web. Ciò consente di riservare le linee costose e ad alta disponibilità alle applicazioni business-critical e mission-critical, riducendo al contempo in notevole misura i tempi di risposta e liberando larghezza di banda aggiuntiva.
Per visualizzare un elenco completo delle applicazioni e applicazioni secondarie coperte dal routing basato sulle applicazioni, consulta l'Online Application Explorer.
Barracuda CloudGen Firewall combina un set completo di funzionalità di sicurezza avanzate con funzionalità che supportano la rete SD-WAN (Software-Defined Wide-Area Network). Le funzionalità SD-WAN consentono a CloudGen Firewall di creare percorsi sicuri su più connessioni WAN e più operatori, senza il tipico sovraccarico di gestione elevato. La condivisione avanzata del carico consente di utilizzare più connessioni WAN contemporaneamente e di distribuire tunnel VPN crittografati su più connessioni WAN. Le tecnologie di compressione, caching e ottimizzazione WAN integrate aumentano in modo significativo la larghezza di banda disponibile. Queste funzionalità riducono la necessità di costose linee affittate, consolidano più funzioni di sicurezza in un unico dispositivo e creano un framework di gestione unificato, il che si traduce in significativi risparmi sui costi per l'organizzazione.
Al fine di ottenere la migliore esperienza utente possibile nella rete geografica, tutti i modelli di firewall Barracuda CloudGen misurano in modo proattivo le larghezze di banda e la latenza disponibili tra gli endpoint VPN. I risultati sono direttamente disponibili per il motore dei criteri del firewall per selezionare l'uplink più adatto per l'applicazione o escludere un uplink se la larghezza di banda o la latenza non rientrano nei limiti accettabili.
Barracuda CloudGen Firewall copia i pacchetti e li invia contemporaneamente attraverso i trasporti VPN primari e secondari selezionati. Entrambi i flussi di pacchetti vengono riassemblati all'altra estremità del tunnel VPN logico. Ciò riduce significativamente la perdita di pacchetti per applicazioni come il VoIP o lo streaming video. Fornisce inoltre un failover istantaneo, senza perdita di pacchetti, nel caso in cui un trasporto VPN di un tunnel VPN logico si interrompa.
Al fine di ottenere la migliore esperienza utente possibile su tutte le WAN, tutti i modelli di firewall Barracuda CloudGen sono in grado di rilevare le bande disponibili e la latenza tra gli endpoint VPN in tempo reale. Il motore dei criteri del firewall è in grado di selezionare dinamicamente l'uplink più adatto per ogni applicazione o di escludere un uplink se la larghezza di banda o la latenza superano i limiti definiti. Inoltre, se la larghezza di banda misurata di un uplink non è sufficiente a sostenere il traffico aziendale critico (ad esempio, VoIP), il firewall CloudGen sposta automaticamente le sessioni per il traffico non critico su collegamenti secondari, per liberare larghezza di banda di alta qualità per il traffico critico.
A causa delle limitazioni derivanti dalle connessioni IPsec standard, Barracuda Networks ha creato diverse estensioni avanzate per la gestione di tunnel IPsec standard. Questo nucleo del motore VPN di Barracuda Firewall è denominato TINA (Transport Independent Network Architecture). Il protocollo TINA consente di utilizzare TCP, UDP ed ESP per le connessioni VPN ad alta velocità, che permette di migliorare notevolmente la connettività VPN aggiungendo:
• Connettività da endpoint a endpoint (non da rete a rete)
• Compatibilità NAT
• Percorsi di trasporto fisici multipli per un tunnel logico
• Tunnel multipli tra due sedi
• Compatibilità con i proxy HTTPS e SOCKS4/5
• Supporto dinamico per gli indirizzi
• Monitoraggio del battito del tunnel
• Compatibilità NAT
• Percorsi di trasporto fisici multipli per un tunnel logico
• Tunnel multipli tra due sedi
• Compatibilità con i proxy HTTPS e SOCKS4/5
• Supporto dinamico per gli indirizzi
• Monitoraggio del battito del tunnel
Crea connessioni da site-to-site altamente affidabili e sicure tra firewall locali (sia hardware che appliance virtuali). La connettività da site-to-site include anche offerte su cloud pubblico come Amazon Web Services (AWS) e Microsoft Azure. Ma non si tratta solo di aggiornare i tunnel VPN site-to-site statici. Disponendo infatti di una configurazione VPN hub-and-spoke, è possibile creare tunnel automaticamente e on-demand tra i nodi connessi al fine di evitare che l'hub diventi un collo di bottiglia. Quindi, si garantiscono ad esempio connessioni a bassa latenza per applicazioni VoIP. Non appena la connessione non è più necessaria, il tunnel VPN si chiude di nuovo. Gli amministratori hanno naturalmente una visibilità completa in tempo reale alla configurazione VPN mesh dinamica.
Per garantire una connettività imbattibile ed economicamente vantaggiosa, Barracuda CloudGen Firewall offre un'ampia gamma di opzioni di uplink integrate, tra cui linee in lease illimitate, fino a dodici uplink DHCP e fino a quattro uplink xDSL. Eliminando la necessità di acquistare dispositivi supplementari per il bilanciamento dei collegamenti, i clienti per i quali la sicurezza riveste un'importanza cruciale hanno accesso a una connessione WAN che non si interrompe mai, anche in caso di guasto di uno o due degli uplink WAN esistenti. Inoltre, i meccanismi di gestione del traffico intelligente garantiscono che il successivo uplink definito venga attivato immediatamente e che tutto il traffico venga reindirizzato per sfruttare appieno le linee rimanenti. Qualora le linee di backup forniscano meno larghezza di banda, l'adattamento intelligente del traffico assegna automaticamente priorità alle applicazioni e alle reti business-critical o a endpoint distinti.
Le risorse di rete limitate rendono necessaria la definizione delle priorità della larghezza di banda. Barracuda CloudGen Firewall offre un'efficace qualità del servizio (QoS) che permette all'amministratore di applicare aspetti qualitativi e garanzie di servizio ai flussi di traffico selezionati all'interno della WAN. QoS è spesso utilizzata per assegnare priorità al traffico di rete delle applicazioni cruciali che non devono essere compromesse dal traffico di rete di altre applicazioni.
Barracuda CloudGen Firewall fornisce un ampio set di tecniche QoS, quali l'adattamento del traffico, la prioritizzazione del traffico e il partizionamento della larghezza di banda, che assegna a determinati tipi di traffico un limite di larghezza di banda. Per selezionare il traffico di diverse classi di priorità, è possibile utilizzare l'analisi in tempo reale del traffico disponibile per stabilire se il traffico di rete è stato inviato da applicazioni business-critical o da applicazioni potenzialmente indesiderate.
Barracuda CloudGen Firewall è in grado di migliorare in maniera significativa le prestazioni WAN degli ambienti di rete distribuiti tramite il potenziamento della disponibilità, delle prestazioni e del tempo di risposta delle applicazioni business-critical grazie alla riduzione dei ritardi di throughput e di trasmissione che compromettono la redditività aziendale e influiscono sulle decisioni per le quali il fattore tempo è determinante. Il concetto di networking di ultima generazione di Barracuda CloudGen Firewall fornisce un set di potenti funzioni per ridurre e compensare in maniera efficiente gli effetti negativi delle latenze di rete e dei tempi di risposta elevati.
Grazie all'implementazione delle funzioni di accelerazione WAN di livello aziendale quali deduplicazione dei dati, compressione del traffico e ottimizzazione dei protocolli, Barracuda CloudGen Firewall è in grado di migliorare in modo significativo il traffico WAN site-to-site e aumentare la produttività accelerando la consegna delle applicazioni aziendali, senza alcun costo aggiuntivo. Il traffico WAN può essere compresso in maniera effettiva fino al 95%, riducendo notevolmente la larghezza di banda necessaria nelle sedi remote e incrementando allo stesso tempo la capacità di risposta della rete.
Con Azure Virtual WAN, Microsoft e Barracuda CloudGen Firewall automatizzano il processo di creazione di reti da filiale a filiale e da filiale a cloud sicure e ad alte prestazioni. Il supporto per Azure Virtual WAN automatizza completamente la creazione di reti WAN sicure a livello aziendale usando il backbone in fibra ad alte prestazioni di Azure. Ogni Barracuda CloudGen Firewall supporta Azure vWAN e Barracuda Firewall Control Center fornisce orchestrazione, gestione e manutenzione centralizzate.
Combinando Azure vWAN e CloudGen Firewall, si ottiene:
• Implementazione completamente automatizzata della connettività da filiale a filiale
• Implementazione completamente automatizzata della connettività da filiale ad Azure
• Scalabilità a migliaia di sedi remote
• Connessioni IPsec VPN attivo/attivo ad Azure vWAN per una connettività ininterrotta
• Integrazione dei criteri di breakout locali di Azure Microsoft 365 per ottimizzare le prestazioni delle applicazioni
• Routing ottimizzato e latenza minima per la connettività da filiale a filiale e da filiale ad Azure
• Gestione unificata della rete e dei criteri di sicurezza su tutta la WAN aziendale
• Implementazione completamente automatizzata della connettività da filiale ad Azure
• Scalabilità a migliaia di sedi remote
• Connessioni IPsec VPN attivo/attivo ad Azure vWAN per una connettività ininterrotta
• Integrazione dei criteri di breakout locali di Azure Microsoft 365 per ottimizzare le prestazioni delle applicazioni
• Routing ottimizzato e latenza minima per la connettività da filiale a filiale e da filiale ad Azure
• Gestione unificata della rete e dei criteri di sicurezza su tutta la WAN aziendale
Informazioni sull'ottimizzazione del traffico delle applicazioni:
I criteri di Azure vWAN Microsoft 365 consentono di specificare quale tipo di traffico applicativo indirizzare attraverso il suo abbonamento a pagamento e quale traffico applicativo ottimizzare per i breakout diretti di Internet. Barracuda CloudGen Firewall si integra con il servizio di policy di Microsoft 365 fornito da Azure, rileva se il traffico rientra nella categoria “ottimizza” e indirizza il traffico direttamente ai punti di accesso di Microsoft 365 più vicini forniti dinamicamente dal servizio. In questo modo il traffico di Microsoft 365 verrà sempre inviato al servizio Microsoft 365 con il miglior tempo di andata e ritorno possibile, garantendo un'esperienza utente ottimale.
I tunnel VPN sicuri tra le appliance Barracuda CloudGen Firewall, indipendentemente dal fatto che si trovino nel cloud, su più cloud o on-premise, vengono creati in modo programmatico su richiesta tramite API o riga di comando. Ciò consente l'automazione in tutta l'azienda e l'automazione dei processi DevOps.
Per estendere il servizio SASE alla velocità della linea a tutti i dispositivi del sito e superare le limitazioni introdotte dalla tradizionale tecnologia SD-WAN basata su uplink condivisi come la banda larga, CloudGen Firewall offre la tecnologia di ottimizzazione dell'uplink con correzione FEC e l'intelligenza del traffico con riparazione automatica. Ciò consente di utilizzare la larghezza di banda fisica disponibile in modo più efficace e di espandere i vantaggi della SD-WAN ai siti con uplink singoli, nonché l'utilizzo ottimizzato degli uplink condivisi.
La tecnologia di bilanciamento adattivo delle sessioni garantisce l'utilizzo del miglior uplink disponibile per il profilo dell'applicazione, per tutti i tunnel crittografati nei siti SD-WAN. Se lo stato di salute dell'uplink iniziale si ripristina, il traffico SD-WAN crittografato passa di nuovo in modo trasparente a questo uplink. Il routing basato sulle applicazioni, che tiene conto dei risultati del rilevamento dinamico della larghezza di banda e della latenza, applica lo stesso concetto per il traffico Internet in uscita, garantendo che le applicazioni SaaS come Microsoft 365 sfruttino sempre il miglior uplink disponibile, anche quando le condizioni cambiano frequentemente.
Le connessioni Secure SD-WAN con Barracuda CloudGen Firewall sono progettate per il networking ad alta velocità su linee lossy condivise come Internet a banda larga o 4G/5G. La tecnologia FEC (Forward Error Correcting) sottostante per rimediare alla perdita di pacchetti si basa su una nuova serie di algoritmi nella categoria dei codici di rete lineari casuali (RLNC). Gli algoritmi basati sui codici RLNC reagiscono molto più velocemente alle perdite, le risolvono più velocemente al volo, richiedendo meno ritrasmissioni di pacchetti e riducendo il sovraccarico sui dispositivi. Ciò si traduce in chiamate vocali e video di alta qualità anche in scenari di elevata perdita di pacchetti e con molti abbonati sulla linea condivisa.
Perimetri di rete intelligenti
Barracuda CloudGen Firewall combina ispezione approfondita dei pacchetti (DPI) e analisi comportamentale del traffico per rilevare e classificare in modo affidabile migliaia di applicazioni e applicazioni secondarie, indipendentemente dall'offuscamento avanzato, dalle tecniche di port hopping o dalla crittografia. Consente la creazione di criteri delle applicazioni dinamici e agevola la definizione e l'applicazione di criteri di utilizzo e di accesso accettabili per utenti e gruppi in base ad applicazione, categoria dell'applicazione, sede e ora del giorno. Gli amministratori ora sono in grado di:
• Bloccare le applicazioni indesiderate per determinati utenti o gruppi
• Controllare e limitare il traffico accettabile
• Preservare la larghezza di banda e velocizzare le applicazioni business-critical per garantire la continuità aziendale
• Abilitare o disabilitare specifiche funzioni secondarie dell'applicazione (ad esempio, Facebook Chat, post su YouTube o trasferimenti di file MSN)
• Intercettare il traffico delle applicazioni crittografato SSL
• Controllare e limitare il traffico accettabile
• Preservare la larghezza di banda e velocizzare le applicazioni business-critical per garantire la continuità aziendale
• Abilitare o disabilitare specifiche funzioni secondarie dell'applicazione (ad esempio, Facebook Chat, post su YouTube o trasferimenti di file MSN)
• Intercettare il traffico delle applicazioni crittografato SSL
Barracuda CloudGen Firewall è dotato di funzioni avanzate di qualità del servizio (QoS) e di selezione del percorso di routing basata sulle applicazioni. Queste, oltre alla sicurezza, forniscono valore aziendale aggiunto attraverso il miglioramento significativo della qualità e della disponibilità della rete, così come la riduzione dei costi diretti grazie al risparmio di larghezza di banda.
Per garantire il reporting esauriente e le funzionalità di analisi dettagliata, CloudGen Firewall viene fornito dotato di visibilità delle applicazioni storica e in tempo reale che mostra il traffico delle applicazioni sulla rete aziendale e mette a disposizione pertanto un fondamento per decidere a quali connessioni deve essere assegnata la prioritizzazione di larghezza di banda, cruciale per l’ottimizzazione QoS delle applicazioni business-critical. Inoltre, consente di regolare e affinare i criteri di utilizzo delle applicazioni aziendali.
Per un elenco aggiornato delle applicazioni e delle sottoapplicazioni precaricate in Application Control, consultare l'Online Application Explorer.
L’analisi approfondita del contesto applicativo consente di ispezionare in maniera dettagliata il flusso dei dati delle applicazioni grazie alla valutazione continua dell’intenzione reale delle applicazioni e dei rispettivi utenti. In questo modo, gli amministratori possono ottenere approfondimenti dettagliati sullo scopo di utilizzo di una determinata applicazione o su eventuali tentativi da parte di un utente di eludere i criteri aziendali di utilizzo dell’applicazione stessa.
Barracuda CloudGen Firewall include funzionalità di rilevamento e applicazione dei tipi di file basate non solo sull'estensione e sul tipo MIME, ma anche su sofisticati algoritmi di rilevamento del tipo di file. Viene rilevato e bloccato il bypass dei file eseguibili tramite rinominazione o compressione. Oltre a bloccare/consentire le connessioni, CloudGen Firewall consente anche agli amministratori di modificare le priorità di download. Se, ad esempio, un'immagine ISO ha iniziato a scaricare con la normale priorità del traffico web, l'amministratore può aumentare o diminuire la larghezza di banda assegnata, anche se l'utente ha iniziato a scaricare tramite una normale sessione di navigazione web.
Oltre alle migliaia di applicazioni precaricate in Application Control, Barracuda CloudGen Firewall ti consente di creare facilmente le tue definizioni di applicazioni su misura per le tue esigenze specifiche.
Per visualizzare un elenco completo delle applicazioni e applicazioni secondarie incluse in Application Control, consulta l'Online Application Explorer.
I vari utenti della rete possono avere bisogno di diverse regole per l’utilizzo della larghezza di banda. Molto spesso l’accesso a risorse di rete specifiche è limitato a determinati utenti o gruppi di utenti. L’assegnazione preferenziale di più larghezza di banda a determinati utenti o gruppi di utenti e la sua limitazione ad altri è un requisito comune. A tale proposito, è necessario che il dispositivo di rete sappia a che utente appartiene un dato IP.
Barracuda CloudGen Firewall è dotato di riconoscimento completo dell'identità utente grazie al collegamento di uno o più indirizzi IP all'utente stesso. Qualsiasi assegnazione del ruolo che derivi dalla comunicazione dell'identità con il firewall attraverso gli agenti responsabili dell'integrità può essere utilizzata all'interno del firewall per facilitare il controllo dell'accesso in base al ruolo (RBAC). CloudGen Firewall supporta l'autenticazione degli utenti e l'applicazione di regole del firewall di riconoscimento dell'utente, le impostazioni di Web Security Gateway e Application Control 2.0 tramite l'utilizzo di Active Directory, NTLM, MS CHAP, RADIUS, RSA SecurID, LDAP/LDAPS, TACACS+, così come l'autenticazione con i certificati x.509.
L'opzione Web Security Gateway di CloudGen Firewall offre una visibilità in tempo reale altamente granulare all'interno dell'attività online suddivisa per utenti e applicazioni, consentendo agli amministratori di creare e applicare criteri efficaci per i contenuti Internet e l'accesso. Tutela la produttività dell'utente, blocca i download malware e altre minacce basate su web e assicura la conformità bloccando l'accesso a siti web e server indesiderati e fornendo un importante livello supplementare di sicurezza sul controllo delle applicazioni.
Ogni Barracuda CloudGen Firewall include un server DNS autorevole per consentire risposte intelligenti alle richieste DNS valutando lo stato del collegamento e l'indirizzo IP di origine prima di rispondere alla richiesta DNS. Ciò consente, ad esempio, di gestire uno o più server web o servizi web protetti da Barracuda CloudGen Firewall. Fornendo risposte diverse alle nuove richieste DNS che puntano a server o collegamenti alternativi, è possibile implementare un efficiente bilanciamento del carico basato su server senza la necessità di hardware o servizi aggiuntivi.
Ogni Barracuda CloudGen Firewall include un server DNS per memorizzare nella cache e velocizzare le richieste DNS più frequenti nella rete. Il server DNS può funzionare come master, slave, forwarder o semplice cache. Il server DNS supporta più domini e il DNS doctoring.
Accesso remoto
L’afflusso di dispositivi informatici personali all'interno del luogo di lavoro, dagli smartphone ai laptop ai tablet, può essere d'aiuto per aumentare la produttività, la flessibilità e la comodità. D’altro canto, i dispositivi BYOD comportano nuove sfide e rischi per la sicurezza, tra cui l’abilitazione e il controllo dell’accesso e la prevenzione della perdita dei dati.
Barracuda CloudGen Firewall fornisce potenti funzionalità che offrono agli utenti tutti i vantaggi dei propri dispositivi riducendo al tempo stesso i possibili rischi per l'azienda. È possibile bloccare le applicazioni indesiderate, proteggere i dati sensibili grazie alla segmentazione LAN e verificare le condizioni di ciascun dispositivo collegato alla rete aziendale tramite il controllo dell'accesso alla rete.
Barracuda CloudGen Firewall incorpora funzionalità VPN site-to-site e client-to-site avanzate, usando i protocolli SSL e IPsec per garantire che gli utenti remoti possano accedere in modo semplice e sicuro alle risorse di rete senza configurazione e gestione complesse del client. Ogni unità CloudGen Firewall supporta un numero illimitato di client VPN senza alcun costo aggiuntivo.
Barracuda VPN Client offre anche la possibilità di applicare le impostazioni di Windows Security Center sui computer client che eseguono Windows. In tal modo gli operatori possono applicare a livello centrale l'utilizzo di impostazioni di sicurezza Windows sui PC. I criteri applicati possono comprendere l'abilitazione del firewall Microsoft Network, degli aggiornamenti di Windows, la protezione da virus e spyware di Windows e le impostazioni di sicurezza Internet.
I client VPN Barracuda sono disponibili per Microsoft Windows, Mac OS e vari sistemi Linux.
L'abbonamento facoltativo Advanced Remote Access per Barracuda CloudGen Firewall aggiunge una SSL VPN basata su portale personalizzabile e semplice da utilizzare, così come la funzionalità sofisticata NAC (Network Access Control).
Barracuda Network Access Client, se utilizzato insieme a Barracuda CloudGen Firewall, fornisce il controllo dell'accesso alla rete (NAC) gestito a livello centrale e un firewall personale avanzato. Ciò consente l'applicazione di prerequisiti di sicurezza minimi del client Windows prima di poter accedere alla rete o a una rete in quarantena. La posizione di sicurezza può essere stabilita in base al livello di patch Windows disponibile, alla disponibilità dell'antivirus e/o anti-spyware e all'ID utente. Le restrizioni di accesso vengono applicate a livello locale sul client dal firewall Windows personale gestito centralmente, così come sul gateway. Grazie all'utilizzo delle appliance Barracuda CloudGen Firewall esistenti, Barracuda Networks offre un framework NAC pronto per l'uso senza necessità di realizzare costosi investimenti nella struttura di rete di base. Tutti i Barracuda Network Access Client e le unità Barracuda CloudGen Firewall che fungono da server dei criteri possono essere amministrati, monitorati ed esaminati da un unico Barracuda Firewall Control Center.
Tramite le connessioni SSL VPN è possibile accedere alle applicazioni della propria azienda. Il portale mobile di Barracuda permette di impostare collegamenti sulla schermata principale di dispositivi quali smartphone o tablet. Quando accedono al portale tramite il browser Web o da un dispositivo mobile, gli utenti possono sfogliare applicazioni, cartelle e file di rete come se fossero connessi alla rete dell’ufficio.
Il portale mobile supporta la maggior parte dei dispositivi di uso comune, ad esempio dispositivi Apple iOS, Android e Blackberry.
Il portale mobile di Barracuda è una funzione facoltativa inclusa nell'abbonamento facoltativo Advanced Remote Access.
CudaLaunch è un'applicazione per dispositivi Windows, macOS, iOS e Android che consente ai lavoratori mobili l'accesso remoto sicuro tramite Barracuda CloudGen Firewall ad applicazioni cloud private e ad altri dati sensibili dell'azienda. CudaLaunch offre diversi vantaggi rispetto al tradizionale accesso remoto SSL VPN basato su browser. In quanto app, gli utenti finali possono configurarla e installarla facilmente dall'app store.
Diversamente dall'accesso remoto basato su browser, CudaLaunch è dotata di un'interfaccia più reattiva e uniforme sulle piattaforme mobili e consente di evitare le idiosincrasie dei browser per dispositivi mobili. Dopo che un utente finale ha avviato l'app, una finestra di avvio scorrevole fornisce un accesso facile e veloce ad applicazioni interne, preferiti e connessioni VPN TINA (che connettono in modo sicuro il dispositivo alla rete aziendale). Questa connessione VPN più ricca supporta le app per dispositivi mobili che si ricollegano alla rete aziendale (come le app desktop remote).
Progettata per l'autoconfigurazione totale, CudaLaunch include funzioni per una facile gestione centralizzata di implementazioni di grandi dimensioni e si integra con le potenti funzioni di sicurezza di Barracuda CloudGen Firewall. Per gli amministratori IT, il firewall fornisce un'unica posizione per la gestione dei criteri di sicurezza per tutti i tipi di accesso remoto (CudaLaunch, SSL VPN, Barracuda Network Access Client e IPsec standard). L'esperienza dell'utente finale risulta uniforme nelle piattaforme e nei tipi di accesso remoto per un facile utilizzo e una riduzione significativa dei costi di supporto. L'autoconfigurazione e la gestione delle connessioni VPN eliminano la necessità di configurare manualmente le connessioni IPsec su Windows, macOS, iOS e Android, rendendo la configurazione facile e veloce.
Ulteriori informazioni su CudaLaunch sono disponibili qui.
L'app è disponibile gratuitamente all'indirizzo:
Mac App Store (macOS)
Windows Store (Windows)
(Disponibile anche come applicazione autonoma che non richiede installazione, pertanto, non sono necessari diritti di amministratore locale. Questa versione è disponibile su Barracuda Cloud Control solo per la versione Windows.
App Store (iOS)
Google Play (Android)
Nota: CudaLaunch richiede il firmware 6.1.1 di Barracuda CloudGen Firewall e un abbonamento Advanced Remote Access attivo.
Le appliance Barracuda Secure Connector sono dispositivi edge ultracompatti appositamente progettati per i casi d'uso dell'Industrial Internet of Things e SoHo. Sono progettati per fornire capacità di calcolo edge e backhaul di tutto il traffico verso le unità CloudGen Firewall (appliance, Vx o cloud) o Secure Access Controller dedicate per la scalabilità. Le unità CloudGen Firewall e Secure Access Controller applicano un'ispezione di sicurezza completa.
Ulteriori informazioni sulle appliance Secure Connector sono disponibili qui.
Gestione e automazione
Barracuda Firewall Control Center fornisce una gestione centralizzata al 100% di tutte le funzioni di CloudGen Firewall, indipendentemente dalla configurazione della sicurezza, dei contenuti, della gestione del traffico, della rete, dei criteri di accesso o degli aggiornamenti software.
Barracuda Firewall Control Center aiuta a ridurre i costi associati alla sicurezza e alla gestione del ciclo di vita, fornendo al contempo funzionalità avanzate di risoluzione dei problemi e connettività, sia a livello centrale che locale, presso il gateway gestito.
Barracuda CloudGen Firewall è in grado di tradurre automaticamente gli indirizzi IP e gli indirizzi di rete in un formato leggibile dall'uomo. Ad esempio, "EMEA:UK:OXFORD:MARKETING:PRINTER" indica chiaramente la posizione e il dispositivo in questione a colpo d'occhio.
Barracuda Firewall Control Center consente di creare oggetti riutilizzabili per qualsiasi voce di configurazione immaginabile: indirizzo IP, reti, intervalli, nomi DNS, criteri di sicurezza dei contenuti, criteri di sicurezza della rete, ecc.
Questi oggetti possono essere creati una sola volta e riutilizzati nei nodi di configurazione successivi. Ad esempio, se esiste un oggetto Internal_Network_Branchname come oggetto di rete, è possibile farvi riferimento nelle impostazioni di rete, nelle regole del firewall e nelle impostazioni VPN. Se l'oggetto deve essere modificato, deve essere modificato solo una volta, preferibilmente nel Firewall Control Center. Quindi, le modifiche verranno applicate automaticamente in ogni posizione in cui si fa riferimento all'oggetto. In questo modo si ottiene un metodo più rapido, semplice e conveniente per modificare i servizi di configurazione su più unità.
Quando si configurano più CloudGen Firewall sulla WAN, ci saranno sempre componenti che i firewall hanno in comune, come nomi di dominio, server DNS, server NTP, configurazioni di sicurezza delle applicazioni, configurazioni di filtri URL e così via. Barracuda Firewall Control Center raccoglie tutti questi componenti in un repository (nodo di configurazione globale) collegato a più Barracuda CloudGen Firewall. Utilizzando i repository nel Firewall Control Center, un amministratore può aggiornare migliaia di firewall con una sola modifica nel repository.
I repository offrono comunque la flessibilità di sovrascrivere impostazioni specifiche su determinati firewall. Ad esempio, se una posizione utilizza un server DNS diverso rispetto alle altre, è possibile creare una sovrascrittura esplicita solo per questa impostazione in questo singolo firewall.
Barracuda Firewall Control Center fornisce aggiornamenti software centralizzati per tutte le unità CloudGen Firewall gestite centralmente. Gli aggiornamenti possono essere programmati per un orario specifico e anche solo per sottoinsiemi specifici di unità CloudGen Firewall remote. Nel caso in cui un aggiornamento software non vada a buon fine, viene automaticamente annullato e segnalato.
Proprio come su Barracuda CloudGen Firewall, Barracuda Firewall Control Center consente l'accesso simultaneo di più amministratori in "modalità scrittura". Questo è utile negli ambienti MSSP e multi-admin, dove è più probabile che gli amministratori gestiscano i sistemi in team. Una volta apportata una modifica, solo il nodo di configurazione dedicato deve essere bloccato per la modifica dall'amministratore che esegue effettivamente la modifica. Tutte le altre impostazioni al di fuori di questo nodo di configurazione bloccato sono ancora visualizzabili e modificabili da altri amministratori che hanno effettuato l'accesso al sistema.
Barracuda Firewall Control Center offre ampi vantaggi di amministrazione basata sui ruoli. Agli amministratori possono essere assegnati ruoli specifici come: Amministratore MSSP, Amministratore cliente, Visualizzatore log, Revisore, Amministratore filtro contenuti. Inoltre, è possibile creare ruoli personalizzati per esigenze speciali con privilegi speciali. Ad esempio, è possibile definire servizi per delegare attività specifiche a un team dedicato o a un utente finale. Se un team o un utente finale desidera essere in grado di modificare le regole del firewall, è possibile creare un ruolo di amministratore cliente specifico a cui è consentito solo modificare questa particolare parte della configurazione. L'amministratore può quindi rivedere tutte le altre configurazioni, ma non sarà autorizzato a modificare nient'altro.
Le unità Barracuda Firewall Control Center C610/VC610 e successive forniscono una gestione speciale per la gestione multi-tenant, consentendo a un MSSP di gestire facilmente più clienti sullo stesso Barracuda Firewall Control Center. Ad esempio, gli amministratori del cliente 1 non potranno vedere nulla del cliente 2 e viceversa. Non c'è limite al numero di clienti che possono essere amministrati con Barracuda Firewall Control Center.
La schermata predefinita di ogni Barracuda Firewall Control Center mostra una panoramica dello stato di tutte le unità Barracuda CloudGen Firewall gestite centralmente. Lo stato viene visualizzato tramite un concetto di semaforo (rosso, giallo, verde) ed è fornito per singole unità, cluster e intere installazioni tenant (chiamate "Range"). Lo stato "peggiore" vince sempre, consentendo di fatto all'amministratore di avere una visione centralizzata dello stato generale e di poter scavare più a fondo con pochi clic del mouse.
Barracuda Firewall Control Center consente la creazione di un set di regole firewall globale che viene installato su tutte le macchine a cui viene applicato. Inoltre, i set di regole locali e speciali possono essere installati solo su dispositivi specifici. Ad esempio: l'MSSP dispone di un Network Operation Center (NOC) per monitorare tutti i servizi forniti a un cliente. In questo ambiente, esistono regole del firewall globali che consentono ogni tipo di connessione di monitoraggio e regole del firewall locali specifiche per un cliente. L'MSSP può determinare se le regole globali o locali hanno la precedenza a seconda del cliente. In questo modo si ottiene un ulteriore livello di granularità per la configurazione, in quanto per ogni cliente sono definite regole speciali per consentire il passaggio del traffico attraverso il firewall. Con questa funzione, l'MSSP può essere sicuro che vi sia un monitoraggio e un flusso di log affidabili. Questo è necessario per fornire e dimostrare ai clienti la prova degli accordi sul livello di servizio.
Il panorama della sicurezza non smette mai di cambiare. Ecco perché Barracuda Networks introduce e rilascia costantemente nuove interessanti funzioni e funzionalità di sicurezza migliorate per tutti i suoi CloudGen Firewall attraverso il suo abbonamento Energize Updates. Ma quando si hanno decine o addirittura migliaia di dispositivi gestiti nella rete WAN di un'azienda, alcuni dispositivi, reti o persino filiali eseguiranno inevitabilmente versioni di firmware più vecchie rispetto a certi dispositivi che richiedono la tecnologia più aggiornata. Fortunatamente, Barracuda Firewall Control Center è retrocompatibile con le versioni precedenti del firmware implementate per almeno tre anni, facilitando di fatto il processo di aggiornamento in tutta l'organizzazione.
Sia su Barracuda Firewall Control Center che su tutte le unità Barracuda CloudGen Firewall, tutte le azioni dell'amministratore possono essere registrate e, se necessario, è possibile ripristinare selettivamente le modifiche. Nel caso in cui sia richiesto un rollback, l'amministratore ha la possibilità di annullare tutte le modifiche o solo quelle specifiche (come le regole del firewall) lasciando intatte le impostazioni di rete.
L'interfaccia grafica per il tunnel (GTI) VPN di Barracuda Firewall Control Center fornisce un'interfaccia grafica per creare e gestire tunnel VPN. Quando si configurano i tunnel VPN manualmente, ci sono molti passaggi e impostazioni di configurazione identici. Tuttavia, poiché tale interfaccia elimina molti di questi passaggi ridondanti, è possibile configurare i tunnel VPN più rapidamente e con meno errori.
Con una licenza pool, la licenza di Barracuda CloudGen Firewall è legata al Firewall Control Center, non al numero di serie e alla combinazione hardware. Quindi, in caso di guasto hardware, è possibile distribuire una nuova appliance senza dover ottenere una nuova licenza. Questo è ottimo per i fornitori di servizi di sicurezza gestiti perché possono ottimizzare l'utilizzo delle licenze.
Per maggiori dettagli, consulta il white paper sulle licenze Enterprise e Service Provider di Barracuda.
L'implementazione zero-touch consente di distribuire le unità appliance direttamente dalla fabbrica alla posizione remota desiderata senza la necessità di personale IT in loco. È sufficiente collegare l'unità e accenderla; l'unità selezionerà automaticamente l'uplink adatto a Internet e recupererà la configurazione appropriata dal Firewall Control Center. Senza necessità di configurazione manuale in loco, la distribuzione zero-touch consente di implementare CloudGen Firewall in organizzazioni ampiamente distribuite a costi molto bassi.
Barracuda CloudGen Firewall offre un set completo di API di automazione ben documentate. Le API di automazione incluse in ogni CloudGen Firewall consentono agli utenti finali e ai partner di servizi di automatizzare la gestione dei propri dispositivi, durante l'intero ciclo di vita. Ciò consente un'implementazione più rapida, una maggiore coerenza nella gestione e un'adozione più rapida delle modifiche alla configurazione per dispositivi on-premise, virtuali e in hosting nel cloud.
Reporting
Per le funzionalità di reporting e analisi dettagliata al volo, Barracuda CloudGen Firewall offre una visibilità delle applicazioni in tempo reale e storica che mostra il traffico delle applicazioni in tempo reale e recente sulla rete aziendale. È possibile filtrare in modo interattivo e approfondire per ottenere maggiori dettagli. Ciò consente agli amministratori di decidere a quali connessioni delle applicazioni deve essere assegnata la priorità della larghezza di banda e chi sta attualmente violando i criteri di utilizzo accettabili.
Barracuda Firewall Report Creator è un'applicazione standalone consigliata per la creazione di report su una singola appliance o fino a poche decine di appliance di Barracuda CloudGen Firewall. Questo strumento gratuito crea report personalizzati utilizzando statistiche e log raccolti direttamente dai firewall distribuiti.
La configurazione consente a ciascun report di analizzare più appliance, utilizzando modelli di dati di report personalizzati o predefiniti e un layout e un metodo di distribuzione personalizzabili. I report personalizzati possono includere le seguenti informazioni:
- Report sull'attività degli utenti: includono informazioni sul traffico causato da singoli utenti, indirizzi IP o reti o gruppi di utenti di Active Directory.
- Report sull'attività degli indirizzi: includono informazioni per le categorie di URL a cui si accede per indirizzo IP di origine o rete di origine.
- Report sulle categorie di URL: includono informazioni su quali URL di una categoria specifica sono stati accessibili in base all'indirizzo IP di origine o alla rete di origine.
- Report sulle categorie di applicazioni: includono informazioni sulle categorie di applicazioni rilevate.
- Report sulle proprietà dell'applicazione: includono informazioni sulle principali proprietà dell'applicazione bloccate o consentite.
- Report sulle applicazioni: includono informazioni sulle applicazioni rilevate in una specifica categoria di applicazioni per indirizzo IP di origine o rete di origine.
- Report sulla sicurezza – includono modelli IPS, motore di scansione antivirus e report sulle minacce ATP.
- Report sull'utilizzo della VPN: includono informazioni sull'uso dei tunnel TINA client-to-site e site-to-site.
Firewall Report Creator è incluso nella licenza base di CloudGen Firewall.
Vai su login.barracudanetworks.com per il download gratuito.
Barracuda CloudGen Firewall consente di sfruttare Tufin SecureTrack per visualizzare, cercare e tenere traccia delle modifiche nell'infrastruttura di sicurezza aziendale e rilevare configurazioni errate, come la permissività delle regole, lo shadowing e altro. Questa piattaforma di gestione indipendente dal fornitore offre la visibilità e il controllo necessari per garantire una protezione senza soluzione di continuità, la disponibilità di applicazioni e dati e un'eccellente esperienza utente in infrastrutture eterogenee, multifornitore e multipiattaforma.
Informazioni su Tufin
Con oltre 2.000 clienti sin dal suo inizio, l'automazione della sicurezza di rete di Tufin consente alle aziende di implementare le modifiche in pochi minuti anziché in giorni, migliorando al contempo la loro posizione di sicurezza e l'agilità aziendale. Per saperne di più, visita tufin.com.
