Edina konstanta danes je sprememba, tega pravila se drži tudi svet kibernetske varnosti.
Naprava Palo Alto Networks PA-220, ki je bila leta 2017 predstavljena kot revolucionarna rešitev za majhna in srednje velika podjetja, se počasi poslavlja. OS ne bo več podprt od oktobra dalje, licence pa se končajo z januarjem 2027.
Za številne organizacije je PA-220 naprava predstavljala delovnega konja, ki je prvi prinesel moč Next-Generation Firewall (NGFW) tehnologije na rob omrežja.
Seveda se danes soočamo z drugačnim okoljem. Napadi izsiljevalskih virusov so hitrejši, šifriran promet (TLS 1.3) zavzema konkretni del pasovne širine, hibridno delo pa zahteva brezhibno VPN povezljivost. PA-220 s svojo strojno arhitekturo preprosto ne more več slediti tem zahtevam. Napovedan End-of-Life (EoL) za te naprave zato ni le administrativni opomnik, temveč nujen klic k posodobitvi vaše obrambne strategije.
Zakaj je PA-220 dosegel svoj limit?
Da bi razumeli, zakaj je nadgradnja nujna, moramo pogledati pod pokrov. PA-220 je bil zasnovan v času, ko so bile hitrosti interneta nižje, samo pregledovanje prometa pa manj procesorsko požrešno.
Največ pritožb skrbnikov PA-220 je letelo na hitrost "commit" procesa. Zaradi omejenega procesorja in pomnilnika je uveljavljanje sprememb trajalo več minut. Danes to predstavlja precej ozko grlo, ki si ga podjetja ne morejo več privoščiti.
SSL/TLS dešifracija: Danes nuja, ne izbira
Več kot 90 % spletnega prometa je danes šifriranega. Napadalci to izkoriščajo za skrivanje zlonamerne kode. PA-220 ob vklopu dekripcije pogosto doživi drastičen padec prepustnosti, kar upočasni delo uporabnikov. Novi modeli so zgrajeni z namenskimi vezji, ki to nalogo opravijo brez opaznega vpliva na hitrost.
Alternative oz. nasledniki
Serija PA-400 (modeli 410, 440, 450 in 460) predstavlja največji generacijski skok v zgodovini Palo Alto Networks naprav za izpostave.
Model PA-440 je postal "zlati standard" za podjetja, ki prehajajo s PA-220. Zakaj?
- Moč: PA-440 ponuja do 10-krat večjo prepustnost pri vključenih varnostnih funkcijah (Threat Prevention) v primerjavi s predhodnikom. To pomeni, da lahko brez težav poganja gigabitne linije.
- Arhitektura brez ventilatorjev (Fanless): Kljub izjemni moči naprava nima gibljivih delov. To pomeni tišje delovanje, manjšo porabo energije in večjo zanesljivost v prašnih okoljih, kjer ni namenskih komunikacijskih omar.
- Redundantno napajanje: PA-440 podpira dvojno zunanje napajanje. V primeru okvare enega napajalnika naprava deluje nemoteno, kar je bila ena glavnih pomanjkljivosti PA-220.
- Hitrost upravljanja: "Commit" proces, ki je na PA-220 trajal 5 do 10 minut, je na PA-440 opravljen v manj kot 30 sekundah.
PA-510:
Za organizacije, ki potrebujejo večjo gostoto vrat, optične povezave ali večjo procesorsko moč za zahtevne storitve, je tu serija PA-500, specifično model PA-510.
Zakaj izbrati PA-510 namesto serije 400?
PA-510 ni le hitrejša naprava; je vstopnica v svet Enterprise funkcionalnosti v 1U rack-mount obliki.
- Optična povezljivost (SFP): Za razliko od namiznih modelov ima PA-510 vgrajen SFP port. To omogoča direktno povezavo z optičnimi stikali brez potrebe po medijskih pretvornikih, kar zmanjšuje zakasnitve (latency).
- Inline strojno učenje (ML): PA-510 je del prve generacije NGFW, ki uporablja strojno učenje neposredno v prometnem toku. Naprava lahko torej v realnem času prepozna in blokira nove, še nepoznane različice zlonamerne programske opreme (Zero-day malware).
- Visoka razpoložljivost (HA): Čeprav vsi modeli podpirajo HA, je PA-510 zaradi redundantnih komponent in večje kapacitete sej (do 500.000 sočasnih povezav) veliko bolj primeren za centralne lokacije ali manjše strežniške prostore.
4. Primerjalna tabela tehničnih specifikacij
Spodnja tabela jasno prikazuje, zakaj je vztrajanje pri stari strojni opremi tvegano.
|
Specifikacija
|
PA-220 (Legacy)
|
PA-440 (Standard)
|
PA-510 (Enterprise Edge)
|
|
Firewall Throughput (L3/L4)
|
500 Mbps
|
3.0 Gbps
|
5.3 Gbps
|
|
Threat Prevention (L7)
|
150 Mbps
|
900 Mbps
|
2.2 Gbps
|
|
IPsec VPN Throughput
|
500 Mbps
|
1.6 Gbps
|
2.5 Gbps
|
|
Max Sessions
|
64,000
|
200,000
|
500,000
|
|
Virtual Systems (Base/Max)
|
1 / 1
|
1 / 1
|
1 / 3
|
|
Storage (Logging)
|
32 GB
|
128 GB
|
128 GB (hitrejši dostop)
|
Operacijski sistem PAN-OS: Nova doba varnosti
S prehodom na PA-440 ali PA-510 pa seveda ne dobite samo nove "škatle", temveč dostop do najnovejših različic operacijskega sistema PAN-OS (npr. različica 11.x Nebula). Starejše naprave teh verzij ne podpirajo več ali pa na njih delujejo prepočasno.
Kaj novejši PAN-OS omogoča?
- Advanced WildFire: Prepoznavanje groženj v manj kot 10 sekundah.
- IoT Security: Samodejno zaznavanje tiskalnikov, kamer in drugih pametnih naprav, ki so pogosto najšibkejši člen v mreži.
- DNS Security: Napredna zaščita pred napadi, ki izkoriščajo DNS protokol za krajo podatkov.
Načrt migracije: Kako izvesti prehod brez stresa?
Migracija s PA-220 na serijo 400 ali 500 je proces, ki ga je treba načrtovati, je pa ta proces zahvaljujoč orodjem Palo Alto Networks razmeroma preprost.
Korak 1: Revizija obstoječe konfiguracije
Leta delovanja na PA-220 so verjetno pustila sledi v obliki podvojenih in morda nepotrebnih pravil. Policy Optimizer nam omogoča, da ugotovimo, katera pravila se dejansko uporabljajo.
Korak 2: Uporaba orodja Expedition
Palo Alto ponuja orodje Expedition, ki avtomatizira pretvorbo konfiguracij med različnimi modeli. To zmanjša možnost človeške napake pri ročnem prepisovanju IP naslovov in varnostnih politik.
Korak 3: Preverjanje licenc
Ob nakupu nove naprave preverimo nove licenčne pakete. Pogosto je ugodneje vzeti »bundle« licenc, ki vključuje vse potrebne storitve (Threat Prevention, URL Filtering, WildFire), kot pa dokupovati posamezne licence.
Korak 4: Testiranje dešifracije
Ker sta PA-440 in PA-510 bistveno zmogljivejša, je zdaj pravi čas, da vklopite SSL Forward Proxy, kar bo precej dvignilo nivo varnosti, saj boste lahko dobro videli, kaj se dogaja znotraj šifriranega prometa.
Prihodnost je seveda v AI-ju
Upokojitev naprave PA-220 označuje konec nekega obdobja, a hkrati odpira vrata v prihodnost, kjer varnost ni več le pasivna stvar, ampak predstavlja zelo aktivno inteligenco. Prehod na PA-440 prinaša neprekosljivo razmerje med ceno in zmogljivostjo za pisarniška okolja, medtem ko PA-510 postavlja nove temelje za robustno, z optiko povezano in z umetno inteligenco podprto zaščito vašega podjetja.
Seveda vam toplo priporočamo, da ne čakate ravno na zadnji dan oziroma na iztek supporta. Zastarela strojna oprema je v svetu kibernetskih napadov tveganje, ki se mu lahko izognete s pravočasnim načrtovanjem.
Kaj je naslednji korak?
Skupaj izberimo napravo, ki bo potrebam vašega podjetja najbolj ustrezala in delovala v naslednjih letih.