P A L O A LT O N E T W O R K S : V M - S e r i e s p a r a V M w a r e

VM-Series para VMware VM-Series para VMware es compatible con las soluciones independientes VMware NSX, ESXi y vCloud Air, y le permite implementar la seguridad de los cortafuegos de nueva generación y funciones de prevención de amenazas avanzadas en sus entornos de computación en la nube privada, pública e híbrida basados en VMware. • Identifique y controle aplicaciones dentro de sus entornos virtualizados, limite el acceso según los usuarios y prevenga amenazas conocidas y desconocidas. • Aísle y segmente aplicaciones y datos vitales mediante los principios del modelo Zero Trust. • Optimice las implementaciones de políticas de modo que el sistema de seguridad pueda seguir el ritmo de la tasa de cambio que tiene lugar en la nube privada, pública o híbrida.

VM

VMSERIES

VM vSwitch

VM vSwitch

Hypervisor

La tecnología de virtualización de VMware está generando cambios significativos en los centros de datos modernos de hoy en día, con lo que se obtienen arquitecturas que son, normalmente, una combinación de computación en la nube privada, pública o híbrida. Las ventajas de la computación en la nube son notables y ampliamente conocidas. Sin embargo, también lo son los retos de seguridad que plantea; ejemplo de ello son las numerosas y recientes revelaciones de datos importantes. Con independencia de que se almacenen en un centro de datos físico o en una nube privada, pública o híbrida, serán objetivo de los ciberdelincuentes. La protección de la nube basada en VMware supone distintos retos, entre los que se incluyen la falta de visibilidad de las aplicaciones, incoherencias en las funcionalidades de seguridad y la dificultad para mantener el ritmo de la tasa de cambio que suele tener lugar en los entornos de computación en la nube. Para tener éxito, las organizaciones precisan de una solución de seguridad en la nube que se encargue de lo siguiente: • Controlar las aplicaciones en la nube basándose en la identidad, no en el puerto y los protocolos que puedan usar. • Evitar que el malware tenga acceso a la nube y se desplace de forma lateral (en horizontal) por ella. • Determinar quién debería poder utilizar las aplicaciones y conceder acceso en función de las necesidades y las credenciales de los usuarios. • Simplificar la gestión y minimizar el desfase en las políticas de seguridad a medida que se añaden, eliminan o trasladan máquinas virtuales dentro del entorno de nube. VM-Series para VMware® de Palo Alto Networks le permite proteger los datos que residen en entornos de NSX™, ESXi™ y vCloud® Air™ frente a ciberamenazas gracias a la seguridad de nuestro cortafuegos de nueva generación y a funciones de prevención de amenazas avanzadas. La gestión centralizada de Panorama, en combinación con funciones de automatización nativas, posibilita la optimización de la administración de políticas de forma que se minimice la diferencia de tiempo entre políticas que puede producirse cuando se añaden, trasladan o eliminan máquinas virtuales.

P A L O A LT O N E T W O R K S : V M - S e r i e s p a r a V M w a r e

Aplicación de seguridad de nueva generación a entornos virtualizados El cortafuegos virtualizado de VM-Series tiene como base el mismo motor de clasificación del tráfico en toda la pila que ofrecen nuestros cortafuegos físicos. VM-Series clasifica de forma nativa todo el tráfico, incluidas las aplicaciones, las amenazas y el contenido, y lo asocia al usuario. La aplicación, el contenido y el usuario (los elementos que hacen funcionar la empresa) se utilizan entonces como base para sus políticas de seguridad virtualizadas, con lo que se mejora la estrategia de seguridad y se reducen los tiempos de respuesta ante incidentes. Aislamiento de aplicaciones y datos vitales mediante los principios del modelo Zero Trust Según las prácticas recomendadas de seguridad, las aplicaciones y datos vitales deben aislarse en segmentos seguros mediante los principios del modelo Zero Trust (no confiar nunca, verificar siempre) en cada punto de segmentación. VM-Series puede implementarse en su entorno virtualizado, a modo de puerta de enlace de la red virtual o entre las máquinas virtuales que se ejecutan en distintos niveles, con lo que se protege el tráfico horizontal ejerciendo un control basado en la identidad de las aplicaciones y de los usuarios. Bloqueo del movimiento lateral de las ciberamenazas Es habitual que las ciberamenazas actuales ataquen una estación de trabajo o un usuario individual y después se muevan por la red en busca de un objetivo. Dentro de la red virtual, las ciberamenazas se moverán de forma lateral con rapidez de una máquina virtual a otra, en horizontal, lo que supondrá un riesgo para sus aplicaciones y datos vitales. Al ejercer un control al nivel de las aplicaciones fundamentado en los principios del modelo Zero Trust entre las máquinas virtuales, se reducirá la superficie expuesta a amenazas, al mismo tiempo que se aplicarán políticas para bloquear amenazas tanto conocidas como desconocidas. Implementación y aprovisionamiento automatizados y transparentes Pueden utilizarse un gran número de API para integrarse con herramientas de gestión y orquestación externas con el fin de recopilar información relacionada con los cambios en las cargas de trabajo que, después, puede usarse para impulsar de forma dinámica actualizaciones de políticas mediante la supervisión de máquinas virtuales y grupos de direcciones dinámicas. • API RESTful: una API basada en REST puede integrarse con soluciones de orquestación en la nube personalizadas o de terceros. De esta forma, VM-Series puede implementarse y configurarse de forma simultánea con cargas de trabajo virtualizadas. • Supervisión de máquinas virtuales: las políticas de seguridad deben poder supervisar y seguir el ritmo de los cambios que se produzcan en los entornos de virtualización, incluidos los atributos de VM y la adición o eliminación de máquinas virtuales. La función de supervisión de máquinas virtuales (supervisión de VM) sondea automáticamente sus entornos de virtualización, como vCenter™, realizando inventarios de máquinas virtuales y cambios, y recopila estos datos en forma de etiquetas que pueden emplearse en grupos de direcciones dinámicas con el fin de mantener actualizadas las políticas. • Grupos de direcciones dinámicas: a medida que las máquinas virtuales cambian de funciones o se trasladan de un servidor a otro, la creación de políticas de seguridad basadas en datos estáticos, como las direcciones IP, ofrece una protección limitada y pueden contener información obsoleta. Los grupos de direcciones dinámicas le permiten crear políticas mediante etiquetas (obtenidas en la supervisión de VM) que sirven como identificadores de las máquinas virtuales, en lugar de usar una definición de objeto estático. Es posible resolver varias etiquetas que representen atributos de máquina virtual, como la dirección IP o el sistema operativo, dentro de un grupo de direcciones dinámicas, lo que permite aplicar fácilmente políticas a las máquinas virtuales a medida que se crean o se trasladan por la red, sin necesidad de ninguna intervención administrativa. Gestión centralizada de cortafuegos virtualizados y físicos La gestión centralizada de la seguridad de red de Panorama™ le permite administrar sus implementaciones de VM-Series, junto con sus dispositivos de seguridad físicos, con lo que garantiza la coherencia y unidad de las políticas. Las avanzadas capacidades de elaboración de informes y creación de logs centralizadas proporcionan visibilidad de las aplicaciones virtualizadas, los usuarios y el contenido.

PÁGINA 2

P A L O A LT O N E T W O R K S : V M - S e r i e s p a r a V M w a r e

Flexibilidad de implementación VM-Series para VMware es compatible con entornos de NSX, ESXi y vCloud Air. VM-Series para VMware NSX VM-Series para NSX es una solución perfectamente integrada que aúna el cortafuegos de nueva generación de VM-Series, Panorama para una gestión centralizada y VMware NSX para cumplir la promesa de un centro de datos definido por software. Conforme se implementan nuevas cargas de trabajo virtuales, NSX Manager instala de manera simultánea un cortafuegos de nueva generación de VM-Series en cada servidor ESXi. Una vez realizada la implementación en el servidor ESXi, pueden aplicarse políticas de habilitación segura de aplicaciones que identifican, controlan y protegen sus aplicaciones y datos virtualizados en cada VM-Series de forma automatizada mediante Panorama. A continuación, NSX comenzará a dirigir el tráfico de las aplicaciones seleccionadas a VM-Series para alcanzar una seguridad más exhaustiva al nivel de las aplicaciones. A medida que se añadan, trasladen o eliminen nuevas cargas de trabajo, NSX transferirá esos cambios de atributos a Panorama, donde se traducirán en actualizaciones dinámicas de políticas de seguridad para los cortafuegos de puerta de enlace del perímetro y virtuales. VM-Series para NSX es compatible con el modo de interfaz de red de cable virtual, que requiere la mínima configuración de red y simplifica la integración en la red. NSX Manager

Panorama registra VM-Series como un servicio con NSX Manager Administrador de la nube

Actualizaciones del contexto en tiempo real según los cambios de las máquinas virtuales

Panorama

Administrador de la seguridad

Implementación de políticas, actualizaciones y concesión de licencias de forma automatizada Implementación automática de VM-Series mediante NSX; después, las políticas dirigen el tráfico seleccionado a VM-Series para su análisis

VM-Series para ESXi (independiente): El uso de VM-Series en los servidores ESXi es idóneo para aquellas redes en las que el formato virtual pueda simplificar la implementación y proporcionar más flexibilidad. Entre las situaciones de implementación habituales, se incluyen las siguientes: • Entornos de computación en la nube privada o pública en los que es frecuente la virtualización. • Entornos en los que el espacio físico es limitado y preciado. • Ubicaciones remotas en las que el envío de hardware no resulta viable. VM-Series para ESXi le permite implementar políticas de habilitación segura de aplicaciones que identifican, controlan y protegen sus aplicaciones y datos virtualizados. Pueden utilizarse la gestión centralizada de Panorama y un gran número de API para integrarse con herramientas de gestión y orquestación externas con el fin de recopilar información relacionada con los cambios en las cargas de trabajo que, después, puede usarse para impulsar de forma dinámica actualizaciones de políticas mediante grupos de direcciones dinámicas y la supervisión de máquinas virtuales. Gracias a los diferentes tipos de interfaces, incluidas L2, L3 y cable virtual, puede implementar VM-Series para ESXi en un modo de interfaz distinto para cada servidor virtualizado, dependiendo de sus necesidades.

API Interfaces Objetos Políticas Licencias

PÁGINA 3

Corporate Datacorporativo Center Centro de datos

P A L O A LT O N E T W O R K S : V M - S e r i e s p a r a V M w a r e

VM-Series para vCloud Air: VM-Series para vCloud Air le permite proteger la nube pública basada en VMware con las mismas políticas de habilitación segura de aplicaciones que se emplean para la nube privada basada en ESXi. Entre los casos de uso más habituales, se incluyen los siguientes: • Puerta de enlace del perímetro: en este caso de uso, VM-Series se implementa como cortafuegos de la puerta de enlace para proteger el entorno de vCloud Air según las aplicaciones, con independencia del puerto y el protocolo, al mismo tiempo que se previenen amenazas conocidas y desconocidas, y se controla el acceso en función de la identidad de los usuarios. • Seguridad en la nube híbrida: en este caso de uso, VM-Series se configura para establecer una conexión IPSec segura basada en estándares entre la nube privada basada en VMware y la pública basada en vCloud Air. Es posible controlar el acceso al entorno de vCloud Air según las aplicaciones, su contenido y la identidad de los usuarios. • Segmentación de la red: proteja el tráfico horizontal entre las subredes y los niveles de aplicaciones usando la identidad de las aplicaciones y de los usuarios como la base de sus políticas de seguridad. Pueden utilizarse la gestión centralizada de Panorama y un gran número de API para integrarse con herramientas de gestión y orquestación externas con el fin de recopilar información relacionada con los cambios en las cargas de trabajo que, después, puede usarse para impulsar de forma dinámica actualizaciones de políticas mediante grupos de direcciones dinámicas y la supervisión de máquinas virtuales. VM-Series para vCloud Air es compatible con el modo de interfaz de red L3.

vCloud Air API Interfaces Objetos Políticas Licencias

Centro de datos corporativo

PÁGINA 4

P A L O A LT O N E T W O R K S : V M - S e r i e s p a r a V M w a r e



RENDIMIENTO Y CAPACIDAD1 VM-1000-HV



VM-300

Rendimiento del cortafuegos (App-ID habilitado)

1 Gbps

Rendimiento de la prevención de amenazas

600 Mbps

Rendimiento de VPN IPSec

250 Mbps

Número máximo de sesiones por segundo

250 000

VM-100

100 000

50 000

250 000

Nuevas sesiones por segundo 1

VM-200

8000

El rendimiento y la capacidad se miden en condiciones de prueba ideales usando PAN-OS® 7.0 y 4 núcleos de CPU.

ESPECIFICACIONES DE LA VIRTUALIZACIÓN HIPERVISORES COMPATIBLES

CONTROLADORES DE RED

VM-1000-HV

• VMware NSX Manager 6.0 y 6.1 con VMware ESXi 5.5 • ESXi 5.1 y ESXi 5.5

Todos los modelos de VM-Series

• VMware ESXi: VMXNet3

VM-300 | VM-200 | VM-100

• ESXi 5.1 y ESXi 5.5 REQUISITOS DEL SISTEMA Núcleos de CPU

2, 4 u 8

Memoria (mínima)

4 GB

Capacidad de la unidad de disco (mín./máx.)

40 GB/2 TB

FUNCIONES DE RED Modos de interfaz:

VLAN

• L L2, 2, L3, Tap y cable virtual (modo transparente): VM-Series VM-Seriespara paraESXi ESXi

Etiquetas VLAN 802.1q por dispositivo/por interfaz: 4094/4094

• L3: vCloud Air

Número máximo de interfaces: 2000 (VM-300), 500 (VM-200) y 100 (VM-100)

• Cable virtual (modo transparente): VM-Series para NSX Enrutamiento

Traducción de direcciones de red (NAT)

Modos: OSPF, RIP, BGP y estático

Modos de NAT (IPv4): IP estática, IP dinámica, IP dinámica y puerto (traducción y puerto (traduccióndededirecciones direccionesdedepuertos) puertos)

Reenvío basado en políticas Multidifusión: PIM-SM, PIM-SSM, IGMP v1, v2 y v3

NAT64

Alta disponibilidad

IPv6

Modos: activo/pasivo con sincronización de sesiones

L2, L3, Tap y cable virtual (modo transparente)

Detección de fallos: supervisión de rutas y de interfaces

Funciones: App-ID™, User-ID™, Content-ID™, WildFire™ y descifrado SSL y descifrado SSL

Funciones de NAT adicionales: reserva de IP dinámica, IP dinámica y sobresuscripción de de puerto IP dinámica y sobresuscripción puerto

Para obtener información adicional sobre las funciones de seguridad de VM-Series y las capacidades asociadas, visite www.paloaltonetworks.com/products.

4401 Great America Parkway Santa Clara, CA 95054 (EE. UU.) Línea principal:

+1 408 753 4000

Ventas:

+1 866 320 4788

Asistencia técnica: +1 866 898 9087 www.paloaltonetworks.com

Copyright ©2015, Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones están sujetas a modificaciones sin previo aviso. Palo Alto Networks no asume ninguna responsabilidad por imprecisiones en este documento ni tiene la obligación de actualizar la información que en él figura. Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir o revisar de otro modo esta publicación sin previo aviso. PAN_DS_VMS_061215