Thursday, January 10, 2013

性能还是安全? Palo Alto网络公司无法两者兼顾


性能还是安全? Palo Alto网络公司无法两者兼顾
对于可能考虑PAN的每位客户,您需要特别注意,PAN在性能和安全上无法平衡。这是其架构设计方面的一个重大缺陷!
Palo Alto网络公司不断宣传其安全网关的性能。但他们未提及的是,性能是以牺牲安全为代价而获得的。在他们试图提供具有APP-ID的性能和应用控制网关时,PAN的架构却影响了安全性使客户非常容易暴露在恶意代码、僵尸和攻击行为之下。
为什么会发生这种情况?这是因为PAN利用缓存和其它快捷方式来实现较高的性能。当他们这样做时安全性又会怎么样?
1.    应用程序缓存:PAN假设,一旦建立连接,他们可停止检测,并依赖缓存,允许加速安全性,从而提升了性能。但不幸的是,这也让攻击者通过替换可能被拦截的不同应用程序而绕过了应用程序识别。相反,新应用程序被允许,攻击者可利用安全漏洞成功发起攻击。
2.    防火墙策略:PAN声称在应用更多安全控制时,其性能下降较小。这意味着它们的表现更好。实际上,其性能大幅下降,特别是在进行 SSL检测时。
3.    流量检测:PAN只检测服务端的入站流量,而不检测从服务端向客户端发送的流量,从而提升了性能。这种为了性能而造成的检测缺陷允许恶意软件在企业的网络上传播。
关于PAN的实际性能,当需要强大的安全性时,性能实际上会迅速下降。PAN迫使一个企业在性能和安全之间做出艰难的权衡。如果选择安全性,则客户将面临PAN承诺的性能大幅下降。因此,对 PAN来说无法兼顾安全和性能。
您可以点击以下链接,查看最新的视频,这些视频介绍了如何利用缓存绕过PAN的安全。

No comments: