GLOBALPROTECT
Evite incidentes y proteja a los trabajadores itinerantes
GlobalProtect extiende la protección de la plataforma Security Operating Platform
de Palo Alto Networks a sus trabajadores itinerantes, allí donde estén.
Principales casos de uso y ventajas
Acceso remoto mediante VPN
• Proporciona acceso seguro a las aplicaciones
empresariales, ya sean internas o basadas en
la nube.
Prevención de amenazas avanzadas
• Garantiza la seguridad del tráfico de Internet.
• Impide que las amenazas alcancen el endpoint.
• Defiende de los ataques de phishing y del robo
de credenciales.
Filtrado de URL
• Aplica las políticas de uso aceptable.
• Filtra el acceso a dominios maliciosos y a con­
tenido para adultos.
• Impide el uso de herramientas de evitación y
evasión.
• Protege el acceso a aplicaciones SaaS.
• Controla el acceso a las aplicaciones SaaS y apli­
ca las políticas pertinentes a la vez que bloquea
las aplicaciones no autorizadas.
Dispositivos personales (BYOD)
• Permite implementar y utilizar redes VPN a nivel
de las aplicaciones para preservar la privacidad
del usuario.
• Ofrece acceso seguro sin cliente a colaboradores,
socios y contratistas.
• Permite identificar automáticamente los dispo­
si­tivos no gestionados.
• Proporciona mecanismos de autenticación
personalizados para dispositivos gestionados y
no gestionados.
Implementación Zero Trust (confianza cero)
• Proporciona un sistema de identificación de
usuarios fiable.
• Muestra información inmediata y precisa sobre
los hosts para mejorar la visibilidad y aplicar las
políticas.
• Aplica la autenticación multifactor incremental
para acceder a recursos confidenciales.
Palo Alto Networks | GlobalProtect | Ficha técnica
A medida que los usuarios y las aplicaciones se aventuran más allá del
perímetro tradicional de la red, el mundo que necesita proteger es cada vez
más grande. Los equipos de seguridad se enfrentan a nuevos retos a la hora
de mantener la visibilidad del tráfico de la red y aplicar las políticas de segu­
ridad para detener las amenazas. Las tecnologías tradicionales diseñadas
para proteger los endpoints itinerantes, como los programas antivirus para
el endpoint principal (o host) y las redes privadas de acceso virtual (VPN, por
sus siglas en inglés), no sirven para detener las técnicas de ataque avanzadas
empleadas hoy en día, que son mucho más sofisticadas.
La solución de seguridad de red para endpoints GlobalProtect™ de Palo Alto
Networks permite a las organizaciones proteger a los trabajadores itinerantes
al hacer extensiva la plataforma Security Operating Platform® a todos los
usuarios, con independencia de su ubicación. La seguridad del tráfico está
garantizada gracias a la capacidad de la plataforma para entender el uso de
las aplicaciones, vincular el tráfico a usuarios y dispositivos concretos, y apli­
car las políticas de seguridad con ayuda de tecnologías de nueva generación.
Ampliación de la protección al exterior de la plataforma
GlobalProtect protege la seguridad de los trabajadores itinerantes al
emplear los cortafuegos de nueva generación de la organización como
puertas de enlace de Internet para inspeccionar todo el tráfico, tanto en los
nodos de conexión del perímetro como en la zona desmilitarizada (DMZ, por
sus siglas en inglés) o en la nube. Con la aplicación GlobalProtect instalada,
los ordenadores portátiles, teléfonos inteligentes y tabletas establecen
automáticamente una conexión VPN IPsec/SSL al cortafuegos de nueva
generación mediante la mejor puerta de enlace disponible, lo que otorga a
la organización una visibilidad total del tráfico, las aplicaciones, los puertos
y los protocolos de la red. Sin ángulos muertos en el tráfico de los traba­
jadores itinerantes, la organización disfruta de total visibilidad para conocer
el uso de las aplicaciones.
Implementación del modelo Zero Trust (confianza cero) en la red
No todos los usuarios tienen necesidad de acceder a todos los recursos de
su red corporativa. Por eso, los equipos de seguridad están adoptando los
principios del modelo Zero Trust (confianza cero) para segmentar sus redes y
regular el acceso a los recursos internos. GlobalProtect, la solución de identi­
ficación de usuarios más rápida y fiable, permite a las organizaciones escribir
políticas personalizadas que permitan o restrinjan el acceso en función de
sus propias necesidades. Asimismo, recopila información sobre los hosts
para determinar si los dispositivos cumplen los requisitos establecidos en
las políticas de seguridad. Gracias a estos mecanismos podrá tomar medidas
preventivas para proteger sus redes internas, adoptar controles de red Zero
Trust y reducir el riesgo de ataque.
Cuando GlobalProtect se implementa de esta manera, las puertas de enlace
internas de la red pueden configurarse con túnel VPN o sin él.
1
Inspección del tráfico y aplicación de políticas de seguridad
GlobalProtect permite a los equipos de seguridad diseñar políticas que se aplican a todos los usuarios por igual, ya sean internos o
remotos. A continuación se describe una serie de funciones de la plataforma que permiten a los equipos de seguridad evitar que los
ciberataques consigan sus objetivos:
• La tecnología App-ID™ identifica el tráfico de las aplicaciones, con independencia del número de puerto, y permite a las organi­
zaciones definir políticas que regulen su uso en función de los usuarios y de los dispositivos.
• La tecnología User-ID™ identifica a los usuarios y los grupos a los que pertenecen para ofrecer visibilidad, por un lado, y para
aplicar políticas de seguridad de la red basadas en funciones, por el otro.
• El descifrado SSL inspecciona y controla las aplicaciones que utilizan SSL/TLS/SSH para cifrar su tráfico y detiene las amenazas
que puedan contener.
• El servicio de prevención de malware WildFire® analiza contenidos automáticamente para identificar comportamientos propios
del malware —aunque sea de nuevo diseño o se haya creado especialmente contra su organización— y obtiene la inteligencia
sobre amenazas necesaria para detenerla casi en tiempo real.
• Threat Prevention para sistemas de prevención de intrusiones (IPS, por sus siglas en inglés) y antivirus bloquea los exploits basa­
dos en la red que atacan aplicaciones y sistemas operativos vulnerables, así como los ataques por denegación de servicio (DoS,
por sus siglas en inglés) y el análisis de puertos. Los perfiles de antivirus utilizan un motor basado en flujos para impedir que el
malware y el spyware alcancen el endpoint.
• El filtrado de URL con PAN-DB organiza en categorías las URL en función de su contenido a nivel de dominio, archivo y página, y
recibe actualizaciones de WildFire para que, si cambia el contenido del sitio web, las categorizaciones lo hagan también.
• El bloqueo de archivos utiliza WildFire para detener la transferencia de archivos peligrosos y no deseados, por un lado, y para
analizar los archivos permitidos, por el otro.
• Gracias al filtrado de datos, los administradores tienen la opción de implementar políticas para detener los movimientos de datos
no autorizados, como la transferencia de información sobre clientes y demás contenido confidencial.

Control de acceso seguro

Autenticación de usuarios
GlobalProtect es compatible con todos los métodos de autenticación admitidos por PAN-OS®, como Kerberos, RADIUS, LDAP,
SAML 2.0, certificados de cliente, inicio de sesión biométrico y bases de datos locales de usuarios. Nada más autenticar al usuario,
GlobalProtect proporciona al cortafuegos de nueva generación una asignación de usuario-dirección IP para User-ID.

Opciones de autenticación sólida

GlobalProtect admite diversos métodos de autenticación multifactor (MFA, por sus siglas en inglés) de terceros —como tokens de
contraseña de un solo uso, certificados y tarjetas inteligentes— a través de la integración con RADIUS y SAML.
Estas opciones ayudan a las organizaciones a endurecer la prueba de identidad para acceder a centros de datos internos o aplica­
ciones de software como servicio (SaaS, por sus siglas en inglés).
GlobalProtect ofrece varias opciones para facilitar aún más el uso y la implementación de sistemas de autenticación sólida:
• Autenticación basada en cookies: una vez realizada la autenticación, tiene la opción de utilizar una cookie cifrada para permitir
accesos sucesivos a un portal o puerta de enlace durante el periodo de vigencia de dicha cookie.
• Compatibilidad más sencilla con el protocolo de inscripción de certificados: GlobalProtect puede automatizar la interacción con
una infraestructura de clave pública (PKI, por sus siglas en inglés) empresarial para gestionar, emitir y distribuir certificados entre
los clientes de GlobalProtect.
• Autenticacíón multifactor: para que un usuario pueda acceder a una aplicación, puede exigirle que presente algún tipo de auten­
ticación adicional.

Perfil de información de host

GlobalProtect comprueba el endpoint para obtener información sobre cómo está configurado y crea un perfil de información de host
(HIP, por sus siglas en inglés) que comparte con el cortafuegos de nueva generación. Este emplea el perfil para aplicar las políticas
de acceso a aplicaciones, de modo que solo se permita si el endpoint está configurado y protegido adecuadamente. Estos principios
ayudan a garantizar el cumplimiento de las políticas que gobiernan la cantidad de acceso que debería tener un usuario dado con un
dispositivo en particular.
Las políticas de HIP pueden basarse en varios atributos, como pueden ser:
• Identificación de dispositivos gestionados y no gestionados
• Certificados de máquina que presenta un dispositivo
• Información del dispositivo obtenida de la solución de gestión de dispositivos móviles
• Revisiones instaladas del sistema operativo o de las aplicaciones
• Versión y estado del producto antimalware del host
• Versión y estado del cortafuegos del host
• Configuración del cifrado del disco
• Configuración del producto de copia de seguridad de los datos
• Condiciones de host personalizadas (p. ej., entradas de registro y software en ejecución)

Palo Alto Networks | GlobalProtect | Ficha técnica 2

Acceso controlado a aplicaciones y datos
Los equipos de seguridad pueden establecer políticas basadas en la aplicación, el usuario, el contenido y la información del host para
controlar al detalle el acceso a una determinada aplicación. Estas políticas pueden estar asociadas a usuarios específicos o a grupos
definidos en un directorio para garantizar que las organizaciones proporcionen los niveles adecuados de acceso de acuerdo con una
necesidad empresarial concreta. El equipo de seguridad puede, asimismo, definir políticas de autenticación multifactor incremental
que exijan pruebas de identidad adicionales para poder acceder a determinados recursos confidenciales y aplicaciones.

Solución de problemas y visibilidad mejoradas

Los widgets del centro de control de aplicaciones (ACC, por sus siglas en inglés) de GlobalProtect, los informes y el nuevo log de
GlobalProtect ofrecen una visibilidad completa del uso de GlobalProtect en la implementación de su organización. El proceso de
conexión queda registrado en un log detallado por fases que simplifica notablemente la solución de los problemas de conexión
de los usuarios. Estos logs permiten a los administradores identificar fácilmente la fase o evento en el que un usuario dado tiene
problemas para conectarse.

Políticas de BYOD seguras

La posibilidad de utilizar dispositivos personales (BYOD, por sus siglas en inglés) está multiplicando el número de casos de uso a los
que los equipos de seguridad tienen que dar servicio, al obligarles a dar acceso a las aplicaciones a un espectro cada vez más amplio
de empleados y contratistas, quienes a su vez utilizan una gran variedad de dispositivos móviles.
La integración con distintas soluciones de gestión de dispositivos móviles, como AirWatch® y MobileIron®, puede ayudarle a
implementar GlobalProtect y ofrecerle medidas de seguridad adicionales durante el intercambio de inteligencia y la configuración de
los equipos host. Estas soluciones, en combinación con GlobalProtect, permiten a su organización mantener la visibilidad y aplicar
políticas de seguridad según la aplicación, a la vez que distinguen este uso de las actividades personales de los usuarios, de manera
que estos no tengan que renunciar a su privacidad al usar sus propios dispositivos para trabajar.
GlobalProtect es compatible con las tecnologías VPN SSL sin cliente para proteger el acceso mediante dispositivos no gestionados a
las aplicaciones del centro de datos y de la nube. Con esta metodología, que permite acceder a aplicaciones específicas a través de
una interfaz web para que no haya que instalar un cliente ni configurar un túnel VPN, los clientes pueden habilitar el acceso seguro
tanto para los usuarios externos como para los empleados que se conecten con sus propios dispositivos personales.

La arquitectura importa
La arquitectura flexible de GlobalProtect ofrece muchas funciones que pueden ayudarle a resolver distintos problemas de seguri­
dad. En el nivel más básico, puede utilizar GlobalProtect para sustituir la puerta de enlace de una VPN tradicional, lo que elimina la
complejidad y los quebraderos de cabeza que supone administrar una puerta de enlace VPN independiente de terceros.
Las opciones de conexión manual y selección de puerta de enlace le permiten ajustar la configuración a la medida de sus necesi­
dades y requisitos.
En una implementación más compleja, puede utilizar GlobalProtect a modo de conexión VPN siempre activa con tunelización
completa para proteger el tráfico en todo momento sin complicar la experiencia del usuario. Además, es posible definir excepciones
a nivel de aplicación, ruta o nombre de dominio para el tráfico sensible a la latencia o para el tráfico de vídeo.

Puertas de enlace basadas en la nube

Cuando los empleados cambian de ubicación, se producen cambios en la carga de tráfico, sobre todo cuando la situación de la
empresa evoluciona, ya sea con carácter temporal (por ejemplo, tras una catástrofe natural) o permanente (por ejemplo, al penetrar
en un mercado nuevo).
Prisma™ Access de Palo Alto Networks ofrece una opción cogestionada que da cobertura a las ubicaciones de la organización que lo
necesiten usando las políticas de seguridad que usted defina; en combinación con sus propios cortafuegos, hace que su arquitectura
se pueda adaptar a las nuevas condiciones con total facilidad.
Además, Prisma Access ofrece escalabilidad automática: es capaz de asignar nuevos cortafuegos en función de la carga y la deman­
da de una región dada.

Conclusión
La plataforma Security Operating Platform de Palo Alto Networks desempeña un papel crucial en la prevención de incidentes de
seguridad. GlobalProtect, por su parte, le permite extender la protección de la plataforma a los usuarios, estén donde estén, al aplicar
las mismas políticas de seguridad a todos los usuarios, aunque estén fuera de la oficina, y asegurar así que siempre estén protegidos de
los ciberataques.

Palo Alto Networks | GlobalProtect | Ficha técnica 3


Categoría
Conexión de VPN
Selección de puerta de enlace
Métodos de conexión
Modo de conexión
Protocolos de capa 3
Inicio de sesión único
Túnel dividido
Métodos de autenticación
Generación de informes HIP, apli-
cación de políticas y notificaciones
Identificación de dispositivos
gestionados
Autenticación multifactor
Otras funciones
Palo Alto Networks | GlobalProtect | Ficha técnica
Tabla 1: Funciones de GlobalProtect
Especificación
IPsec
SSL
VPN sin cliente
VPN por aplicación en Android® e iOS
Automática
Manual
Puerta de enlace preferente
Puerta de enlace externa según la ubicación de origen
Puerta de enlace interna según la IP de origen
Inicio de sesión del usuario (siempre activo)
A petición
Anterior al inicio de sesión (siempre activo)
Anterior al inicio de sesión; después, a petición
Anterior al inicio de sesión (iniciado por el usuario)
Puerta de enlace interna
Puerta de enlace externa
IPv4
IPv6
SSO (proveedor de credenciales de Windows)
SSO de Kerberos
SSO para macOS®
Inclusión de rutas, dominios o aplicaciones
Exclusión de rutas, dominios o aplicaciones
SAML 2.0
LDAP
Certificados de cliente
Kerberos
RADIUS
Autenticación de dos factores
Selección del método de autenticación según el sistema operativo o el titular del dispositivo
Gestión de revisiones
Protección antispyware del host
Protección antimalware del host
Cortafuegos del host
Cifrado del disco
Copia de seguridad del disco
Prevención de pérdida de datos
Condiciones personalizadas del perfil de información de host (p. ej., entradas de registro y software
en ejecución)
Por certificados de máquina
Por número de serie de hardware
Al conectarse y al acceder al recurso
User-ID
Uso de VPN SSL en lugar de IPsec como segunda opción
Posibilidad de requerir conexión de GlobalProtect para acceder a la red
4

Categoría
Otras funciones
Integración con sistemas
MDM/EMM
Herramientas y API de gestión
Plataformas compatibles con la
aplicación GlobalProtect
XAuth IPsec
Idiomas de la aplicación
GlobalProtect
Tabla 1: Funciones de GlobalProtect (continuación)
Especificación
Configuración de túnel basada en la ubicación del usuario
Redistribución de informes HIP
Comprobaciones de certificados en HIP
Gestión automática de certificados de usuario basada en SCEP
Ejecución de acciones de script antes y después de las sesiones
Personalización dinámica de la aplicación GlobalProtect
Configuración de las aplicaciones basada en usuarios, grupos y sistemas operativos
Detección interna/externa automática
Actualización manual/automática de la aplicación GlobalProtect
Selección de certificados por OID
Bloqueo de acceso desde dispositivos perdidos, robados o desconocidos
Compatibilidad con tarjetas inteligentes para conexión/desconexión
Distribución transparente de autoridades de certificación raíz de confianza para el descifrado SSL
Inhabilitación del acceso directo a redes locales
Páginas de bienvenida y ayuda personalizables
Conexión RDP a un cliente remoto
Soporte para notificaciones nativas del sistema operativo
Restricción del cierre de sesión de los usuarios
Compatibilidad con proxy
Aplicación de exclusiones de GlobalProtect
Conexión con SSL únicamente
Integración de tokens de software RSA
AirWatch
MobileIron
Microsoft InTune®
Cortafuegos de nueva generación de Palo Alto Networks, incluidos los dispositivos físicos y virtuales
Prisma Access
Solución de gestión de la seguridad de la red Panorama™
Windows y Windows UWP de Microsoft
macOS de Apple
iOS y iPadOS™ de Apple
Chrome® OS de Google
Android
Linux (Red Hat®, CentOS®, Ubuntu)
Dispositivos IdC
Cliente IPsec para iOS de Apple
Cliente IPsec para Android
Clientes VPNC y StrongSwan de terceros
Alemán, chino, español, francés, inglés y japonés
Oval Tower, De Entrée 99 -197 © 2019 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial
1101 HE Ámsterdam registrada de Palo Alto Networks. Hay una lista de nuestras marcas comerciales
Países Bajos disponible en https://www.paloaltonetworks.com/company/trademarks.html.
Tel.: +31 20 888 1883 El resto de las marcas mencionadas en este documento pueden ser marcas
comerciales de sus respectivas empresas.
www.paloaltonetworks.es
globalprotect-ds-102919-es