GlobalProtect

GlobalProtect extiende la protección característica del

cortafuegos de nueva generación de Palo Alto Networks a sus
trabajadores itinerantes, allí donde estén.
A medida que los usuarios y las aplicaciones se aventuran más allá del perímetro
tradicional de la red, el mundo que necesita proteger es cada vez más grande.
Los equipos de seguridad se enfrentan a nuevos retos a la hora de mantener la
visibilidad del tráfico de la red y aplicar las políticas de seguridad para detener las
amenazas. Las tecnologías tradicionales diseñadas para proteger los endpoints
itinerantes, como los programas antivirus para el endpoint principal (o host) y las
redes privadas de acceso virtual (VPN, por sus siglas en inglés), no sirven para
detener las técnicas de ataque avanzadas empleadas hoy en día, que son mucho
más sofisticadas.

La solución de seguridad de la red para endpoints GlobalProtect™ hace extensiva

la protección del cortafuegos de nueva generación a todos los usuarios, con
independencia del lugar donde se encuentren, lo que permite proteger a los
trabajadores itinerantes. La seguridad del tráfico está garantizada gracias a la
capacidad de la plataforma para entender el uso de las aplicaciones, vincular el
tráfico a usuarios y dispositivos concretos, y aplicar las políticas de seguridad con
ayuda de tecnologías de nueva generación.

Strata by Palo Alto Networks | GlobalProtect | Ficha técnica 1

Principales casos de uso y ventajas Políticas para el uso de dispositivos personales
• Permite implementar y utilizar redes VPN a nivel de las
Acceso remoto mediante VPN aplicaciones para preservar la privacidad del usuario.
• Proporciona acceso seguro a las aplicaciones • Ofrece acceso seguro sin cliente a colaboradores,
empresariales, ya sean internas o basadas en la nube. socios y contratistas.

Prevención de amenazas avanzadas • Permite identificar automáticamente los dispositivos

no gestionados.
• Garantiza la seguridad del tráfico de Internet.
• Proporciona mecanismos de autenticación
• Impide que las amenazas alcancen el endpoint.
personalizados para dispositivos gestionados y no
• Defiende de los ataques de phishing y del robo de gestionados.
credenciales.
Implementación Zero Trust (confianza cero)
• Pone en cuarentena los dispositivos afectados al
aprovechar las características inmutables. • Proporciona un sistema de identificación de usuarios
fiable.
URL Filtering • Muestra información inmediata y precisa sobre los
• Aplica las políticas de uso aceptable. hosts para mejorar la visibilidad y aplicar las políticas.
• Filtra el acceso a dominios maliciosos y a contenido para • Aplica la autenticación multifactor incremental para
adultos. acceder a recursos confidenciales.
• Impide el uso de herramientas de evitación y evasión.
• Protege el acceso a aplicaciones SaaS.
• Controla el acceso a las aplicaciones SaaS y aplica las
políticas pertinentes a la vez que bloquea las aplicaciones
no autorizadas.

Ampliación de la protección al Cuando GlobalProtect se implementa de esta manera, las puertas

exterior de la plataforma
de enlace internas de la red pueden configurarse con túnel VPN o
sin él. Además, GlobalProtect le permite poner en cuarentena los
GlobalProtect protege la seguridad de sus trabajadores dispositivos afectados al utilizar las características inmutables
itinerantes al emplear los cortafuegos de nueva generación del endpoint. De este modo, los administradores podrán
implementados como puertas de enlace de Internet para restringir el acceso a la red, así como impedir que el endpoint
inspeccionar todo el tráfico, tanto en los nodos de conexión del afectado pueda infectar a otros usuarios y dispositivos. Las
perímetro como en la zona desmilitarizada (DMZ, por sus siglas restricciones en materia de cuarentena pueden aplicarse tanto si
en inglés) o en la nube. Con la aplicación GlobalProtect instalada, el dispositivo afectado se encuentra en la red externa o interna.
los ordenadores portátiles, teléfonos inteligentes y tabletas
establecen automáticamente una conexión VPN IPsec/SSL al Inspección del tráfico y aplicación de
cortafuegos de nueva generación mediante la mejor puerta de
enlace disponible, lo que proporciona una visibilidad total del políticas de seguridad
tráfico, las aplicaciones, los puertos y los protocolos de la red. GlobalProtect permite a los equipos de seguridad diseñar políticas
Sin ángulos muertos en el tráfico de los trabajadores itinerantes, que se aplican a todos los usuarios por igual, ya sean internos o
la organización disfruta de total visibilidad para conocer el uso remotos. A continuación se describe una serie de funciones de la
de las aplicaciones. plataforma que permiten a los equipos de seguridad evitar que los
ciberataques consigan sus objetivos:
Implementación del modelo Zero • La tecnología App-ID™ identifica el tráfico de las aplicaciones,
Trust (confianza cero) en la red con independencia del número de puerto, y permite a las
organizaciones definir políticas que regulen su uso en función de
No todos los usuarios tienen necesidad de acceder a todos los los usuarios y de los dispositivos.
recursos de su red corporativa. Por eso, los equipos de seguridad
• La tecnología User-ID™ identifica a los usuarios y los grupos a
están adoptando los principios del modelo Zero Trust (confianza
los que pertenecen para ofrecer visibilidad, por un lado, y para
cero) para segmentar sus redes y regular el acceso a los recursos
aplicar políticas de seguridad de la red basadas en funciones, por
internos. GlobalProtect, la solución de identificación de usuarios
el otro.
más rápida y fiable, le permite escribir políticas personalizadas
que permitan o restrinjan el acceso en función de sus propias • El servicio SSL Decryption inspecciona y controla las aplicaciones
necesidades. Asimismo, recopila información sobre los hosts que utilizan SSL/TLS/SSH para cifrar su tráfico y detiene las
para determinar si los dispositivos cumplen los requisitos amenazas que puedan contener.
establecidos en las políticas de seguridad. Gracias a estos • El servicio de prevención de malware WildFire® analiza
mecanismos, podrá tomar medidas preventivas para proteger contenidos automáticamente para identificar comportamientos
sus redes internas, adoptar controles de red Zero Trust y reducir propios del malware —aunque sea de nuevo diseño o se haya
el riesgo de ataque. creado especialmente contra su organización— y obtiene la
inteligencia sobre amenazas necesaria para detenerla casi en
tiempo real.

Strata by Palo Alto Networks | GlobalProtect | Ficha técnica 2

• Threat Prevention para sistemas de prevención de intrusiones Las políticas de HIP pueden basarse en varios atributos, como
(IPS, por sus siglas en inglés) y antivirus bloquea los exploits pueden ser:
basados en la red que atacan aplicaciones y sistemas operativos • Identificación de dispositivos gestionados y no gestionados
vulnerables, así como los ataques por denegación de servicio
• Certificados de máquina que presenta un dispositivo
(DoS, por sus siglas en inglés) y el análisis de puertos. Los perfiles
de antivirus utilizan un motor basado en flujos para impedir que • Información del dispositivo obtenida de la solución de gestión de
el malware y el spyware alcancen el endpoint. dispositivos móviles
• URL Filtering con PAN-DB organiza en categorías las URL en • Revisiones instaladas del sistema operativo o de las aplicaciones
función de su contenido a nivel de dominio, archivo y página, • Versión y estado del producto antimalware del host
y recibe actualizaciones de WildFire para que, si cambia el
• Versión y estado del cortafuegos del host
contenido del sitio web, las categorizaciones lo hagan también.
• Configuración del cifrado del disco
• El bloqueo de archivos utiliza WildFire para detener la
transferencia de archivos peligrosos y no deseados, por un lado, • Configuración del producto de copia de seguridad de los datos
y para analizar los archivos permitidos, por el otro. • Condiciones de host personalizadas (p. ej., entradas de registro y
• Gracias al filtrado de datos, los administradores tienen la opción software en ejecución)
de implementar políticas para detener los movimientos de datos
Control del acceso a aplicaciones y datos
no autorizados, como la transferencia de información sobre
clientes y demás contenido confidencial. Los equipos de seguridad pueden establecer políticas basadas en la
aplicación, el usuario, el contenido y la información del host para
Control de acceso seguro controlar al detalle el acceso a una determinada aplicación. Estas
políticas pueden estar asociadas a usuarios específicos o a grupos
Autenticación de usuarios definidos en un directorio para garantizar que las organizaciones
GlobalProtect es compatible con todos los métodos de proporcionen los niveles adecuados de acceso de acuerdo con
autenticación admitidos por PAN-OS®, como Kerberos, RADIUS, una necesidad empresarial concreta. El equipo de seguridad
LDAP, SAML 2.0, certificados de cliente, inicio de sesión puede, asimismo, definir políticas de autenticación multifactor
biométrico y bases de datos locales de usuarios. Nada más incremental que exijan pruebas de identidad adicionales
autenticar al usuario, GlobalProtect proporciona al cortafuegos para poder acceder a determinados recursos confidenciales y
de nueva generación una asignación de usuario-dirección IP para aplicaciones.

Solución de problemas y visibilidad

User-ID.

Opciones de autenticación sólida

GlobalProtect admite diversos métodos de autenticación
mejoradas
multifactor (MFA, por sus siglas en inglés) de terceros —como Los widgets del centro de control de aplicaciones (ACC, por sus
tokens de contraseña de un solo uso, certificados y tarjetas siglas en inglés) de GlobalProtect, los informes y el nuevo log
inteligentes— a través de la integración con RADIUS y SAML. de GlobalProtect ofrecen una visibilidad completa del uso de
GlobalProtect en la implementación de su organización. El proceso
Estas opciones ayudan a las organizaciones a endurecer la de conexión queda registrado en un log detallado por fases que
prueba de identidad para acceder a centros de datos internos o simplifica notablemente la solución de los problemas de conexión
aplicaciones de software como servicio (SaaS, por sus siglas en de los usuarios. Estos logs permiten a los administradores
inglés). identificar fácilmente la fase o evento en el que un usuario dado
GlobalProtect ofrece varias opciones para facilitar aún más el uso tiene problemas para conectarse.
y la implementación de sistemas de autenticación sólida:
• Autenticación basada en cookies: una vez realizada la Políticas de BYOD seguras
autenticación, tiene la opción de utilizar una cookie cifrada para La posibilidad de utilizar dispositivos personales (BYOD, por sus
permitir accesos sucesivos a un portal o puerta de enlace durante siglas en inglés) está multiplicando el número de casos de uso a los
el periodo de vigencia de dicha cookie. que los equipos de seguridad tienen que dar servicio, al obligarles
• Compatibilidad más sencilla con el protocolo de inscripción de a dar acceso a las aplicaciones a un espectro cada vez más amplio
certificados: GlobalProtect puede automatizar la interacción con de empleados y contratistas, quienes a su vez utilizan una gran
una infraestructura de clave pública (PKI, por sus siglas en inglés) variedad de dispositivos móviles.
empresarial para gestionar, emitir y distribuir certificados entre La integración con distintas soluciones de gestión de
los clientes de GlobalProtect. dispositivos móviles, como AirWatch® y MobileIron®, puede
• Autenticación multifactor: para que un usuario pueda acceder ayudarle a implementar GlobalProtect y ofrecerle medidas de
a una aplicación, puede exigirle que presente algún tipo de seguridad adicionales durante el intercambio de inteligencia
autenticación adicional. y la configuración de los equipos host. Estas soluciones, en
combinación con GlobalProtect, permiten a su organización
Perfil de información de host mantener la visibilidad y aplicar políticas de seguridad según
GlobalProtect comprueba el endpoint para obtener información la aplicación, a la vez que distinguen este uso de las actividades
sobre cómo está configurado y crea un perfil de información personales de los usuarios, de manera que estos no tengan que
de host (HIP, por sus siglas en inglés) que comparte con el renunciar a su privacidad al usar sus propios dispositivos para
cortafuegos de nueva generación. Este emplea el perfil para aplicar trabajar.
las políticas de acceso a aplicaciones, de modo que solo se permita GlobalProtect es compatible con las tecnologías VPN SSL
si el endpoint está configurado y protegido adecuadamente. Estos sin cliente para proteger el acceso mediante dispositivos no
principios ayudan a garantizar el cumplimiento de las políticas gestionados a las aplicaciones del centro de datos y de la nube. Con
que rigen en qué medida un usuario concreto debe acceder a un
dispositivo determinado.

Strata by Palo Alto Networks | GlobalProtect | Ficha técnica 3

esta metodología, que permite acceder a aplicaciones específicas a Puertas de enlace basadas en la nube
través de una interfaz web para que no haya que instalar un cliente
Cuando los empleados cambian de ubicación, se producen cambios
ni configurar un túnel VPN, los clientes pueden habilitar el acceso
en la carga de tráfico, sobre todo cuando la situación de la empresa
seguro tanto para los usuarios externos como para los empleados
evoluciona, ya sea con carácter temporal (por ejemplo, tras una
que se conecten con sus propios dispositivos personales.
catástrofe natural) o permanente (por ejemplo, al penetrar en un

La arquitectura importa
mercado nuevo).
Prisma™ Access de Palo Alto Networks ofrece una opción
La arquitectura flexible de GlobalProtect ofrece muchas funciones cogestionada que da cobertura a las ubicaciones de la organización
que pueden ayudarle a resolver distintos problemas de seguridad. que lo necesiten usando las políticas de seguridad que usted
En el nivel más básico, puede utilizar GlobalProtect para sustituir defina; en combinación con sus propios cortafuegos, hace que su
la puerta de enlace de una VPN tradicional, lo que elimina la arquitectura se pueda adaptar a las nuevas condiciones con total
complejidad y los quebraderos de cabeza que supone administrar facilidad.
una puerta de enlace VPN independiente de terceros.
Además, Prisma Access ofrece escalado automático: es capaz de
Las opciones de conexión manual y selección de puerta de enlace le asignar nuevos cortafuegos en función de la carga y la demanda
permiten ajustar la configuración a la medida de sus necesidades de una región dada.
y requisitos.
En las implementaciones más completas para proteger el tráfico, Conclusión
GlobalProtect puede implementarse con una conexión VPN
El cortafuegos de nueva generación de Palo Alto Networks
ininterrumpida con un túnel completo, lo que garantiza que
desempeña un papel crucial en la prevención de infracciones.
siempre exista protección y que esta resulte transparente para
GlobalProtect, por su parte, le permite extender la protección
el usuario. Además, es posible definir excepciones a nivel de
de la plataforma a los usuarios, estén donde estén, al aplicar las
aplicación, ruta o nombre de dominio para el tráfico sensible a la
mismas políticas de seguridad a todos los usuarios, aunque estén
latencia o para el tráfico de vídeo.
fuera de la oficina, y asegurar así que siempre estén protegidos de
los ciberataques.

Tabla 1: Funciones de GlobalProtect

Categoría Especificación
IPsec

SSL
Conexión de VPN
VPN sin cliente

VPN por aplicación en Android e iOS

Automática

Manual

Selección de puerta de enlace Puerta de enlace preferente

Puerta de enlace externa según la ubicación de origen

Puerta de enlace interna según la IP de origen

Inicio de sesión del usuario (siempre activo)

A petición

Métodos de conexión Anterior al inicio de sesión (siempre activo)

Anterior al inicio de sesión; después, a petición

Anterior al inicio de sesión (iniciado por el usuario)

Modo interno
Modo de conexión
Modo externo

IPv4
Protocolos de capa 3
IPv6

SSO (proveedor de credenciales de Windows)

Inicio de sesión único SSO de Kerberos

SSO para macOS

Inclusión de rutas, dominios o aplicaciones

Túnel dividido
Exclusión de rutas, dominios o aplicaciones

Strata by Palo Alto Networks | GlobalProtect | Ficha técnica 4

 Tabla 1: Funciones de GlobalProtect (continuación)
SAML 2.0
LDAP
Certificados de cliente
Métodos de autenticación Kerberos
RADIUS
Autenticación de dos factores
Selección del método de autenticación según el sistema operativo o el titular del dispositivo
Gestión de revisiones
Protección antispyware del host
Protección antimalware del host
Generación de informes
Cortafuegos del host
HIP, aplicación de políticas y
Cifrado del disco
notificaciones
Copia de seguridad del disco
Prevención de pérdida de datos
Condiciones de HIP personalizadas (p. ej., entradas de registro y software en ejecución)

Identificación de dispositivos Por certificados de máquina

gestionados Por número de serie de hardware
Autenticación multifactor Al conectarse y al acceder al recurso
User-ID
Uso de VPN SSL en lugar de IPsec como segunda opción
Posibilidad de requerir conexión de GlobalProtect para acceder a la red
Configuración de túnel basada en la ubicación del usuario
Redistribución de informes HIP
Comprobaciones de certificados en HIP
Gestión automática de certificados de usuario basada en SCEP
Ejecución de acciones de script antes y después de las sesiones
Personalización dinámica de la aplicación GlobalProtect
Configuración de las aplicaciones basada en usuarios, grupos y sistemas operativos
Detección interna/externa automática
Actualización manual/automática de la aplicación GlobalProtect
Selección de certificado por OID
Otras funciones
Bloqueo de acceso desde dispositivos perdidos, robados o desconocidos
Compatibilidad con tarjetas inteligentes para conexión/desconexión
Distribución transparente de autoridades de certificación raíz de confianza para el descifrado SSL
Inhabilitación del acceso directo a redes locales
Páginas de bienvenida y ayuda personalizables
Conexión RDP a un cliente remoto
Soporte para notificaciones nativas del sistema operativo
Restricción del cierre de sesión de los usuarios
Compatibilidad con proxy
Aplicación de exclusiones de GlobalProtect
Conexión con SSL únicamente
Integración de tokens de software RSA
Cuarentena de dispositivos

Strata by Palo Alto Networks | GlobalProtect | Ficha técnica 5

 Tabla 1: Funciones de GlobalProtect (continuación)
AirWatch
Integración con sistemas
MobileIron
MDM/EMM
Microsoft Intune

Cortafuegos de nueva generación de Palo Alto Networks, incluidos los dispositivos físicos y virtuales

API y herramientas de gestión Prisma Access

Solución de gestión de la seguridad de la red Panorama

Windows y Windows UWP de Microsoft

macOS de Apple

iOS y iPadOS de Apple

Plataformas compatibles con la
Chrome OS de Google
aplicación GlobalProtect
Android

Linux (Red Hat, CentOS, Ubuntu)

Dispositivos IdC

Cliente IPsec para iOS de Apple

XAuth IPsec Cliente IPsec para Android

Clientes VPNC y StrongSwan de terceros

Idiomas de la aplicación
Alemán, chino, español, francés, inglés y japonés
GlobalProtect

Oval Tower, De Entrée 99 - 197 © 2020 Palo Alto Networks, Inc. Palo Alto Networks es una marca
1101HE Ámsterdam, Países Bajos comercial registrada de Palo Alto Networks. Hay una lista de nuestras
marcas comerciales disponible en https://www.paloaltonetworks.com/
Tel.: +31 20 888 1883 company/trademarks.html. El resto de las marcas mencionadas en este
documento pueden ser marcas comerciales de sus respectivas empresas.
www.paloaltonetworks.es
strata-globalprotect-ds-060120-es