Специфика защиты информации в виртуальных инфраструктурах ИНФОФОРУМ-ЕВРАЗИЯ Лысенко Александр МОСКВА 9 июня 2011 Код Безопасности.

Презентация:



Advertisements
Похожие презентации
VGate R2 Конкурс продуктов VirtualizationSecurityGroup.Ru Лысенко Александр 24 июня 2011 года Ведущий эксперт по информационной безопасности.
Advertisements

Информационная безопасность виртуальных инфраструктур. Наш ответ на новые вызовы СЕМИНАР «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 2010: РАБОТА НА ОПЕРЕЖЕНИЕ» 7 АПРЕЛЯ.
Решение задач защиты информации в виртуализированных средах и приведения систем в соответствие с законодательством и мировыми стандартами Круглый стол.
Защита виртуальной среды Алексей Козловский Руководитель отдела системной интеграци РИТМ.
15 лет на рынке информационной безопасности Безопасность «облаков»: проблемы, решения, возможности Евгений Акимов заместитель директора Центра Информационной.
Как выполнить требования регуляторов по защите среды виртуализации в государственных информационных системах и при обработке персональных данных ИНФОФОРУМ-2013.
ВИРТУАЛИЗАЦИЯ: ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ CSO Summit 2010 Москва, Конгресс-центр МТУСИ, 23 МАРТА 2010 Генеральный директор ООО.
VGate сертифицированная защита виртуальной инфраструктуры ТРЕТИЙ РОССИЙСКИЙ ПАРТНЕРСКИЙ ФОРУМ VMWARE МАРТА 2010, МОСКВА Менеджер по развитию продуктов.
Аккорд-В. Владислав Корсун ЗАО «ОКБ САПР». ПАК Аккорд-В. Программно-аппаратный комплекс Аккорд-В предназначен для защиты инфраструктур виртуализации VMware.
Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.
Леонид Горохов - Безопасная виртуальная среда. Легко! Тюмень | Анлим-ИТ | Код Безопасности
Вероника Копейко Менеджер по организации обучения Консультационные онлайн услуги по продуктам и решениям компании «Код Безопасности»
Емельянников Михаил Юрьевич Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» Безопасность электронного бизнеса: от пользователя.
Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» М.Ю.Емельянников Управляющий партнер Консалтинговое агентство «Емельянников,
Аккорд-В. Угаров Дмитрий ЗАО «ОКБ САПР». ПАК Аккорд-В. Предназначен для защиты инфраструктур виртуализации: VMware vSphere 4.1 VMware vSphere 5.
Продуктовая линейка компании «Код Безопасности». О компании «Код Безопасности» Российский разработчик программных и аппаратных средств для защиты информации.
© 2010 IBM Corporation Комплексное обеспечение безопасности в виртуальной среде Олег Летаев, специалист по решениям IBM Security Solutions.
Транксрипт:

Специфика защиты информации в виртуальных инфраструктурах ИНФОФОРУМ-ЕВРАЗИЯ Лысенко Александр МОСКВА 9 июня 2011 Код Безопасности

Содержание новые элементы архитектуры и связанные с ними угрозы невозможность использования традиционных СЗИ Проблема суперпользователя соответствие требованиям стандартов безопасности и автоматизация vGate 2 2

Изменение архитектуры 3

Безопасность гипервизора Пока не обнародовано ни одного случая взлома гипервизоров или нарушения изоляции ВМ Возможности Blue Pill & Red Pill пока не доказывают наличие угрозы для гипервизоров Можно получить доступ к гипервизору через средства управления

Гипервизор и спящие (выключенные) ВМ 5 Гипервизор может читать и изменять данные ВМ, когда они не работают У проснувшейся ВМ устареют настройки безопасности

Безопасность ВИ 6 Blue Pill – зловредный гипервизор, незаметно превращающий ОС в ВМ и перехватывающий ее трафик Red Pill – способ обнаружения присутствия на физическом хосте работающей виртуальной машины

Виртуализация и риски ИБ 7 Специалисты ИБ часто не участвует в проекте по виртуализации Взлом слоя виртуализации может привести к взлому всех ВМ Виртуальные ВМ-ВМ сети плохо контролируемы ВМ с разным уровнем ИБ размещены на одном физическом хосте Отсутствие контроля за действиями администратораПотеря разделения ответственности за сеть и ИБ Источник: Gartner, 2010

Виртуализация меняет свойства сетей Стандартные МЭ становятся не везде применимы Угроза DoS атаки: ВМ может занять весь трафик Мониторинг и ограничение ресурсов

Сетевой трафик для vMotion 9 Синхронизация памяти по Сети ХД без шифрования Должна использоваться защищенная сеть, но: Любой ввод/вывод (LAN,RAM, HDD) чувствителен к угрозам типа Man in The Middle

ИБ ВМ 10 Виртуальные машины подвержены тем же угрозам, что и реальные компьютеры

Потеря данных через администратора – самый дорогой тип инцидента в ИБ В виртуальной среде нет проактивных средств контроля действий администратора Зловредное ПО с правами администратора может получить контроль над ВМ в обход гипервизора 11 The Value Of Corporate Secrets How Compliance And Collaboration Affect Enterprise Perceptions Of Risk March 2010, Forrester

ОС в консоли управления 12 По слухам для vSphere 5 будет упразднена Для VI 3 и vSphere 4 (Linux based) Подвержена обычным угрозам для ОС Используйте рекомендации «VMware Security Hardening Guide»

1. Разделение полномочий 13 Разделить полномочия и ответственность администраторов ВИ и ИБ, один назначает права, второй пользуется (зачастую невозможно при помощи встроенных средств)

2. Специальные инструменты защиты 14 Средства ИБ в составе платформы виртуализации Защита от внешних угроз: сетевых атак, вредоносного ПО, уязвимостей Защита среды гипервизора от НСД, контроль ролей и настроек Контроль ИБ трафика Контроль настроек ИБ, целостности и прав доступа Firewall, зоны безопасности балансировка нагрузки, API

Традиционные средства защиты в виртуальной среде могут быть не эффективны Firewall, VPN Антивирусы DLP IDS/IPS Криптосредства Аппаратные МЭ Аппаратные СДЗ Другие средства М.б. неприменимы или снижать производительность среды

Облака. Консолидация = централизация рисков «В облачной среде наименьший общий знаменатель безопасности будет разделен со всеми арендаторами виртуального ЦОД.» 16

Облака строятся при помощи ВИ Практически все угрозы справедливые для ВИ работают и в облаке, только становятся более острыми 17

3. Следования стандартам и общим практикам, а также регулирующему законодательству PCI DSS (при потере данных штрафы до $500000)PCI DSS CIS VMware ESX Server Benchmarks (снижает риски потери данных)CIS VMware ESX Server Benchmarks VMware Security Hardening Best Practices (снижает риски потери данных)VMware Security Hardening Best Practices 152ФЗ (при нарушении санкции вплоть до приостановки деятельности)152ФЗ ЦБ РФ: СТО БР ИББССТО БР ИББС 18

Лучшие практики ИБ для виртуальных сред В каждом документе более 100 страниц настроек параметров безопасности 19

Как использовать лучшие практики ИБ? 20 Ручная настройка и поддержка или Автоматизация и контроль настроек, например с vGate (поставляется с шаблонами настройки для соответствия лучшим практикам ИБ, а также стандартам как мировым так и российским)

vGate 2 for VM ware infrastructure 21

Security Code vGate for VMware Infrastructure 22 Повышает безопасность виртуальной инфраструктуры VMware VI 3 и VMware vSphere 4 Позволяет снизить риски ИБ для VMware и облегчить использование лучших практик Сертификаты ФСТЭК для использования среды VMware в ИСПДн до К1 (СВТ 5 + НДВ 4)

Security Code vGate for VMware Infrastructure: основные функции: 23 Усиленная аутентификация администраторов ВИ и ИБРазделение ролей администратора ВИ и ИБ Разграничение прав администрирования объектов ВИ (мандатный доступ) Защита средств управления виртуальной инфраструктурой от несанкционированного доступа

Security Code vGate for VMware Infrastructure: основные функции (2): 24 Контроль целостности конфигурации виртуальных машин и доверенная загрузка Политики безопасности, автоматизация применения и контроль соответствия Регистрация событий ИБЦентрализованное управление и мониторинг

25 В vGate входят: Сервер авторизации Модули защиты ESX Рабочее место администратора Консоль управления Архитектура

26 Право на использование Сервера авторизации vGate Право на использование vGate для защиты ESX- серверов Модель лицензирования шт. сокеты

СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ?