КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ Антон Минаков Март 2012.

Презентация:



Advertisements
Похожие презентации
Безопасность для Microsoft Server Представляем 5nine Software Компания по разработке решений обеспечения безопасности для виртуализации Первая на.
Advertisements

Новая линейка продуктов безопасности vShield. © VMware, Inc., Все права защищены. Конфиденциальный документ, собственность компании. Содержание.
©2012 Check Point Software Technologies Ltd. [PROTECTED] All rights reserved. Реальная защита виртуальных ресурсов Антон Разумов,
15 лет на рынке информационной безопасности Безопасность «облаков»: проблемы, решения, возможности Евгений Акимов заместитель директора Центра Информационной.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Маршрутизаторы с интегрированными услугами (ISR) класса.
ВИРТУАЛИЗАЦИЯ СЕТЕВЫХ СЕРВИСОВ Сергей Носиков, Системный инженер Май 2014.
Технопарк в сфере высоких технологий «ИТ-парк» 28 мая 2014, г.Казань.
© VMware, Inc., Все права защищены. Как построить Ваше «облако» Алексей Малашин VMware, Inc.
PRC302 VMM 2007 Нет поддержки кластеров Virtual Server 2005 VMM 2008 Поддержка кластеров Создание высокодоступных ВМ Быстрая миграция, LAN Hyper-V и.
©2010 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties Security Gateway Virtual Edition (VE) Сергей.
Аккорд-В. Владислав Корсун ЗАО «ОКБ САПР». ПАК Аккорд-В. Программно-аппаратный комплекс Аккорд-В предназначен для защиты инфраструктур виртуализации VMware.
Решение задач защиты информации в виртуализированных средах и приведения систем в соответствие с законодательством и мировыми стандартами Круглый стол.
© 2010 IBM Corporation Комплексное обеспечение безопасности в виртуальной среде Олег Летаев, специалист по решениям IBM Security Solutions.
Virtualization Startup Дмитрий Нечаев
Аккорд-В. Угаров Дмитрий ЗАО «ОКБ САПР». ПАК Аккорд-В. Предназначен для защиты инфраструктур виртуализации: VMware vSphere 4.1 VMware vSphere 5.
ОБЛАЧНЫЕ ОБРАЗОВАТЕЛЬНЫЕ СЕРВИСЫ В СГАУ Самарский государственный аэрокосмический университет имени академика С.П. Королёва имени академика С.П. Королёва.
Business Continuity 2.0 Антипов Глеб Руководитель направления Business Continuity Отдел Вычислительных Систем Step Logic.
КОМПЬЮТЕРНЫЕ СИСТЕМЫ AQUARIUS ДЛЯ УЛИЧНОГО ИСПОЛЬЗОВАНИЯ ЭФФЕКТИВНОЕ СРЕДСТВО ПОСТРОЕНИЯ РАСПРЕДЕЛЕННОЙ ИНТЕЛЛЕКТУАЛЬНОЙ ИНФРАСТРУКТУРЫ СОВРЕМЕННОГО ГОРОДА.
JUNIPER NETWORKS: ФИРМЕННЫЕ ПОДХОДЫ К РАЗРАБОТКЕ Решения для информационной безопасности.
ВирусБлокАда. Эффективная защита организации – сочетание организационных и технических мер обеспечения информационной безопасности ВирусБлокАда.
Транксрипт:

КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ Антон Минаков Март 2012

2 Copyright © 2010 Juniper Networks, Inc. ПОЧЕМУ СЕРВЕРНАЯ ВИРТУАЛИЗАЦИЯ… Экономит деньги Экономит место Экономия на инфраструктуре Улучшает время/ выход на рынок Надежность без покупки дополнительного «железа» Скорость бизнеса

3 Copyright © 2010 Juniper Networks, Inc. ЭВОЛЮЦИЯ СЕРВЕРНОЙ ВИРТУАЛИЗАЦИИ Консолидация серверов Движущий фактор: Улучшить использование физических ресурсов Мотивация: Экономия на кап. расходах Питание и место Улучшения в использовании серверов Сеть не имела значения Скорость бизнеса Движущий фактор: Улучшить использование пула ресурсов Мотивация: Быстрая адаптация к новым потребностям Усиленные требования к безопасности и соответствию Улучшение управления в случае сбоев Модели на базе облачных вычислений Сеть имеет огромное значение

4 Copyright © 2009 Juniper Networks, Inc. Company Confidential БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ Физическая сеть Виртуальная сеть Физическая безопасность «слепа» к трафику между ВМ VM1VM2VM3 ESX/ESXi Host Firewall/IDS видят/защищают весь трафик между серверами HYPERVISOR Virtual Switch

5 Copyright © 2009 Juniper Networks, Inc. Company Confidential ПРОБЛЕМЫ ИЗОЛЯЦИИ В VSWITCH Проблемы изоляции ВМ vSwitches обеспечивает только базовое взаимодействие ВМы включенные в один vSwitch имеют прямой доступ через гипервизор Группы портов назначенные в VLAN ID требуют устройство уровня 3 для маршрутизации Распределенный vSwitches в реальности не закрывает проблем безопасности Администраторы ВМ могут назначить vNICs в любую сеть (даже по неосторожности)

6 Copyright © 2009 Juniper Networks, Inc. Company Confidential Специальная виртуальная безопасность VM1VM2VM3 VS ESX/ESXi Host Virtual Security Layer Агенты традиционной безопасности VLANы и Физическая сегментация VM1VM2VM3 VS ESX/ESXi Host VM1VM2VM3 VS ESX/ESXi Host Постоянный тонкий агент для FW & AV HYPERVISOR СПОСОБЫ ЗАЩИТЫ ВИРТУАЛЬНЫХ СЕТЕЙ 123

7 Copyright © 2009 Juniper Networks, Inc. ОБЗОР РЕШЕНИЯ

8 Copyright © 2009 Juniper Networks, Inc. Company Confidential Масштаба оператора услуг & Предприятий 3-х уровневая модель VMware Сертифицировано (подписанные исходники!) Защита каждой ВМ и Гипервизора Поддержка высокой доступности Поддержка Виртуализации Защищенный VMotion масштабируется более 1,000+ узлов Авто Защита определяет/защищяет новые ВМы Гранулированная многоуровневая защита Stateful firewall, встроенный IDS, и Антивирус Гибкость применения политик – зона, VM группа, ВМ, индивидуальный vNIC VGW СПЕЦИАЛЬНО СПРОЕКТИРОВАННОЕ РЕШЕНИЕ THE vGW ENGINE Virtual Center VM VM1VM2VM3 Партнерский сервер (IDS, SIM, Syslog, Netflow) Данные VMWARE APIs Any vSwitch (Standard, DVS, 3 rd Party) ГИПЕРВИЗОР VMware Kernel ESX or ESXi Host Защищен ный дизайн для vGW 1 2 3

9 Copyright © 2009 Juniper Networks, Inc. Company Confidential ТОНКАЯ ИНТЕГРАЦИЯ С VCENTER Без синхронизации вручную Полный инвентарь ВМ поступает от vCenter Защищенные синхронизации с изменениями виртуальной инфраструктуры ВМы идентифицируются по их vCenter UUID Нет необходимости доверять слабым ассоциациям Дифференциация между ВМ и клонами Использование корректной политики и мониторинг в случае изменений Проверка настроек инфраструктуры Предотвращение задних каналов Гарантия целостности конфигураций Автоматическое развертывание Развертывание FW программно Упрощенная настройка HA путем клонирования управляющей ВМы

10 Copyright © 2009 Juniper Networks, Inc. Company Confidential VGW МОДУЛИ Network Видимость меж ВМ потоков трафика IDSIntrospectionReports Централизованный вид IDS событий и возможность отображения атаки Централизованны й вид ВМ (вкл. ОС, приложений, заплаток, и.т.п.) Автоматизация отчетности для всех функциональных модулей Main Панель отображения виртуальных систем, атак (включая карантин ВМ) FirewallAntiVirusCompliance Управление политиками МСЭ и логирование Полная антивирусная защита для ВМ Внешние и частные движки уведомляют об изменениях конфигураций ВМ/узолв

11 Copyright © 2009 Juniper Networks, Inc. ИНТЕГРАЦИЯ

12 Copyright © 2009 Juniper Networks, Inc. Company Confidential STRM ИНТЕГРАЦИЯ С JUNIPER БЕЗОПАСНОСТЬЮ ЦОД VM1VM2VM3ALTOR vGW VMware vSphere Сеть Juniper SRX with IDP Juniper EX Switch Политики Централизованное управление политиками Синхронизация зон Зеркалирование трафика к IPS vGW Firewall Event Syslogs Netflow для интер-VM Трафика

13 Copyright © 2009 Juniper Networks, Inc. Company Confidential SRX И VGW – МИКРО СЕГМЕНТАЦИЯ Коммутация в ЦОД SRX5800 VGW ESX-1 VGW ESX-2 создание SRX ZONE A для заказчика A с VLAN 221 голубые ВМ принадлежат заказчику A в ZONE 1 = VLAN 221 Создание политики SRX ZONE SRCDSTACTION ANYZONE A REJECT 2 Уведомление VGW об SRX и Заказчике A уточнение SMART GROUPS с информацией ВМ заказчика A Создание VGW политики для сегментации внутри ВМ заказчика A

14 Copyright © 2009 Juniper Networks, Inc. Company Confidential ИНТЕГРАЦИЯ С STRM СЕРИЕЙ Интегрированный физический и виртуальный compliance а также управление атак. Консолидирование журналов и статистики потоков (syslog и NetFlow) Преимущества: Единое точка обзора ЦОДа Централизованный мониторинг и отчетность Повышение возврата инвестиций от STRM Серии Быстрота и простота настройки

15 Copyright © 2009 Juniper Networks, Inc. Company Confidential IDP ИНТЕГРАЦИЯ Отправка трафика виртуальной сети к аппаратному Juniper IDP для анализа. Совместим с IDP серией или встроенного в SRX (11.2r1). Преимущества: Выбор в использовании встроенного vGW IDS или Juniper аппаратного IDP Может быть использовано комбинирование устройств для оптимизации производительности (направление потоков на базе правил)

16 Copyright © 2009 Juniper Networks, Inc. Company Confidential Результаты с Junos 10.4 SRX1400 SRX3400SRX3600 SRX5600SRX5800 FW10 Gbps20 Gbps30 Gbps60 Gbps150 Gbps VPN2 Gbps6 Gbps10 Gbps15 Gbps30 Gbps IPS2 Gbps6 Gbps10 Gbps15 Gbps30 Gbps PPS1М1М3.5М6.5М9М9М21М Количество сессий0.5М2.25М / 3М2.25М/ 6М9М9М12.5М/14М (с ограничениями) Новых сессий ( / with addl license) 45k175k175k / 300k350k Встроенные порты: 10/100/1000Base-T 1000Base-X (HA off / on ) 10GBase-F GE 6 6 / 4 0 XGE 6 3 / Максимальное кол-во GbE (HA off / on) 10 GbE 28/ / ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END

17 Copyright © 2009 Juniper Networks, Inc. Juniper AppSecure позволяет распознавать приложения Используются технологии IPS но не требуют существенных ресурсов ТЕХНОЛОГИЯ APPSECURE WEB2.0 становится универсальным транспортом AppSecure позволяет определить приложение Необходимость смотреть внутрь протокола IPS ресурсоемкое приложение AppSecure Software Security Research Teams SRX Security Service Gateways

18 Copyright © 2009 Juniper Networks, Inc. STRM ОСНОВНЫЕ ВОЗМОЖНОСТИ Обнаружение Угроз: Обнаружение новых угроз, которые не обнаруживаются другими устройствами Управление Логами: Выявление нужных Угроз в точное время Соответствие: Безопасная сеть за счет соответствия политикам безопасности Дополняет портфель систем управления Juniper Программно аппаратный комплекс Juniper STRM Преимущества для Предприятий