КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ Антон Минаков Март 2012
2 Copyright © 2010 Juniper Networks, Inc. ПОЧЕМУ СЕРВЕРНАЯ ВИРТУАЛИЗАЦИЯ… Экономит деньги Экономит место Экономия на инфраструктуре Улучшает время/ выход на рынок Надежность без покупки дополнительного «железа» Скорость бизнеса
3 Copyright © 2010 Juniper Networks, Inc. ЭВОЛЮЦИЯ СЕРВЕРНОЙ ВИРТУАЛИЗАЦИИ Консолидация серверов Движущий фактор: Улучшить использование физических ресурсов Мотивация: Экономия на кап. расходах Питание и место Улучшения в использовании серверов Сеть не имела значения Скорость бизнеса Движущий фактор: Улучшить использование пула ресурсов Мотивация: Быстрая адаптация к новым потребностям Усиленные требования к безопасности и соответствию Улучшение управления в случае сбоев Модели на базе облачных вычислений Сеть имеет огромное значение
4 Copyright © 2009 Juniper Networks, Inc. Company Confidential БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ Физическая сеть Виртуальная сеть Физическая безопасность «слепа» к трафику между ВМ VM1VM2VM3 ESX/ESXi Host Firewall/IDS видят/защищают весь трафик между серверами HYPERVISOR Virtual Switch
5 Copyright © 2009 Juniper Networks, Inc. Company Confidential ПРОБЛЕМЫ ИЗОЛЯЦИИ В VSWITCH Проблемы изоляции ВМ vSwitches обеспечивает только базовое взаимодействие ВМы включенные в один vSwitch имеют прямой доступ через гипервизор Группы портов назначенные в VLAN ID требуют устройство уровня 3 для маршрутизации Распределенный vSwitches в реальности не закрывает проблем безопасности Администраторы ВМ могут назначить vNICs в любую сеть (даже по неосторожности)
6 Copyright © 2009 Juniper Networks, Inc. Company Confidential Специальная виртуальная безопасность VM1VM2VM3 VS ESX/ESXi Host Virtual Security Layer Агенты традиционной безопасности VLANы и Физическая сегментация VM1VM2VM3 VS ESX/ESXi Host VM1VM2VM3 VS ESX/ESXi Host Постоянный тонкий агент для FW & AV HYPERVISOR СПОСОБЫ ЗАЩИТЫ ВИРТУАЛЬНЫХ СЕТЕЙ 123
7 Copyright © 2009 Juniper Networks, Inc. ОБЗОР РЕШЕНИЯ
8 Copyright © 2009 Juniper Networks, Inc. Company Confidential Масштаба оператора услуг & Предприятий 3-х уровневая модель VMware Сертифицировано (подписанные исходники!) Защита каждой ВМ и Гипервизора Поддержка высокой доступности Поддержка Виртуализации Защищенный VMotion масштабируется более 1,000+ узлов Авто Защита определяет/защищяет новые ВМы Гранулированная многоуровневая защита Stateful firewall, встроенный IDS, и Антивирус Гибкость применения политик – зона, VM группа, ВМ, индивидуальный vNIC VGW СПЕЦИАЛЬНО СПРОЕКТИРОВАННОЕ РЕШЕНИЕ THE vGW ENGINE Virtual Center VM VM1VM2VM3 Партнерский сервер (IDS, SIM, Syslog, Netflow) Данные VMWARE APIs Any vSwitch (Standard, DVS, 3 rd Party) ГИПЕРВИЗОР VMware Kernel ESX or ESXi Host Защищен ный дизайн для vGW 1 2 3
9 Copyright © 2009 Juniper Networks, Inc. Company Confidential ТОНКАЯ ИНТЕГРАЦИЯ С VCENTER Без синхронизации вручную Полный инвентарь ВМ поступает от vCenter Защищенные синхронизации с изменениями виртуальной инфраструктуры ВМы идентифицируются по их vCenter UUID Нет необходимости доверять слабым ассоциациям Дифференциация между ВМ и клонами Использование корректной политики и мониторинг в случае изменений Проверка настроек инфраструктуры Предотвращение задних каналов Гарантия целостности конфигураций Автоматическое развертывание Развертывание FW программно Упрощенная настройка HA путем клонирования управляющей ВМы
10 Copyright © 2009 Juniper Networks, Inc. Company Confidential VGW МОДУЛИ Network Видимость меж ВМ потоков трафика IDSIntrospectionReports Централизованный вид IDS событий и возможность отображения атаки Централизованны й вид ВМ (вкл. ОС, приложений, заплаток, и.т.п.) Автоматизация отчетности для всех функциональных модулей Main Панель отображения виртуальных систем, атак (включая карантин ВМ) FirewallAntiVirusCompliance Управление политиками МСЭ и логирование Полная антивирусная защита для ВМ Внешние и частные движки уведомляют об изменениях конфигураций ВМ/узолв
11 Copyright © 2009 Juniper Networks, Inc. ИНТЕГРАЦИЯ
12 Copyright © 2009 Juniper Networks, Inc. Company Confidential STRM ИНТЕГРАЦИЯ С JUNIPER БЕЗОПАСНОСТЬЮ ЦОД VM1VM2VM3ALTOR vGW VMware vSphere Сеть Juniper SRX with IDP Juniper EX Switch Политики Централизованное управление политиками Синхронизация зон Зеркалирование трафика к IPS vGW Firewall Event Syslogs Netflow для интер-VM Трафика
13 Copyright © 2009 Juniper Networks, Inc. Company Confidential SRX И VGW – МИКРО СЕГМЕНТАЦИЯ Коммутация в ЦОД SRX5800 VGW ESX-1 VGW ESX-2 создание SRX ZONE A для заказчика A с VLAN 221 голубые ВМ принадлежат заказчику A в ZONE 1 = VLAN 221 Создание политики SRX ZONE SRCDSTACTION ANYZONE A REJECT 2 Уведомление VGW об SRX и Заказчике A уточнение SMART GROUPS с информацией ВМ заказчика A Создание VGW политики для сегментации внутри ВМ заказчика A
14 Copyright © 2009 Juniper Networks, Inc. Company Confidential ИНТЕГРАЦИЯ С STRM СЕРИЕЙ Интегрированный физический и виртуальный compliance а также управление атак. Консолидирование журналов и статистики потоков (syslog и NetFlow) Преимущества: Единое точка обзора ЦОДа Централизованный мониторинг и отчетность Повышение возврата инвестиций от STRM Серии Быстрота и простота настройки
15 Copyright © 2009 Juniper Networks, Inc. Company Confidential IDP ИНТЕГРАЦИЯ Отправка трафика виртуальной сети к аппаратному Juniper IDP для анализа. Совместим с IDP серией или встроенного в SRX (11.2r1). Преимущества: Выбор в использовании встроенного vGW IDS или Juniper аппаратного IDP Может быть использовано комбинирование устройств для оптимизации производительности (направление потоков на базе правил)
16 Copyright © 2009 Juniper Networks, Inc. Company Confidential Результаты с Junos 10.4 SRX1400 SRX3400SRX3600 SRX5600SRX5800 FW10 Gbps20 Gbps30 Gbps60 Gbps150 Gbps VPN2 Gbps6 Gbps10 Gbps15 Gbps30 Gbps IPS2 Gbps6 Gbps10 Gbps15 Gbps30 Gbps PPS1М1М3.5М6.5М9М9М21М Количество сессий0.5М2.25М / 3М2.25М/ 6М9М9М12.5М/14М (с ограничениями) Новых сессий ( / with addl license) 45k175k175k / 300k350k Встроенные порты: 10/100/1000Base-T 1000Base-X (HA off / on ) 10GBase-F GE 6 6 / 4 0 XGE 6 3 / Максимальное кол-во GbE (HA off / on) 10 GbE 28/ / ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END
17 Copyright © 2009 Juniper Networks, Inc. Juniper AppSecure позволяет распознавать приложения Используются технологии IPS но не требуют существенных ресурсов ТЕХНОЛОГИЯ APPSECURE WEB2.0 становится универсальным транспортом AppSecure позволяет определить приложение Необходимость смотреть внутрь протокола IPS ресурсоемкое приложение AppSecure Software Security Research Teams SRX Security Service Gateways
18 Copyright © 2009 Juniper Networks, Inc. STRM ОСНОВНЫЕ ВОЗМОЖНОСТИ Обнаружение Угроз: Обнаружение новых угроз, которые не обнаруживаются другими устройствами Управление Логами: Выявление нужных Угроз в точное время Соответствие: Безопасная сеть за счет соответствия политикам безопасности Дополняет портфель систем управления Juniper Программно аппаратный комплекс Juniper STRM Преимущества для Предприятий