510 likes | 785 Views
IS 303. Облачные технологии безопасности для компании. Сергей Симаков Security Architect, CISSP, CISM Global Security Center of Excellence. Какое оно, Облако?. От эволюционного к революционному. ПРИЛОЖЕНИЯ как Сервис. ПЛАТФОРМА как Сервис. ИНФРАСТРУКТУРА как Сервис.
E N D
IS 303 Облачные технологии безопасности для компании Сергей Симаков Security Architect, CISSP, CISM Global Security Center of Excellence
От эволюционного к революционному ПРИЛОЖЕНИЯкак Сервис ПЛАТФОРМА как Сервис ИНФРАСТРУКТУРА как Сервис Провайдер Облака представляет инфраструктуру; клиенты развертывают ОС и приложения ЧАСТНЫЕ ОБЛАКА ГИБРИДНЫЕ ОБЛАКА ПУБЛИЧНЫЕ ОБЛАКА Провайдер Облака предоставляет инфраструктуру и ОС; клиенты создают и работают с приложениями Приложения работают в Облаке
Угрозы • Операционные системы более безопасны • Больше атак на уровне приложений • Пользователи стали слабым звеном (социальная инженерия) • Злоумышленники стали использовать более изощрённые методы • Увеличение целенаправленных атак • Создание сетей/botnet нацеленных на кокретные группы пользователей, корпорации и правительства
Модель безопасности PaaS Данные Данные Компания Приложение Приложение Хост Хост Компания Провайдер Сетевой Сетевой Физический Физический Локально Платформа как Сервис
Содержание • Облачные сервисы • Актуальные угрозы • Обзор практического применения сервиса безопасности в облаке • Что такое Forefront Online Protection for Exchange (FOPE) • Защита входящих сообщений • Исходящая фильтрация • Гибридные сценарии
Облачные технологии Приложения и платформа, которые всегда доступы, масштабируемы по необходимости и могут быть быстро развернуты • что это… • почему… Ускоряют решение задач и снижают стоимость ИТ
Новая ИТ компании Продажи Совместаная работа Разработка Новый динамичный бизнес! Маркетинг
Пример облачного сервиса безопасности
Электронная почта Угрозы: устойчивый рост атак • Спам состовляет большую часть электронной почты • Вирусы и фишинг атаки через e-mail нацелены на пользователей Доступ: возрастающая мобильность • Бизнесу нужен постоянный доступ к почте • Механизмы безопасности иногда усложняют работу Контроль: соответствие требованиям • Опасения утечки конфиденциальной информации • Необходимость ограничить несоответствующее политикам ИБ содержимое
Статистика по спаму В 2010 г. всего 1 из 47,6 входящих сообщений попало в ящики входящей почты получателей. Остальные были заблокированы на периметре. Около 95,4 % всех входящих сообщений блокируются на периметре
Тенденции Много рекламы фармсредств и продуктов В начале 2010 был всплеск спама на основе изображений Распространение некоторых категорий спама носит характер компаний, приуроченных к каким-то событиям Microsoft Security Intelligence Report v9
Exchange Hosted Services • Предотвращение атак в реальном времени • Многоуровневая защита от спама и вирусов • Применение настраиваемых политик • Сохранение сообщений компании(governance/e-discovery) • Создание отчётов для соответствия требованиям • Полностью индексируемый архив компании • Шифрование сообщений электронной почты • Отсутствие необходимости управления ключами • Шифрование на шлюзе на основе заданных политик
Где используется? • Сервис FOPE был частью Exchange Hosted Services (EHS) • Лицензия Microsoft® Forefront™ Protection Suite/ECAL/Exchange ECAL с Сервисами • Обеспечивает защиту Microsoft® Business Productivity Online Suite (BPOS), Exchange Online и будущего Office 365 • Всё ещё доступен как отдельный сервис • Также защищает Live@Eduи сам Microsoft
Как работает FOPE ВнешниеОтправители/ Получатели Корпоративная сеть Почтовый сервер Антивирус Почтовое сообщение Входящие отфильтрованные сообщения Политики Active Directory * Шифрование FOPE Directory Synchronization Tool Блокирование на периметре Спам-фильтр Исходящие отфильтрованные сообщения Администратор почтовой системы Спам Отказоустойчивость Консоль управления Сотрудники Uptime: 99.999%100% вирусов98% спама1:250 000доставка меньше минуты Карантин пользователя Также использует технологии…
Глобальная сетевая инфраструктура • Глобальные резервируемые ЦОД с распределением нагрузки, клиенты не затронуты в случае выхода ЦОД из строя • Сохранение производительности с ростом пользователей, может выдерживать рост трафика и атаки • Оптимизация за счёт доставки только «чистых» сообщений Washington Dublin Amsterdam Virginia California Texas Singapore mail.messaging.microsoft.com
Соглашения об уровне сервиса FOPE предоставляет набор финансово-подтвержденных SLA по производительности сети и эффективности защиты от вирусов/спама 100% Известных вирусов 98% Спама 1:250,000 Ошибочных результатов Эффективность защиты от вирусов/спама Производительность сети Доставка e-mail (Среднее время в SLA меньше 1 минуты) Доступность сети
Архитектура • Блоки контроля за всеми стадиями обработки сообщения: • Защищенное взаимодействие • Защищенный канал B2B • Возможность настроить обязательный исходящий TLS к партнеру • Выбор в пользу TLS при получении сообщений • Четкое разделение правил на периметре иполитик контроля содержимого • Поддержка внедрения в гибридном сценарии • Сосуществование почтовых ящиков локально и у провайдера • Локальное решения обеспечения контроля продолжает работать Соединение Безопасность Фильтрация Доставка
Защита входящих сообщений Если сервер недоступен, почта остается в очереди на 5 дней Очередь Настройки фильтрации сообщений для домена E-mail попадает в глобальную сеть ЦОД – MX (mail.messaging.microsoft.com) Применение политик Защита от спама Фильтрация вирусов SpamPrevention SPAM prevention Блокирование по IP Доступен ли сервер? Доверенные отправители • Антивирус1 • Собственные политики Анализ структуры Управление спам-фильтрами • Антивирус2 • Управление вложениями и атрибутами сообщения Определение «отпечатков» • Антивирус3 Сеть компании Служба каталога Весовые коэффициенты SMTP Reject: 55x Обратная связь False +ve / -ve • Карантин применения политик • Карантин спама Аналитики SPAM SPAM SPAM
Ошибочные результаты • «Отсутствие» ошибочных результатов является основной идеологии FOPE • Кнопка «Not Junk» в портале карантина Уровень настолько низок, что многие перестают открывать карантин • Инструменты для компаний • Настройки исключения блоков IP адресов • Поддержка списоков доверенных отправителей (SafeSender) из Exchange/Outlook компании
Исходящая фильтрация Настройки фильтрации сообщений для домена Защита от спама Фильтрация вирусов Применение политик Низкий вес Пул исходящих Доверенные отправители • Антивирус1 • Собственные политики Управление спам-фильтрами • Антивирус2 • Управление вложениями и атрибутами сообщения Высокий вес Весовые коэффициенты • Антивирус3 Пул NDR Цифровые отпечатки SEWR Сеть компании Аналитики
Что такое Backscatter? • Backscatter— NDR спам с подделанным адресом отправителя • Bounce Address Tag Validation(BATV) — технология по защите от NDR спама Alice@contoso.com prvs=Fключ(время жизни, адрес)=alice@contoso.com Пример: prvs=12we34fnr=alice@contoso.com
Механизм работы Anti-Backscatter I N T E R N E T Внутренний пользователь (alice@example.com) FOPE Сервер получателя Внутренний пользователь отправляет сообщение на корпоративный сервер Получатель не может доставить сообщение и возвращает его обратно FOPE добавляет хешированную метку к P1.MailFrom • 4. FOPE просматривает метку 5. Если метка существует, то NDR будет доставлен пользователю <prvs=12we34fnr=alice@contoso.com>
Спамер использует Backscatter I N T E R N E T Внутренний пользователь (alice@contoso.com) Сервер получателя FOPE Спамер 1. Спамер генерирует сообщение с фальшивым адресом в MAIL FROM <alice@contoso.com> и посылает его на сервер. FOPE ищет хешированную метку 4.Если метки нет, то сообщение признается backscatter spam Получатель не может доставить и должен послать NDR
Механизмы безопасности • Защита транспорта – TLS • Входящий трафик • Исходящий трафик • Возможность задать обязательное шифрование TLS для взаимодействия с партнером • Защита сообщений – шифрование IBE • Отсутствие дополнительных затрат на ПО или оборудование • Отсутствие необходимости сложного обмена ключами • Проверенные ЦОД • ISO 27001:2005 • Аттестация SAS Level I и Level II
Консоль администратора Демонстрация
Гибридная архитектура Компания МЭ + SMTP Интернет Hub Transport Server Mailbox Server Client Access Server
МЭ Управление политиками Политики анти-спама Интернет Политики анти-спама Почта Шлюз FOPE Полные политики SMTP Почта Exchange Edge Exchange Hub Mailbox Server
МЭ Подключение к FOPE Запись MX Создание учётной записи Компания Mail SMTP почта
Итого • Облачные сервисы уже доступны • Сервис FOPE снижает совокупную стоимость владения системы и упрощает защиту электронной почты • Облачные сервисы Microsoft помогают компании работать эффективно
Ресурсы • Дополнительные сессии по теме • DC 204: Оптимизация управления частным динамическим ЦОД (14:30-15:30, Синий Конгресс-зал) • CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (16:00-17:00, Зона интерактивных сессий) • Блоги • http://blogs.technet.com/securityrus
Официальные курсы и сертификация Microsoft • Более 300 официальных курсов Microsoft доступно в России. • Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft • под руководством опытного сертифицированного инструктора Microsoft • интенсивное обучение с акцентом на практику • более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) • Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . • Microsoft предлагает гибкую систему сертификаций. • Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning 57% 40% Доказательство № 75 Доказательство № 119 • рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности • сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение
Специальные предложения • Сертификационный пакет со вторым шансом • Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. • Сэкономьте 15% на сертификации вашей ИТ-команды • Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. • Microsoft Certified Career Conference • Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. • Сессии по технологиям и построению карьеры • Скидка 50% для сертифицированных специалистов Microsoft и студентов • Бесплатная подписка на TechNet для слушателей официальных курсов • Некоторые курсы по SharePoint, Windows 7; WindowsServer 2008; SQL Server 2008 • Детали: www.microsoft.com/rus/learning С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!
Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!
Вопросы • IS 303 • Симаков Сергей • sergesim@ • http://blogs.technet.com/securityrus • Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада