Антон Минаков Март 201 2

1. КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ Антон Минаков Март 2012

2. Почему серверная виртуализация… Экономитденьги Экономит место Скорость бизнеса Экономияна инфраструктуре Улучшаетвремя/выход на рынок Надежность без покупки дополнительного «железа»

3. Эволюция серверной виртуализации Фаза1 прошлое Фаза2 будущее Консолидация серверов Скорость бизнеса Движущий фактор: Улучшить использование физических ресурсов Движущий фактор: Улучшить использование пула ресурсов • Мотивация: • Экономия на кап. расходах • Питание и место • Улучшения в использовании серверов • Мотивация: • Быстрая адаптация к новым потребностям • Усиленные требования к безопасности и соответствию • Улучшение управления в случае сбоев • Модели на базе облачных вычислений Сеть не имела значения Сеть имеет огромное значение

4. БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ Физическая сеть Виртуальная сеть VM1 VM2 VM3 Virtual Switch ESX/ESXi Host HYPERVISOR Firewall/IDS видят/защищают весь трафик между серверами Физическая безопасность «слепа» к трафику между ВМ

5. ПРОБЛЕМЫ ИЗОЛЯЦИИ В vSWITCH • Проблемы изоляции ВМ • vSwitches обеспечивает только базовое взаимодействие • ВМывключенные в один vSwitch имеют прямой доступ через гипервизор • Группы портов назначенные в VLAN ID требуют устройство уровня 3 для маршрутизации • Распределенный vSwitches в реальности не закрывает проблем безопасности • Администраторы ВМ могут назначить vNICs в любую сеть (даже по неосторожности)

6. Способы защиты виртуальных сетей 1 2 3 VLANыиФизическая сегментация Агенты традиционной безопасности Специальная виртуальная безопасность VM1 VM2 VM3 VM1 VM2 VM3 VM1 VM2 VM3 ESX/ESXi Host ESX/ESXi Host ESX/ESXi Host VS VS Virtual Security Layer VS HYPERVISOR HYPERVISOR HYPERVISOR Постоянный тонкий агент для FW & AV

7. Обзор решения

8. vGWспециально спроектированное решение • Масштаба оператора услуг & Предприятий • 3-х уровневая модель • VMware Сертифицировано (подписанные исходники!) • Защита каждой ВМ и Гипервизора • Поддержка высокой доступности • Поддержка Виртуализации • “ЗащищенныйVMotion” масштабируется более 1,000+ узлов • “Авто Защита” определяет/защищяетновые ВМы • Гранулированная многоуровневая защита • Stateful firewall, встроенный IDS, и Антивирус • Гибкость применения политик – зона, VMгруппа, ВМ, индивидуальныйvNIC 1 2 Защищенный дизайн для vGW Virtual Center VM VM1 VM2 VM3 Партнерский сервер (IDS, SIM, Syslog, Netflow) ESX or ESXi Host 3 THE vGW ENGINE Данные VMWARE API’s VMware Kernel Any vSwitch (Standard, DVS, 3rd Party) ГИПЕРВИЗОР

9. Тонкая интеграция с vCenter • Без синхронизации вручную • Полный инвентарь ВМ поступает от vCenter • Защищенные синхронизации с изменениями виртуальной инфраструктуры • ВМы идентифицируются по их vCenter UUID • Нет необходимости доверять слабым ассоциациям • Дифференциация между ВМ и клонами • Использование корректной политики и мониторинг в случае изменений • Проверка настроек инфраструктуры • Предотвращение“задних каналов” • Гарантия целостности конфигураций • Автоматическое развертывание • Развертывание FW программно • Упрощенная настройка HA путем клонирования управляющей ВМы

10. vGWмодули Main Firewall AntiVirus Compliance • Панель отображения виртуальных систем, атак (включая карантин ВМ) • Управление политиками МСЭ и логирование • Полная антивирусная защита для ВМ • Внешние и частные движки уведомляют об изменениях конфигураций ВМ/узолв Network IDS Introspection Reports • Видимость меж ВМ потоков трафика • Централизованный вид IDS событий и возможность отображения атаки • Централизованный вид ВМ (вкл. ОС, приложений, заплаток, и.т.п.) • Автоматизация отчетности для всех функциональных модулей

11. ИНТЕГРАЦИЯ

12. Интеграция с Juniper безопасностью цод VM1 VM2 VM3 ALTOR vGW Политики Централизованное управление политиками vGW VMware vSphere STRM Firewall Event Syslogs Netflow для интер-VM Трафика Синхронизация зон Зеркалирование трафикак IPS Сеть Juniper EX Switch Juniper SRX with IDP

13. SRXи VGW – микро сегментация голубыеВМпринадлежат заказчику “A” в ZONE 1 = VLAN 221 ESX-1 создание SRX ZONE “A” для заказчика “A” с VLAN 221 1 VGW Создание политики SRX ZONE SRC DST ACTION ANY ZONE “A” REJECT 2 Коммутация в ЦОД ESX-2 SRX5800 VGW УведомлениеVGWобSRXи Заказчике “A” уточнение “SMART GROUPS” с информацией ВМ заказчика “A” 3 4 Создание VGWполитики для сегментации внутри ВМ заказчика “A” 5

14. Интеграция с STRMсерией • Интегрированный физический и виртуальный compliance а также управление атак. Консолидирование журналов и статистики потоков(syslogиNetFlow) • Преимущества: • Единое точка обзора ЦОДа • Централизованный мониторинг и отчетность • Повышение возврата инвестиций от STRMСерии • Быстрота и простота настройки

15. Idpинтеграция • Отправка трафика виртуальной сети к аппаратному Juniper IDP для анализа. Совместим с IDP серией или встроенного в SRX (11.2r1). • Преимущества: • Выбор в использовании встроенного vGW IDS или Juniper аппаратного IDP • Может быть использовано комбинирование устройств для оптимизации производительности (направление потоков на базе правил)

16. ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END

17. ТЕХНОЛОГИЯ APPSECURE SRX Security Service Gateways Juniper AppSecureпозволяет распознавать приложения • WEB2.0становится универсальным транспортом • AppSecureпозволяет определить приложение • Необходимость смотреть внутрь протокола • IPS ресурсоемкое приложение Используются технологии IPS но не требуют существенных ресурсов AppSecureSoftware Security Research Teams

18. STRM Основные Возможности Управление Логами: Выявление нужных Угроз в точное время Соответствие: Безопасная сеть за счет соответствия политикам безопасности Дополняет портфель систем управления Juniper Обнаружение Угроз: Обнаружение новых угроз, которые не обнаруживаются другими устройствами Преимущества для Предприятий Программно аппаратный комплекс Juniper STRM