КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ
advertisement
КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ Антон Минаков Март 2012 ПОЧЕМУ СЕРВЕРНАЯ ВИРТУАЛИЗАЦИЯ… 2 Экономит Экономит деньги место Экономия на Улучшает время/ инфраструктуре выход на рынок Copyright © 2010 Juniper Networks, Inc. www.juniper.net Скорость бизнеса Надежность без покупки дополнительного «железа» ЭВОЛЮЦИЯ СЕРВЕРНОЙ ВИРТУАЛИЗАЦИИ Фаза 1 прошлое Фаза 2 будущее Консолидация серверов Скорость бизнеса Движущий фактор: Улучшить использование физических ресурсов Мотивация: Экономия на кап. расходах Питание и место Улучшения в использовании серверов Сеть не имела значения 3 Copyright © 2010 Juniper Networks, Inc. Движущий фактор: Улучшить использование пула ресурсов Мотивация: Быстрая адаптация к новым потребностям Усиленные требования к безопасности и соответствию Улучшение управления в случае сбоев Модели на базе облачных вычислений Сеть имеет огромное значение www.juniper.net БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ Физическая сеть Виртуальная сеть VM1 VM2 VM3 ESX/ESXi Host Virtual Switch HYPERVISOR Firewall/IDS видят/защищают весь трафик между серверами 4 Company Confidential Copyright © 2009 Juniper Networks, Inc. Физическая безопасность «слепа» к трафику между ВМ www.juniper.net ПРОБЛЕМЫ ИЗОЛЯЦИИ В VSWITCH Проблемы изоляции ВМ vSwitches обеспечивает только базовое взаимодействие ВМы включенные в один vSwitch имеют прямой доступ через гипервизор Группы портов назначенные в VLAN ID требуют устройство уровня 3 для маршрутизации Распределенный vSwitches в реальности не закрывает проблем безопасности Администраторы ВМ могут назначить vNICs в любую сеть (даже по неосторожности) 5 Company Confidential Copyright © 2009 Juniper Networks, Inc. www.juniper.net СПОСОБЫ ЗАЩИТЫ ВИРТУАЛЬНЫХ СЕТЕЙ 1 VLANы и Физическая сегментация VM1 VM2 VM3 VM2 3 VM2 VM3 Virtual Security Layer VS HYPERVISOR HYPERVISOR Постоянный тонкий агент для FW & AV 6 Company Confidential Copyright © 2009 Juniper Networks, Inc. www.juniper.net ESX/ESXi Host VS Специальная виртуальная безопасность VM1 VM3 ESX/ESXi Host HYPERVISOR VM1 ESX/ESXi Host VS Агенты традиционной безопасности 2 ОБЗОР РЕШЕНИЯ 7 Copyright © 2009 Juniper Networks, Inc. www.juniper.net VGW СПЕЦИАЛЬНО СПРОЕКТИРОВАННОЕ РЕШЕНИЕ Масштаба оператора услуг & Предприятий 3-х уровневая модель VMware Сертифицировано (подписанные исходники!) Защита каждой ВМ и Гипервизора Поддержка высокой доступности “Защищенный VMotion” 2 Защищен ный дизайн для vGW Партнерский сервер (IDS, SIM, Syslog, Netflow) Данные VM VM1 VM2 3 THE vGW ENGINE VMWARE API’s Гранулированная многоуровневая защита Any vSwitch (Standard, DVS, 3rd Party) Stateful firewall, встроенный IDS, и Антивирус Гибкость применения политик – зона, VM группа, ВМ, индивидуальный vNIC 8 Company Confidential Copyright © 2009 Juniper Networks, Inc. VM3 ГИПЕРВИЗОР www.juniper.net VMware Kernel масштабируется более 1,000+ узлов “Авто Защита” определяет/защищяет новые ВМы Virtual Center ESX or ESXi Host Поддержка Виртуализации 1 ТОНКАЯ ИНТЕГРАЦИЯ С VCENTER Без синхронизации вручную Полный инвентарь ВМ поступает от vCenter Защищенные синхронизации с изменениями виртуальной инфраструктуры ВМы идентифицируются по их vCenter UUID Нет необходимости доверять слабым ассоциациям Дифференциация между ВМ и клонами Использование корректной политики и мониторинг в случае изменений Проверка настроек инфраструктуры Предотвращение “задних каналов” Гарантия целостности конфигураций Автоматическое развертывание Развертывание FW программно Упрощенная настройка HA путем клонирования управляющей ВМы 9 Company Confidential Copyright © 2009 Juniper Networks, Inc. www.juniper.net VGW МОДУЛИ Main Firewall Панель отображения виртуальных систем, атак (включая карантин ВМ) Управление политиками МСЭ и логирование Network Видимость меж ВМ потоков трафика 10 Company Confidential AntiVirus Compliance Полная антивирусная защита для ВМ Внешние и частные движки уведомляют об изменениях конфигураций ВМ/узолв IDS Централизованный вид IDS событий и возможность отображения атаки Copyright © 2009 Juniper Networks, Inc. Introspection Reports Централизованны й вид ВМ (вкл. ОС, приложений, заплаток, и.т.п.) Автоматизация отчетности для всех функциональных модулей www.juniper.net ИНТЕГРАЦИЯ 11 Copyright © 2009 Juniper Networks, Inc. www.juniper.net ИНТЕГРАЦИЯ С JUNIPER БЕЗОПАСНОСТЬЮ ЦОД VM1 VM2 VM3 ALTOR vGW Политики Централизованное управление политиками vGW VMware vSphere Firewall Event Syslogs Netflow для интер-VM Трафика Синхронизация зон Зеркалирование трафика к IPS STRM Сеть Juniper EX Switch 12 Company Confidential Juniper SRX with IDP Copyright © 2009 Juniper Networks, Inc. www.juniper.net SRX И VGW – МИКРО СЕГМЕНТАЦИЯ голубые ВМ принадлежат заказчику “A” в ZONE 1 = VLAN 221 ESX-1 1 создание SRX ZONE “A” для заказчика “A” с VLAN 221 VGW ESX-2 VGW 3 13 2 Коммутация в ЦОД Уведомление VGW об SRX и Заказчике “A” Company Confidential SRC ANY Создание политики SRX ZONE DST ACTION ZONE “A” REJECT SRX5800 4 уточнение “SMART GROUPS” с информацией ВМ заказчика “A” 5 Создание VGW политики для сегментации внутри ВМ заказчика “A” Copyright © 2009 Juniper Networks, Inc. www.juniper.net ИНТЕГРАЦИЯ С STRM СЕРИЕЙ Интегрированный физический и виртуальный compliance а также управление атак. Консолидирование журналов и статистики потоков (syslog и NetFlow) Преимущества: Единое точка обзора ЦОДа Централизованный мониторинг и отчетность Повышение возврата инвестиций от STRM Серии Быстрота и простота настройки 14 Company Confidential Copyright © 2009 Juniper Networks, Inc. www.juniper.net IDP ИНТЕГРАЦИЯ Отправка трафика виртуальной сети к аппаратному Juniper IDP для анализа. Совместим с IDP серией или встроенного в SRX (11.2r1). Преимущества: Выбор в использовании встроенного vGW IDS или Juniper аппаратного IDP Может быть использовано комбинирование устройств для оптимизации производительности (направление потоков на базе правил) 15 Company Confidential Copyright © 2009 Juniper Networks, Inc. www.juniper.net ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END Результаты с Junos 10.4 SRX1400 SRX3400 SRX3600 SRX5600 SRX5800 FW 10 Gbps 20 Gbps 30 Gbps 60 Gbps 150 Gbps VPN 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps IPS 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps PPS 1М 3.5М 6.5М 9М 21М 0.5М 2.25М / 3М 2.25М/ 6М 9М 12.5М/14М (с Количество сессий ограничениями) Новых сессий 45k 175k 175k / 300k 350k 350k ( / with add’l license) Встроенные порты: GE XGE 6 6 8 8 6/4 3/1 4 4 0 3 28/26 25/23 76 108 200 440 2 5 8 12 40 88 10/100/1000Base-T 1000Base-X (HA off / on) 10GBase-F Максимальное кол-во GbE (HA off / on) 10 GbE 16 Company Confidential Copyright © 2009 Juniper Networks, Inc. www.juniper.net ТЕХНОЛОГИЯ APPSECURE Juniper AppSecure позволяет распознавать приложения WEB2.0 становится универсальным транспортом Необходимость смотреть внутрь протокола IPS ресурсоемкое приложение AppSecure позволяет определить приложение Используются технологии IPS но не требуют существенных ресурсов AppSecure Software 17 SRX Security Service Copyright © 2009 Juniper Networks, Inc. Gateways Security Research Teams www.juniper.net STRM ОСНОВНЫЕ ВОЗМОЖНОСТИ Обнаружение Угроз: Обнаружение новых угроз, которые не обнаруживаются другими устройствами Управление Логами: Выявление нужных Угроз в точное время Соответствие: Безопасная сеть за счет соответствия политикам безопасности Преимущества для Предприятий Программно аппаратный комплекс Juniper STRM 18 Copyright © 2009 Juniper Networks, Inc. www.juniper.net Дополняет портфель систем управления Juniper
