концепция защиты виртуального цод. михаил савушкин,...
Transcript of концепция защиты виртуального цод. михаил савушкин,...
![Page 1: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/1.jpg)
Концепция защиты виртуального ЦОД
![Page 2: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/2.jpg)
2
Цена удобства
Symantec Data Center Security
Происходящее внутри виртуализации практически не отслеживается. Кто и куда обращается «внутри» гипервизора итд, одинаковый подход ко всем сервисам, итд
Использование виртуальных сред позволяет повысить масштабируемость, гибкость и консолидацию инфраструктуры, но администратор имеет практически безграничные возможности:
• не отслеживаемый доступ ко всей информации в виртуальной среде в обход средств защиты внутри виртуальных машин
• бесконтрольное перемещение серверов и рабочих станций внутри виртуального сегмента
• перестроение сетевой структуры виртуальной среды и обходаппаратных сетевых средств защиты
• несанкционированное копирование, изменение и удаление как отдельных виртуальных машин, так и всей продуктивной среды
![Page 3: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/3.jpg)
3
Частые проблемы
Symantec Data Center Security
• Отсутствие контроля со стороны службы ИБ ( зачастую виртуализация полностью в ведении ИТ)
• Влияние на оперативность внедрения новых сервисов и услуг
• Неэффективность использования традиционных средств защиты
• Или не правильное использование традиционных средств
• Сложность реализации нормативных требований
• Дороговизна стандартных схем лицензирования средств защиты
• Сложность обеспечения уровня защищенности и его контроля
• Сложность управления сетевой архитектурой и топологией в виртуальной среде
![Page 4: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/4.jpg)
4
Как решаются проблемы
Symantec Data Center Security
Резервное копирование
Непрерывность
![Page 5: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/5.jpg)
5
Резервное копирование & отказоустойчивость
Symantec Data Center Security
Резервное копирование
Непрерывность
• Полноценное резервное копирование в всей инфраструктуры (для физических и виртуальных систем)
• Возможность восстанавливать и быстро и выборочно...
• Возможность контролировать как приложения внутри виртуальных сред, так и полностью виртуальную машину
• Миграция приложений, сервисов, с минимальными потерями
• Защита и миграция данных
![Page 6: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/6.jpg)
6
Как решаются проблемы
Symantec Data Center Security
Резервное копирование
Непрерывность
Защита от вредоносного кода (Антивирус)
![Page 7: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/7.jpg)
7
Антивирус
Symantec Data Center Security
Классический (агентский) антивирус
• Поддержка технологий связанных с виртуализацией
• Разнесение времени сканирования, обновления сигнатур, возможность использования дополнительных технологий для уменьшения I/O
Решения на технологии Vshield(агентский\безагентский)
• Отсутствие агента в системе, при минимальной защите
• Для полной защиты нужен агент
Решения на технологии NSX (безагентский)
• Новая технология
• Позволяет осуществлять интеграцию с решениями МСЭ в рамках гипервизора
• Автоматизация действий
![Page 8: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/8.jpg)
8
Как решаются проблемы
Symantec Data Center Security
Резервное копирование
Непрерывность
Защита от вредоносного кода (Антивирус)
Сетевая защита
![Page 9: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/9.jpg)
9
Межсетевой экран
Symantec Data Center Security
• Контроль соединений внутри гипервизора
• Обнаружение и предотвращение атак внутри гипервизора
• Отсутствие агентов (только с помощью виртуальной машины)
![Page 10: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/10.jpg)
10
Как решаются проблемы
Symantec Data Center Security
Резервное копирование
Непрерывность
Защита от вредоносного кода (Антивирус)
Сетевая защита
Соответствие, мониторинг итд
![Page 11: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/11.jpg)
11
Как решаются проблемы
Symantec Data Center Security
Отсутствует системный подход
![Page 12: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/12.jpg)
12
Концепция
Symantec Data Center Security
Основные идеи:
• логическое разделение виртуальной инфраструктуры на зоны безопасности и формирование политики защиты виртуальной инфраструктуры
• формирование набора сервисов безопасности и их реализация в виртуальной инфраструктуре
• динамическое предоставление сервисов для каждой из зон
• обеспечение защиты приложений путем их «погружения» в соответствующую зону безопасности
• централизованное управление зонами и сервисами безопасности
• наличие интеграции между сервисами безопасности
• обработка событий как локально, так и с помощью дополнительных сервисов
![Page 13: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/13.jpg)
13
Зона(область) безопасности
Symantec Data Center Security
Категоризация систем, по критичности
![Page 14: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/14.jpg)
14
Зона(область) безопасности
Symantec Data Center Security
Определяем взаимодействие
![Page 15: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/15.jpg)
15
Сервисы безопасности
Symantec Data Center Security
Определяем сервисы безопасности:
• Идентификация/аутентификация
• Управление доступом и учетными записями
• Сбор событий и анализ инцидентов
• Контроль уязвимостей
• Контроль конфигураций средств и механизмов защиты
• Контроль утечек конфиденциальной информации
• Контроль целостности
• Защита от вредоносного контента/кода (антивирус)
• Контроль администраторов
• Контроль пользователей
![Page 16: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/16.jpg)
16
Зона(область) безопасности
Symantec Data Center Security
Определяем наборы сервисов для каждой из зоны:
• обязательные
• дополнительные
![Page 17: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/17.jpg)
17
Как работает
Symantec Data Center Security
• создаем ВМ и определяем ее «принадлежность» или «ценность»
• среда автоматически предоставляет услуги для созданной ВМ
![Page 18: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/18.jpg)
18
Получаем:
Public
Cloud
DCS OrchestrationАвтоматизация
политик и реагирования
2Набор решений1
Безопасность как сервис3
Threat Intelligence Symantec DeepSight / GIN4
• DCS: Cloud Protection (DS)5
Information Security
DCS Server• Advanced Threat Protection • Server Hardening• Hypervisor Hardening • Security for VDI
DCS Data Stores• Data Protection • Encryption• Messaging Security• NAS/SAN
Information Assurance• Archiving (EV) • Backup (NBU)• Availability (VCS)
Физический /
Виртуальный
сегменты
![Page 19: концепция защиты виртуального цод. михаил савушкин, Symantec.](https://reader033.fdocument.pub/reader033/viewer/2022052600/557f54ffd8b42a822f8b4a39/html5/thumbnails/19.jpg)