'

Защита виртуальных систем – сейчас и в ближайшее время

Понравилась презентация – покажи это...





Слайд 0

Classification 1/6/2016 1 Защита виртуальных систем – сейчас и в ближайшее время Николай Романов • Технический консультант


Слайд 1

Подход к защите VM На физических и виртуальных серверах угрозы одинаковые. дополнительные особенности: Отключенные VM Разделение ресурсов Рост числа VM Трафик между VM vMotion 2


Слайд 2

Виртуализация и безопасность 3 3


Слайд 3

Уменьшение бреши в плане уязвимостей 4 4


Слайд 4

Безопасность веб приложений 5 5


Слайд 5

Trend Micro Лучший в отрасли по защите виртуализированных ЦОД Nemertes Research 2009


Слайд 6

Deep Security 7.0 - Virtualization Security Classification 1/6/2016 7


Слайд 7

Classification 1/6/2016 8 Защита на базе решения Deep Security “Мультиплатформенная защита критически важных для бизнеса серверов и приложений”


Слайд 8

9 Физические Виртуальные Облачные Защита серверов/приложений:


Слайд 9

Реактивная защита Частные источники Скрытые источники Координирование информации и откликов Разработка правил Сортировка Анализ охвата Открытые источники Мониторинг Оценка Разработка Доставка Автоматизированный мониторинг SANS CERT Консалтинг вендоров Bugtraq VulnWatch PacketStorm Securiteam Telus (Assurent) Разработка правил Эксплойт/Атака Уязвимость Уловки/Аномалии/Трафик Отклик Автоматизировано В течение нескольких часов QA Сортировка приложений Широкий спектр охватываемых серверных, настольных и специализированных приложений Рекомендации по каждому правилу 10


Слайд 10

Classification 1/6/2016 11 Уведомления Microsoft по технической безопасности Microsoft заблаговременно предоставляют общую информацию по вопросам безопасности продуктов Уведомления Microsoft по технической безопасности информируют о найденных уязвимостях и доступных исправлениях, касающихся продуктов Microsoft Уведомления Microsoft по технической безопасности выпускаются каждый 2ой вторник ежемесячно и содержат следующую информацию: Обзор уязвимостей ПО, подверженное уязвимостям Уровни угроз и идентификаторы уязвимостей Сопроводительное руководство Часто задаваемые вопросы


Слайд 11

Classification 1/6/2016 12 Microsoft Active Protections Program (MAPP) Microsoft Active Protections Program (MAPP) Программа для разработчиков систем безопасности Участники заранее получают информацию об уязвимости из Microsoft Security Response Center (MSRC), до публикации ее в ежемесячном бюллетене Участники используют эту информацию для обеспечения защиты клиентов сразу после публикации этих данных Trend Micro предоставляет защиту своим клиентам в течение 2 часов после публикации Microsoft Security Bulletins Это дает возможность клиентам защитить уязвимые системы от атак Системы могут быть пропатчены в течение следующего планового обслуживания


Слайд 12

Deep Security 13


Слайд 13

Архитектура Deep Security TODO


Слайд 14

Deep Security Manager (DSM) Система централизованного управления на базе веб-консоли Управление профилями безопасности Система гибкого ролевого администрирвоания (например, делегирование полномочий Детальная отчетность Рекомендации по сканированию Настраиваемая панель мониторинга Автоматизация планировки задач Обновления ПО и безопасности Интеграция (vCenter, SIEM, Active Directory) Масштабируемость (множество узлов) 15


Слайд 15

16 Deep Security Virtual Appliance* Согласованный подход Согласованный подход Агент отключается Согласованный подход Агент отключается Защита VM обеспечивается на уровне Virtual Appliance * VMware vSphere 4 VMsafe API


Слайд 16

Согласованный подход Каждый механизм имеет свои преимущества… 17 Совместимость с Агентом - VMware 3.x, Citrix, and Hyper-V Virtual Appliance – VMware vSphere 4 (ESX 4)


Слайд 17

18 Deep Security Virtual Appliance


Слайд 18

Deep Security 7 – поддержка платформ 19 19 Windows 2000, Windows 7 Windows XP, 2003 (32 & 64 bit) Vista (32 & 64 bit) Windows Server 2008 (32 & 64 bit) 8, 9, 10 on SPARC 10 on x86 (64 bit) Red Hat 4, 5 (32 & 64 bit) SuSE 10,11 VMware ESX 3.x (in-guest Agent) VMware vSphere 4 (Virtual Appliance & in-guest Agent) HP-UX 11i (11.31) AIX 5.3, 6.1 Integrity Monitoring & Log Inspection modules


Слайд 19

В скором времени.. Classification 1/6/2016 20


Слайд 20

Неважно: работа в локальной сети ведется как в общедоступной. Систематизация 06.01.2016 21 SecureCloud* – защита доступа к данным в виртуализированных ЦОД Неважно: границы моего виртуального сервера защищены брандмауэром. Неважно: работа в локальной сети ведется как в общедоступной. Неважно: без меня можно загрузить мой сервер, но разблокировать мои данные нельзя. Неважно: мои данные зашифрованы (никаких хлебных крошек). SecureCloud* – в состоянии бета-тестирования с апреля 2010 по август 2010. Подробности и возможность принять участие в тестировании: http://trendbeta.com


Слайд 21

Новая модель безопасности — защита вычислительной цепочки Все среды должны считаться ненадежными. Систематизация 06.01.2016 22 Когда вся цепочка защищена, компоненты могут перемещаться


Слайд 22

Подробности по Deep Security Classification 1/6/2016 23


Слайд 23

vSphere 4 - VMsafe™ APIs 24 Проверка ЦП/Памяти Проверка отдельных сегментов памяти Знание состояния ЦП Применение политик через разделение ресурсов


Слайд 24

Deep Security Virtual Appliance (совместно с vSphere 4 VMsafe) 25 App OS ESX Server App OS App OS Защита VM через проверку виртуальных компонент Защищает VM извне, не требует никаких изменений в VM Полная интеграция с vMotion, Storage VMotion, HA с учетом специфики. Интеграция с Virtual Center для выявления VM и синхронизации


Слайд 25

Deep Security Virtual Appliance Внутренняя архитектура 26 vNIC vSwitch Deep Security Virtual Appliance Stateful Firewall DPI Micro Firewall (Blacklist & Bypass) Tap/Inline Drop Drop Drop PASS Входящий/ Исходящий пакет Hypervisor


Слайд 26

Дополнительные возможности Deep Security 7… Classification 1/6/2016 27


Слайд 27

Тэгирование событий Система многоцелевого управления событиями Не изменяет и не удаляет оригинальные события Сценарии: Снижение загруженности (меньшее кол-во событий для анализа; напр.,автотэгирование патчей или событий сканера уязвимостей) Алгоритм прохождения событий (прогон событий через оценочные проверки) Выборочные события (отчеты по определенным комбинациям тэгов, как например ‘возможна 1 брешь’) Интеграция со сторонними системами (системы на основе «тикетов», контроль изменений) 28


Слайд 28

29 Улучшенное управление событиями Тэгирование событий Автоматизирование тэгирование событий по определенному критерию Тэги по умолчанию или собственные Возможно тэгирование отдельного события, похожих событий или всех будущих событий (напр., событий похожих на проверку орфографии MS Word) Существенно снижает объем анализируемых данных Можно по-разному отображать информацию по событиям, на панели мониторинга и при формировании отчетов Тэги можно применять к: Брандмауэру DPI Мониторингу целостности Проверке журналов Системным событиям


Слайд 29

30 Тэгирование событий в Deep Security Специальные События Панели мониторинга Отчеты Применены к Отдельным событиям Схожим событиям Последующим схожим событиям Узел автоматизированного тэгирования событий Админ включил тэгирование Доверенные источники событий Потоковые источники событий События Брандмауэр DPI Мониторинг целостности Проверка журналов Системные Тэгирование событий


Слайд 30

Применение тэгов событий 31 Apply tags to Firewall, DPI, Integrity Monitoring, Log Inspection & System Events


Слайд 31

32 Улучшено управление Мониторинг целостности «на изменение» Мониторинг изменений системных файлов (файлов и папок) и отчет по этим изменениям в реальном времени Данные включены в событие OnChange : Дата и время изменений Измененный или созданный объект Расширенные настройки правил Настройка правил для Мониторинга целостности и Проверки журналов упрощена за счет GUI Расширены возможности Syslog Добавлена возможность перенаправления данных через Syslog на основе модулей защиты напр., отправлять события брандмауэра и DPI, исключая события Мониторинга целостности и Проверки журналов


Слайд 32

Улучшена интеграция с SIEM Syslog Возможность вкл/выкл поддержки Syslog для каждого модуля Deep Security (FW, DPI, IM, LI) на уровне агента 33 Agent Events Firewall DPI Integrity Monitoring Log Inspection All events sent to DSM SIEM


Слайд 33

Расширена масштабируемость Classification 1/6/2016 34 Улучшена масштабируемость и производительность DSM Добавлена поддержка 64-битных Windows 2003 & 2008 Требуется поддержка 64-битного оборудования


Слайд 34

Дополнительные сведения Classification 1/6/2016 35 nikolay_romanov@trendmicro.com +7 (926) 202-76-36 Или russia@trendmicro.com


×

HTML:





Ссылка: