'

Безопасность частного облака на основе технологий Microsoft

Понравилась презентация – покажи это...





Слайд 0

Безопасность частного облака на основе технологий Microsoft Бешков Андрей Руководитель программы информационной безопасности Microsoft abeshkov@microsoft.com http://twitter.com/abeshkov


Слайд 1

О чем будем говорить? Основные проблемы безопасности частных облаков Построение безопасного частного облака Новинки ИБ в Windows Server 2012


Слайд 2

Что такое облака?


Слайд 3

Более 400 облачных сервисов Microsoft 300M+ Users 76 markets and 48 languages 4 миллиарда писем ежедневно 5.0 миллиардов сообщений в день 59 markets and 36 languages


Слайд 4

Как Microsoft видит частное облако Управление Характеристики: Самообслуживание арендаторов Оплата за потребляемые ресурсы Автоматическое развертывание, управление и мониторинг Интерфейс мониторинга и отчетности доступный арендаторам


Слайд 5

Основные проблемы безопасности Безопасность названа главнейшим препятствием на пути к применению облаков Основные проблемы: Изоляция арендаторов друг от друга и инфраструктуры облака на уровне вычислительных ресурсов, хранилища, сети Аутентификация / Авторизация / Аудит доступа к облачным ресурсам и физической инфраструктуре Влияние на КЦД сервисов или данных с помощью уязвимостей в ПО или зловредного кода Неавторизованный доступ или DoS атаки из-за неправильной настройки Источник: IDC Enterprise Panel, August 2008 # КЦД = Конфиденциальность, Целостность и Доступность


Слайд 6

Безопасность ЦОД GFS Microsoft Сертификация системы управления безопасностью ISO/IEC 27001:2005 Ежегодная аттестация SAS-70 Type II Разрешение эксплуатации по FISMA Международная сертификация


Слайд 7

Автоматическое развертывание вирт. машин Раздельное администрирование для арендаторов инфраструктуры Автоматическое развертывание юнитов масштабирования (кластерами до 16 узлов) Обновление хостов и вирт. машин без прерывания сервиса Мониторинг инфраструктуры и автоматические корректирующие действия Типовое решение облака IaaS


Слайд 8

Логическая архитектура облака IaaS


Слайд 9

Пограничные маршрутизаторы Агрегирующие маршрутизаторы Агрегирующие коммутаторы Хосты / вирт. машины Хранилище Отказоустойчивость и Fault Domain


Слайд 10

Пограничные маршрутизаторы Агрегирующие маршрутизаторы Агрегирующие коммутаторы Хосты / вирт. машины Хранилище Отказоустойчивость и Fault Domain


Слайд 11

Управляемая инфраструктура ключ к безопасности Стек безопасности технологий Microsoft


Слайд 12

Уязвимости ТОП 20 производителей ПО Источник Secunia 2011 yearly report


Слайд 13

Атаки на стек виртуализации Родительский раздел Вирт. машина Ring 0: Kernel Mode Оборудование Клиентское приложение Ядро ОС Ring 3: User Mode VMBus Virtualization Service Providers (VSPs) Server Core


Слайд 14

Каждая ВМ получает свой собственный ресурс ОЗУ, дисков, ЦПУ, сетей Отдельный процесс обслуживания для каждой ВМ Изолированные каналы взаимодействия ВМ и родительского процесса ВМ не может влиять на другие ВМ, родительский раздел и гипервизор Взаимодействие ВМ только через родительский раздел Защита стека виртуализации


Слайд 15

Server core уменьшает поверхность атаки ~50% меньше обновлений и рестартов Server core лучший выбор


Слайд 16

Hyper-V Authorization Manager Единая система авторизации и идентификации Ролевое управление группами хостов и ВМ Привязка ролей и групп к AD Рекомендуется создавать дополнительные роли Комбинация из 33-х операций для каждой роли Обслуживание хоста Hyper-V Обслуживанием сетей Hyper-V Обслуживание ВМ Hyper-V


Слайд 17

Virtual Machine Manager Единая система авторизации и идентификации Роли: Administrator Полный доступ ко всем хостам, ВМ и серверам библиотек ВМ. Delegated Administrator Административный доступ к группе хостов и серверов библиотек Self-Service User Административный доступ к ограниченному набору ВМ через веб интерфейс портала самообслуживания Создание нестандартных ролей доступа через портал самообслуживания


Слайд 18

Изоляция сетевого траффика Только базовые возможности виртуального коммутатора Сегментация сети хоста и ВМ с помощью VLAN 802.1Q Раздельные физические сетевые адаптеры на хосте Hyper-V Фильтрация трафика между VLAN c помощью межсетевого экрана


Слайд 19

Защита сети в Hyper-V Новые возможности виртуального коммутатора Windows Server 2012 PVLAN Защита от ARP/ND Spoofing Защита от подложного DHCP Разграничение доступа к портам виртуального коммутатора с помощью Virtual Port ACLs Trunk Mode для виртуальных машин Мониторинг и проверка траффика портов вирт. Коммутатора Партнерские расширения Cisco: Nexus 1000V & UCS Virtual Machine Fabric Extender (VM-FEX) NEC: OpenFlow 5nine: Virtual Firewall 3.0 InMon: sFlow


Слайд 20

Недоверенный Неуправляемый ПК Контроллер Active Directory X X Доверенный сервер Корпоративная сеть Определить логические границы Распространяем политики и данные аутентификации Управляемые системы могу работать друг с другом Блокируем входящие соединения от недоверенных клиентов Ограничение доступа к ресурсам в зависимости от доверия к системе Изоляция сегментов с помощью IPSec


Слайд 21

Фильтрация сетевого трафика Использовать Windows Firewall with Advanced Security (WFAS) на хосте и ВМ Настройки межсетевого экрана распространять с помощью групповых политик Правила межсетевого экрана могут применяться через портал самообслуживания Использование IDS/IPS для обнаружения аномалий сетевого трафика и реагирования на них.


Слайд 22

Развертывание виртуальных машин одной кнопкой прекрасно…. Внедрение виртуализации без управления способно принести больше вреда, чем пользы. Результатом автоматизации бардака всегда становится автоматизированный бардак! Централизация управления


Слайд 23

Автоматизация управления, мониторинга и отчетности Сложность управления инфраструктурой ухудшает безопасность Ручные операции на множестве систем выполняемые множеством администраторов приводят к ошибкам Если вы не знаете что есть в вашей инфраструктуре вы не можете этим управлять! Порталы и отчеты Сторонние решения


Слайд 24

Автоматизация управления, мониторинга и отчетности ИТ задачи Процесс развертывания ВМ Остановить устаревшую ВМ, освободить ресурсы, удалить из CMDB Клонировать ВМ Обновить ВМ, развернуть приложения Зарегистрировать новый объект в CMDB и подключить мониторинг


Слайд 25

Обновление хостов кластера Hyper-V с помощью System Center и Orchestrator


Слайд 26

Соответствие Хостов, ВМ, приложений требованиям политики ИБ Проверьте базовую конфигурацию рекомендуемую Microsoft для: Членов домена, Хостов Hyper-V, Контроллеров домена и.т.д. Применение базовой конфигурации Экспорт из библиотеки Microsoft Security Compliance Manager в групповую политику Измерение соответствия базовой конфигурации Экспорт из библиотеки Microsoft Security Compliance Export в DCM пакет Configuration Manager и создание отчетов по собранным данным


Слайд 27

Библиотека рекомендаций Microsoft Security Compliance Manager Windows Server 2008 R2 AD Certificate Services Server Baseline Windows Server 2008 R2 Attack Surface Reference.xlsx Windows Server 2008 R2 DHCP Server Baseline Windows Server 2008 R2 DNS Server Baseline Windows Server 2008 R2 Domain Baseline Windows Server 2008 R2 Domain Controller Baseline Windows Server 2008 R2 Member Server Baseline Windows Server 2008 R2 File Server Baseline Windows Server 2008 R2 Hyper-V Baseline Windows Server 2008 R2 Network Access Services Server Baseline Windows Server 2008 R2 Print Server Baseline Windows Server 2008 R2 Remote Desktop Services Baseline Windows Server 2008 R2 Web Server Baseline Windows Server 2008 R2 Setting Pack Windows Server 2008 R2 Security Guide.docx Windows 7, Windows Vista, Windows XP, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Internet Explorer 8 Microsoft Office 2010, and Office 2007


Слайд 28

RMS BitLocker Шифрование директорий с данными Хранение ключей EFS на смарткарте EFS Защита данных и ОС Безопасная передача данных партнерам и клиентам Защита данных от утечек и инсайдеров Защита информации в течении всего цикла жизни Шифрование данных основных приложений Microsoft


Слайд 29

Панацея? Все проблемы безопасности частного облака технически средствами не решить: Единая система аутентификации и авторизации доступа к физическим и виртуальным элементам облачного ЦОД Единая система мониторинга, управления, развертывания, обновления System Center Разделение полномочий развертывания, защиты, аудита Включение в проекты сотрудника отдела безопасности Строжайшие политики физического доступа в ЦОД


Слайд 30

Ресурсы Microsoft Virtualization: http://www.microsoft.com/virtualization Microsoft Virtualization TechCenter http://technet.microsoft.com/ru-ru/virtualization/default.aspx Microsoft Hyper-V Security Guide http://technet.microsoft.com/en-us/library/dd569113.aspx Windows Virtualization Blog Site: http://blogs.technet.com/virtualization/default.aspx Windows Server 2008 Virtualization & Consolidation: http://www.microsoft.com/windowsserver2008/en/us/virtualization-consolidation.aspx System Center Virtual Machine Manager (SCVMM) http://www.microsoft.com/systemcenter/virtualmachinemanager/en/us/default.aspx Hyper-V FAQ http://www.microsoft.com/windowsserver2008/en/us/hyperv-faq.aspx


Слайд 31

Ресурсы Virtualization Hypervisors” evaluation criteria: http://www.burtongroup.com/Client/Research/Document.aspx?cid=1569 Security Best Practices for Hyper-V and Server Virtualization http://bit.ly/hq6chE Virtualization Security Overview by Cisco http://bit.ly/eJqi0Z Private Cloud Solution Hub www.technet.com/cloud/private-cloud Private Cloud IaaS Page www. microsoft.com/privatecloud


Слайд 32

Вопросы? abeshkov@microsoft.com http://beshkov.ru http://twitter.com/abeshkov


×

HTML:





Ссылка: