КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ

реклама
КОМПЛЕКСНОЕ РЕШЕНИЕ БЕЗОПАСНОСТИ
ДЛЯ МОНИТОРИНГА И ЗАЩИТЫ
ВИРТУАЛИЗИРОВАННЫХ ЦЕНТРОВ
ОБРАБОТКИ ДАННЫХ И ОБЛАКОВ
Антон Минаков
Март 2012
ПОЧЕМУ СЕРВЕРНАЯ ВИРТУАЛИЗАЦИЯ…
2
Экономит
Экономит
деньги
место
Экономия на
Улучшает время/
инфраструктуре
выход на рынок
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Скорость
бизнеса
Надежность без покупки
дополнительного «железа»
ЭВОЛЮЦИЯ СЕРВЕРНОЙ ВИРТУАЛИЗАЦИИ
Фаза 1 прошлое
Фаза 2 будущее
Консолидация серверов
Скорость бизнеса
Движущий фактор: Улучшить
использование физических
ресурсов
Мотивация:
 Экономия на кап. расходах
 Питание и место
 Улучшения в использовании
серверов
Сеть не имела
значения
3
Copyright © 2010 Juniper Networks, Inc.
Движущий фактор: Улучшить
использование пула ресурсов
Мотивация:
 Быстрая адаптация к новым
потребностям
 Усиленные требования к безопасности и
соответствию
 Улучшение управления в случае сбоев
 Модели на базе облачных вычислений
Сеть имеет огромное
значение
www.juniper.net
БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ
Физическая сеть
Виртуальная сеть
VM1
VM2
VM3
ESX/ESXi Host
Virtual
Switch
HYPERVISOR
Firewall/IDS видят/защищают
весь трафик между серверами
4
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
Физическая безопасность
«слепа» к трафику между ВМ
www.juniper.net
ПРОБЛЕМЫ ИЗОЛЯЦИИ В VSWITCH
Проблемы изоляции ВМ
 vSwitches обеспечивает только
базовое взаимодействие
 ВМы включенные в один vSwitch
имеют прямой доступ через
гипервизор
 Группы портов назначенные в
VLAN ID требуют устройство
уровня 3 для маршрутизации
 Распределенный vSwitches в
реальности не закрывает
проблем безопасности
 Администраторы ВМ могут
назначить vNICs в любую сеть
(даже по неосторожности)
5
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
СПОСОБЫ ЗАЩИТЫ ВИРТУАЛЬНЫХ СЕТЕЙ
1
VLANы и Физическая
сегментация
VM1
VM2
VM3
VM2
3
VM2
VM3
Virtual Security Layer
VS
HYPERVISOR
HYPERVISOR
Постоянный тонкий агент для FW
& AV
6
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
ESX/ESXi Host
VS
Специальная виртуальная
безопасность
VM1
VM3
ESX/ESXi Host
HYPERVISOR
VM1
ESX/ESXi Host
VS
Агенты традиционной
безопасности
2
ОБЗОР РЕШЕНИЯ
7
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
VGW СПЕЦИАЛЬНО СПРОЕКТИРОВАННОЕ
РЕШЕНИЕ
Масштаба оператора услуг &
Предприятий
 3-х уровневая модель
 VMware Сертифицировано
(подписанные исходники!)
 Защита каждой ВМ и Гипервизора
 Поддержка высокой доступности
 “Защищенный VMotion”
2
Защищен
ный
дизайн
для vGW
Партнерский сервер
(IDS, SIM,
Syslog, Netflow)
Данные
VM
VM1
VM2
3
THE vGW ENGINE
VMWARE API’s
Гранулированная многоуровневая
защита
Any vSwitch
(Standard, DVS, 3rd Party)
 Stateful firewall, встроенный IDS,
и Антивирус
 Гибкость применения политик – зона,
VM группа, ВМ, индивидуальный vNIC
8
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
VM3
ГИПЕРВИЗОР
www.juniper.net
VMware Kernel
масштабируется более 1,000+ узлов
 “Авто Защита” определяет/защищяет
новые ВМы
Virtual
Center
ESX or ESXi Host
Поддержка Виртуализации
1
ТОНКАЯ ИНТЕГРАЦИЯ С VCENTER
Без синхронизации вручную
 Полный инвентарь ВМ поступает от vCenter
 Защищенные синхронизации с изменениями
виртуальной инфраструктуры
ВМы идентифицируются по их vCenter UUID
 Нет необходимости доверять слабым
ассоциациям
 Дифференциация между ВМ и клонами
 Использование корректной политики и
мониторинг в случае изменений
Проверка настроек инфраструктуры
 Предотвращение “задних каналов”
 Гарантия целостности конфигураций
Автоматическое развертывание
 Развертывание FW программно
 Упрощенная настройка HA путем
клонирования управляющей ВМы
9
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
VGW МОДУЛИ
Main
Firewall
Панель отображения
виртуальных систем,
атак (включая
карантин ВМ)
Управление
политиками МСЭ и
логирование
Network
Видимость меж ВМ
потоков трафика
10
Company Confidential
AntiVirus
Compliance
Полная
антивирусная
защита для ВМ
Внешние и частные
движки уведомляют
об изменениях
конфигураций
ВМ/узолв
IDS
Централизованный
вид IDS событий и
возможность
отображения атаки
Copyright © 2009 Juniper Networks, Inc.
Introspection
Reports
Централизованны
й вид ВМ (вкл.
ОС, приложений,
заплаток, и.т.п.)
Автоматизация
отчетности для всех
функциональных
модулей
www.juniper.net
ИНТЕГРАЦИЯ
11
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
ИНТЕГРАЦИЯ С JUNIPER БЕЗОПАСНОСТЬЮ ЦОД
VM1
VM2
VM3
ALTOR
vGW
Политики
Централизованное
управление политиками
vGW
VMware vSphere
Firewall Event Syslogs
Netflow для интер-VM Трафика
Синхронизация зон
Зеркалирование
трафика к IPS
STRM
Сеть
Juniper EX
Switch
12
Company Confidential
Juniper SRX
with IDP
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
SRX И VGW – МИКРО СЕГМЕНТАЦИЯ
голубые ВМ
принадлежат
заказчику “A” в
ZONE 1 = VLAN 221
ESX-1
1
создание SRX ZONE “A” для заказчика
“A” с VLAN 221
VGW
ESX-2
VGW
3
13
2
Коммутация
в ЦОД
Уведомление VGW об SRX и
Заказчике “A”
Company Confidential
SRC
ANY
Создание политики SRX ZONE
DST
ACTION
ZONE “A”
REJECT
SRX5800
4
уточнение “SMART GROUPS” с
информацией ВМ заказчика “A”
5
Создание VGW политики для
сегментации внутри ВМ заказчика
“A”
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
ИНТЕГРАЦИЯ С STRM СЕРИЕЙ
Интегрированный
физический и виртуальный
compliance а также
управление атак.
Консолидирование
журналов и статистики
потоков
(syslog и NetFlow)
Преимущества:
 Единое точка обзора ЦОДа
 Централизованный
мониторинг и отчетность
 Повышение возврата
инвестиций от STRM Серии
 Быстрота и простота
настройки
14
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
IDP ИНТЕГРАЦИЯ
Отправка трафика виртуальной сети к аппаратному Juniper IDP для анализа.
Совместим с IDP серией или встроенного в SRX (11.2r1).
Преимущества:
 Выбор в использовании встроенного vGW IDS или Juniper аппаратного IDP
 Может быть использовано комбинирование устройств для оптимизации
производительности (направление потоков на базе правил)
15
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END
Результаты с
Junos 10.4
SRX1400
SRX3400
SRX3600
SRX5600
SRX5800
FW
10 Gbps
20 Gbps
30 Gbps
60 Gbps
150 Gbps
VPN
2 Gbps
6 Gbps
10 Gbps
15 Gbps
30 Gbps
IPS
2 Gbps
6 Gbps
10 Gbps
15 Gbps
30 Gbps
PPS
1М
3.5М
6.5М
9М
21М
0.5М
2.25М / 3М
2.25М/ 6М
9М
12.5М/14М (с
Количество сессий
ограничениями)
Новых сессий
45k
175k
175k / 300k
350k
350k
( / with add’l license)
Встроенные порты:
GE
XGE
6
6
8
8
6/4
3/1
4
4
0
3
28/26
25/23
76
108
200
440
2
5
8
12
40
88
10/100/1000Base-T
1000Base-X (HA off / on)
10GBase-F
Максимальное кол-во
GbE (HA off / on)
10 GbE
16
Company Confidential
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
ТЕХНОЛОГИЯ APPSECURE
Juniper AppSecure позволяет распознавать приложения
WEB2.0 становится
универсальным транспортом
Необходимость смотреть
внутрь протокола
IPS ресурсоемкое
приложение
AppSecure позволяет
определить приложение
Используются технологии IPS но не требуют существенных ресурсов
AppSecure Software
17
SRX Security
Service Copyright © 2009 Juniper Networks, Inc.
Gateways
Security Research Teams
www.juniper.net
STRM ОСНОВНЫЕ ВОЗМОЖНОСТИ
Обнаружение Угроз:
Обнаружение новых угроз,
которые не
обнаруживаются другими
устройствами
Управление Логами:
Выявление нужных
Угроз в точное время
Соответствие: Безопасная
сеть за счет соответствия
политикам безопасности
Преимущества
для
Предприятий
Программно аппаратный
комплекс Juniper STRM
18
Copyright © 2009 Juniper Networks, Inc.
www.juniper.net
Дополняет
портфель систем
управления
Juniper
Скачать