Комплексная защита виртуальной среды от внешних угроз

Copyright 2009 Trend Micro Inc. 1

Комплексная защита виртуальной среды от внешних угроз

Вениамин Левцов, Региональный менеджер Trend Micro в России и СНГ

Денис Безкоровайный, CISA, CISSP, Технический консультант Trend Micro

Copyright 2009 Trend Micro Inc.

Компоненты системы безопасности

Средства ИБ в

составе

платформы

виртуализации

Контроль НСД и

коммуникаций ВМ

с окружением

Защита от внешних

угроз: сетевых атак,

вредоносного ПО,

уязвимостей

http://media1.podtech.net/media/2009/02/PID_013858/Podtech_vmware.jpg


От «классических» средств ИБ – к специализированым

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

3

II. Реализация требований в

продукте Trend Micro

I. Особенности

функционирования систем

ИБ в условиях виртуальной

среды


1. Мобильность виртуальных машин

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

4

Гостевые виртуальные машины (ВМ) мигрируют

в пределах хоста, изменяют своѐ состояние

• Безопасность должна «перемещаться» вместе с

защищаемой средой

• Оптимальное решение – агент для каждой ВМ

• Независимость от состояния ИБ на хосте

• Простота развертывания и управления


2. Гипервизор

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

5

Управляющая среда (гипервизор) осуществляет

контроль среды ВМ

• На уровне гипервизора видна общая картина ИБ

• Полный контроль сетевого и файлового обмена

• Подсистема ИБ, вынесенная за пределы ВМ, практически

неуязвима


3. Ограниченность ресурсов ВМ

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

6

Ресурсы, выделяемые под отдельную ВМ,

существенно ограничены

• В физической среде антивирусное программное

обеспечение устанавливается для каждого экземпляра

операционной системы

• Разумно перенести работу антивирусного ПО вовне

гостевой ВМ

• Требуется интеграция с интерфейсом гипервизора


4. Обеспечение безопасности ВМ при включении

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

7

Гостевые виртуальные машины могут

создаваться из «небезопасных» образов

• Образ, на основе которого создается ВМ может быть создан

достаточно давно – высокий риск наличия уязвимостей ПО

• Даже если на ВМ есть антивирус, он может использовать

устаревшие сигнатурные базы

• Если гостевая ВМ не находится в работе при

развертывании (обновлении) антивирусного ПО, она будет

незащищена при запуске


5. Особенности сетевого трафика

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

8

Сетевой трафик локализован локализован в

пределах хоста

• Активный трафик между отдельными ВМ не может

контролироваться физическими (шлюзовыми или

сетевыми) устройствами

• Постоянная миграция приложений в пределах виртуального

хоста осложняет разработку строгих политик

• Традиционными средствами крайне сложно организовать

изоляцию ВМ

• Требуется организация контролируемой зоны в пределах

ВМ и в пределах хоста


6. Разнородность среды

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

9

Среда может включать физические,

виртуальные, внешние («облачные») ресурсы –

требуется единый подход к борьбе с

уязвимостями

• На отдельных ВМ могут быть запущены критичные

приложения – особый порядок их обновления

• Остановка физического сервера не всегда возможна

• Требуется соблюдать единый уровень закрытия

уязвимостей для различных типов ресурсов


7. Высокая динамика развертывания приложений

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

10

Более высокая динамика развертывания

приложений усложняет контроль их обновлений

• Нужна технология защиты, позволяющая защитить ресурсы

корпоративной сети, даже если они содержат назакрытые

критические уязвимости

• Решение - применение механизмаов Virtual patching/

Vulnarability shielding


8. Единая среда исполнения и управления подсистем ИБ

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

11

Требуется тесная интеграция различных

подсистем ИБ и единая среда управления

• Объединение в едином «движке» различных функций ИБ –

минимизация нагрузки на системные ресурсы

• Совместная работа подсистем Firewall + IPS + защита web-

приложений позволяет комплексно отслеживать опасную

сетевую активность

• Централизованное управление агентами и выделенными

ВМ – локальными серверами безопасности

• Единый поставщик данных для Security Operation Center


Ключевые требования

Мобильность гостевых ВМ

Активное вовлечение гипервизора

Ограниченность ресурсов гостевых ВМ

Риски безопасности ВМ при включении в работу

Ограничение сетевого трафика пределами виртуального хоста

Разнородность ресурсов

Высокая динамика развертывания приложений

Важность единой среды функционирования и управления систем ИБ

Особенности защиты виртуальной среды

12


Комплексная безопасность для динамичной среды

13


Защита ЦОДа – важнейшая часть ИБ


От «классических» средств ИБ – к специализированым

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

15

I. Особенности функционирования

систем ИБ в условиях виртуальной

среды

II. Реализация требований

в продукте Trend Micro

Copyright 2009 Trend Micro Inc.Classification 12/2/2010 16

Copyright 2009 Trend Micro Inc. 17

IDS / IPS

Защита Web-приложений

Контроль приложений

Глубокий пакетный

анализ (DPI)

Анализ

событий

Trend Micro Deep SecurityЗащита виртуальных, облачных и физических датаценторов

Контроль

целостности

Антивирус

Межсетевой экран

АгентVirtual

Appliance


Deep SecurityЗащита на уровне гипервизора

Защита, тесно интегрированная с виртуальной

инфраструктурой:

• Антивирус

• Межсетевой экран

• Глубокий пакетный анализ (IDS/IPS)

vSphere

vShield Endpoint & VMsafe


Deep SecurityПреимущества безагентского антивируса

Агент

Раньше

• Проще управление: не нужно устанавливать агентов,

обновлять их

• Лучше производительность: нет одновременных

проверок, не нужно обновлять сигнатуры на всех

агентах

• Надежнее защита: защита при включении ВМ,

невозможно отключить защиту

vSphere

Агент Агент

Virtual

Appliance

Сегодня с vShield Endpoint

vSphere

vShield Endpoint


Deep SecurityБезопасность, готовая к облачной инфраструктуре

• «Умные» агенты дополняют Virtual Appliance

• сферы применения: offline desktops, compliance,

эшелонированная защита

• Безопасность из «частного» облака перемещается в

«публичное» облако

vSphere


Deep SecurityБезопасность, «понимающая» контекст виртуализации

vCenter

• Интеграция Deep Security с vCenter

• Полная видимость виртуальных машин

• Координированный подход в работе агента и

Virtual Appliance

vSphere

Copyright 2009 Trend Micro Inc.22

Виртуальный патчингМногоступенчатая защита

Очищенный трафик

Пропускает то,

что разрешено

Исходный трафик

Останавливает

известные эксплойты

Блокирует

известные уязвимости

Блокирует атаки

нулевого дня

Firewall

Поиск эксплойтов

Правила

по уязвимостям

Экспертные

правила

1

2

3

4

Deep

packet

insp

ecti

on


Deep Security Virtual Appliance

На у

ро

вн

е я

др

аН

а у

ро

вн

е

по

ль

зо

ват

ел

я

23

• Специальная виртуальная машина, устанавливаемая в ESX/ESXi

• Реализует защитные функции

• межсетевой экран

• глубокий пакетный анализ (DPI)

• антивирусная защита

– Требования и производительность:

• RAM: 1 ГБ – достаточно для 100 ВМ

• CPU: по умолчанию 2 CPU

• Трафик: 500 Мбит/с суммарно на хост


Сертификаты

• Common Criteria

• Evaluation Assurance Level 3 Augmented (EAL 3+)

– EAL 4+ в процессе

– Сертифицирован на большем количестве платформ(Windows, Solaris, Linux) чем любой другой HIPS

• NSS Labs

– Deep Security прошел тестирование на применимость для использования в проектах по PCI DSS в качестве HIPS.

24


Наши клиенты: Deep Security

© Third Brigade, Inc.

Правительство

Медицина

ПО

как услуга

Финансы

Образование

Другие

отрасли

25

Copyright 2009 Trend Micro Inc.Classification 12/2/2010 26

Координированный подход:

• Оптимизированная защита

Агенты безопасности:

• Дополнительные модули защиты

• Мобильность для

перемещения в облако

Virtual Appliance:

• AV, IDS/IPS, FW

• высокая эффективность

• управляемость

Интеграция с гипервизором и vCenter:

• Понимается контекст виртуализации

• Защищает машины при включении

Trend Micro Deep SecurityБезопасность, созданная для VMware


Trend Micro и VMwareЗащита надежнее, чем для физических серверов

Trend Micro Deep Security, единственное в индустрии решение для VMware, которое

• первым предлагает безагентскую антивирусную защиту для виртуальных машин

• объединяет множество защитных модулей в одном продукте

• предлагает специализированную защиту виртуальной, физической и облачной среды

Classification 12/2/2010 27


Ваши вопросы

[email protected]

mailto:[email protected]

Technology

Комплексная защита виртуальной среды от внешних угроз