Essential security aspects in heterogenous Data Centers

Гетерогенные ЦОД

Ключевые аспекты защиты
Николай Романов
Технический консультант
Copyright 2011 Trend Micro Inc.

План

• Что связывает гетерогенность ЦОД с вопросами
защиты данных?
• Сервисы одинаковые – одинаковы ли угрозы?
• Возможности повышения статуса защищенности
• Может ли разработчик средств защиты облегчить
жизнь в данном случае?
• Обсуждение и вопросы

Trend Micro Confidential 6/8/2012 Copyright 2011 Trend Micro Inc. 2

Взаимосвязь гетерогенности ЦОД с
защитой данных
 Поддержание различных платформ
требует разной квалификации
специалистов и уровня их компенсации
 Далеко не всегда имеющиеся ИТ
специалисты обладают знаниями в
смежных областях, касающихся ИБ
 Отсутствие прозрачного контроля по
всем системам снижает уровень
контроля событий (включая ИБ)
 Решенные вопросы базового
обеспечения работоспособности ЦОД и
работающих них сервисов не
гарантирует их стрессоустойчивости в
случае возникновения инцидента ИБ
 Наличие нескольких типов ОС в
организации позволяет
злоумышленникам расширить спектр
используемых для взлома механизмов

Взаимосвязь гетерогенности ЦОД с
защитой данных
 На специфичных платформах
(QNX, AIX, HP-UX и др.) как
правило работают те сервисы,
работа которых не может быть
прервана даже на короткий
промежуток времени
 Необходимо обеспечивать
соответствие требованиям
регуляторов, что в случае
использования большого спектра
ОС становится накладной и
непростой процедурой
 Переход от аппаратных к
виртуальным платформам
расширило перечень решаемых
задач в рамках обеспечения
защищенности сервисов

Сервисы и платформы

 Работа системы документооборота Lotus
Domino в среде AIX/Solaris считается
наиболее эффективной с точки зрения
производительности и поддержки
Что мешает злоумышленникам
 Что не мешает IBM обеспечить поддержку
этой системы на уровне атаку и Linux
провести целевую Windowsна
 Однако, защищенность сервиса имеет
вспомогательные сервисысреды, в
зависимость от защищѐнности той ОС
для получения доступа к
которой он работает
 Есть ли в такой ситуации смысл
данным целевой системы?
использовать Windows или Linux, зная
агрессивность среды по отношению к этим
системам?



 Компании предпочитают системы SCADA,
которые работают в относительно
Можно ли доверять управление
малораспространенных средах
 критическими процессами
До недавнего времени (2007 г.)* эти
системы практически не были
системам, в которых постфактум
подвержены атакам
 обнаруживаются бреши, а с
Тем не менее, число уязвимых SCADA
учетом сложностей их
систем растет (Siemens, RealFLEX,
Wonderware, GE и др.) как на уровне самих
устранения рискуровне тех контроля
приложений, так и на потери
непомерно они работают (QNX,
платформ, где высок?
Windows, Solaris)**
 Даже несмотря на изолированность среды
от Интернет (обычно не более 10%
сервисов публикуется) обеспечить защиту
становится сложнее


 СУБД Oracle используется в большинстве
высокопроизводительных ЦОД на базе
Solaris
 Заметный процент веб-сервисов,
Есть ли непосредственнуюв том, что в
имеющих уверенность связь с
критический моментOracle,
информацией, хранимой в контроль
«Oracle CPU patches can
публикуется в Интернет
систем будет в руках ваших
 Наряду с частыми публикациями перечня
be tricky because you can
have multiple instances
специалистов, СУБД*,третьих лиц?
уязвимостей самой а не организациям on the same system, and
they're all patched
приходится контролировать individually.»
защищенность вспомогательных служб, eEye ***

используемых в цепочке подключений** We recommend addressing
vulnerabilities on systems
 Установка критических патчей и контроль that are Internet accessible
изменений на уровне системы может быть first. Most likely this will
mean fixing
ограничен или отсутствовать, что Weblogic/Apache and
увеличивает вероятность получения Solaris vulnerabilities first,
удаленного доступа, успешного followed by MySQL.
Help Net Security ****
проведения DoS атаки и прочие риски

С чего начать решение вопросов?
Практики противодействия угрозам
 Стоит определиться с выбором среды, в
которой будут работать бизнес-сервисы –
критерии должны быть не только на
основании общих задач
 Наряду с общими средствами контроля
инфраструктуры (сетевые IDS/IPS,
анализаторы сетевого трафика и пр.),
важно иметь средства локального
контроля изменений самой системы
 Запуская сервис в промышленную
эксплуатацию, архитекторы системы
должны явным образом указывать
перечень тех сервисов, которые
требуются для корректной работы всей
бизнес-системы – все лишнее должно
быть отключено

С чего начать решение вопросов?
Практики противодействия угрозам
 Задействованные в *nix средах
системные сервисы, которые не являются
неотъемлемыми элементами бизнес-
служб, желательно изолировать (chroot)*
 Наличие единой системы контроля
событий, связанных с безопасностью и
средствами защиты (Syslog или SIEM),
позволит повысить контроль в рамках
всего спектра платформ и приложений на
них
 Процедура патч-менеджмента должна
учитывать критичность выпускаемых
обновлений для ОС и бизнес-систем**
 Управление доступом на уровне систем и
приложений позволит оперативно
отследить нелегитимное использование
привилегированных учетных записей***

Оценка рисков и возможные
сценарии атак должны
прорабатываться на этапе
проектирования систем и
учитывать специфику
запускаемых сервисов


Чем могут помочь создатели
систем?
 Большинство производителей платформ
выпускает перечень собственных
рекомендаций для повышения
защищенности как самой среды, так и
основных сервисов в ней

 Необходим постоянный контроль
критических обновлений, выпускаемых
разработчиками, а также проработанная
процедура их накатывания

 Оценку проработанности архитектуры
решения для критически важных бизнес-
систем лучше проводить с привлечением
профессиональных сервисов от самих
производителей этих систем

Что предлагают разработчики
систем защиты?

 Системы мониторинга событий
безопасности (SIEM)
 Анализаторы целостности ОС и
приложений
 Системы контроля конфигурации
приложений
 Сетевые и резидентные системы защиты
от вторжений
 Средства контроля доступа на уровне
среды
 Шифрование данных и трафика


Защита отвечает нуждам компаний:
Партнерская экосистема

Threat Intelligence

Защита Защита Защита Защита от Сетевая Управление Безопасность
Защита данных
конечных точек ЦОД почты и веб уязвимостей безопасность доступом приложений

Есть Есть Есть Есть Интеграция Дополняет Дополняет Дополняет

> >
Физические Виртуальные Облачные

Выделение трендов:
Консолидация ЦОД

Физические Виртуальные Облачные
Публичные
облака
Windows/Linux/Solaris
Серверная
виртуализация

Частные
облака

Виртуализация
десктопов Гибридные
облака

• Появление новых платформ не меняет ландшафт угроз
• Каждая новая платформа добавляет новые риски
Copyright 2011 Trend Micro Inc. 16

Trend Micro Deep Security 8
Безопасность на уровне систем, приложений и
данных:
5 модулей защиты

Deep Packet Inspection Обнаружение и блокирование
IDS / IPS известных и zero-day атак,
нацеленных на уязвимости
Защита от уязвимостей в
Web Application Protection
веб приложениях Повышение контроля и
Application Control прозрачности по приложениям,
имеющим выход в сеть

Предотвращает DoS & Обнаружение и
обнаружение МСЭ Антивирус блокирование веб угроз,
прослушивания вирусов, червей, троянов)

Оптимизация работы с Обнаружение опасных и
Контроль Контроль
логами - выявление целостности
неавторизованных изменений
событий к папкам, файлам, ключам
инцидентов среди всех
данных в журналах реестра…

В зависимости от платформы, защита может быть обеспечена с помощью агента

и/или виртуального программного шлюза

Архитектура Deep Security 8

Deep Security
Единая панель Manager
Масштабируемость
Отказоустойчивость

1 Threat
Отчетность Intelligence
Manager
Интеграция с LDAP 5
Интеграция с SIEM
Интеграция с vCenter

Deep Security

2
Agent
3 4 SecureCloud

Deep Security Deep Security
Agent Virtual Appliance Cloud
Integration
Модули:
• DPI & FW Модули:
• Антивирус • DPI & FW Модули:
• Контроль • Антивирус • Data Protection
целостности • Контроль
• Анализ событий целостности


Deep Security 8
Защита без агентов для VMware

Trend Micro Deep Security
Без агентов
Интеграция 1
с vCenter IDS / IPS VMsafe
APIs
Защита веб приложений

Контроль приложений Security
Virtual v
МСЭ
Machine S
Без агентов p
2
Антивирус
vShield h
Endpoint e
Без агентов
3
r
Интеграция vShield e
Мониторинг целостности
с Intel Endpoint
TPM/TXT
Агент
4
Анализ логов
Агенты на каждой
виртуальной машине

Сертификаты

ФСТЭК России
– Сертифицировано производство версии 7.0
(сертификация версии 8.0 запущена в начале
2012 г.)

– НДВ 4-й класс
– ИСПДН до 1-го класса включительно
– защита АС до 1Г


Центр безопасности:
Выделенная команда экспертов ИБ
• Глобальное отслеживание уязвимостей
– Более 100 источников информации (открытые, частные,
правительственные): SANS, CERT, Bugtraq, VulnWatch,
PacketStorm, и Securiteam
– Участник программы Microsoft Active Protections

• Уведомления и обновления на новые
уязвимости и угрозы
• Автоматизированная система для мгновенной
реакции
• Постоянные исследования с целью улучшения
защитных механизмов в целом


Подводя итоги
• Непрерывный контроль систем

• Проработка требований по безопасности к
разработчикам/архитекторам решений

• Оптимизация существующих средств
контроля и защиты

• Привлечение специалистов

Classification 6/8/2012 Copyright 2009 Trend Micro Inc. 23

Спасибо!

Essential security aspects in heterogenous Data Centers

More Related Content

What's hot (20)

Similar to Essential security aspects in heterogenous Data Centers (20)

Essential security aspects in heterogenous Data Centers

Editor's Notes