Безопасность и виртуализация, подход компании CheckPoint<br />Антон Разумов<br />arazumov@checkpoint.com<br />Консультант ...
Зачем нужна виртуализация?<br />Консолидация ресурсов<br />Снижение TCO<br />Меньше затраты на персонал<br />Консолидация,...
Virtualization Layer<br />Обзор виртуализации<br /><ul><li>Виртуализация отделяет физические ресурсы от ОСи приложений
Машины инкапсулируются как файлы</li></li></ul><li>Виртуализация, как и любая новая технология, приносит новые риски<br />...
Специфика защиты в сети<br />Потеря контроля за трафиком между виртуальными машинами<br />Применение статических политик в...
Безопасность виртуализации - основы<br />Виртуализация – часть IT стратегии, но не решение по безопасности<br />“Visibilit...
Сложности с безопасностью<br />
App<br />App<br />App<br />App<br />OS<br />OS<br />OS<br />OS<br />VMware Infrastructure<br />VMotion - круто<br />Динами...
Неужели все так хорошо?<br />
Check Point VPN-1 VE<br />Total Security<br />For Virtual Environments<br />Единственный Total Security шлюз,сертифицирова...
Изолирует виртуальные машины и защищает трафик inter-VM
Защищает от внешних угроз, включает полную функциональностьIPS и UTM
Унифицированное управление как физической, так и виртуальной средой</li></li></ul><li>Мировой лидер <br /><ul><li>Мировой ...
Свыше 100,000 защищенных бизнесов
Свыше 60 миллионов заказчиков
100% Fortune 100</li></ul>Лидер<br /><ul><li>100% фокус на безопасности
>1,500 экспертов по безопасности
Защита сетей и данных</li></ul> 100% безопасность<br /><ul><li>~2,200 сотрудников
>80офисов, 30 стран
>3,000 партнеров, 88 стран
HQ в Израиле и США</li></ul>Глобальность<br />
93<br />94<br />95<br />96<br />97<br />98<br />99<br />00<br />01<br />02<br />03<br />04<br />05<br />06<br />07<br />08...
VPN-1 VE: Важные моменты<br /><ul><li>Check Point – единственный крупный вендор сетевой безопасности, также защищающий и в...
Непрерывная безопасность при любых сценариях (Failure, VMotion, DRS, etc..)
Полная доступность сClusterXL – нет единой точки отказа
Тот же высочайший уровень безопасности, что и в физическом мире</li></li></ul><li>Предприятия: Защита виртуальных ЦОД<br /...
Минимальная цена
Управление безопасностью (физической и виртуальной) с единого SmartCenter/ Provider-1
VPN-1 VE поддерживаетVMotionбез прерывания сервиса и снижения защищенности</li></ul>Топология VMware ESX сVPN-1 VE<br />Ch...
Coming Soon!<br />VM<br />VM<br />VM<br /><ul><li>Защищает VM, инспектируя пакеты внутри vSwitch
Полная интеграция с VMotion, Storage VMotion, HA и т.д.</li></ul>Database Servers<br />Application Servers<br />Web Server...
А безопасна ли такая интеграция?<br />Hypervisor менее подвержен атакам извне<br />НаvSwitch/Hypervisor нет IP адреса<br /...
Пример внедрения<br />Виртуализация ЦОД<br />Защищает виртуальные машины друг от друга и от внешних угроз<br />Дополнитель...
Пример внедрения<br />MSPs<br /><ul><li>Добавляет безопасность
VPN-1 VE для заказчика
VPN-1 VE для сервиса</li></ul>Office-in-a-box<br /><ul><li>Добавьте VPN-1 VE к другим удаленным приложениям для удаленного...
VPN-1 VE защитит остальные системы и физические ПК
Облегчает управление удаленным офисом</li></li></ul><li>ESX как платформа предоставления сервисов MSP<br />VPN-1 VE полноф...
Заказчик 1<br />Заказчик 2<br />Заказчик 3<br />Int<br />ext<br />Int<br />ext<br />Int<br />ext<br />Connectra<br />VE<br...
Upcoming SlideShare
Loading in …5
×

Razumov

1,151 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,151
On SlideShare
0
From Embeds
0
Number of Embeds
164
Actions
Shares
0
Downloads
28
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Physical firewalls require external routing that splinter resource poolsDisrupts vision of seamless internal cloudLack of inter-VM visibility for monitoring and enforcementDue to rich virtual networking, not from consolidating serversSo how does virtualization and server consolidation affect security. Unfortunately with the benefits also come some challenges, so there is no free lunch.For example, it is much easier and quicker to create a new virtual machine, whether copied from an existing machine or from a template, which is akin to a gold image. Whereas many customers often had a provisioning workflow to requesitioning a new machine on the order of 3-4 months, they often are now able to reduce that down to 1-2 days. The actual creation of a virtual machine in VMware itself only takes about 30 seconds. The downside of this ease is that it can often lead to a proliferation of VM’s much faster then with physical machines, or what we call “VM sprawl”. This makes is much more challenging to security teams to keep up and ensure new machines are properly configured and protected.Note this is not a fundamental problem with vritualization technology itself, but an operational issue exacerbated by businesses becoming much more agile and fluid as a result of virtualization. The question is whether the security operations that assumed a much slower machine lifecycle can keep up.Mobility is another operational challenge. VM’s are now VMDK files that can be much more quickly edited, moved, copied, just like a Word document. However, this can break static security policies that are often based on fixed network and machine topologies. We’ll talk more about mobility on the next slide.Finally, the hypervisor is a new and very privileged piece of software that runs underneath all of your virtual machine. It is a critical layer of software that itself must be secured and protected.VMware is doing work in all of these areas to deal with these challenges, as well as working with partners who often deliver the security solutions for physical machines and now increasingly virtual machines. We’ll touch upon but a few of these initatives today.
  • So how does virtualization and server consolidation affect security. Unfortunately with the benefits also come some challenges, so there is no free lunch.For example, it is much easier and quicker to create a new virtual machine, whether copied from an existing machine or from a template, which is akin to a gold image. Whereas many customers often had a provisioning workflow to requesitioning a new machine on the order of 3-4 months, they often are now able to reduce that down to 1-2 days. The actual creation of a virtual machine in VMware itself only takes about 30 seconds. The downside of this ease is that it can often lead to a proliferation of VM’s much faster then with physical machines, or what we call “VM sprawl”. This makes is much more challenging to security teams to keep up and ensure new machines are properly configured and protected.Note this is not a fundamental problem with vritualization technology itself, but an operational issue exacerbated by businesses becoming much more agile and fluid as a result of virtualization. The question is whether the security operations that assumed a much slower machine lifecycle can keep up.Mobility is another operational challenge. VM’s are now VMDK files that can be much more quickly edited, moved, copied, just like a Word document. However, this can break static security policies that are often based on fixed network and machine topologies. Finally, the hypervisor is a new and very privileged piece of software that runs underneath all of your virtual machine. It is a critical layer of software that itself must be secured and protected.
  • Razumov

    1. 1. Безопасность и виртуализация, подход компании CheckPoint<br />Антон Разумов<br />arazumov@checkpoint.com<br />Консультант по безопасности<br />CheckPointSoftwareTechnologies<br />
    2. 2. Зачем нужна виртуализация?<br />Консолидация ресурсов<br />Снижение TCO<br />Меньше затраты на персонал<br />Консолидация, совместное использование инфраструктуры<br />Меньше железа, ниже электропотребление<br />Лучше утилизация ресурсов<br />Проще внедрение и управление<br />Гибкость в работе<br />Выше доступность бизнеса, возможности восстановления<br />Инициатива Green IT<br />
    3. 3. Virtualization Layer<br />Обзор виртуализации<br /><ul><li>Виртуализация отделяет физические ресурсы от ОСи приложений
    4. 4. Машины инкапсулируются как файлы</li></li></ul><li>Виртуализация, как и любая новая технология, приносит новые риски<br />Новый вектор атак<br />Потеря сегментации<br />Новые требования к управляемости<br />
    5. 5. Специфика защиты в сети<br />Потеря контроля за трафиком между виртуальными машинами<br />Применение статических политик в условиях быстро создающихся и перемещающихся VM<br />Поддержка сессий при перемещении (VMotion) <br />Стирается грань между администратором сервера и сетевым/безопасности<br />“Итак, мы можем сказать, что система упала из-за того, что кто-то наступил на трещину на тротуаре.”<br />
    6. 6. Безопасность виртуализации - основы<br />Виртуализация – часть IT стратегии, но не решение по безопасности<br />“Visibility gap” виртуализации<br />Атаки на гипервизор<br />Миф?<br />‘Классические’ угрозы становятся реальными<br />
    7. 7. Сложности с безопасностью<br />
    8. 8. App<br />App<br />App<br />App<br />OS<br />OS<br />OS<br />OS<br />VMware Infrastructure<br />VMotion - круто<br />Динамическая миграция VM между разными серверами без прерывания трафика<br />VMotion<br />Storage VMotion<br />
    9. 9. Неужели все так хорошо?<br />
    10. 10. Check Point VPN-1 VE<br />Total Security<br />For Virtual Environments<br />Единственный Total Security шлюз,сертифицированный как VMware Virtual Appliance<br /><ul><li>Лучшее в классе решение для виртуальной среды
    11. 11. Изолирует виртуальные машины и защищает трафик inter-VM
    12. 12. Защищает от внешних угроз, включает полную функциональностьIPS и UTM
    13. 13. Унифицированное управление как физической, так и виртуальной средой</li></li></ul><li>Мировой лидер <br /><ul><li>Мировой лидер firewall/VPN* и защиты данных
    14. 14. Свыше 100,000 защищенных бизнесов
    15. 15. Свыше 60 миллионов заказчиков
    16. 16. 100% Fortune 100</li></ul>Лидер<br /><ul><li>100% фокус на безопасности
    17. 17. >1,500 экспертов по безопасности
    18. 18. Защита сетей и данных</li></ul> 100% безопасность<br /><ul><li>~2,200 сотрудников
    19. 19. >80офисов, 30 стран
    20. 20. >3,000 партнеров, 88 стран
    21. 21. HQ в Израиле и США</li></ul>Глобальность<br />
    22. 22. 93<br />94<br />95<br />96<br />97<br />98<br />99<br />00<br />01<br />02<br />03<br />04<br />05<br />06<br />07<br />08<br />Application intelligence<br />Establishment<br />Acquisition of<br />VPN-1<br />VPN-1 Power,VPN-1 UTM<br />Websecurity<br />Nokia<br />acquisition<br />Small business<br />Architecture<br />FireWall-1 1.0,Stateful inspection<br />IDS/IPS<br />SSL VPN<br />Pointsec<br />acquisition<br />2009<br />Software<br /> Blades<br />1994<br />FW<br />1998<br />VPN<br />2004<br />UTM<br />История инноваций<br />
    23. 23. VPN-1 VE: Важные моменты<br /><ul><li>Check Point – единственный крупный вендор сетевой безопасности, также защищающий и виртуальную среду
    24. 24. Непрерывная безопасность при любых сценариях (Failure, VMotion, DRS, etc..)
    25. 25. Полная доступность сClusterXL – нет единой точки отказа
    26. 26. Тот же высочайший уровень безопасности, что и в физическом мире</li></li></ul><li>Предприятия: Защита виртуальных ЦОД<br />Cardholder data<br />VM<br />VM<br />VM<br />Преимущества технологии:<br /><ul><li>Полная утилизация ресурсов, замена устройств на виртуальные
    27. 27. Минимальная цена
    28. 28. Управление безопасностью (физической и виртуальной) с единого SmartCenter/ Provider-1
    29. 29. VPN-1 VE поддерживаетVMotionбез прерывания сервиса и снижения защищенности</li></ul>Топология VMware ESX сVPN-1 VE<br />Check Point VPN-1 VE<br />Security Gateway<br />Database Servers<br />Web Servers<br />Application Servers<br />Service Console<br />Internet <br />vSwitch<br />Intranet <br />vSwitch<br />Web <br />vSwitch<br />App <br />vSwitch<br />DB<br />vSwitch<br />NIC<br />Teams<br />VMware<br />ESX<br />Production<br />LAN<br />Management<br />LAN<br />Internet<br />VMware<br />vCenter<br />Check Point UTM-1<br />Security Gateway<br />
    30. 30. Coming Soon!<br />VM<br />VM<br />VM<br /><ul><li>Защищает VM, инспектируя пакеты внутри vSwitch
    31. 31. Полная интеграция с VMotion, Storage VMotion, HA и т.д.</li></ul>Database Servers<br />Application Servers<br />Web Servers<br />Cardholder data<br />Check Point VE<br />Security Gateway<br />Internal<br />vSwitch<br />Service Console<br />Internet <br />vSwitch<br />VMware<br />ESX<br />NIC<br />Teams<br />Production<br />LAN<br />Management<br />LAN<br />Internet<br />VMware<br />vCenter<br />Check Point UTM-1<br />Security Gateway<br />Шлюз безопасности VE сVMsafe<br />
    32. 32. А безопасна ли такая интеграция?<br />Hypervisor менее подвержен атакам извне<br />НаvSwitch/Hypervisor нет IP адреса<br />Он не слушает никакие порты<br />Hypervisor/vSwitchочень мал (подобно сетевому драйверу)<br />VE защищает консоль управления<br />Каждый пакет проверяется VE перед доставкой на VM<br />VMware имеет механизм распределения ресурсов для предотвращения DoSатак<br />
    33. 33. Пример внедрения<br />Виртуализация ЦОД<br />Защищает виртуальные машины друг от друга и от внешних угроз<br />Дополнительный уровень безопасности<br />
    34. 34. Пример внедрения<br />MSPs<br /><ul><li>Добавляет безопасность
    35. 35. VPN-1 VE для заказчика
    36. 36. VPN-1 VE для сервиса</li></ul>Office-in-a-box<br /><ul><li>Добавьте VPN-1 VE к другим удаленным приложениям для удаленного использования
    37. 37. VPN-1 VE защитит остальные системы и физические ПК
    38. 38. Облегчает управление удаленным офисом</li></li></ul><li>ESX как платформа предоставления сервисов MSP<br />VPN-1 VE полнофункциональная версия<br />VPN-1 VE только часть сервисов для разных заказчиков<br />Anti Virus<br />Anti SpamMalware<br />Mail scanning<br />URLF<br />VoIP<br />Разные устройства безопасности в одном сервере (Connectra…)<br />
    39. 39. Заказчик 1<br />Заказчик 2<br />Заказчик 3<br />Int<br />ext<br />Int<br />ext<br />Int<br />ext<br />Connectra<br />VE<br />VE<br />UTM-1 Web Filtering<br />UTM-1 full-set<br />Remote Access<br />ESX Server<br />pkt<br />pkt<br />MSP-s<br />Распространение виртуализации<br />
    40. 40. Офис в коробке(SMB & Branch offices)<br /><ul><li>Консолидация и виртуализация всех физических устройств в одном сервере
    41. 41. Упрощение поддержки удаленных офисов
    42. 42. VPN-1 VE защищает консолидированные виртуальные машины, а также сервера и клиентов
    43. 43. Сервис VPN
    44. 44. Множество сайтов могут управляться с одного сервера управления</li></ul>Распространение виртуализации<br />
    45. 45. Офис в коробке<br />pkt<br />Интернет<br />Ext<br />VPN Tunnel<br />VE<br />Trunk port<br />Int<br />Trunk port<br />V1<br />V4<br />V2<br />V3<br />Web<br />DB<br />FTP<br />pkt<br />V5<br />Консоль управления<br />V7<br />V6<br />pkt<br />
    46. 46. Internet<br />Сотрудники<br />Web<br />серверы<br />Базы данных<br />Заказчики<br />Серверы приложений<br />Данные заказчиков<br />Партнеры<br />75% кибератак происходит через Internet приложения<br />Connectra<br />
    47. 47. Приложения client/serverчерез plug-in к броузеру<br />Доступ к почте через Web<br />Web сайты и приложения<br />Файловые ресурсы<br />Безопасное подключение через WebConnectra Web Portal<br />
    48. 48. Простота установки VE наESX<br />
    49. 49. Настройка CPU & NIC<br />
    50. 50. Где взять VPN-1 VE и Connectra<br />На сайте Check Point<br />VMware Marketplace<br />
    51. 51. VMotionподдерживается!!!<br />Per VMs<br />Per VPN-1 VE<br />VMotionот Vmware – инструмент миграции систем между физическими машинами в реальном времени без простоя<br />Все коммутаторы должны быть настроены одинаково (требование VMware).<br />Нет нужды запускать VPN-1 VE на каждом члене кластера VMWare ESX <br />Новинка<br />VPN-1 VE полностью поддерживает VMotion!<br />
    52. 52. VMotion & ClusterXL – многократное резервирование<br />pkt<br />Pkt<br />pkt<br />pkt<br />The Internet<br />ESX server 2<br />ESX server 1<br />ext<br />ext<br />Web<br />Web<br />Web<br />Vswitch Web<br />Vswitch Web<br />VE<br />Active<br />VE<br />Standby<br />Sync<br />Sync<br />Vswitch ext<br />Vswitch ext<br />Vswitch sync<br />Vswitch sync<br />Active<br />int<br />int<br />Vswitch App<br />Vswitch App<br />Switch<br />App3<br />App2<br />App1<br />Mgmt<br />
    53. 53. The Internet<br />Ext<br />Продвинутый вариант внедрения<br />Active<br />pkt<br />pkt<br />pkt<br />Ext<br />Ext<br />Ext<br />ESX 1<br />ESX 2<br />ESX 3<br />ESX 4<br />Standby<br />Sync<br />Sync<br />Sync<br />App<br />App<br />App<br />
    54. 54. Динамически подстраивает границы зон безопасности в соответствии сVMotion<br />Security zone B<br />Security zone A<br />Security zone C<br />Поддержка VMotion & DRS<br />
    55. 55. Disaster Recovery<br /><ul><li>Сохранение безопасности вDR сценариях
    56. 56. Нет нужды в физических МСЭврезервных ЦОД
    57. 57. “DR on a Disk”
    58. 58. Быстрое развертывание – минимум простоя</li></ul>PCI Compliance<br /><ul><li>Инспекция и защиты взаимодействия между VM
    59. 59. Выполнение требований к безопасности при поддержкеVMotion,High Availability,Scalability
    60. 60. Check Point Security Gateways признаны при прохождении сертификации PCI DSS
    61. 61. Проверяющие в курсе, имеют большой опыт и доверие к Check Point
    62. 62. Признанный лидер в отрасли (лидер Gartner MQ)</li></ul>Снижение затрат<br />
    63. 63. VPN-1 VE - производительность<br />Device Under Test<br />Intel® Xeon™ Processor x5440 2.83GHz <br />Each VPN-1 VE is using only one vCPU<br />UDP packet rate<br />One VPN-1 VE: 300,000 Packets/Second<br />UDP throughput<br />One VPN-1 VE: 2 Gbps<br />HTTP throughput<br />One VPN-1 VE: 1 Gbps<br />Two VPN-1 VEs: 2 Gbps<br />AntiVirus HTTP throughput<br />One VPN-1 VE: 135 Mbps<br />Six VPN-1 VEs: 670 Mbps<br />Maximum concurrent connections<br />Four VEs: More than 4M connections<br />
    64. 64. Интеграция с VMware VMsafe<br /><ul><li> Firewall
    65. 65. IPS/IDS
    66. 66. UTM
    67. 67. Antivirus
    68. 68. Anti-SpamMalware
    69. 69. Mail scanning
    70. 70. Web Filtering
    71. 71. Инспекция пакетов наvirtual switch (at the VMkernel)</li></ul>Without Avatar<br />With Avatar<br />Avatar<br />pkt<br />pkt<br />Security API<br />VMkernel (Hypervisor)<br />
    72. 72. VPN-1 VE с VMsafe<br />МСЭ защищает каждую VMs, даже подключенную к тому же vSwitch<br />Поддерживается VMotion<br />Инспекция на уровне Hypervisor<br />Отличная производительность<br />
    73. 73. <ul><li>Firewall, IPS иUTM интегрированы в VMkernel(hypervisor) усиливая технологию VMSafe
    74. 74. Исполняется наvirtual switch
    75. 75. Основана на версииR70
    76. 76. Рассчитана на высокую пропускную способность
    77. 77. Те же лучшие в классе технологии, что используются всеми компаниями Fortune 100
    78. 78. ТребуетVMware vSphere 4.0</li></ul>Шлюзы безопасности VE - обзор<br />
    79. 79. <ul><li>Защищает индивидуальные VMs, даже подключенные к одномуvSwitch
    80. 80. Гранулированная настройка безопасности:
    81. 81. Per vSwitch, port group or VM
    82. 82. Режим мониторинга (“Detect only”)
    83. 83. Защита от ошибок в настройках
    84. 84. Защищает от inter-VM и от внешних атак
    85. 85. Защищает ресурсы виртуализации (например, service console)</li></ul>Шлюзы безопасности VE - безопасность<br />
    86. 86. <ul><li>Автоматическая и прозрачная интеграция на 2 уровне
    87. 87. Совместимость с VMware vSphere management
    88. 88. Единая консоль управления безопасностью для виртуальных и физических границ
    89. 89. Извещает о множестве событий безопасности
    90. 90. Полная интеграция с VMotion, DRS, Maintenance mode и т.д</li></ul>Шлюзы безопасности на VE - Управление<br />
    91. 91. Управление: важность для TCO<br />Эффективное использование человеческих ресурсов<br />Быстрая «повторяемость» систем<br />Централизация делает эффективнее ежедневные задачи<br />Мониторинг<br />Обновления<br />Протоколирование<br />Анализ<br />Измерение эффективности безопасности<br />
    92. 92. Согласованная безопасность:Security Management & Provider-1<br />Единый интерфейс для управления<br />VPN-1 VE<br />Check Point Appliances<br />Check Point Software<br />“Secured by Check Point” Appliances<br />Снижает стоимость управления<br />Обеспечивает согласованность и непротиворечивость политик<br />Check Point reduces TCO and raises security<br />
    93. 93. Вывод<br />Total Security For Virtual Environments<br /><ul><li>Лучшее в классе решение для виртуальной среды
    94. 94. Изолирует виртуальные машины и защищает трафик inter-VM
    95. 95. Защищает от внешних угроз, включает полную функциональностьIPS и UTM
    96. 96. Унифицированное управление как физической, так и виртуальной средой</li></li></ul><li>От сложного многообразия к единому решению от Check Point<br />Data Encryption<br />Web Security<br />Reports<br />Malware<br />VPN<br />Firewall<br />Provisioning<br />Единый агентзащиты данных иконечных точек<br />Единая<br />Консоль<br />управления<br />Унифицированныйшлюз<br />Logging<br />IDS<br />Event Management<br />Viruses<br />SPAM<br />Application Firewall<br />Policy Definition<br />IPS<br />Removable Media<br />Endpoint Management<br />Data Leakage<br />Worms<br />
    97. 97. Check Point Total Security<br />
    98. 98. Спасибо!<br />Антон Разумов<br />arazumov@checkpoint.com<br />Консультант по безопасности<br />CheckPointSoftwareTechnologies<br />

    ×