Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bezpečnost na fyzických prvcích datového centra, bezpečnost sítí, serverů a uživatelských účtů

474 views

Published on

Prezentace z eKonference Arrow
30.4.2020

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Bezpečnost na fyzických prvcích datového centra, bezpečnost sítí, serverů a uživatelských účtů

  1. 1. 1Arrow ECS, a.s. – 28. října 3390/111a, Moravská Ostrava, PSČ 702 00 T: +420 597 488 811 - F: +420 596 622 486 - sale.ecs.cz@arrow.com Josef Kratoš System Engineer Juniper Networks Bezpečnnost na fyzických prvcích Datového centra, bezpečnost sítí, serverů a uživatelských účtů Josef Kratoš System Engineer Jiří Viktorin System Engineer Radim Kačmařík System Engineer
  2. 2. 2Arrow ECS, a.s. – 28. října 3390/111a, Moravská Ostrava, PSČ 702 00 T: +420 597 488 811 - F: +420 596 622 486 - sale.ecs.cz@arrow.com Josef Kratoš System Engineer Juniper Networks
  3. 3. 3 Čleňte síť na menší celky Striktně oddělujte uživatelská práva Blokujte škodlivé adresy na úrovni Gateway Nasaďte Anti-DDoS technologie
  4. 4. 4 Nedávná historie designu sítě UNTRUST, TRUST, DMZ ZÓNA Charakteristika: - Známe hrozby - Oddělené bezpečnostní zóny - Zařízení pod kontrolou administrátorů INTERNET VLANAVLANB DMZ SRV FC switch WiFi síť Storage UNTRUST Nebezpečná zóna DMZ Riziková zóna TRUST Bezpečná zóna
  5. 5. 5 Co se změnilo Pouze UNTRUST ZÓNA Co se změnilo: - Zařízení pouze registrovaná - mobilita uživatelů - Více typu zařízení INTERNET VLANAVLANB DMZ SRV FC switch WiFi síť Storage UNTRUST Nebezpečná zóna DMZ Riziková zóna TRUST Bezpečná zóna UNTRUST Nebezpečná zóna - Malware je levný - Státní útoky - Cílené útoky - Veškerý provoz je šifrovaný - Nutný Bezpečnostní systém
  6. 6. 6 Zóny infrastruktury Wan-edge, Campus a DC zóna Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER CAMPUS DCWAN
  7. 7. 7 Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER WAN Zóna C&C a DDoS ochrana, zabezpečený přístup Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER CAMPUS DCWAN Bezpečnostní požadavky: - Zabezpečený přístup do infrastruktury - Routing - DDoS a C&C ochrana - Blokování adres (black list) - Kontrola cloudového provozu
  8. 8. 8 Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER Campus Zóna 802.1x, segmentace, mobilita, Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER CAMPUS WAN DC Bezpečnostní požadavky: - 802.1x - Segmentace - Automatická karanténa
  9. 9. 9 Segmentace VLANy – běžná segmentace Vlan 10 managemet Vlan 20 finance Vlan 30 Obchod … VLANy – požadavky 5 4 3 2 1 0 1 2 3 4 5 Čas a pravděpodobnost výpadku Rozsahpoškození Vlan 10 velmi kritická Vlan 20 kritická Vlan 30 závažná Vlan 40 střední Vlan 50 nízká Segmentace podle: - Kritičnosti infrastruktury - Citlivosti dat
  10. 10. 10 Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER DC zóna Mikrosegmentace, aplikační ochrana Leaf RO2-WAN I bgp INTERNET WAN MPLS RO1-WAN DC FW CORE ACCESS HDTV SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FABRICCampus FW LOAD BALANCER CAMPUS WAN DC Bezpečnostní požadavky: - Aplikační bezpečnost - Mikrosegmentace - Zálohování
  11. 11. 11 Unified Management Network – dedikovaná síť Srdce infrastruktury Požadavky: - Neroutovatelná - Management sítě jen přes konzoli - Přístup jen se důvěryhodným zařízením - Centrální management a monitoring - Vzdálený přístup na aplikace přes jump server. Leaf RO2-WAN I bgp RO1-WAN DC FW CORE ACCESS SPINE SPINE Leaf Leaf Leaf Leaf Leaf FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS FAN STATUS CHS A56 FAN 1 FAN 5 FAN 2 FAN 6 FAN 3 FAN 7 FAN 4 FAN 8 ! 4 3 2 1 UCS 2104XP 4 3 2 1 UCS 2104XP 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID 3 CISCO NEXUS N5548P 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 STAT ID ADMIN JUMP SERVERS FABRICCampus FW MONITORING UMN CENTRAL MANAGEMENT SIEM CONFIG BACKUP LOAD BALANCER UMN
  12. 12. 12Arrow ECS, a.s. – 28. října 3390/111a, Moravská Ostrava, PSČ 702 00 T: +420 597 488 811 - F: +420 596 622 486 - sale.ecs.cz@arrow.com Jiří Viktorin System Engineer Virtual Infrastructure
  13. 13. 13 Nastavte heslo UEFI/BIOS Vynucujte Secure BOOT Provádějte Hardening konfigurace a aplikací Zaveďte Standard Operating Environment Využívejte Trusted Platform Module
  14. 14. 1414 ZAJISTĚTE FYZICKOU BEZPEČNOST IT TECHNIKY ˃ Kdo může do serverovny? ˃ Uklízečka?? ☺ ˃ Za jakých okolností může do serverovny? ˃ Pouze nutná maintenace ˃ Většina operací možno provést vzdáleně ˃ Ověření při vstupu ˃ 2 Faktorový přístup – klíč + Karta/PIN ˃ Záznam přístupů ˃ Dohledatelnost
  15. 15. 1515 NASTAVTE HESLO UEFI/BIOS ˃ Heslo pro změnu konfigurace UEFI/BIOS ˃ Velmi doporučeno ˃ Nikdo bez znalosti hesla nezmění konfiguraci ˃ Nelze změnit BOOT zařízení ˃ Heslo pro BOOT ˃ Na serverech ne vždy žádané ˃ Na stanicích může být další bezpečnost
  16. 16. 1616 VYNUCUJTE SECURE BOOT ˃ Co je Secure BOOT? ˃ Kontrola správnosti zavaděče ˃ Kontrolu provádí přímo UEFI ˃ Požadavky pro Secure BOOT ˃ UEFI ˃ OS i zavaděč podepsaný známým vydavatelem ˃ Důvěryhodné certifikáty součástí FW UEFI ˃ Důvod ˃ Omezení Root Kit Virů, které se zavádí před OS ˃ Omezení spuštění nechtěných nástrojů/systémů
  17. 17. 17 VYUŽÍVEJTE TRUSTED PLATFORM MODULE - TPM ˃ Co je TPM? ˃ Fyzický čip na základní desce ˃ Funkce bezpečného uložení a přístupu k citlivým klíčům ˃ Identita HW ˃ Požadavky ˃ Podpora HW ˃ Podpora OS/Hypervizoru ˃ Využití ˃ Klíče uložené v TPM bezpečně ˃ Výměna HW může znamenat ztrátu důvěry k zařízení
  18. 18. 1818 ZAVEĎTE STANDARD OPERATING ENVIRONMENT - SOE ˃ CO je SOE ˃ Co nejméně různorodých OS/konfigurací ˃ V čem mi to pomůže? ˃ Jednodušší správa ˃ Jednodušší řešení problémů - troubleshooting ˃ Jednodušší hardening ˃ Jak? ˃ VM ˃ pouze omezený počet OS (Windows 2016, CentOS) ˃ Omezený počet ověřených aplikací ˃ HW ˃ Pouze omezený počet typů/konfigurací serverů, storage, switch
  19. 19. 1919 PROVÁDĚJTE HARDENING KONFIGURACE SERVEROVÝCH APLIKACÍ ˃ Co je hardening? ˃ Hardening jako omezování útočného vektoru ˃ Minimalizace povolené komunikace ˃ Instalace aktualizací ˃ Omezování přístupových oprávnění jen nutným osobám ˃ Proč je důležitý ˃ Neustále se objevují nové chyby, skryté chyby ˃ Snižujeme riziko zneužití těchto chyb
  20. 20. 20Arrow ECS, a.s. – 28. října 3390/111a, Moravská Ostrava, PSČ 702 00 T: +420 597 488 811 - F: +420 596 622 486 - sale.ecs.cz@arrow.com Radim Kačmařík System Engineer
  21. 21. 21 Oddělte admin účty Centrální správa úživatelských účtů Každý admin svůj účet Zabezpečte lokální admin účty
  22. 22. 22 Běžné účty ˃ Nástup nového zaměstnance ˃ Aktivní doba ˃ Odchod zaměstnance ˃ Jednoduchost a automatizace ˃ Unifikace prostředí ˃ Zkroťte výjimky ˃ Dynamika prostředí
  23. 23. 23 Oprávnění a práva ˃ Oprávnění (angl. Permissions) - možnost přistoupit k objektu ˃ Soubor – NTFS ˃ Network Share ˃ Printer ˃ Web ˃ … ˃ Právo (angl. Rights) – provést akci ˃ Read, write, create, delete, set …
  24. 24. 24 Uživatel – oprávnění a práva Using Group Nesting Basic Permission and Right Group A Resource A Group B Group C Corp-Core Group Membership User Profiles Folder Redirection Group Membership NTFS Resource B Resource C
  25. 25. 25 Privilegované účty ˃ Servisní účty a jejich hashe, SSH klíče, PEM … ˃ Použití v aplikacích, scriptech, službách … ˃ nagios, oracle, testuser … ˃ Excel není bezpečné uložiště ˃ Zombíci ˃ Sdílení ˃ Statické hesla a SSH klíče ˃ Zbytečně vysoká práva
  26. 26. 26 Co by měl splňovat PAM sw. ˃ Automatická detekce ˃ Uložení (šifrované uložiště, HSM) ˃ Automatické vynucení politik ˃ Bezpečné použití hesel ˃ Heterogenní prostředí ˃ Win/Linux/Unix ˃ Aplikace, DB, A2A ˃ Hypervizory a cloudy ˃ Nahrávaní sezení ˃ Monitoring a logování ˃ Vysoká dostupnost, škálovatelnost
  27. 27. 27 Lokální admin/root ˃ Častý vektor útoku ˃ Absolutní práva na lokální systém ˃ Je decentralizovaný ˃ Mnohdy stejné či podobné heslo (VDI klony) ˃ Zákaz vzdáleného logování ˃ Disablování ˃ Přejmenování ˃ Zakázat SSO ˃ Zakázat network operace ˃ Jejich randomizace (LAPS nebo novější AdmPwd.E)
  28. 28. 28 Oblasti řešení požadavků ˃ Identity management (IdM) ˃ Access Management (AM) ˃ Privileged Managent (PAM, PUM, PM…) ˃ Identity And Access Management (IAM)
  29. 29. 29 Otázky a Odpovědi Prostor pro Vaše dotazy Zadávejte prosím písemně do sekce Questions Naši dodavatelé

×