More Related Content Similar to Data Centers Security Similar to Data Centers Security (20) More from Aleksey Lukatskiy More from Aleksey Lukatskiy (20) Data Centers Security2. Давление со всех сторон
Соответствие
нормативным
требованиям
Быстрое
Внутренние выделение
пользователи ресурсов
Мобильные Совместно
пользователи Пользователи ЦОД Доступ работающие
приложения
Внешние к сервисам Гибкость
пользователи
сервисов
Атакующие Производительность
приложений
Оптимизация
эксплуатации
Глобальная
доступность Защита
Использование окружающей
ресурсов среды
© Cisco, 2010. Все права защищены. 2/22
3. Свой Аренда
ЦОД ЦОД
Чужой
ЦОД Облако
© Cisco, 2010. Все права защищены. 3/22
4. Новые тенденции влияют на архитектуру ЦОД
Распределенность
Контроль доступа; масштабируемость
Виртуализация
Консолидация; оптимизация; гибкость
Открытость
Защищенный доступ мобильных и внешних пользователей
Масштабируемость и простота
Масштабирование емкости и производительности в соответствии с бизнес-требованиями
2000 2005 2010 2015
© Cisco, 2010. Все права защищены. 4/22
5. • Виртуализация
• Сети хранения
• Приложения
• Утечки данных
• Соответствие
• Доступность
© Cisco, 2010. Все права защищены. 5/22
6. 1 Безопасность периметра ЦОД
2 Безопасность сети хранения данных (SAN)
3 Безопасность на уровне инфраструктуры
4 Безопасность виртуализации
5 Безопасность серверов и приложений
© Cisco, 2010. Все права защищены. 6/22
7. Серверная L2/L3
Сеть хранения Frontend и приложения
ферма сеть
Clustered Servers Resilient Security Application Business
IP Networking Applications
Application
Control
VPN Engine
SAN
Основной ЦОД
Disk
SSL
Firewall
GSS
IDS
NAS
Tape
Anomaly
Detect/Guard Wide Area
Application
Services IBM
GE/
WAFS 10GE
Metro Network WAN
Optical/Ethernet WAAS
MDS Clients
ONS 15000 9216
Резервный ЦОД Филиал
© Cisco, 2010. Все права защищены. 7/22
8. • Безопасность сетей хранения
VLAN VSAN
ACL hard/soft zoning
Ethernet Port Security FC Port Security
IPSec FCSec, как часть FC-SP
• Безопасность виртуализации
VLAN виртуальные контексты (virtual device context)
ACL атрибуты виртуальных машин
Ethernet Port Virtual PortChannel
• Есть нюанс – сертифицированные СЗИ
Ориентироваться на них или нет?
© Cisco, 2010. Все права защищены. 8/22
9. • Защита данных
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Privacy
• Непрерывность бизнеса и восстановление после катастроф
• Журналы регистрации
• Сompliance
© Cisco, 2010. Все права защищены. 9/22
10. Управляющие
критичные сервисы
Управляющие
некритичные сервисы
Самостоятельные
некритичные сервисы
© Cisco, 2010. Все права защищены. 10/22
11. Своя ИТ- Хостинг-
IaaS PaaS SaaS
служба провайдер
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и владельцем внешнего ЦОД
- Контроль у владельца внешнего ЦОД
© Cisco, 2010. Все права защищены. 11/22
12. • Стратегия безопасности во внешнем ЦОД
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
• Стратегия выбора внешнего ЦОД-партнера
Чеклист оценки ИБ для внешнего ЦОД
© Cisco, 2010. Все права защищены. 12/22
13. • Финансовая устойчивость аутсорсера
• Схема аутсорсинга
XaaS, hosted service, MSS
• Клиентская база
• Архитектура
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
© Cisco, 2010. Все права защищены. 13/22
14. • Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
© Cisco, 2010. Все права защищены. 14/22
15. Минуя корпоративный периметр!
Формирование
доверительных отношений
SaaS PaaS
Защищенная инфраструктура
распределенных сетевых сервисов
IaaS
Защищенные подключения и доступ
Защищенное увеличение емкости
Защищенный доступ для
Защищенный Защищенное пользователей, работающих
подключение в офисе, и мобильных пользователей
доступ
Мобильные
Защищенные приложения на
пользователи распределенной платформе
Защита от угроз
Филиал Подтверждение соответствия
нормативным требованиям
Внутренние
пользователи
© Cisco, 2010. Все права защищены. 15/22
15
Editor's Notes New trends through time have changed the face of the data center. Each of these trends has built on the lower.Historically, the conversation in the data center has been dominated by scalability and simplicity. How fast does the data center move, and how easy is it to implement and operate.More recently, trends like outsourcing and partnerships has forced the traditionally closed data center to open. These new users of the network often need controlled access deep into the data center. This is changing traditional data center models.Virtualization and asset consolidation are also changing the data center. The cost benefit of virtualization are driving rapid adoption across verticals, fundamentally altering the face of the data center.Finally, as cloud computing begins to emerge as a viable architecture, it promises even higher cost advantages through scale and elasticity. Public and Private Clouds are an architecture that brings together all elements of Scale and Simplicity, Openness, and Virtualization into an elastic, on demand environment. This environment brings with it a new set of security concerns.First, the need to establish trust on the cloud infrastructure itself. How does one maintain the integrity of the cloud environment?Second, the need to connect users and internal networks into the cloud infrastructure. How do users get access to the cloud services?Third, how do I secure the applications in the cloud, whether in a public cloud or a private?