Řešení problémů zabezpečení privátního cloudu.

1. Komplexní automatizace
a orchestrace bezpečnosti
pro prostředí privátních cloudů
“ Díky Check Pointu můžeme
poskytovat bezpečnostní řešení,
plně integrované do našeho
dynamického virtuálního
prostředí, s výkonem, funkcemi
a bezpečností, na které dlouhodobě
spoléháme u našich fyzických
bezpečnostních bran Check Point.”
Luc Steens
Team leader Security Managed
Services, Getronics
Vývoj směrem k privátnímu cloudu
Moderní datová centra procházejí zásadní změnou. Díky virtualizaci směřují k privátnímu
cloudu, kde zavádění nových aplikací je otázkou zlomku času a ceny. Virtualizace
odděluje běh úloh od hardware, takže zdroje mohou být dynamicky přidělovány podle
potřeby. Právě dynamické přidělování zdrojů je základním kamenem pro virtualizovaná
datacentra a privátní cloud. Privátní cloudy, nasazené interně, pod ochranou firewallů
společnosti a pod kontrolou jejího IT oddělení, přinášejí prvek důvěry, který je u veřejných
cloudů méně výrazný.
Tento vývoj vyústil ve vznik podobně pružné podpůrné architektury – softwarově
definovaných sítí (SDN). Koncept SDN odděluje řídící a výkonnou vrstvu komunikačních
sítí a přináší možnost jejich centrální, programovatelné konfigurace, správy, optimalizace
a bezpečnosti.
Výsledkem je vznik softwarově definovaných datových center (SDDC), kde všechny části
infrastruktury – sítě, datová úložiště, výpočetní výkon i bezpečnost – jsou virtualizované
a poskytované formou služby. Díky možnostem automatizace a orchestrace mohou být
služby poskytované datovým centrem zaváděny, řízeny a zabezpečeny s nebývalou
rychlostí a pružností.
Problémy zabezpečení privátního cloudu
Výše uvedený vývoj technologií, přinášejících agilitu, pružnost a efektivitu, s sebou nese
i nové výzvy:
Statická bezpečnostní politika: Privátní cloud je velmi dynamickým prostředím. Nové
aplikace jsou zaváděny velmi rychle, prostředky jsou dynamicky přidělovány a odebírány,
aplikace se přesouvají v rámci datového centra. Bezpečnostní služby musí s těmito
rychlými změnami držet krok. To vyžaduje automatizaci, jinak se bezpečnost stane
úzkým hrdlem v procesu poskytování nových služeb, nebo začne být obcházena.
Kontrola interního provozu: Privátní cloudy svým charakterem znamenají také velký
nárůst provozu uvnitř virtualizovaného datacentra. Kromě ochrany provozu z datového
centra a do něj, musíme pro dosažení vysoké úrovně bezpečnosti mít pod kontrolou
rovněž „horizontální“ interní provoz (tzv. east-west) ve virtuálních sítích.
Check Point Security for Private Clouds | White Paper
©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content July 2015 1
Adaptivní bezpečnost
pro datová centra v privátním
cloudu

2. ©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content July 20152
Vlastnosti Check Point vSEC:
• Kompatibilita s VMware vSphere
5.5, vCenter Server, vCloud Suite
a VMware NSX.
• Centrální správa virtuálních
i fyzických bezpečnostních bran.
• Inspekce “inter-VM” provozu beze
změn topologie sítě.
• Automatická instalace Check Point
vSEC bran.
• Automatické zabezpečení nových
virtuálních systémů.
• Využívání VMware objektů (Security
Group, Virtual Machine) v Check
Point politikách.
• Migrace virtuálních systémů bez
přerušení konektivity a zabezpečení.
Limity tradiční segmentace: Tradičně je segmentace sítě, potřebná pro zajištění
bezpečnosti, úzce spjata s topologií sítě. Znamená nutnost manuální rekonfigurace
sítě, která je v dynamickém virtuálním prostředí procesně velmi náročná. Změny
síťové topologie se musí promítat do změn v konfiguraci bezpečnosti, což dále přispívá
k administrační zátěži a snížení pružnosti celku.
Pokročilé hrozby: Sofistikované útoky mohou logicky mířit na nejslabší systém datového
centra, získat nad ním kontrolu a dále postupovat horizontálně mezi virtuálními systémy
bez toho, aby byly detekovány. Pro eliminaci šíření útoků nestačí zabezpečit pouze
hranice datového centra, potřebujeme pokročilé prostředky ochrany i uvnitř.
Přehled řešeNÍ
Abychom mohli plně využít přínosy privátního cloudu, musíme se i na oblast jeho
zabezpečení podívat novým způsobem. Pro zajištění bezpečnosti společností
přesouvajících své aplikace do privátního cloudu je nezbytné vypořádat se s problémy
naznačenými v předchozím textu. Toho můžeme dosáhnout pouze integrací bezpečnosti
s architekturou virtualizace sítí a jejich řízení. Řešení musí být založeno na těchto
klíčových principech:
1. Automatické včlenění bezpečnostních služeb do sítě. Mechanismus řetězení
bezpečnostních funkcí (service-chaining) umožňuje automatické zabezpečení
veškerého provozu v datacentru. Nastavené bezpečnostní politiky jsou implicitně
aplikovány na příslušnou komunikační infrastrukturu.
2. Politika zohledňující kontext. Škálovatelné datové centrum, připravené dynamicky
růst bez ohrožení bezpečnosti, vyžaduje, aby vynucované bezpečnostní politiky
odpovídaly aktuálnímu stavu prostředí a aplikací. Proto je nezbytná integrace správy
bezpečnosti se správou cloudu a dalšími nástroji jako jsou tiketovací systémy, správa
uživatelů, SDN controllery.
3. Důvěryhodná automatizace a orchestrace. Efektivní využití automatizace je
podmíněno její spolehlivostí a důvěryhodností. Integrace se systémy třetích stran musí
být realizována rozhraním (API), které umožní granulární nastavení rolí a vynucování
jejich práv. Integrovaná aplikace musí mít možnost provádět pouze specificky
stanovené úpravy bezpečnostních pravidel.
4. Propagace informací o útocích. Jakmile je detekována kompromitace virtuálního
systému, je nutné ho okamžitě izolovat, umístit do karantény, kde může bezpečně dojít
k nápravě stavu. Pro přehled o stavu a vývoji provozu i pro analýzu bezpečnostních
událostí potřebujeme odpovídající reportovací a analytické nástroje.
5. Centrální správa. Správa bezpečnosti je významně efektivnější, pokud jednotně
zajišťuje administraci a dohled pro fyzické i virtuální bezpečnostní brány i brány
ve veřejné cloudové infrastruktuře jako Amazon Web Services, Microsoft Azure,
Rackspace či VMware CloudAir.
Check Point Security for Private Clouds | White Paper

3. ©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content July 2015 3
Check Point Security for Private Clouds | White Paper
Adaptivní bezpečnost virtualizovaných
datových center
Brány Check Point vSEC, implementované jako virtuální systémy, přináší firewall, IPS,
anti-malware a další pokročilé bezpečnostní funkce na úrovni hypervisoru. Chrání
dynamické virtuální prostředí před hrozbami zvenčí i hrozbami interními, včetně jejich
šíření v inter-VM provozu. vSEC zajišťuje efektivní ochranu aplikací v privátních cloudech
díky integraci s platformou VMware NSX.
Check Point vSEC podporuje hypervisory VMware, Microsoft, KVM a Xen. Řešení je
rovněž integrovatelné s SDN řešeními Cisco ACI a OpenStack.
Díky integraci s VMware NSX a vCenter se Check Point vSEC přizpůsobuje všem
změnám ve virtuálním prostředí a poskytuje dynamickou ochranu zohledňující typ
aplikace, její umístění v topologii a úroveň souvisejícího rizika. Řešení umožňuje
automatické řízení bezpečnosti, při zachování oddělení rolí a odpovědností.
Check Point vSEC, specializovaný na virtuální datová centra, využívá prověřené
bezpečnostní technologie architektury Software Blades, zahrnující mimo jiné Next
Generation Firewall, IPS, “advanced threat prevention” a centrální management.
Automatické zajištění bezpečnosti dynamického prostředí datových center
Bezpečnost musí pružně reagovat na rozvoj datového centra. Jakmile je přidána nová
aplikace či server, Check Point ji automaticky zabezpečí. Platí to pro nově vzniklé virtuální
systémy i existující systémy, které jsou migrovány bez přerušení konektivity. Navíc jsou
díky automatické instalaci vSEC bran okamžitě chráněny i virtuální systémy na nově
vzniklých ESX serverech. Pro zajištění ochrany není nutná žádná změna topologie
virtuálních sítí.
Centrální správa virtuálních i fyzických bezpečnostních bran
Správa bezpečnosti je u Check Point jednotná napříč virtuálními a fyzickými systémy,
IT nastavuje bezpečnostní politiky pro obě prostředí z jednoho místa. Je tak zajištěna
konzistence bezpečnosti celku a efektivita administrace.
Check Point se zároveň integruje s VMware NSX. Politika, která obsahuje VMware NSX
objekty (Security Groups) může být aplikována jak pro Check Point vSEC brány (pro east-
west provoz), tak fyzická zařízení Check Point (north-south provoz).

4. ©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content July 20154
Arrow ECS, a.s.
Tvorkovských 5
709 00 Ostrava-Mariánské Hory
+420 597 488 811
Arrow ECS, a.s.
U nákladového nádraží 10
130 00 Praha 3
+420 266 109 211
arrowecs.cz
Telefon
+420 597 488 811
E-mail
security.ecs.cz@arrow.com
Online
www.arrowecs.cz
Check Point Security for Private Clouds | White Paper
Komponenty řešení Check Point pro bezpečnosti datových
center
Check Point nabízí kompletní portfolio produktů, které spojuje vysoký výkon síťových bezpečnostních
zařízení a sofistikovanou proaktivní ochranu jak pro north-south, tak east-west provoz. Poskytuje flexibilitu
odpovídající požadavkům moderních datových center. Portfolio zahrnuje:
• Check Point Datacenter Appliances - Zařízení pro pokročilou ochranu perimetru datových center
(north-south provoz).
• Check Point Virtual Systems – Konsolidace více virtuálních bezpečnostních bran na jediném
fyzickém zařízení. Umožňuje vytvořit oddělené bezpečnostní prostředí pro různé subjekty.
• Check Point vSEC – Bezpečnost interního provozu uvnitř datového centra, podpora reálné
mikrosegmentace. Management Server se integruje s platformami pro správu VMware NSX
a vCenter, Cisco ACI a Alcatel Nuage.
• Check Point Public IaaS Gateway – Umožní Vám rozšířit Vaše datové centrum o prostředky
ve veřejném cloudu bez snížení úrovně bezpečnosti.
• Check Point Security Management – Jednotná správa virtuálních i fyzických bran a bran v prostředí
IaaS (AWS, Azure). Vícevrstvá definice a šablony politik usnadňují řízení bezpečnosti v dynamickém
prostředí cloudu.
• Check Point Trusted API – REST API pro automatizaci činností, včetně aplikace granulárních
oprávnění.
Shrnutí
Bez zajištění dostatečné úrovně bezpečnosti nemohou společnosti plně využít výhody privátního cloudu.
Bezpečná east-west komunikace, automatizace, orchestrace a centrální správa fyzického i virtuálního
prostředí, to jsou zásadní požadavky na bezpečnost virtualizovaných datových center. V kombinaci
s virtualizací síťové infrastruktury, jako VMware NSX, zajišťuje Check Point vSEC jednoduché a přitom
komplexní řešení bezpečnosti, správy a automatizace prostředí cloudu.
Check Point přináší kompletní řešení bezpečnosti jak pro perimetr, tak pro interní provoz. S produkty Check
Point získáte zcela nový přístup k zavádění a správě kompletní sady bezpečnostních služeb. Check Point
se zaměřuje na ochranu moderních datových center proti sofistikovaným útokům a jejich horizontálnímu
šíření uvnitř prostředí privátního cloudu. Organizace tak dokáží pokrýt všechny aspekty bezpečnosti, aniž
by omezili cokoli z předností virtualizovaných sítí.
Více informací o řešení společnosti Check Point naleznete na www.checkpoint.com.