Документ описывает платформу безопасности для современных центров обработки данных (ЦОД) от VMware, включая виртуализацию и автоматизацию управления ресурсами. Основное внимание уделяется программно-определяемой безопасности, микросегментации и защите на уровне приложений. Выделяются ключевые компоненты и стратегии обеспечения безопасности, такие как интеграция с партнерскими решениями и управление политиками безопасности.

1. © 2017 VMware Inc. All rights reserved.
Платформа безопасности для
современного ЦОД
Александр Кренев
VMware
© 2017 VMware Inc. All rights reserved.

2. Компоненты типового ЦОД
2
Виртуализация стала
двигателем инноваций в ЦОД
Applications
Compute Storage Networking

3. Программный ЦОД – подход VMware
Hardware
Software
Уровень виртуализации
Пулы аппаратных ресурсов: процессоры, память, диски, сети
Независимость от производителя оборудования
Стандартное и простое (но надежное) оборудование
Интеллект на уровне ПО
Единая модель эксплуатации для всего ЦОД
Автоматизация выделения ресурсов и управления
Compute
Storage
Network
Compute
Storage
Network

4. WEB
APP DB
WEB
Что нам приходится защищать

5. Защита периметра
CONFIDENTIAL 5

6. Защита периметра
CONFIDENTIAL 6

7. Защита периметра
CONFIDENTIAL 7

8. Программно-определяемая безопасность
Security Stack
Correlation/AnalyticsGovernance, Risk & Compliance
Network Security Controls Data Security ControlsCompute Security Controls
DataNetwork
Микросегментация
Аудит и обнаружение
аномалий
Приложение
Compute
Предотвращение Обнаружение

9. VMware Security – защита на всех уровнях ЦОД
9
•AAA,Аудит
•Соответствиетребованиямрегуляторов
•Автоматизация:API,ConfigManagement
• vCenter – MFA / Automation
• ESX - VMEncryption / Encrypted vMotion
• ESX – Secure Boot
• **NSX – DNE
• NSX – Micro segmentation
• **NSX - Goldilocks
• vRealize Automation - Provisioning
• Horizon View – Secure Desktop Delivery
• Horizon One – Secure Application Delivery
• Airwatch – Secure Mobile
• vIDM – Identity Management

10. Сетевая платформа NSX
Сетевая платформа NSX
Виртуальные сети
Сетевое
оборудование,
серверы, СХД
Уровень виртуализации
Сетевая
виртуализация –
сердце программного
ЦОД Функции сети и
безопасности теперь в
гипервизоре
VMVM
VMVM
APP
VMVM
VMVM
APP
VMVM
VMVM
APP

11. Типовая плоская сетевая топология

12. Типовая плоская сетевая топология

13. Классическая сетевая защита
PERIMETER SECURITY
DataPeople Apps

14. Влияние новых архитектур на безопасность
PERIMETER SECURITY

15. Классическая сегментация

16. Микросегментация
WEB
DB
FW
FW
NGFWIPSWAF sFW ENC
DB
APP APP

17. Internet
Межсетевой экран NSX – защита каждой ВМ
17
Политика безопасности
Perimeter
firewalls

18. Улучшаем безопасность, упрощаем политики
Политика NSX может
быть применена на
основе:
• Операционной
системы
• Название сервера
• Прикладной сервис
• Уровень приложения
• Требования
регуляторов
• Логические метки
MICRO-SEGMENTATION
Создаем правила на основе характеристик приложений, а не IP-адресов
ПЕРИМЕТР ЦОД
PCI ScopePCI Scope

19. Каждая ВМ теперь под защитой
19
DATA CENTER
Каждое приложение получает:
Защиту от внешних и
внутренних сетевых атак
Политики на уровне
индивидуальной ВМ
INTERNET
DATA CENTER PERIMETER

20. Интеграция партнерских решений
Политика защиты
включает правила FW,
AV, IPS/IDS
Универсальные
шаблоны без привязки
к физическому уровню
Policy
Web App DB
Граница приложения
3rd Party
Integration
Решения партнеров расширяют
функциональность платформы NSX
20

21. Как быть с защитой на физическом уровне?
WEB
DB
DB
APP APP
Listening Inserting

22. Можно попробовать шифрование
WEB
DB
DB
APP APP

23. Шифрование как распределенный сервис
WEB
DB
DB
APP APP

24. Приложение – набор компонентов и связей
Web App
App
DB
DB
Processes
Security Agents / Monitoring
OS
Inbound
Communications
Outbound
Communications

25. NSX
ESX
Project Goldilocks
Remediation BrokerContext Service
VMware: vRA, vRNI, ESX, NSX
Dev/Automation: Puppet, Jenkins
Container Manifests: Docker Files
Attestation Service
Manifest
Processes
Security Agents / Monitoring
OS
Inbound
Communications
Outbound
Communications

26. Untrusted Zone (Guest)
Trusted Zone (Kernel)
Virtual Enclave
Application
Remediation BrokerContext Service Attestation Service
Project Goldilocks
PARTNER ECOSYSTEM
Secure Context Store
Processes
Security Agents / Monitoring
OS
Inbound
Communications
Outbound
Communications

27. Пример: Goldilocks & Wannacry
27

28. Пример: Goldilocks & Wannacry
28

29. Резюме
29
Предотвращение ОбнаружениеУправление
Переход к защите
на уровне приложений
Предотвращение атак:
микросегментация, DNE
Обнаружение и реагирование
Проект Goldilocks

30. © 2014 VMware Inc. All rights reserved.
Спасибо!