Документ представляет обзор решений компании SafeNet в области защиты данных, включая аутентификацию, шифрование и управление данными. SafeNet, основанная в 1983 году, является лидером в области информационной безопасности с более чем 25,000 клиентами в 100 странах и более 550 инженерами-криптографами. Продукты компании охватывают все этапы жизненного цикла защиты данных и включают решения для шифрования, управления ключами и многофакторной аутентификации.

1. SafeNet
Обзор решений
© SafeNet Confidential and Proprietary
1

2. Вопросы презентации
О SafeNet ...
Продукты и решения
Аутентификация
Аппаратные модули безопасности
Шифрование и управление данными
Высокоскоростное шифрование
Шифрование хранилищ
Безопасность в облаках
2

3. Факты о SafeNet
Крупнейшая компания занимающаяся исключительно
защитой ценных информационных активов.
Основана: 1983
Владение: частная
Глобальная – более 25,000 клиентов в 100 странах
Штат: более 1500 в 25 станах
Лидер в ИБ – более 550 инженеров-криптографов
Аккредитация – продукты сертифицированны по
высшим стандартам безопасности
3

4. Доказанное лидерство. Доверие к защите
SafeNet защищает:
> Большую часть денег, пересылаемых в мире — 80% всех электронных
транзакций — $1 трлн. в день
> Большинство цифровых сертификатов в мире —сертификатов PKI
компаний F-100 и правительств
> Большую часть бизнес ПО в мире — 80 миллионов аппаратных
ключей — больше любого другого производителя
> Большую часть секретной информация в мире —крупнейшие системы
защиты правительственных коммуникаций
4

5. Глобальная организация
5

6. История поглощений
6

7. Сегменты бизнеса
ПРОДУКТЫ РЫНКИ
> Сетевое шифрование Enterprise
> Шифрование дисков и файлов
> Шифрование БД и приложений
Government
> Аппаратные модули безопасности
> Управление ключами
> Многофакторная аутентификация
> Контентная безопасность
Software Publishers
> Защита ПО и интеллектуальных прав
> Лицензирование
System & Online
> Управление лицензиями
Service Providers
> Управление SaaS приложениями
7

8. Почему SafeNet?
Всесторонне Адаптивно Доказано
Comprehensive
Enabling Intelligent
Extensible Persistent
Постоянная защита на всем Решения разработаны для Ведущие организации мира
жизненном цикле лучшими адаптации к меняющимся доверяют защиту наиболее
решениями в отрасли: бизнес-потреностям: критичных информационных
> Защита идентичностей > От удаленного доступа до активов:
> Безопасность транзакций цифровой подписи – одна > Доказанные годами
платформа, одно решение работающие решения
> Шифрование и управление
> От дата-центра к конечной > FIPS уровней 1-3
> Защита каналов точке и воблако –
> Общие критерии
централизованные политики и
управление ключами
8

9. Защита данных
На всем жизненном цикле
9

10. Защита данных – на всем жизненном цикле
> Защищаем идентичности пользователей,
приложений и серверов
> Защищаем транзакции, которые ими порождаются
> Обеспечиваем владение данными и их контроль
за счет шифрования в процессах создания,
доступа к ним, распространения, хранения и
передачи
> Шифруем критичные коммуникационные каналы,
по которым передаются данные
10

11. Портфоило продуктов SafeNet Data Protection
Защита каналов –
Защита идентичностей - Защита транзакций и Шифрование и управление
высокоскоростное
Аутентификация идентичностей - HSM данными – Data Secure
шифрование
Широкий спектр Самые защищенные и Первая и единственная в Соединяет высочайшую
аутентификаторов, от легкие в интеграции с мире платформа производительность и
смарт-карт и токенов до приложениями решения управления данными и их легкостью интеграции и
смартфонов – защитой для всех управления
управляемых с одной информационных активов
платформы
> Единственная в > Лидер рынка HSM > Ориентированная на > Решения для Ethernet
отрасли > Инновации в HSM для данные, постоянная и SONET до 10Гб/сек
унифицированная платежных систем защита от дата- > Лучшее в классе ПО
платформа центров в облака управления
предоставляющая > Широкий спектр
платформ и решений > Централизованные безопасностью
адаптивные к политики, управление
изменениям окружения > Больше всего > Без потерь пропускной
ключами, аудитом и способности, с
возможности используемых в мире логированием
HSM – 75 000 минимальной
> Лидер рынка по CBA > Интегрированный DLP задержкой
токенам > Хранение ключей на периметре
всегда в аппаратуре > Высочайший уровень
> Уникальная технология > Аппаратное, защищенности
токена, не требующего HSM
масштабируемое
клиентского ПО решение высокой
производительности
11

12. Communication Protection
Защита идентичностей - Transaction and Identity Data Encryption and
– High-Speed Network
Аутентификация Protection - HSM Control – Data Secure
Encryptoion
Системы управления
USB
аутентификаторы
> Безопасный доступ
> Удаленное управление
паролями
Смарт-карты
> Новые он-лайн сервисы
> Соответствие
Гибридные
аутентификаторы
OTP
аутентификаторы
Широчайший спектр аутентификаторов, от смарт-
карт и токенов до программных аутентификаторов
смартфонов управляется с единой платформы
Программные
аутентификаторы
12

13. Communication Protection –
Identity Protection - Защита транзакций и Data Encryption and Control
High-Speed Network
Authentication идентичностей - HSM – Data Secure
Encryptoion
Luna SA / SP
> Безопасное хранение
Luna EFT
ключевого материала
> Верификация
идентичности в «железе»
Luna XML
> Безопасное выполнение
цифровых транзакций
> Соответствие стандартам CA4
Luna PCM
№1 мирового рынка, HSM SafeNet обеспечивают
высочайшие производительность, защищенность,
легкость интеграции с приложениями. ProtectServer Gold
Luna PCI
13

14. Communication Protection –
Identity Protection - Transaction and Identity Шифрование и управление
High-Speed Network
Authentication Protection - HSM данными – Data Secure
Encryptoion
DataSecure
> Централизованно
шифрует и контролирует EdgeSecure
доступ к данным
> Защищенное совместное
Data Center Suite
ProtectDB
использование и обмен
данными при
ProtectApp
постоянном контроле и
защите
ProtectZ
> Обеспечивает
соответствие от дата-
Tokenization
центра до конечной Manager
точки и далее – в облако
eSafe SmartSuite
DataSecure - единственная на рынке
унифицированная платформ для шифрования
Endpoint
Suite ProtectFile
данных, управления ключами и гранулярного
управления доступом, постоянно защищающая ProtectDrive
информацию от дата-центров до широчайшего
спектра конечных точек и в облаках.
14

15. Защита каналов –
Identity Protection - Transaction and Identity Data Encryption and Control
Высокоскоростное
Authentication Protection - HSM – Data Secure
шифрование
Ethernet
> Централизованное Encryptor
управление, шифрование и
защита данных на высоких
скоростях передачи SONET Encryptor
> Безопасность огромных
объемов данных с высокой
пропускной способностью и
«нулевой» задержкой Conversion
Encryptor
Security
Management
Center (SMC)
Высокоскоростные шифраторы SafeNet
соединяют высочайшую производительность
и легкость интеграции и управления.
15

16. Защита данных на всем жизненном цикле
SafeNet
ProtectAp
SafeNet
Безопасность сети ProtectDB
SafeNet
ProtectFile
Application and Аутентификация и
web servers контроль доступа
File Servers
Databases
SafeNet
ProtectApp
SafeNet
ProtectFile
Laptop/mobile Handset Mainframes
Контентная безопасность SafeNet DataSecure
> Безопасное, централизованное
Дата-центр управление ключами
eSafe
> Ориентированные на данные политики
> Управление идентичностями и доступом
> Логирование, аудит и отчетность
16

17. Платформа для защиты данных
Защита идентичностей и управление AUTHENTICATION
Управление шифрование данных DATA SECURE
Мониторинг и аудит
Централизованное управление ключами и хранением
Изучение данных и классификация
HSM
HSM
Политики безопасности и управление
Защита Шифрование Шифрование Защита Партнерские
DLP
транзакций приложений БД конечных точек решения
17

18. Аутентификация
18

19. Используемые сегодня методы
 Простые пароли
 Аутентификация по контексту/ знанию
 Распознование голоса/ SMS – Out-Of-the-Band (OOB)
 OTP
 Аутентификация по сертификатам (CBA)
19

20. Продукты SafeNet для защиты транзакций
 Больше чем аутентификация: решения SafeNet гарантируют
целостность данных в дополнение к аутентификации
пользователя
 Ни одно решение не подходит для всех случаев:
Различные методы снижения для разного уровня рисков
Различные решения под разные требования удобства
Любые форм-факторы
 Один сервер – множество решений: все решения
централизованно управляются с одной платформы, гарантируя
экономическую эффективность и эффективную управляемость
21

21. Один сервер – множество решений
сервер для централизованного развертывания и управления
сервер для облачной и стандартной строгой аутентификации
сервер для множества методов аутентификации (PKI, OTP, OOB)
сервер для всех форм-факторов: смарт-карты, USB, ПО
сервер = простое управление, высокая гибкость и низкое TCO
Все необходимое в рамках одного решения -
полностью доверенная среда, позволяющая
контролировать инфраструктуру аутентификации
22

22. Платформы управления Safenet Authentication
SafeNet Authentication SafeWord
Manager 8.0 (SAM) (SAM Express)
Все модели  Только OTP и OOB
Стандартные и  Установка - 5 кликов OTP Market
облачные  Стандартные и
приложения облачные
Один сервер = приложения
множество
сценариев
Гибкость,
масштабируемость,
надежность
CBA Market
23

23. Ни одно решение не подходит для всех случаев
MobilePASS
eToken OOB
PASS
Digital
Signing
MobilePASS
OTP
Transaction
Security
MobilePASS OOB
 Принятие риска может различаться для различных регионов
 Применение соответствующего метода снижения зависит от уровня активности
 Регулятор может влиять на требуемый метод снижения риска
26

24. OTP аутентификаторы
eToken 3000
eToken 3200
eToken 7000 OTP Market
MobilePass
SafeNet eToken 3400
OTP on Card
SafeNet eToken 3500
Optical signing
SW HW
27

25. CBA аутентификаторы
SW HW
eToken 7000
eToken 7200 CBA Market
eToken Virtual
eToken 5200 eToken 4100
28

26. eToken 3200 (Gold)
Возможности:
Интерфейс ввода ПИНа или защита ПИНом
―Challenge/Response‖
До генерации OTP, пользователь должен ввести пас-код,
отображаемый на странице приложения
Алгоритмы OTP:
X9.9 – Challenge response алгоритм
Synchronous – проприетарный алгоритм по событию
Поддерживается SafeWord и SAM
Легкая интеграция с Check Point Endpoint Security:
двухфакторная аутентификация и pre-boot
аутентификация в одном устройстве
29

27. Новый дизайн – новые возможности CBA
Mask 9, SHA 256, Plug&Play
SafeNet eToken Pro SC
SafeNet eToken 4100
SafeNet eToken Pro 72k Java
SafeNet eToken 5100/ 5105
SafeNet eToken Pro Anywhere
SafeNet eToken 5200/ 5205
SafeNet eToken NG-Flash
SafeNet eToken 7100/ 7200
30

28. eToken 5200/ 7200 (Anywhere)
• Инновация
• Первый портативный аутентификатор на смарт-карте, не требующий
ридера и установленного клиентского ПО – объединение стойкости CBA с
простотой использования OTP
• Для критичных бизнес-приложений
• Защищенный доступ к веб-сервисам и корпоративной сети (SSL VPN) с
любого компьютера, имеющего соединение с Интернет и USB порт
• Цифровая подпись/ приложения документооборота
• Непревзойденная безопасность, простота и удобство
• Полная модильность пользователя: не нужен драйвер - клиент
• Не требует знаний и опыта пользователя
• Не оставляет следов по закрытии сессии
• Не требует обслуживания
31

29. Что такое программный аутентификатор?
Двухфакторная аутентификация посредством только ПО (нет «токена»)
Предоставляет: удаленный и сетевой доступ, цифровую подпись (PKI)
Доступны в виде:
1. OTP аутентификатора - MobilePASS
OTP генерируется на мобильном устройстве или ПК
Доставка кода через SMS/Email - Out of Band (OOB)
2. Виртуальная смарт-карта – eToken Virtual
40

30. eToken Virtual
eToken Virtual – программное решение по двухфакторной аутентификации
 обеспечивает полную PKI функциональность для безопасного
удаленного доступа, сетевого досутпа и цифровой подписи.
eToken Virtual работает с SAC и SAM
 полностью управляемое внедрение программных смарт-карт
 безопасность и функциональность аппаратной смарт-карты
 может содержать ключевые пары, сертификаты, профили SSO
41

31. MobilePASS
Превращает мобильное устройство в двухфакторный аутентификатор
Платформы: iPad/iPhone/iPod , Android, BlackBerry, J2ME , Windows Mobile.
Дополнительно: Windows Desktop, доставка через SMS/Email
сниженное TCO
пожизненная гарантия
удобство
управляемость
высокая гибкость
Легко развернуть, активировать и управлять
Масштабирование
Самостоятельная активация
Интегрируется в существующие платформы управления (не требует внешних)
MobilePASS SDK: позволяет кастомизировать приложение (UI, бренд)
42

32. Как работает MobilePass?
2. Clicks on
1. User OTP
accesses OWA application to
log-in screen generate
passcode
3. Back end
3. Enters user validates
name, passcode;
password and OWA inbox
OTP passcode loads...
43

33. Аутентификация на мобильном устройстве
Защищенный доступ с мобильного
Мобильный аутентификатор
устройства
Решение Решение
Мобильное приложение превращает Мобильное устройство выступает
мобильное устройство в устройство платформой для доступа к
аутентификации. корпоративным ресурсам.
Продукт
• Безопасный доступ мобильному
Продукт
устройству через SafeNet
Authentication Manager (SAM):
• MobilePASS: OTP приложение,
SAM внедряет сертификат на
установленное на мобильном
мобильное устройство, который
телефоне.
гарантирует что только доверенное
Может доставлять код через SMS
устройство с сертификатом может
получить доступ.
44

34. Безопасный доступ с мобильных устройств
Доступно в SAM 8.0 SP2!
• Управление аутентификацией iOS-устройств посредством политик
• Управление сертификатами и учетными записями – контроль над
мобильными устройствами имеющими доступ в сеть
• SAM позволяет IT персоналу выдавать сертификаты устройствам
• Политики паролей устройства и запрет паролей/ кэширование
паролей на мобильных устройствах
45

35. Как насчет Malware?
Клиет хочет перевести $2 500
Malware меняет номер
Клиент подтверждает
Malware
счета и сумму на $25 000
гарантирует, что
перевод и злоумышленник
клиент видит $2 500
получает $25 000! Банк получает
запрос на перевод
$25 000 и шлет
клиенту запрос на
подтверждение
47

36. Какими методами противостоять malware?
 Transaction Signing
 OOB
 Separate browsing environment
48

37. Защита транзакции оптическим токеном
Детали
Клиент
транзакции
выполняет
получает
транзакцию
токен
Transfer Transfer
$50,000 $50,000
Acc: 876543 Acc: 876543
Клиент видит Токен Транзакция
детали генерирует код, подтверждена
транзакции на пользователь
токене набирает
781542
49

38. SMS/Email OOB аутентификация
 Код доступа поступает через SMS/Email на
мобильное устройство
 Какая разница между OOB SMS и OTP?
OTP генерирует код в приложении на мобильном устройстве, который
должен совпасть с кодом на аутентификационном сервере
SMS код генерируется удаленным сервером и доставляется на мобильное
устройство
54

39. Защита транзакции посредством MobilePass SMS
55

40. Доверенный браузер на eToken 7100/ 7200
 Для браузинга используется безопасное окружение
• находящееся на SafeNet eToken 7100/7200 (NG-Flash)
 Доверия к пользовательскому компьютеру нет – заражен
 Короткий процесс развертывания: ПО не устанавливается
 Можно сконфигурировать предустановленное приложение
или загрузить последнюю доверенную версию
 Защищает от: eavesdropping, phishing, password guessing, MiTM, MiTB
 USB аутентификатор с шифруемой флеш-памятью объемом 4-16 Гб
56

41. Как работает доверенный браузер?
Высокорисковые транзакции
57

42. Угрозы и решения
 Всестороняя защита от угроз различного уровня
риска финансовых организаций
Риск решение Eaves Фишинг Фарминг MITM MITB Transaction
dropping Security
MobilePASS  
OTP
MobilePASS    
SMS
eToken 3000  
(Pass)
eToken 3200  
(GOLD)
eToken 5200      
(Anywhere)
eToken 7200      
(NG-FLASH)
58

43. Аппаратные модули безопасности - HSM
60

44. Что такое HSM?
Широкий спектр опций:
Различные производительность,
Приложение объемы хранения, форм-факторы,
Сервер модели аутентификации
приложений
PKCS #11
Java CSP
CAPI / CNG
OpenSSL
Полный набор
HSM XML-DIGSIG SDK/Toolkit для гибкой
Сервисы использования ключей интеграции
Сервис хранения ключей
Сервис
1. Криптографические Физическая защищенность
Разделение полномочий управления
ключи содержатся в Многофакторная аутентификация
M из N контроль
ключами
высокозащищенном Бэкап/восстановление
FIPS 140-2 Level 3 Common Criteria EAL4+ Конроль экспорта ключей
устройстве. EKM интерфейс
2. Ускоряет криптооперации Политики
3. Обеспечивает полный Все HSM сертифицированы:
аудит ключевого FIPS 140-2, Common Criteria
материала.
61

45. Портфолия SafeNet HSM
Сетевой,
масштабируемый, Luna SA / SP / XML
SOA, Web Services
Платежный,
EMV/EFT Luna EFT
Offline CA,
G5
архивирование
Программируемый, ProtectServer Gold
экономичный
Аппаратные модули Наиболее
безопасности SafeNet – производительный
Luna PCI
самые производительные,
защищенные и легкие в
ПО управления Luna SX
интеграции решения для
защиты идентичностей,
транзакций и приложений
62

46. Применение HSM
Шифрование БД (MS/Oracle EKM/TDE)
Банковские и финансовые платежные
Веб сервисы и XML
Временные метки (лотереи, билеты, ПИН через Интернет)
Защита ключей CA
Работа с сертификатами
Почтовые шлюзы
Подпись документов (e-Invoicing)
Управление ключами
Выпуск банковских карт
Подписание кода
Доверенное производство (оригинальные запчасти, паспорта, права, ценные бумаги)
DNSSEC
SmartGrid
63

47. Унифицированная платформа DataSecure
64

48. Стоит задача защиты данных?
Структурированные
данные данные в БД и приложениях
• ProtectApp & ProtectDB: шифрование данных в БД и приложениях
• Tokenization Manager: токенизация данных – вывод из области аудита
0000 000 00
0000 000 00
Неструктурированные
0000 000 00
данные данные в файловых структурах
• ProtectFile: шифрование файловых серверов
• StorageSecure: SAN/NAS, файловые хранилища и архивы
NAS
Archive
Виртуализация владение данными, изоляция и соответствие в виртуальных средах
• ProtectV:
• Виртуальные машины
• Виртуальные хранилища
Криптосервисы основа для корпоративных криптосистем
• DataSecure и KeySecure
• Управление шифрованием хранилищ, БД, приложений, файлов
• Управление шифрованием в конечных точках (Crypto API, HSM)
• Управлением шифрованием виртуальных и облачных сред
65

49. Унифицированная платформа
1. Шифрование
•Приложений Файловые
•БД сервера
•Файлов
Сервера
приложений
Виртуальные
машины и тома
3. Виртуализация
•ProtectV
БД •Storage
CSP •Applications
2. Криптопровайдеры
•HSM: Luna PCI/SA
•ProtectApp
66

50. SafeNet DataSecure Platform
Intelligent Data Protection
Бизнес потребность Решение SafeNet
Защита Гибкая и масштабируемая
DataSecure – конфиденциальных аппаратная плафторма для
данных всех структур гетерогенного окружения
единственная
платформа для всех
информационных Внедрение шифрования Доказанное соответствие
активов с данных для соответствия (PCI DSS, ЗПд)
централизованным
управлением: Снижает операционные
ключами Снижение расходов и
расходы за счет легкости
сложности внедрения и
политиками эксплуатации
расширения, управления и
администрирования
логированием и
аудитом
67

51. Портфолио продуктов DataSecure
DataSecure EdgeSecure KeySecure
Коннекторы
i450 и i150 i10 i430
 Производительное  Для удаленных  Централизованное  ПО интеграции с
шифрование, офисов управление ключами объектом защиты
контроль доступа, и политиками
аудит, логирование
• ProtectDB - Oracle, IBM
• Прозрачное • Высокая доступность • Ключи хранятся DB2, Windows SQL
шифрование (не/) устройства для безопасно в едином Server, Teradata
структурированных локального хранилище для
данных прозрачного • ProtectApp – .NET,
шифрования CAPI, JCE, PKCS#11,
разделения и
• Высочайшая • Небольшой вес и z/OS, XML –
определения границ
производительность, форм-фактор большинство известных
низкая задержка оптимальны для • Централизованные приложений и веб-серв.
(+100.000 TPS) размещения политики, логирование,
аудит и архивирование • ProtectV – ВМ и тома
• Простая консоль • Удаленное управление
администрирования • Встроенный Центр • ProtectFile Server –
после первичной Windows and Linux
настройки Сертификации (CA)
• Высокая доступность и
масштабируемость • Разделение • ProtectDrive - FDE
• Полный бэкап
(кластеризация и центральным полномочий
балансировка) DataSecure • FIPS, Common Criteria
• FIPS, Common Criteria
68

52. SafeNet KeySecure™
Central
Management
User
Authentication Signing
Services
OTP
Server
ID
Certif icate
Sof tware Database
Virtual
File Drive
HSE Network
Gear
Protect V
Database Application
Communication Media
Protocols Data
Privacy
69

53. Безопасность хранилищ
SafeNet StorageSecure
Enterprise Key Management
FAS/NSE/SAN
SafeNet KeySecure
Brocade Encryption
Switches (BES)
70

54. SafeNet StorageSecure™
Физические характеристики:
Модели 1Гб/сек и 10Гб/сек
2U, 19‖, диблированный блок питания
Без LCD на панели
Возможности кластеризации
NAS (CIFS, NFS) & iSAN (iSCSI)
Задержка < 100 микросекунд
Физически защищенное шасси
Мастер ключ стирается при попытке логического или физического вторжения
Платформа
Защищенный TileLinux OS, только по CLI
SafeNet Storage Encryption Processor (SEP)
Обновляемая прошивка через консоль управления
Встроенные 32Гб памяти для конфигурации и ключей
71

55. Что такое стандарт KMIP?
 KMIP (Key Management Interoperability Protocol)
NSE использует KMIP для управления ключами
KMIP 1.0 одобрен в октябре 2010 г.
 Альянс OASIS
Стандарт дорабатывается для определения взаимодействия
сервер-сервер
Участники: Axway, Brocade, CA, Cisco, Cryptsoft, EMC, Emulex,
Freescale, HP, IBM, Lexmark, LSI, Mitre, NSA, NIST, NetApp, Oracle,
PrimeKey, Quantum, Red Hat, SafeNet, Skyworth, Symantec, Target,
Thales, Venafi, Voltage Security, Vormetric
72

56. Контентная безопасность SafeNet eSafe
73

57. Safenet обеспечивает безопасный контент
Новый функционал:
• DLP по расширенным словарям
• Web Quota Control
• new Transparent SSL Mode
• Mail IP Reputation
Интеллектуальные
Поддерживается на:
шлюзы безопасности для
• eSafe HG-200 Appliance
обработки трафика
• eSafe XG-110 Appliance
почты и веба – гарантия
• eSafe XG-210 Appliance
легкой интеграции и
• eSafe XG-300 Appliance
управляемости. • IBM HS22 Blade server
• VMware image for ESX(i) server
Доступна инсталяция с USB накопителя
74

58. eSafe – продукты контентной безопасности
 Интеллект в реальном времени для веб и сообщений
eSafe Web Secure Surfing eSafe Mail
For Enterprise Web Security Service
Delivery Platform for ISPs For Enterprise
eSafe Antispam & Worm
AppliFilte Web SSL URL Clean parental Outbreak
eSafe
r Filter Reporter Control Neutralizer toolbar Reporter
Pipe Protection
Отчетность Управление
75

59. Высокоскоростное шифрование канала
76

60. Вопрос производительности и пропускной способности
77

61. Сетевые шифраторы SafeNet
Security
Ethernet SONET/SDH Conversion
Management
Encryptor (SEE) Encryptor (SSE) Encryptor (SCE)
Center (SMC)
 Высокоскоростной  Высокоскоростной  Единственный в  Лучший в классе
шифратор Ethernet шифратор SONET / мире 10 GbE Ethernet Центр управления
SDH to OC192 шифратор безопасностью
• До 10 Гб/с • До 10 Гб/с • Гибкость Ethernet + • Легкая установка и
• «0» избыточности устойчивость SONET управление всеми
• Прозрачное шифраторами
шифрование сетей • Интерфейсы OC3, • До 9,5 Гб/с Ethernet
Ethernet OC12, OC48, over OC192 • Интуитивный веб-
OC192 • «0» избыточности интерфейс
• Чрезвычайно низкая
задержка • FIPS 140-2 Level 3/2 • FIPS 140-2 Level 2 • Беспримерная
устойчивость
• «0» избыточности на • Common Criteria EAL4 • Common Criteria EAL4
1Гб/с и ниже, низкая • Низкая стоимость
• Чрезвычайно низкая • Аутентификация на администрирования
избыточность на 10Гб задержка сертификатах
• Full duplex, 10Гб/с AES • Полноценный аудит
• Аутентификация на
• FIPS 140-2 Level 3 сертификатах • Безопасное удаленное
администрирование
• Аутентификация на
сертификатах
78

62. Облачные решения
79

63. Провайдеры SaaS, Paas и Iaas
Быстрое улучшение и проприетарные API
as a Service
Software
Application Presentation &
APIs
Application Engine
as a Service
Platform
Data Engine & Platform APIs
Middleware
as a Service
Infrastructure
Virtualization APIs
Hardware & Networking
Power & HVAC
Архитектура Вендоры Услуги
80

64. Проблемы безопасности в облаках
User ID and Access: Secure Authentication, Authorization, Logging  Фундаментальные вопросы
доверия и ответственности
Data Co-Mingling: Multi-tenant data mixing, leakage, ownership
Application Vulnerabilities: Exposed vulnerabilities and response
Данные в окружении разных
владельцев
Insecure Application APIs: Application injection and tampering
Отделение полномочий от
Data Leakage: Isolating data
инсайдеров облачного
Platform Vulnerabilities: Exposed vulnerabilities and response провайдера
Insecure Platform APIs: Instance manipulation and tampering Перенос ответственности с
Data Location/ Residency: Geographic regulatory requirements провайдера на владельца
Hypervisor Vulnerabilities: Virtualization vulnerabilities  Совершенно новые риски
Data Retention: Secure deletion of data Новые технологии
Application & Service Hijacking: Malicious application usage гипервизоров и архитектур
Privileged Users: Super-user abuse Переосмысление доверия и
Service Outage: Availability подтверждения в облаках
Malicious Insider: Reconnaissance, manipulation, tampering  Отсутствие ясной позиции
регулятора
Logging & Forensics: Incident response, liability limitation
Perimeter/ Network Security: Secure isolation and access
Регуляторы требуют
механизмы строгого контроля
Physical Security: Direct tampering and theft в облаках
81

65. Шифрование - унифицированный механизм защиты
 Шифрование – фундаментальная
технология реальной безопасности
Изолирует данные в общей среде
Аналитиками и экспертами признается
универсальной и основной для данных в облаках
Устанавливает высший уровень соответствия
защиты данных
 От тактики дата-центров к облачной
стратегии
Реальный контроль, доверие как основа процессов,
изоляция данных упрощают отношение к шифрованию
Факторы доверия, не существующие в облаках
82

66. SafeNet Trusted Cloud Fabric
Поддержание доверия и контроля в виртуальной среде
 Безопасность в облаках: Защита облачных приложений
Защита виртуальных хранилищ
Управление и наблюдение за
пользователями, данными,
Защищенные сущности и
приложениями и системами при Защита виртуальных машин транзакции
движении в виртуальное
окружение
Гарантируемая безопасность и
Безопасные облачные
стратегии соответствия Безопасный доступ к SaaS коммуникации
разработанные для облаков и
проверенные клиентами
Модульная, гибкая интеграция в На месте
любых комбинациях частных,
гибридных или публичных облаках
- внедряйте что хотите, где и когда
это нужно
Обеспечивая доверие и управляемость SafeNet дает заказчикам возможность
плавно интегрировать любые облачные модели в краткосрочных и долгосрочных
стратегиях технологий и безопасности
83

67. Преодоление барьеров безопасности в облаках
используя SafeNet Trusted Cloud Fabric
Бизнес задача (крупнейший мировой банк) Решение SafeNet
1 Контролируемый доступ к SaaS;
«Объединение» идентичностей
Безопасный доступ кSaaS:
Строгая аутентификация SafeNet
Достижение соответствия в Защита виртуальных машин:
2 изоляции, разделении
полномочий
SafeNet ProtectV™Instance
Поддержание доверия и Безопасность хранилищ:
3 управления в виртуальных
хранилищах
SafeNet ProtectV™Volume
Защита приложений без Защита облачных
4 снижения производительности;
Владение ключами
приложений: SafeNet
DataSecure® and ProtectApp
5 Безопасная цифровая подпись
и PKI в облаках
Защита идентичностей и
транзакций : SafeNet HSM
Безопасное соединение с
6 частными облаками
Безопасные коммуникации в
облаках: SafeNet HSE
84

68. ПРОБЛЕМА
Безопасный доступ к SaaS и облачным приложениям
Обеспечить безопасность данных когда вы не владеете системой
Применение стратегии аутентификации в облаках КЛЮЧЕВЫЕ ФАКТЫ
Строгая аутентификация для всех приложений • SSO-аутентификация
Облачных или реальных • «Объединение» сущн.
Даже более критична для облачных приложений • Легкая интеграция
• Быстрое развертывание
Ниже уровень доверия, дополнительные требования регуляторов
«Зоопарк» систем аутентификации
Разные системы аутентификации у каждого провайдера
Снижение операционной управляемости, не масштабируются
Слабость паролей и «усталость» систем аутентификации
 Недостаточная гибкость
Одновременное использование нескольких провайдеров
Сложность быстрого развертывания новых сервисов
Наследуемые системы на хаотичном облачном рынке
Облачный рынок будет консолидироваться: вопрос когда
85

69. РЕШЕНИЕ
Безопасный доступ к SaaS: Аутентификация SafeNet
Защитить доступ к облачным приложениям с единым управлением аутентификацией
SaaS Apps Облачные приложения
Salesforce.com
Объединение
SSO в облаке
Goggle Apps
Возможности
Одно аутентификационное решение и
для приложений на месте, и в облаках
Пользователь
Объединение местных идентичностей аутентифицируется
в облачные решения используя используя
протокол SAML 2.0 корпоративный аккаунт
Одно решение для всех форм-
факторов: аппаратных, программных SafeNet Authentication
и OoB Manager (SAM)
Google Apps и salesForce.com уже
поддерживаются
86

70. ПРОБЛЕМА
Защита неконтролируемых виртуальных копий (instance)
Достижение соответствия по изоляции и разделению полномочий
Неограниченное копирование инстансов КЛЮЧЕВЫЕ ФАКТЫ
Инстансы нерегулируемо копируются • Изоляция данных
• Разделение полномочий
Не прозрачно местоположение инстанса, нет аудита • Соответствие в облаках
• Аутентификация до пуска
Инстансы используются конкурентами и
• Ролевая защита
злонамеренными пользователями
Возможности неограниченных brute force-атак
Возврат к начальной копии и следующая попытка
 Незащищенный контейнер конфид. данных
Похоже на кражу/потерю ноутбука, только
инстанс всегда на сервере
Виртуальность делает «периметр» существенно
больше
Не просто одиночная потеря, в потенциально все и сразу
87

71. РЕШЕНИЕ
Защита виртуальных машин: SafeNet ProtectV Instance TM
Управление ВМ в облаке посредством шифрования и аутентификации инстанса
Виртуальная машина
TM
На месте ProtectV Instance
Гипервизор
Виртуальный сервер
Возможности
SafeNet DataSecure (доп.функционал): FIPS-шифрование до запуска инстанса
• Управление инстансами • Политики безопасности
Безопасный интерфейс входа (HTTPS)
• Управление ключами • Управление доступом
Пароли, OTP, CBA
Логирование и нотификация активности
88

72. ПРОБЛЕМА
Доверие и управляемость в виртуальных хранилищах
Потеря владения и окружении общего хранилища
Проблема утечки данных
КЛЮЧЕВЫЕ ФАКТЫ
Требует доверия к стратегии провайдера (meta-
tagging vs data isolation) • Изоляция данных
• Соответствие
Риски неверного конфигурирования и
Защита владения
администраторов облака •
Неочевидны конфиденциальность и целостность
 Проблема доверия и управления
Если шифрование предлагает провайдер:
Управление ключами
Соответствие
Стойкость, уникальность, смена и т.д.
Алгоритмы
 Доверие администратору
Разделение полномочий
89

73. РЕШЕНИЕ
Защита вирт.хранилища: SafeNet ProtectV Volume TM
Конфиденциальность данных в общем хранилище посредством изоляции данных
На месте
Данные
TM
ProtectV Instance
Хранилище
Виртуальный сервер
Возможности
SafeNet DataSecure (доп.функционал): Несколько вариантов:
TM
• Manages encrypted instances • Security policy enforcement
ProtectV Volume для сервера
• Lifecycle key management • Access control
Поддержка NetApp
ProtectFile
FIPS-certified
Централизованное управление ключами и
политиками
90

74. ПРОБЛЕМА
Безопасность приложений без снижения производительности
Поддержание доверия к облачному приложению
Вопрос доверия КЛЮЧЕВЫЕ ФАКТЫ
Доверие провайдеру • Владение ключами
• Производительность
Снижение прозрачности безопасности в облаке
• Экономика облаков
 Риск и ответственность • Централизованное
управление
Провайдер никогда не принимает риск
• Прозрачная интеграция
Написано в соглашениях
Как вы оцените риск?
Нет установленных рамок и метрик
 Неопределенность регуляторов
Нет прямых правил для облаков
Аудиторы смотрят на стандартные меры или высшие стандарты
91

75. РЕШЕНИЕ
Безопасность облачного приложения: SafeNet
ProtectDB и ProtectApp
Применить защиту данных в облачном приложении
БД Приложение
На месте ProtectDB ProtectApp
Токенизация
Локальный кэш ключей
Возможности
Несколько вариантов:
DataSecure
ProtectApp-шифрование
ProtectDB-шифрование
Tokenization Manager для токенизации
FIPS-certified
Централизованное управление ключами и политиками
92

76. ПРОБЛЕМА
Утеря владения и контроля
Безопасная цифровая подпись и PKI в облаках
Докажите, что Вы – это Вы
Где корень доверия для подписи и PKI в облаке?
Проблема доказывания владения в виртуальном мире
Фокус на исследование виртуализации КЛЮЧЕВЫЕ ФАКТЫ
Поддержка ключей в облаках • Широкая интеграция
платформ
Если провайдер управляет ключами
• Разделение
Походящий ключевой материал приложений от данных
• Высокопроизводительн
Необходимый жизненный цикл и политики ые транзакции
Привилегированный пользователь
 Проблема криптографии и энтропии
Сложно добиться настоящей «случайности» в облачных вычислениях
Изъяны в криптографии приведут к катастрофическим последствиям
В сентябре 2010 проблема с шифрованными .NET-cookie затронула как минимум 25%
интернет серверов.
93

77. РЕШЕНИЕ
Безопасные идентичности и транзакции в облаке:
SafeNet Hardware Security Modules (HSM)
Установите «цифровое» владение и корень доверия в виртуальной среде
Частное
Публичное
На месте
Возможности
Корень доверия для идентичностей и транзакций
FIPS-certified
Гибридное Виртуально разделяемый HSM
Hardware
Security Module Поддерживает Xen/Hyper-V/ESX-i
Поддержка приложений партнеров и руководства по
интеграции
Широкая интеграция и облачными платформами
Разделение данных и приложений
Высочайшая производительность
94

78. ПРОБЛЕМА
Перенос больших объемов данных
Передача критических данных в облаках
Большие объемы, высокая ценность КЛЮЧЕВЫЕ ФАКТЫ
Передача данных через границы • Устойчивость и
доверия надежность
• Передача в реальном
Из дата-центра в частное облако времени
• Шифрованный трафик
Целые серверы или даже хранилища
Может потребовать шифрование (PCI)
 Нужны скорость и эффективность
Гигабитные каналы
Требование незначительных задержек
VMotion и подобные технологии
Потоковое видео или VoIP
95

79. РЕШЕНИЕ
Безопасные облачные коммуникации:
SafeNet High Speed Encryptors (HSE)
Перенос данных на больших скоростях с шифрованием на лету
На месте
Частное
High Speed
Encryption
Возможности
Десятки гигабит с L2-шифрованием
Лучшие в классе решения, FIPS-certified
Центральные политики и простая интеграция
Отказоустойчивость
В реальном времени
96

80. SafeNet Trusted Cloud Fabric (TCF)
Практическая реализация обеспечения доверия и контроля
пользователей, данных, систем и приложений в облаках
Решения

Secure Virtual
Storage
Secure Cloud
Applications
1. Строгая аутентификация в облаках Secure Virtual Secure Cloud-Based
Machines Identities and Transactions
SafeNet Authentication Manger
Аппаратные, программные и мобильные токены
2. Безопасность ВМ Secure Access to SaaS
Secure Cloud-Based
Communications
SafeNet ProtectV Instance
+DataSecure On-premise
3. Защита хранилищ
SafeNet ProtectV Volume
+DataSecure и ProtectFile
4. Защита данных в приложениях
SafeNet DataSecure, ProtectApp и ProtectDB
+Tokenization Manager
5. Доверие к идентичностям и транзакциям
SafeNet HSM
6. Безопасные коммуникации
SafeNet HSE
97

81. Спасибо!
Вопросы, пожалуйста.
© SafeNet Confidential and Proprietary
98