More Related Content
Similar to построение системы защиты виртуальной инфраструктуры
Similar to построение системы защиты виртуальной инфраструктуры (20)
More from LETA IT-company
More from LETA IT-company (20)
построение системы защиты виртуальной инфраструктуры
- 2. АРХИТЕКТУРА СИСТЕМ ВИРТУАЛИЗАЦИИ
Обычный компьютер
Приложения
Ядро ОС
Аппаратное обеспечение
© LETA IT-Company
Управление виртуальной
инфраструктурой
Сервер виртуализации
Приложения
Приложения
Ядро ОС
Ядро ОС
Гипервизор
Аппаратное обеспечение
2
- 6. УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
Атака на гипервизор с виртуальной
машины
Атака на гипервизор из физической
сети
Атака на диск виртуальной машины
Атака на средства
администрирования виртуальной
инфраструктуры
© LETA IT-Company
6
- 7. УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
Атака на виртуальную машину с другой
виртуальной машины
Атака на сеть репликации виртуальных
машин
Неконтролируемый рост числа
виртуальных машин
© LETA IT-Company
7
- 8. ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
Приказ ФСТЭК №21 от 18.02.2013 «Об утверждении
Состава и содержания организационных и технических мер
по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных
данных»
Приказ ФСТЭК №17 от 12.02.2013 «Об утверждении
Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных
информационных системах»
© LETA IT-Company
8
- 9. ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
КОД
Содержание мер по обеспечению безопасности
персональных данных
ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в
виртуальной инфраструктуре, в том числе администраторов управления средствами
виртуализации
+
+
+
+
ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри ВМ
+
+
+
+
ЗСВ.3
Регистрация событий безопасности в виртуальной инфраструктуре
+
+
+
ЗСВ.4
Управление
(фильтрация,
маршрутизация,
контроль
соединения,
однонаправленная передача) потоками информации между компонентами
виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
+
+
+
+
ЗСВ.5
ЗСВ.6
УЗ4/К4 УЗ3/К3 УЗ2/К2 УЗ1/К1
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера),
серверов управления виртуализацией
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых
на них данных
ЗСВ.7
Контроль целостности виртуальной инфраструктуры и ее конфигураций
+
+
ЗСВ. 8
Резервное копирование данных, резервирование технических средств,
программного обеспечения виртуальной инфраструктуры, а также каналов связи
внутри виртуальной инфраструктуры
+
+
ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной инфраструктуре
+
+
+
ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование
виртуальной инфраструктуры) для обработки персональных данных отдельным
пользователем и (или) группой пользователей
+
+
+
© LETA IT-Company
9
- 10. НЕДОСТАТКИ ТРАДИЦИОННЫХ СЗИ
Не всегда совместимы со средой
виртуализации, так как изначально
разрабатывались для использования в
физической среде
Не защищают от новых угроз
безопасности информации,
специфичных для виртуальной
инфраструктуры
© LETA IT-Company
10
- 11. ПРИМЕРЫ КОМПРОМЕТАЦИИ
Копирование и блокирование всего
потока данных, идущего на все
устройства (HDD, принтер, USB,
сеть)
Чтение и изменение данных на
дисках виртуальных машин, даже
когда они выключены и не работают,
без участия программного
обеспечения этих виртуальных
машин
© LETA IT-Company
11
- 12. VGATE – ПРЕДОТВРАЩАМЫЕ УГРОЗЫ
Несанкционированный доступ к
средствам управления ВИ
Угрозы гипервизору (ошибки
конфигурации, уязвимости, атаки)
Угрозы взаимодействия
компонентов
Угрозы файлам виртуальных машин
(искажение, удаление и др.)
© LETA IT-Company
12
- 13. VGATE – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
•
•
•
Управление доступом в виртуальной инфраструктуре
•
•
Доверенная загрузка серверов виртуализации, ВМ и т.д.
•
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
•
•
•
Резервное копирование данных, технических средств и т.д.
Регистрация событий
Управление потоками информации между компонентами ВИ и
по периметру ВИ
Управление перемещением ВМ и обрабатываемых на них
данных
Антивирусная защита в ВИ
Разбиение ВИ на сегменты
© LETA IT-Company
13
- 14. TREND MICRO DEEP SECURITY
Атаки типа «отказ в обслуживании»
Использование угроз и атак
«нулевого дня»
Атаки, связанные с внедрением
SQL-кода и межсайтовым
выполнением сценариев
Несанкционированное
использование нестандартных
протоколов приложениями в ВМ
© LETA IT-Company
14
- 15. TREND MICRO DEEP SECURITY
Несанкционированное или
неожиданное изменение файлов и
системного реестра ВМ
Обращение пользователей ресурсов
ВИ к вредоносным URL-адресам
Антивирусные штормы в ВИ
© LETA IT-Company
15
- 16. TREN MICRO DS – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
•
•
•
Управление доступом в виртуальной инфраструктуре
•
•
Доверенная загрузка серверов виртуализации, ВМ и т.д.
•
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
•
•
•
Резервное копирование данных, технических средств и т.д.
Регистрация событий
Управление потоками информации между компонентами ВИ и
по периметру ВИ
Управление перемещением ВМ и обрабатываемых на них
данных
Антивирусная защита в ВИ
Разбиение ВИ на сегменты
© LETA IT-Company
16
- 17. SAFENET PROTECT V
Доверенная загрузка виртуальных и
физических машин
Шифрование виртуальных дисков
гостевых и физических машин
Разграничение прав доступа к
виртуальным и физическим
машинам
© LETA IT-Company
17
- 18. SAFENET PROTECT V
Соответствие стандарту
безопасности данных индустрии
платѐжных карт PCI DSS 2.0
Возможность миграции в
виртуальные и облачные среды.
При этом обеспечивается защита
данных и соблюдение требований
регуляторов
© LETA IT-Company
18
- 19. SAFENET PROTECT V – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
•
•
•
Управление доступом в виртуальной инфраструктуре
•
•
Доверенная загрузка серверов виртуализации, ВМ и т.д.
•
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
•
•
•
Резервное копирование данных, технических средств и т.д.
Регистрация событий
Управление потоками информации между компонентами ВИ и
по периметру ВИ
Управление перемещением ВМ и обрабатываемых на них
данных
Антивирусная защита в ВИ
Разбиение ВИ на сегменты
© LETA IT-Company
19
- 20. VEEAM BACKUP & REPLICATION
Быстрое, гибкое и надежное
восстановление всех
виртуализованных приложений и
данных — как в среде VMware
vSphere, так и в среде Hyper-V
Позволяет восстановить
виртуальную машину целиком или
отдельный объект любого
приложения или файловой системы
из резервной копии образа
виртуальной машины
© LETA IT-Company
20
- 21. SAFENET PROTECT V – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
•
•
•
Управление доступом в виртуальной инфраструктуре
•
•
Доверенная загрузка серверов виртуализации, ВМ и т.д.
•
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
•
•
•
Резервное копирование данных, технических средств и т.д.
Регистрация событий
Управление потоками информации между компонентами ВИ и
по периметру ВИ
Управление перемещением ВМ и обрабатываемых на них
данных
Антивирусная защита в ВИ
Разбиение ВИ на сегменты
© LETA IT-Company
21
- 22. КОНТАКТНАЯ ИНФОРМАЦИЯ
Владимир Овчарук
Заместитель директора Департамента внедрения и
консалтинга
Моб. тел.: +7 (968) 827-3821
e-mail: VOvcharuk@leta.ru
LETA
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
Единая служба сервисной поддержки: + 7 (495) 921-1410
www.leta.ru
© 2011 LETA. All rights reserved.
This presentation is for informational purposes only. LETA makes no warranties, express or implied, in this summary.
22