Copyright 2009 Trend Micro Inc. Classification 8/9/ Защита виртуальных систем – сейчас и в ближайшее время Николай Романов Технический консультант

Copyright 2009 Trend Micro Inc. Подход к защите VM На физических и виртуальных серверах угрозы одинаковые. дополнительные особенности: 1.Отключенные VM 2.Разделение ресурсов 3.Рост числа VM 4.Трафик между VM 5.vMotion 2 +

Copyright 2009 Trend Micro Inc. Виртуализация и безопасность Головная боль Более 50% всех виртуальных серверов обеспечивает работу производственных систем, включая наиболее критические из них (Gartner) По данным оценки на 2009, 60% таких систем были защищены хуже, чем аналогичные аппаратные варианты (IDC) Сложности Большое количество важных для бизнеса приложений находятся на одном сервере, что повышает риски Трафик между VM нельзя обезопасить традиционными средствами Решение Нужен согласованный и адаптивный подход Мобильность: Защита является частью образа Гибкость: Прозрачность с точки зрения конфигурирования виртуальной сети Видимость: Защита от атак на уровне трафика между VM Масштабируемость управления за счет интеграции с VMware Virtual Center integration 3 3

Copyright 2009 Trend Micro Inc. Уменьшение бреши в плане уязвимостей Головная боль Накладно тестировать и разворачивать обновления Сложности Тесты на полную совместимость съедают много времени Патчи ОС не выпускаются сторонними производителями Старый софт не обновляется Как обеспечить SLA? Как обеспечить соответствие по virtual patching? Решение Защита от уязвимостей путем виртуального обновления Применимо в любое удобное время Реже нужно обновлять системы Защита старых приложений Защита на уровне zero-day атак Сотрудники ИТ службы могут заниматься другими делами Virtual patching позволяет снизить число задач, связанных с внеплановыми обновлениями на 50%-75% 4 4

Copyright 2009 Trend Micro Inc. Безопасность веб приложений Головная боль 34% всех взломов были выполнены через бреши в веб приложениях (Verizon) 75% всех атак были сделаны на уровне приложений (Gartner) Сложности Традиционная защита периметра не защитит Выявление и устранение уязвимостей в веб приложениях занимает время и ресурсы Старые приложения нельзя обновить Решение Защита от уязвимостей до их устранения Гибкое управление процессом Уведомление производителя ПО и установка патчей по мере их выпуска Постоянная защита даже для старого ПО Защита от zero-day атак 5 5

Copyright 2009 Trend Micro Inc. Trend Micro Лучший в отрасли по защите виртуализированных ЦОД Selected Virtualization Security Vendors Host Based Anti- Malware Virtual Appliance Virtual Zones Virtual Infrastructure Protection VM Lifecycle Protection Log and Patch Management Configuration Management AltorXXXXXX ApaniXXX CatbirdXXXXXXX Check PointXXX HyTrustXXXX IBM-ISSXXXXXXX McAfeeXXX Red CannonXXXXX Reflex SystemsXXXXXX StonesoftXXX Trend MicroXXXXXXXX TripwareXXXX VMwareXXX Nemertes Research 2009

Copyright 2009 Trend Micro Inc. DEEP SECURITY VIRTUALIZATION SECURITY Classification 8/9/2012 7

Copyright 2009 Trend Micro Inc. Classification 8/9/ Защита на базе решения Deep Security Мультиплатформенная защита критически важных для бизнеса серверов и приложений

Copyright 2009 Trend Micro Inc. 9 Физические ВиртуальныеОблачные Мониторинг целостности Мониторинг целостности Анализ событий журналов Анализ событий журналов Защита серверов/приложений: Антивирус Q3/2010 Брандмауэр Глубокий пакетный анализ (DPI) Глубокий пакетный анализ (DPI) В рамках DSVA

Copyright 2009 Trend Micro Inc. Реактивная защита Частные источники Скрытые источники Координирование информации и откликов Разработка правил Сортировка Анализ охвата Открытые источники Мониторинг Оценка Разработка Доставка Автоматизированный мониторинг SANS CERT Консалтинг вендоров Bugtraq VulnWatch PacketStorm Securiteam Telus (Assurent) Разработка правил Эксплойт/Атака Уязвимость Уловки/Аномалии/Трафик Отклик Автоматизировано В течение нескольких часов QA Сортировка приложений Широкий спектр охватываемых серверных, настольных и специализированных приложений Рекомендации по каждому правилу 10

Copyright 2009 Trend Micro Inc. Classification 8/9/ Уведомления Microsoft по технической безопасности Microsoft заблаговременно предоставляют общую информацию по вопросам безопасности продуктов Уведомления Microsoft по технической безопасности информируют о найденных уязвимостях и доступных исправлениях, касающихся продуктов Microsoft Уведомления Microsoft по технической безопасности выпускаются каждый 2 ой вторник ежемесячно и содержат следующую информацию: –Обзор уязвимостей –ПО, подверженное уязвимостям –Уровни угроз и идентификаторы уязвимостей –Сопроводительное руководство –Часто задаваемые вопросы

Copyright 2009 Trend Micro Inc. Classification 8/9/ Microsoft Active Protections Program (MAPP) –Программа для разработчиков систем безопасности –Участники заранее получают информацию об уязвимости из Microsoft Security Response Center (MSRC), до публикации ее в ежемесячном бюллетене –Участники используют эту информацию для обеспечения защиты клиентов сразу после публикации этих данных Trend Micro предоставляет защиту своим клиентам в течение 2 часов после публикации Microsoft Security Bulletins –Это дает возможность клиентам защитить уязвимые системы от атак –Системы могут быть пропатчены в течение следующего планового обслуживания

Copyright 2009 Trend Micro Inc. Deep Security 13 Брандмауэр Централизованное управление политиками брандмауэра на сервере Набор шаблонов для типовых корпоративных серверов Тщательная фильтрация: IP & MAC адреса, порты Охватывает весь диапазон IP-протоколов: TCP, UDP, ICMP, IGMP … Глубокий пакетный анализ Включает IDS / IPS, Защиту веб приложений, управление приложениями Проверяет входящий/исходящий трафик на: Протокольные отклонения Контент, сигнализирующий об атаке Нарушения политик. Мониторинг целостности Мониторинг критических файлов, изменений в системе и реестре Критические файлы ОС и приложений (файлы, папки, ключи и значения реестра, Анализ событий Собирает и анализирует записи журналов ОС и приложений для выявления событий системы ИБ. Оптимизация правил для выявления важных ИБ событий, скрытых среди множества записей журналов.

Copyright Trend Micro Inc. Архитектура Deep Security TODO

Copyright 2009 Trend Micro Inc. Deep Security Manager (DSM) Система централизованного управления на базе веб-консоли Управление профилями безопасности –Система гибкого ролевого администрирвоания (например, делегирование полномочий –Детальная отчетность –Рекомендации по сканированию –Настраиваемая панель мониторинга –Автоматизация планировки задач –Обновления ПО и безопасности –Интеграция (vCenter, SIEM, Active Directory) –Масштабируемость (множество узлов) 15

Copyright Trend Micro Inc. 16 VMware vSphere 4 VMware vCenter Deep Security Virtual Appliance* Согласованный подход Агент отключается Согласованный подход Агент отключается Согласованный подход Агент отключается Защита VM обеспечивается на уровне Virtual Appliance Согласованный подход Агент отключается Защита VM обеспечивается на уровне Virtual Appliance * VMware vSphere 4 VMsafe API

Copyright 2009 Trend Micro Inc. Согласованный подход Каждый механизм имеет свои преимущества… 17 Агент на VMБезопасность: дополнительные модули Мобильность: vMotion и/или поддержка VM в облаке Производительность: VM с повышенными требованиями к производительности Virtual ApplianceЗащищенность: применимость к любым VM Совместимость: поддержка ОС, не поддерживаемых Агентом Совместимость с Агентом - VMware 3.x, Citrix, and Hyper-V Virtual Appliance – VMware vSphere 4 (ESX 4)

Copyright 2009 Trend Micro Inc. 18 Deep Security Virtual Appliance Модули защиты ПоддержкаОписание FirewallДаПрозрачность в отношении VM Политики безопасности могут быть применены к каждому NIC Автоматически применяет политики FW, если Агент на VM не работает Firewall & DPIДаПолная поддержка DPI (IDS/IPS, Web App protection, App Control) Автоматически применяет политик DPI, если Агент на VM не работает Мониторинг целостности НетНужен Агент на VM Анализ событийНетНужен Агент на VM

Copyright 2009 Trend Micro Inc. Deep Security 7 – поддержка платформ 19 Windows 2000, Windows 7 Windows XP, 2003 (32 & 64 bit) Vista (32 & 64 bit) Windows Server 2008 (32 & 64 bit) 8, 9, 10 on SPARC 10 on x86 (64 bit) Red Hat 4, 5 (32 & 64 bit) SuSE 10,11 VMware ESX 3.x (in-guest Agent) VMware vSphere 4 (Virtual Appliance & in-guest Agent) HP-UX 11i (11.31) AIX 5.3, 6.1 Integrity Monitoring & Log Inspection modules

Copyright 2009 Trend Micro Inc. В СКОРОМ ВРЕМЕНИ.. Classification 8/9/

Copyright 2009 Trend Micro Inc. Неважно: работа в локальной сети ведется как в общедоступной. Систематизация SecureCloud* – защита доступа к данным в виртуализированных ЦОД Общее хранилище Брандмауэр, IPS и защита периметра Виртуальные серверы Интернет Общая сеть внутри брандмауэра Неважно: границы моего виртуального сервера защищены брандмауэром. Неважно: работа в локальной сети ведется как в общедоступной. Неважно: без меня можно загрузить мой сервер, но разблокировать мои данные нельзя. Неважно: мои данные зашифрованы (никаких хлебных крошек). Общее хранилище: защищает ли сегментация клиентов от атак? Легко копируемые образы машин: у кого еще есть копия вашего сервера? Общий брандмауэр наименьший общий знаменатель менее детальный контроль Много клиентов на одном физическом сервере возможность атаки через гипервизор SecureCloud* – в состоянии бета-тестирования с апреля 2010 по август Подробности и возможность принять участие в тестировании:

Copyright 2009 Trend Micro Inc. Новая модель безопасности защита вычислительной цепочки Все среды должны считаться ненадежными. Систематизация Узел сам защищает себя от атак Зашифрованные данные Ключи шифро- вания есть только у вас Когда вся цепочка защищена, компоненты могут перемещаться ЦОД1, ЛВС 1 «Облако» 1, ЛВС 2 Данные «Облако», ЛВС 1 Данные ЦОД2, ЛВС2 Виртуальные «соседи» не имеют значения.Местоположение не играет роли. Больше нет привязки к поставщику услуг. Рентабельность общего хранилища растет.

Copyright 2009 Trend Micro Inc. ПОДРОБНОСТИ ПО DEEP SECURITY Classification 8/9/

Copyright 2009 Trend Micro Inc. vSphere 4 - VMsafe APIs 24 Проверка ЦП/Памяти Проверка отдельных сегментов памяти Знание состояния ЦП Применение политик через разделение ресурсов Сетевое взаимодействие Просмотр всего входящего/исходящего трафика на узле Перехват, просмотр, изменение и копирование входящего/исходящего трафика Защита как активная, так и пассивная Хранилище Монтирование и чтение виртуальных дисков (VMDK) Проверка записи/чтения всего потока данных на устройствах хранения Прозрачное подключение при работе со стеком ESX Storage

Copyright 2009 Trend Micro Inc. Deep Security Virtual Appliance (совместно с vSphere 4 VMsafe) 25 App OS ESX Server App OS App OS VMsafe APIs Virtual Appliance Firewall IDS / IPS –Защита VM через проверку виртуальных компонент –Защищает VM извне, не требует никаких изменений в VM –Полная интеграция с vMotion, Storage VMotion, HA с учетом специфики. –Интеграция с Virtual Center для выявления VM и синхронизации

Copyright Trend Micro Inc. Deep Security Virtual Appliance Внутренняя архитектура 26 vNIC vSwitch Deep Security Virtual Appliance Stateful Firewall DPI Micro Firewall (Blacklist & Bypass) Tap/Inline Drop PASS Входящий/ Исходящий пакет Hypervisor

Copyright 2009 Trend Micro Inc. ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ DEEP SECURITY 7… Classification 8/9/

Copyright 2009 Trend Micro Inc. Тэгирование событий Система многоцелевого управления событиями Не изменяет и не удаляет оригинальные события Сценарии: –Снижение загруженности (меньшее кол-во событий для анализа; напр.,автотэгирование патчей или событий сканера уязвимостей) –Алгоритм прохождения событий (прогон событий через оценочные проверки) –Выборочные события (отчеты по определенным комбинациям тэгов, как например возможна 1 брешь) –Интеграция со сторонними системами (системы на основе «тикетов», контроль изменений) 28

Copyright 2009 Trend Micro Inc. 29 Улучшенное управление событиями Тэгирование событий –Автоматизирование тэгирование событий по определенному критерию –Тэги по умолчанию или собственные –Возможно тэгирование отдельного события, похожих событий или всех будущих событий (напр., событий похожих на проверку орфографии MS Word) –Существенно снижает объем анализируемых данных –Можно по-разному отображать информацию по событиям, на панели мониторинга и при формировании отчетов Тэги можно применять к: –Брандмауэру –DPI –Мониторингу целостности –Проверке журналов –Системным событиям

Copyright 2009 Trend Micro Inc. 30 Тэгирование событий в Deep Security Специальные События Панели мониторинга Отчеты Применены к Отдельным событиям Схожим событиям Последующим схожим событиям Тэгирование событий в Deep Security Специальные События Панели мониторинга Отчеты Применены к Отдельным событиям Схожим событиям Последующим схожим событиям Узел автоматизированного тэгирования событий Админ включил тэгирование Доверенные источники событий Потоковые источники событий События Брандмауэр DPI Мониторинг целостности Проверка журналов Системные Тэгирование событий

Copyright 2009 Trend Micro Inc. Применение тэгов событий 31 Apply tags to Firewall, DPI, Integrity Monitoring, Log Inspection & System Events

Copyright 2009 Trend Micro Inc. 32 Улучшено управление Мониторинг целостности «на изменение» –Мониторинг изменений системных файлов (файлов и папок) и отчет по этим изменениям в реальном времени –Данные включены в событие OnChange : Дата и время изменений Измененный или созданный объект Расширенные настройки правил –Настройка правил для Мониторинга целостности и Проверки журналов упрощена за счет GUI Расширены возможности Syslog –Добавлена возможность перенаправления данных через Syslog на основе модулей защиты напр., отправлять события брандмауэра и DPI, исключая события Мониторинга целостности и Проверки журналов

Copyright 2009 Trend Micro Inc. Улучшена интеграция с SIEM Syslog –Возможность вкл/выкл поддержки Syslog для каждого модуля Deep Security (FW, DPI, IM, LI) на уровне агента 33 Agent Events Firewall DPI Integrity Monitoring Log Inspection All events sent to DSM SIEM

Copyright 2009 Trend Micro Inc. Расширена масштабируемость Classification 8/9/ Улучшена масштабируемость и производительность DSM Добавлена поддержка 64-битных Windows 2003 & 2008 Требуется поддержка 64-битного оборудования 32-битный DSM64-битный DSM Виртуально адресуемая память / процесс в пользовательском режиме 2ГБ4 ГБ Ограничения физических объемов памяти 4ГБ32ГБ – Windows 2008 Server Standard 2 ТБ – Windows 2008 Server Enterprise

Copyright 2009 Trend Micro Inc. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ Classification 8/9/ (926) ИЛИ