15 лет на рынке информационной безопасности Безопасность «облаков»: проблемы, решения, возможности Евгений Акимов заместитель директора Центра Информационной Безопасности

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке От проблем к решениям и возможностям Общая идея безопасности виртуальных сред Новые актуальные угрозы Новые эффективные контроли И «хорошо забытые старые» технологии Решение из коробки? Проектная методология Новые возможности в облаке Эффективное применение механизмов защиты в облаке

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Физические среды vs. виртуальные среды

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Гипервизор и консоль управления – новое «слабое звено» 39% уязвимостей приходится на гипервизор (По данным группы IBM X-force) Новые актуальные угрозы: ГВ – единая точка отказа ОС «общего пользования» Консоль или сервер управления Новые актуальные угрозы: ПО с доступом по сети, следовательно содержит невыявленные уязвимости Компрометация на этом уровне, как и на уровне гипервизора, может привести к взлому всех виртуальных машин на платформе виртуализации

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Виртуальные машины и Виртуальное сетевое взаимодействие Новые актуальные угрозы: Классические средства защиты уровня хоста не всегда применимы, а иногда приводят к перегрузке физического оборудования Увеличение числа виртуальных машин, сложность управления и контроля за обновлениями Наличие спящих виртуальных машин Сетевой трафик между виртуальными системами не покидает физического сервера Анализ трафика стандартными средствами защиты невозможен

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Слабость контроля доступа, в т.ч. и к оборудованию Новые актуальные угрозы: 40% всех проектов по виртуализации начинаются без привлечения ИБ-подразделений ( По данным Gartner) Отсутствие разделения полномочий допускает наличие «гиперпользователя» с полным доступам ко всем виртуальным машинам При выключенной виртуальной машине существует возможность доступа к ее данным

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Общее решение Изоляция виртуальных машин по зонам доверия Использование виртуальных модулей - IDS\IPS и МЭ Использование безагентного антивируса Разделение полномочий между администраторами сети и администраторами безопасности Корреляция событий безопасности и сканирование на наличие уязвимостей Комплексное решение - создание защищенных сред:

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Функциональная матрица: универсальной таблетки опять нет УгрозаОбъектВариант СЗИФункционал НСД к элементам управления инфраструктурой Интерфейсы управления vCenter, ESX/ESXi (SSH, HTTPS, VI Client) HyTrust Appliance RSA SecurID ArcSight ESX/Logger Двухфакторная аутентификация Контроль и управление доступом с использованием меток Контроль настроек vCenter/vShpere в части ИБ Сбор и корреляция событий ИБ НСД к виртуальным машинам при использовании VMware View Клиент VMware View RDP/Citrix ICA RSA SecurID ArcSight ESX/Logger Двухфакторная аутентификация Контроль и управление доступом Регистрация событий ИБ Сбор и корреляция событий ИБ НСД к виртуальным машинам по сети Сетевые сервисы виртуальных машин, доступные из общей сети StoneGate FW ArcSight ESX/Logger Межсетевое экранирование Обнаружение и предотвращение вторжений Эффективная кластеризация и балансировка Сбор и корреляция событий ИБ Вредоносное ПО в сети Сетевые сервисы виртуальных машин, доступные из общей сети StoneGate FW/IPS ArcSight ESX/Logger Межсетевое экранирование на периметре Обнаружение и предотвращение вторжений Сбор и корреляция событий ИБ вредоносное ПО в VDI- инфраструктуре Внешние сервисы Файловые ресурсы Подключаемые носители и др. Deep Security ArcSight ESX/Logger Анти Сбор и корреляция событий ИБ вирусная защита НСД внутри виртуальной инфраструктуре Вредоносное ПО внутри виртуальной инфраструктуры Несанкционированный доступ внутри виртуальной инфраструктуры Deep Security ArcSight ESX/Logger Межсетевое экранирование внутри виртуальной инфраструктуры Защита Web-служб Обнаружение и предотвращение вторжений Сбор и корреляция событий ИБ Снижение уровня защищенности при миграции виртуальной машины Миграция на незащищенный хост Deep Security ArcSight ESX/Logger Защита каждого узла ESX/ESXi Сбор и корреляция событий ИБ Автоматическое обнаружения мигрировавшего хоста и его защиты НСД к виртуальным машинам в выключенном состоянии Образы дисков виртуальных машин Deep Security StoneGate FW HyTrust ArcSight ESX/Logger Контроль целостности файлов Контроль доступа к vmdk и журналирования фактов доступа Контроль доступа к сетевым интерфейсам SAN Контроль и управление доступом при администрировании SAN Сбор и корреляция событий ИБ

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Индивидуализируемое решение Выбор из общего с учетом: Конкретной архитектуры Актуальности угроз Критичности приложения / данных УгрозаОбъектВариант СЗИФункционал НСД к элементам управления инфраструктурой Интерфейсы управления vCenter, ESX/ESXi (SSH, HTTPS, VI Client) HyTrust Appliance RSA SecurID ArcSight ESX/Logger Двухфакторная аутентификация Контроль и управление доступом с использованием меток Контроль настроек vCenter/vShpere в части ИБ Сбор и корреляция событий ИБ НСД к виртуальным машинам при использовании VMware View Клиент VMware View RDP/Citrix ICA RSA SecurID ArcSight ESX/Logger Двухфакторная аутентификация Контроль и управление доступом Регистрация событий ИБ Сбор и корреляция событий ИБ НСД к виртуальным машинам по сети Сетевые сервисы виртуальных машин, доступные из общей сети StoneGate FW ArcSight ESX/Logger Межсетевое экранирование Обнаружение и предотвращение вторжений Эффективная кластеризация и балансировка Сбор и корреляция событий ИБ Вредоносное ПО в сети Сетевые сервисы виртуальных машин, доступные из общей сети StoneGate FW/IPS ArcSight ESX/Logger Межсетевое экранирование на периметре Обнаружение и предотвращение вторжений Сбор и корреляция событий ИБ вредоносное ПО в VDI-инфраструктуре Внешние сервисы Файловые ресурсы Подключаемые носители и др. Deep Security ArcSight ESX/Logger Анти Сбор и корреляция событий ИБ вирусная защита НСД внутри виртуальной инфраструктуре Вредоносное ПО внутри виртуальной инфраструктуры Несанкционированный доступ внутри виртуальной инфраструктуры Deep Security ArcSight ESX/Logger Межсетевое экранирование внутри виртуальной инфраструктуры Защита Web-служб Обнаружение и предотвращение вторжений Сбор и корреляция событий ИБ Снижение уровня защищенности при миграции виртуальной машины Миграция на незащищенный хост Deep Security ArcSight ESX/Logger Защита каждого узла ESX/ESXi Сбор и корреляция событий ИБ Автоматическое обнаружения мигрировавшего хоста и его защиты НСД к виртуальным машинам в выключенном состоянии Образы дисков виртуальных машин Deep Security StoneGate FW HyTrust ArcSight ESX/Logger Контроль целостности файлов Контроль доступа к vmdk и журналирования фактов доступа Контроль доступа к сетевым интерфейсам SAN Контроль и управление доступом при администрировании SAN Сбор и корреляция событий ИБ

© 2011 Инфосистемы Джет Центр информационной безопасности 15 лет на рынке Нет ухода без добра Возможности SaaS: ИБ тоже «облачная» Дешевле Гибкий SLA Можно зарабатывать деньги Но доверие к оператору облачного сервиса - актуально

Контакты: Центр информационной безопасности Евгений Акимов