Бешков Андрей Руководитель программ ИТ безопасности

s 1989

Chicago Quincy Dublin Amsterdam Hong Kong Singapore Japan "ЦОДы стали также необходимы для жизни общества, как электростанции." - The Economist San Antonio Многочисленные CDN в Америке, Европе и Азиатском регионе. Куинси, Вашингтон: примерно 46K кв. м, 27MВт, использование гидроэлектроэнергии Сан Антонио, Техас: примерно 43K кв.м, 27MВт, повторное использование воды для охлаждения Чикаго, Иллинойс: примерно 65К кв.м, до 60 МВт, контейнеры, пассивное охлаждение воды Дублин, Ирландия: примерно 53K кв.м, до 27МВт, использование наружного воздуха для охлаждения.

Предоставление инфраструктуры Минимальные показатели $/MW, быстрое развертывание, универсальный дизайн Сертификации GFS ISO27001, SAS70, FISMA (.GOV) Безопасность и соответствие регулятивным нормам ЦОД Проектирование, построение, поддержка Контейнеры ITPAC Сборные здания Инструменты и автоматизация Коммунальные услуги Прозрачность затрат Глобальная доступность Стратегия микросайтов Заказчики GFS 300+ продуктовых команд МС Microsoft IT (1900 бизнес-приложений) Облачный хостинг – BPOS и Azure Заказчики GFS 300+ продуктовых команд МС Microsoft IT (1900 бизнес-приложений) Облачный хостинг – BPOS и Azure Глобальная сеть Темное оптоволокно Lower DC to DC costs Операционные центры Бангалор, Индия Редмонд, США

200+ CLOUD SERVICES

7 7

(On- Premises) Хранилища Сервера Сеть ОС Драйвера Виртуализация Данные Приложения Исп. файлы Вы управляете Infrastructure (as a Service) Хранилища Сервера Сеть ОС Драйвера Виртуализация Данные Приложения Исп. файлы Управляют другие Вы управляете Platform (as a Service) Управляют другие Вы управляете Хранилища Сервера Сеть ОС Драйвера Виртуализаци я Приложения Исп. файлы Данные Software (as a Service) Управляют другие Хранилища Сервера Сеть ОС Драйвера Виртуализация Приложения Исп. файлы Данные

Злоупотребление концепцией Небезопасные интерфейсы и API Злонамеренные сотрудники Потеря или утечка данных Захват аккаунта или сервиса Атаки на инфраструктуру и сервисы

Автоматическое развертывание вирт. машин Раздельное администрирование для арендаторов инфраструктуры Автоматическое развертывание физ. узлов (кластерами до 16 узлов) Обновление хостов и вирт. машин без прерывания сервиса Мониторинг инфраструктуры и автоматические корректирующие действия

TWC SDL Systems Management Active Directory Federation Services (ADFS) Identity & Access Management Certificate Lifecycle Management Information Protection Encrypting File System (EFS) BitLocker Client and Server OS Server Applications Edge Client and Server OS Server Applications Edge Forefront Protection Management Управляемая инфраструктура ключ к безопасности Services

Нет многослойной обороны Вся систем виртуализации работает на одном уровне привилегий Scheduler Memory Management Storage Stack Network Stack VM State Machine Virtualized Devices Binary Translators Drivers Management API Hardware Ring -1 User Mode Kernel Mode User Mode Kernel Mode User Mode Kernel Mode Ring 0 Ring 3 Virtual Machine Virtual Machine Virtual Machine

Многослойная защита Применение аппаратной защиты DEP, TPM Малый размер гипервизора Разграничение привилегий Scheduler Memory Management Hardware VM State Machine Virtualized Devices Management API Ring -1 Storage Stack Network Stack Drivers User Mode Kernel Mode User Mode Kernel Mode Ring 0 Ring 3 Parent Partition Virtual Machine Virtual Machine

Hyper-V сертифицирован по EAL4+

Parent Partition Virtualization Stack VM Worker Processes VM Service WMI Provider Child Partition Ring 0: Kernel Mode Virtualization Service Clients (VSCs) EnlightenmentsVMBus Server Hardware Provided by: Rest of Windows ISV Hyper-V Guest Applications Hackers OS Kernel Virtualization Service Clients (VSCs) Enlightenments Ring 3: User Mode Windows hypervisor VMBus Virtualization Service Providers (VSPs) Windows Kernel Server Core Device Drivers

Каждая ВМ получает свой собственный ресурс ОЗУ, дисков, ЦПУ, сетей Отдельный процесс обслуживания для каждой ВМ Изолированные каналы взаимодействия ВМ и родительского процесса ВМ не может влиять на другие ВМ, родительский раздел и гипервизор Взаимодействие ВМ только через родительский раздел

Server Core Server Roles and Optional Features Server Core Security, TCP/IP, File Systems, RPC, plus other Core Server Sub-Systems Server Core Security, TCP/IP, File Systems, RPC, plus other Core Server Sub-Systems DNS DHCP File AD Server With.NetFx, Shell, Tools, etc. Server With.NetFx, Shell, Tools, etc. TS NAS ADFS WDS И.т.д Server Roles (пример) AD LDS Media Server IIS 7 Hyper- V Print ASP.NET PS.NET 3/3.5.NET 2.0 WoW64 GUI, Shell, IE, Media, Mail, Etc. Минимальная установка Малая площадь атаки Меньше обновлений Экономия ресурсов

Родительский раздел Исключить из проверки.vhd файлы Разделы ВМ Антивирус внутри каждой ВМ

Ролевое управление группами хостов и ВМ Рекомендуется создавать дополнительные роли Комбинация из 33-х операций для каждой роли Обслуживание хоста Hyper-V Обслуживанием сетей Hyper- V Обслуживание ВМ Hyper-V

Роли: Administrator Полный доступ ко всем хостам, ВМ и серверам библиотек ВМ. Delegated Administrator Административный доступ к группе хостов и серверов библиотек Self-Service User Административный доступ к ограниченному набору ВМ через веб интерфейс портала самообслуживания

Сегментация сети с помощью VLAN Раздельные физические сетевые адаптеры на хосте Hyper-V Один для управления Hyper-V (изолирован VLAN) Один или более для трафика ВМ Выделенный адаптер для сети СХД (iSCSI) Во внешние сети подключать только ВМ

Использовать Windows Firewall with Advanced Security (WFAS) Настройки межсетевого экрана распространять с помощью групповых политик Правила межсетевого экрана могут применяться через портал самообслуживания Использование IDS/IPS для обнаружения аномалий сетевого трафика и реагирования на них.

Проверка здоровья клиентов, физ. хостов и ВМ Снижение риска от неавторизованных или атакованных систем Remediation Servers Example: Patch Restricted Network Клиент, сервер или ВМ Policy compliant NPS DHCP, VPN Switch/Router Policy Servers such as: Patch, AV Corporate Network Not policy compliant

Запуск только разрешенных приложений Контроль по издателю, версии, хэш сумме

RMSBitLocker Шифрование директорий с данными Хранение ключей EFS на смарткарте EFS Защита данных и ОС Безопасная передача данных партнерам и клиентам Защита информации в течении всего цикла жизни Шифрование данных основных приложений Microsoft

Все проблемы безопасности облачных сред технически средствами не решить: Включение в проекты сотрудника отдела безопасности Разделение полномочий развертывания, защиты, аудита Строжайшие политики физического доступа Двухфакторная аутентификация доступа к управляющим элементам ЦОД Политики выноса данных из ЦОД

Microsoft Virtualization Home: Microsoft Virtualization TechCenter Microsoft Hyper-V Security Guide Windows Virtualization Blog Site: Virtualization Case Studies Windows Server 2008 Virtualization & Consolidation: System Center Virtual Machine Manager (SCVMM) Hyper-V FAQ Optimized Desktop Infrastructure:

Virtualization Hypervisors evaluation criteria: h/Document.aspx?cid= h/Document.aspx?cid=1569 Security Best Practices for Hyper-V and Server Virtualization Virtualization Security Overview by Cisco