Комплексная защита виртуальной среды от внешних угроз
1. Комплексная защита виртуальной среды
от внешних угроз
Вениамин Левцов, Региональный менеджер Trend Micro в России и СНГ
Денис Безкоровайный, CISA, CISSP, Технический консультант Trend Micro
Copyright 2009 Trend Micro Inc. 1
2. Компоненты системы безопасности
Защита от внешних
угроз: сетевых атак,
вредоносного ПО,
Средства ИБ в уязвимостей
составе
платформы
виртуализации
Контроль НСД и
коммуникаций ВМ
с окружением
Copyright 2009 Trend Micro Inc.
3. От «классических» средств ИБ – к
специализированым
I. Особенности
пользователя
На уровне
функционирования систем
ИБ в условиях виртуальной
среды
На уровне ядра
II. Реализация требований в
продукте Trend Micro
Copyright 2009 Trend Micro Inc.
3
4. 1. Мобильность виртуальных
машин
Гостевые виртуальные машины (ВМ) мигрируют
пользователя
На уровне
в пределах хоста, изменяют своѐ состояние
• Безопасность должна «перемещаться» вместе с
защищаемой средой
На уровне ядра
• Оптимальное решение – агент для каждой ВМ
• Независимость от состояния ИБ на хосте
• Простота развертывания и управления
Copyright 2009 Trend Micro Inc.
4
5. 2. Гипервизор
Управляющая среда (гипервизор) осуществляет
пользователя
На уровне
контроль среды ВМ
• На уровне гипервизора видна общая картина ИБ
На уровне ядра
• Полный контроль сетевого и файлового обмена
• Подсистема ИБ, вынесенная за пределы ВМ, практически
неуязвима
Copyright 2009 Trend Micro Inc.
5
6. 3. Ограниченность ресурсов ВМ
Ресурсы, выделяемые под отдельную ВМ,
пользователя
существенно ограничены
На уровне
• В физической среде антивирусное программное
обеспечение устанавливается для каждого экземпляра
На уровне ядра
операционной системы
• Разумно перенести работу антивирусного ПО вовне
гостевой ВМ
• Требуется интеграция с интерфейсом гипервизора
Copyright 2009 Trend Micro Inc.
6
7. 4. Обеспечение безопасности ВМ при
включении
Гостевые виртуальные машины могут
создаваться из «небезопасных» образов
пользователя
На уровне
• Образ, на основе которого создается ВМ может быть создан
достаточно давно – высокий риск наличия уязвимостей ПО
На уровне ядра
• Даже если на ВМ есть антивирус, он может использовать
устаревшие сигнатурные базы
• Если гостевая ВМ не находится в работе при
развертывании (обновлении) антивирусного ПО, она будет
незащищена при запуске
Copyright 2009 Trend Micro Inc.
7
8. 5. Особенности сетевого трафика
Сетевой трафик локализован локализован в
пользователя
пределах хоста
На уровне
• Активный трафик между отдельными ВМ не может
контролироваться физическими (шлюзовыми или
сетевыми) устройствами
• Постоянная миграция приложений в пределах виртуального
На уровне ядра
хоста осложняет разработку строгих политик
• Традиционными средствами крайне сложно организовать
изоляцию ВМ
• Требуется организация контролируемой зоны в пределах
ВМ и в пределах хоста
Copyright 2009 Trend Micro Inc.
8
9. 6. Разнородность среды
Среда может включать физические,
виртуальные, внешние («облачные») ресурсы –
требуется единый подход к борьбе с
пользователя
На уровне
уязвимостями
• На отдельных ВМ могут быть запущены критичные
приложения – особый порядок их обновления
На уровне ядра
• Остановка физического сервера не всегда возможна
• Требуется соблюдать единый уровень закрытия
уязвимостей для различных типов ресурсов
Copyright 2009 Trend Micro Inc.
9
10. 7. Высокая динамика развертывания
приложений
Более высокая динамика развертывания
приложений усложняет контроль их обновлений
пользователя
На уровне
• Нужна технология защиты, позволяющая защитить ресурсы
корпоративной сети, даже если они содержат назакрытые
На уровне ядра
критические уязвимости
• Решение - применение механизмаов Virtual patching/
Vulnarability shielding
Copyright 2009 Trend Micro Inc.
10
11. 8. Единая среда исполнения и
управления подсистем ИБ
Требуется тесная интеграция различных
подсистем ИБ и единая среда управления
пользователя
На уровне
• Объединение в едином «движке» различных функций ИБ –
минимизация нагрузки на системные ресурсы
• Совместная работа подсистем Firewall + IPS + защита web-
На уровне ядра
приложений позволяет комплексно отслеживать опасную
сетевую активность
• Централизованное управление агентами и выделенными
ВМ – локальными серверами безопасности
• Единый поставщик данных для Security Operation Center
Copyright 2009 Trend Micro Inc.
11
12. Особенности защиты виртуальной среды
Ключевые требования
Мобильность гостевых ВМ
Активное вовлечение гипервизора
Ограниченность ресурсов гостевых ВМ
Риски безопасности ВМ при включении в работу
Ограничение сетевого трафика пределами виртуального хоста
Разнородность ресурсов
Высокая динамика развертывания приложений
Важность единой среды функционирования и управления систем ИБ
Copyright 2009 Trend Micro Inc. 12
14. Защита ЦОДа – важнейшая часть ИБ
Copyright 2009 Trend Micro Inc.
15. От «классических» средств ИБ – к
специализированым
пользователя
На уровне
I. Особенности функционирования
систем ИБ в условиях виртуальной
среды
На уровне ядра
II. Реализация требований
в продукте Trend Micro
Copyright 2009 Trend Micro Inc.
15
17. Trend Micro Deep Security
Защита виртуальных, облачных и физических датаценторов
Антивирус
Межсетевой экран
Глубокий пакетный
анализ (DPI)
IDS / IPS
Агент
Virtual
Appliance Защита Web-приложений
Контроль приложений
Анализ Контроль
событий целостности
Copyright 2009 Trend Micro Inc. 17
18. Deep Security
Защита на уровне гипервизора
vShield Endpoint & VMsafe
vSphere
Защита, тесно интегрированная с виртуальной
инфраструктурой:
• Антивирус
• Межсетевой экран
• Глубокий пакетный анализ (IDS/IPS)
Copyright 2009 Trend Micro Inc.
19. Deep Security
Преимущества безагентского антивируса
Раньше Сегодня с vShield Endpoint
Агент Агент Агент
Virtual
Appliance
vShield Endpoint
vSphere vSphere
• Проще управление: не нужно устанавливать агентов,
обновлять их
• Лучше производительность: нет одновременных
проверок, не нужно обновлять сигнатуры на всех
агентах
• Надежнее защита: защита при включении ВМ,
невозможно отключить защиту
Copyright 2009 Trend Micro Inc.
20. Deep Security
Безопасность, готовая к облачной инфраструктуре
vSphere
• «Умные» агенты дополняют Virtual Appliance
• сферы применения: offline desktops, compliance,
эшелонированная защита
• Безопасность из «частного» облака перемещается в
«публичное» облако
Copyright 2009 Trend Micro Inc.
21. Deep Security
Безопасность, «понимающая» контекст виртуализации
vCenter
vSphere
• Интеграция Deep Security с vCenter
• Полная видимость виртуальных машин
• Координированный подход в работе агента и
Virtual Appliance
Copyright 2009 Trend Micro Inc.
22. Виртуальный патчинг
Многоступенчатая защита
Исходный трафик
1 Firewall Пропускает то,
что разрешено
2 Поиск эксплойтов Останавливает
Deep packet inspection
известные эксплойты
Правила Блокирует
3
по уязвимостям известные уязвимости
4 Экспертные Блокирует атаки
правила нулевого дня
Очищенный трафик
22 Copyright 2009 Trend Micro Inc.
23. Deep Security Virtual Appliance
• Специальная виртуальная машина,
устанавливаемая в ESX/ESXi
• Реализует защитные функции
пользователя
На уровне
• межсетевой экран
• глубокий пакетный анализ (DPI)
• антивирусная защита
– Требования и производительность:
На уровне ядра
• RAM: 1 ГБ – достаточно для 100 ВМ
• CPU: по умолчанию 2 CPU
• Трафик: 500 Мбит/с суммарно на хост
Copyright 2009 Trend Micro Inc.
23
24. Сертификаты
• Common Criteria
• Evaluation Assurance Level 3 Augmented (EAL 3+)
– EAL 4+ в процессе
– Сертифицирован на большем количестве платформ
(Windows, Solaris, Linux) чем любой другой HIPS
• NSS Labs
– Deep Security прошел тестирование на применимость
для использования в проектах по PCI DSS в качестве
HIPS.
Copyright 2009 Trend Micro Inc. 24
26. Trend Micro Deep Security
Безопасность, созданная для VMware
Virtual Appliance: Агенты безопасности:
• AV, IDS/IPS, FW • Дополнительные модули защиты
• высокая эффективность Координированный подход: • Мобильность для
• управляемость • Оптимизированная защита перемещения в облако
Интеграция с гипервизором и vCenter:
• Понимается контекст виртуализации
• Защищает машины при включении
Classification 12/2/2010 Copyright 2009 Trend Micro Inc. 26
27. Trend Micro и VMware
Защита надежнее, чем для физических серверов
Trend Micro Deep Security, единственное в
индустрии решение для VMware, которое
• первым предлагает безагентскую антивирусную
защиту для виртуальных машин
• объединяет множество защитных модулей в одном
продукте
• предлагает специализированную защиту
виртуальной, физической и облачной среды
Classification 12/2/2010 Copyright 2009 Trend Micro Inc. 27