1. Обеспечение информационной
безопасности в виртуальной среде
Олег Шабуров

2. Сотрудничество Symantec и VMware
10 лет сотрудничества в следующих областях:
• Data Protection
• High Availability
• Storage Management
+ • Systems Management
• Endpoint Security
• NFS File Storage
Virtualization Success • Security

3. Решения Symantec для Виртуальных сред
High Availability
Data Protection
Security
Storage Management
3

4. Проблема
Рост виртуализации и изменение картины угроз
The Scan Storm
• Virtualization Adoption
• VDI Growth
• AV, IPS and proactive detection growth
4

5. Эффективная защита это не просто антивирус..
Internet
Server
Network
Сеть Репутация Поведение Файл
 Network Intrusion
Prevention  Reputation-based
Protection  Behavioral-based
Protection  Protection
File-based
Блокирует сетевые Блокирует доступ к Блокирование Блокирование
атаки вредоносным файлам Вредоносного ПО на вредоносных файлов,
и сайтам на основании основании на основании
данных от более чем поведенческого сигнатур и особых
175 милионов анализа параметров
пользователей
 Protocol-aware IPS  Domain Reputation  SONAR  Antivirus Engine
 Browser Protection  File Reputation  Behavioral Signatures  Auto Protect
 Malheur
Для злоумышленника нет разницы виртуальная система или нет
5

6. Insight:
Symantec’s Next Generation Community-Based Protection
175M+ users
contributing data + 2.5B unique app files,
growing each second
Is the source associated with infections?
How old is the file?
What does it do? What rights are required?
Is the file associated with files that are linked to infections?
• Блокирует новые уязвимости без сигнатур
• Блокирует 2 милиона новых уязвимостей
Does the file look similar to malware? в месяц
• Уникальная технологияthe source associated with SPAM?
Is от Symantec
Have other users reported infections?
Who created it?
Where is it from? How often has this file been downloaded?
6

7. Повышение производительности с Insight
В среднем 80% используемых
приложений можно не сканировать!
Обычное сканирование Оптимизация с репутацией
Нужно просканировать Пропускаем все известные файлы, сильно
каждый файл сокращая время сканирования
7

8. Symantec Endpoint Protection 12.1
Virtual Image Exception Shared Insight Cache
• Используется при • Идеально для
клонируемых образах виртальных серверов
• Исключает все файлы • Файлы сканируются один
раз
• Уменьшает влияние
сканирования • Leverages Insight
Улучшение управления
Уменьшает нагрузку на системы на 90%
Virtual Client Tagging Resource Leveling
• Определяет гипервизор • Используется на всех
виртальных системах
• Назначает особую
политику • Сканирование и
обновление
• Посик виртуальных
клиентов • Отсутствие «шторма»
8

9. Взгляд на развитие защиты виртуальных сред
Единая точка
безопасности
• плюсы:
– Увеличение производительности и эффективности
– Возможность использовать различные продукты(технологии) для
обеспечения безопасности
9

10. vShield Endpoint - в нужном направлении,
товарищи…
Strengthen security for virtual machines and their hosts while improving
performance by orders of magnitude for endpoint protection, with
VMware vShield Endpoint, part of the VMware vShield family. Offload
antivirus and anti-malware processing to dedicated security-hardened
virtual machines delivered by VMware partners. Leverage existing
investments and manage antivirus and anti-malware policies for
virtualized environments with the same management interfaces as
physical environments.
• Переход от файлового сканирования к выделенной security VM
• Поддержка Windows XP, Vista, and 7 32 bit
• Поддержка Windows 2k3/2k8 32-bit/64-bit
10

11. vShield 1.0 vs vShield x.0
Protection Features vShield 1.0 vShield Future  vShield 1.0:
 
File-based
Protection – Только Файловая защита
File-Based Protection
 
Network Intrusion
Prevention
Network Intrusion
– Невозможно использование
Prevention Insight, эвристического и
поведенческого анализа
Firewall
Firewall
 
 vShield 2.0:
Behavioral
Behavioral Protection
 
– Должно помочь Symantec
Email Scanning
Email Scanning
  использовать Insight для
улучшения производительности
сканирования
 
Application Control, Device
Application and
Control
Device Control
Insight Enhanced
Insight Enhanced Protection
Protection
 
11

12. Virtualization Feature Delivery
Централизованное управление
SEP 12.1 Post SEP 12.1…
• Использование Insight • Выделенная security VM выполняющая
• Virtual Image Exception сканирование с использованием Insight (на
• Shared Insight Cache основе VMware APIs)
• Virtual Client Tagging • Дедупликация обновлений
• Resource Leveling • Перенос безопасности с гостевых
Виртуальных машин
Эволюция к единой точке обеспечения безопасности
12

13. Защита VMware ESX Hypervisor и vSphere
Проблеммы
– Атака на гостевые VM может начаться с атаки на
host/console/hypervisor
– Обеспечение безопасности критичных
серверверов и сервисов;
Console
OS/
HVisor Guest Guest Guest – Возможность использования compliance;
Symantec Critical Systems Protection
– Отслеживает и оповещает о атаках на host в
режиме реального времени;
– Обеспечивает защиту ESX Console OS и гостевой
OS/Приложений с помощью различных
технологий: МСЭ, контроль устройств, настройка
контроля приложений, контроль доступа
администраторов, и защита файловой системы;
– Большое количество шаблонов для VMware;
– Минимальная нагрузка на систему
Symantec Critical System Protection 13

14. Спасибо за внимание!
Олег Шабуров
Oleg_shaburov@symantec.com
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
14