symantec security for clouds
TRANSCRIPT
1
Защита информации и вычислений в виртуальных облачных средах. Подход и технологии Symantec
Повестка
• Основные задачи и приоритеты ИТ
• VMWare & Symantec - совместная стратегия
• Технологии реализующие эту стратегию
– Часть 1: Доступность данных и вычислений
– Часть 2: Информационная безопасность
2
Deeply Integrated. Highly Protected.
Повышение BC/DR (готовности к авариям/сбоям)
Готовность к масштабным авариям
Решение ежедневных проблем
Поддержание работоспособности бизнес задач
Работа в условиях ограниченности ресурсов
3
Независимость от ручных процессов
Внедрение средств обеспечения доступности и информационной безопасности
Консолидация серверов
Внедрение решений по виртуализации
Простота - залог надежности. VMWare + Symantec
4
+ Extended Customer Value!
• Защита данных
• Отказоустойчивость
• Хранение данных
• Управление системами
• Безопасность
• NFS File Storage
Более 10 лет партнерства и совместной разработки решений:
VMWare + Symantec – польза от партнерства
5
Преодолевая барьеры - решения Symantec для Виртуальных сред
Доступность ИС
Управление хранением
Защита данных то сбоев
Информационная безопасность
6
Решения Symantec для Виртуальных сред
Доступность ИС
Управление хранением
Защита данных то сбоев
Информационная безопасность
7
Обеспечение отказоустойчивости в среде VMWare
8
1. Source: IDC, October 2009. Choosing Storage for Virtualized Servers. For companies with > 1,000 employees.
Ключевые задачи
TIER 3 TIER 2 TIER 1
IIS
Apache
WebLogic
WebSphere
File
SQL, Oracle
SAP
Exchange
Criticality of applications V
irtu
aliz
atio
n a
do
pti
on
“40% сбоев в виртуальных средах происходит по причине сбоя внутри приложения” Donna Scott, Gartner
• Запуск процессов App ≠ App работает
• VM работает ≠ App работает
• порядок запуска VM ≠
порядок запуска Арр
• восстановление ≠ восстановление App
Symantec ApplicationHA – обеспечение доступности приложений в виртуальных средах
9
VM1
OS
VM2
OS
VM1
OS
VM2
OS
• Мониторинг приложений
– Проверка статуса
– Обнаружение сбоев
• Координированное восстановление
– Перезапуск приложения
– Использование VMware HA для восстановления
– Интеграция через App Monitoring API
• Защита от всех видов сбоев
– Сбои оборудования
– VM работает, а приложение нет
VMware ESX
VMware ESX
Application HA
Application HA
SQL ORA SQL ORA
10
VMware HA VMware HA
– VM восстановилась, а приложение нет
– Приложение запущено, но не работает
Как ApplicationHA дополняет инструменты VMware
ApplicationHA + Vmware – эффективное решение
11
• Полноценная поддержка o vMotion o DRS o HA o DPM o Snapshots
• Ожидание Heartbeat(а)
o Приостанавливается на vMotion stun
o Возобновляется после vMotion un-stun
• Мониторинг приложений в
ApplicationHA продолжается в vMotion
VMware ESX VMware ESX VMware ESX
Решения Symantec для Виртуальных сред
12
Доступность ИС
Управление хранением
Защита данных то сбоев
Информационная безопасность
Рост объемов данных • Рост CapEx затрат на устройства хранения
• Увеличение OpEx для поддержания растущих и усложняющихся инфраструктур
Такая динамика влечет…
“In 2011 alone, 1.8 zettabytes (or 1.8 trillion gigabytes) of data will be created, the equivalent to every U.S. citizen writing 3 tweets per minute for 26,976 years.”
-Computerworld citing IDC
62% Year Over Year
Вызовы современности: Зачем нужен еще лучший
Backup?
2011- 2012
13
Разнородные решения • Невозможность одновременно видеть физику и виртуальные среды
• Несовместимость политик хранения
• Множество консолей управления
• Несколько вендоров/контрактов на сопровождение
Количество решений приводит к росту сложности и стоимости…
“Система резервного копирования должна быть ЕДИНОЙ, УНИФИЦИРОВАННОЙ и ИНТЕГРИРОВАННОЙ для работы с разными средами.”
-Dave Russell Analyst, Gartner
Вызовы современности: Зачем нужен еще лучший
Backup?
14 Защита бизнеса и ИТ при помощи решений VMWare и Symantec
Сложности защиты виртуальных средBad Things Can Happen in the Dark
Резервирование VM Не делайте бэкап вслепую
Нельзя защитить или восстановить то, чего ты не видишь.
Поместив бэкап клиента внутрь VM мы, как правило, сильно ухудшаем производительность LAN
15
Применение технологий V-Ray для резервирования и восстановления сред VMware®
16
Presenter’s Title
V-Ray – унификация управления резервированием
Виртуальная инфраструктура & администраторы VMWare
Symantec
Физическая инфраструктура & Бэкап администраторы
Унифицированная защита данных
Symantec
vCenter plug-in для мониторинга бэкап - событий
17
Symantec NetBackup с технологией V-Ray
Symantec V-Ray
• Запатентованная технология работы с VM, приложениями внутри VM и дедупликации их данных
• Прозрачные бэкап и восстановление
• Объединяет физическую и виртуальную среды
Сокращение расходов, Прозрачность, Производительность и эффективность
Унификация Восстановление файлов и приложений
Дедупликация Автоматизированная защита
18
V-Ray автоматически защищает VM “на лету” Wherever They May Reside
• Сокращение OpEx и рисков засчет автоматической защиты VM по мере их:
– Создания
– Перемещения
– Старта
– ...
(25 критериев)
20
V-Ray
With VMware Intelligent Policy
Offload IT staff and reduce risk of unprotected data
Восстановление VM как решить все задачи – Часть 1
• Бэкап VMDK нужен для DR
• Восстановление же файла предполагает:
1. Восстановление VMDK, что требует отдельного диска
2. Стартовать VM
3. Найти образ VM с требуемым файлом (может занять время)
4. Восстановить файл !!!
22
80% запросов – это восстановление единичных файлов ….при этом, задача Disaster Recovery всегда актуальна
Восстановление VM как решить все задачи – Часть 2
80% запросов – это восстановление единичных файлов ….при этом, задача Disaster Recovery всегда актуальна
• Если же ограничиться бэкапом файловой системы…
• То как обеспечить DR?
1. Создать и запустить VM
2. Установить агент NetBackup
3. Запустить восстановление по сети – (может занять время)
23
V-Ray – триединый бэкап в действии
• Поддержка трех типов восстановления из одного бэкапа – единичный файл, приложение и DR образ
• Все файлы катологизируются для возможности восстановления
• Идентифицируются объекты MS Exchange, SharePoint и SQL server
• Бэкап создается ОДИН раз
• Восстановление напрямую с любого типа носителя – диска или ленты
• Стейджинг на диск не требуется
24
Symantec V-Ray
NetBackup – интеллектуальная дедупликация
Без V-Ray – • “Multi-Step” Backup and Recovery Slow
• “Guessing” at best-fit deduplication
• Requires ‘more’ compute power
• Limited to no growth potential
?
Traditional backup data stream
What They See
С применением V-Ray – • “Single-Pass” Backup and Recovery Fast
• “Intelligent” Deduplication Data Aware
• Use ‘less’ compute power Green
• Deduplication Platform Future growth
NetBackup data stream
What We See
25
Symantec V-Ray обеспечивает дедупликацию везде Yet Manage Centrally from the Same Interface
Ch
oic
e o
f
Pla
ces
to D
ed
up
e
Client Servers
Built-In Dedupe at the client
Media Server
Built-In Dedupe at the media server
Target Device
Dedupe to a backend storage target
3 2 1
Ch
oic
e o
f
Form
Fac
tor
More Choices on a Single Platform
26
Решения Symantec для Виртуальных сред
Доступность ИС
Управление хранением
Защита данных то сбоев
Информационная безопасность
27 Защита бизнеса и ИТ при помощи решений VMWare и Symantec
Защита конфигурации виртуализации
Symantec CCS VSM
Control Compliance Suite Virtualization Security Manager
Как обеспечить безопасность виртуализации ?
30
VM guest management
Access Contorol
VM Infrastructure management
SIEM
Network/Endpoint Security
Как обеспечить безопасность виртуализации ?
31
Строгая многофакторная аутентификация
Детализированное журналирование
Хранение журналов
Политики доступа
Контроль конфигураций
Patch management / vulnerability management
Endpoint Security
Vcenter – наше все
Symantec CCS VSM
Vcenter – наше все
VClient Vcenter
Строгая многофакторная аутентификация
VClient
CCS VSM Vcenter
Доступ к Vcenter / ESXi физически не осуществляется до момента успешной аутентификации
Возможна двухфакторная аутентификация
Строгая многофакторная аутентификация
Logging
Log Data Provider
Data for Allowed Operation (example)
Data for Denied Operation (example)
Usability & Productivity
Virtualization Platform
User: root Time/date Target resource name, URL Operation executed
none • Separate log files for vCenter and each host server
• Different log formats for vCenter vs. hosts
CCS VSM
All above, plus: • User ID • Source IP address • Resource reconfigured • Previous & new resource
state • Label (Production) • Required privileges • Evaluated
rules/constraints
• User ID • Date/time • Source IP address • Operation requested • Operation denial • Target resource name,
IP address, port, and protocol
• Required privileges • Missing privileges • Evaluated
rules/constraints
• Consolidated, centrally managed logs covering vCenter and all hosts
• Single, uniform format for combined vCenter and host log data
• Logs sent to central repository or SIEM via syslog
35 Breakfast Briefing - CCS Virtual Security Manager
Детализированное журналирование
Регистрация действий
VClient
CCS VSM ESX(i) / VCenter
Детализированное журналирование
Контроль доступа - метки
ESX(i)
CCS VSM
L
L
Политики доступа
Авторизация по меткам
Авторизация по протоколу
Подтверждение действий
CCS VSM
Политики доступа
CIS PCI
Vmware SOX
Контроль соответствия
CCS VSM ESX(i)
Контроль конфигураций
Интеграция в Control Compliance Suite
40
Контроль конфигураций
Мониторинг и защита компонентов виртуализации
Symantec CCS VSM
Critical System Protection
Symantec Endpoint Protection
Чуть о безопасности VMware …
Как и у обычного софта, у гипервизоров бывают «дыры»
42
Source : CVE (cve.mitre.org)
Чуть о безопасности VMware …
… и еще о неизвестных уязвимостях…
43
Exploit Value Source
Excel > $1200 0day auction site
Weaponized Mozilla Exploit
> $4000 Chinese Forum
vSphere 0day $15000 TOR covert forum
Source : Various underground forums
Что за продукт нужен для защиты серверов? Host Intrusion Prevention
• Real-Time Proactive Enforcement
• Intrusion/Malware Prevention
• System Hardening
• Application Control
• Privileged User access control
• Vulnerability & Patch Mitigation
Host Intrusion Detection
• Real-time Monitoring & Auditing
• Host Intrusion Detection
• File Integrity Monitoring
• Configuration Monitoring
• Track and Monitor user access
• Logging and Event Reporting
Безо
пасн
ее
Symantec Critical System Protection Многоуровневая защита для критичных систем
Защита Сети (Host IPS)
Защита от эксплойтов
(Host IPS)
Контроль системы (Host IPS)
Аудит и оповещение
(Host IDS)
Symantec Critical
System Protection
• Контроль поведения
приложений и ОС
• Защита систем от атак
переполнения буфера
• Защита от атак 0-го дня
• Контроль приложений
• Мониторинг журналов
и событий
безопасности
• Централизация
журналов для
отчетности и анализа
• Реагирование по
событию
• Close back doors
(блокировка портов)
• Ограничение соединений
на уровне приложений
• Контроль исходящего и
входящего трафика
• Ограничение доступа к
конфигурации и
настройкам
• Применение политики
безопасности
• Контроль прав
пользователей
• Ограничение
использования
переносных устройств
Symantec Endpoint Protection 12.1 Built for Virtualization
46