Upload
leta-it-company
View
283
Download
2
Embed Size (px)
DESCRIPTION
Презентация с проведенного компанией LETA 25 октября 2013г. бизнес-завтрака посвященному вопросам защиты виртуальной инфраструктуры.
Citation preview
© LETA IT-Company
ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ
Владимир Овчарук
+7 (495) 921 1410 / www.leta.ru
2 © LETA IT-Company
АРХИТЕКТУРА СИСТЕМ ВИРТУАЛИЗАЦИИ
Гипервизор
Сервер виртуализации
Ядро ОС Ядро ОС
Приложе-
ния
Приложе-
ния
Аппаратное обеспечение
Упр
авл
ени
е в
ир
туа
льно
й
инф
ра
стр
уктур
ой
Обычный компьютер
Ядро ОС
Приложения
Аппаратное обеспечение
3 © LETA IT-Company
ПРЕИМУЩЕСТВА ВИРТУАЛИЗАЦИИ
Сокращение затрат на закупку и
обслуживание физических серверов
Оптимизация использования
вычислительных мощностей
Виртуализация рабочих мест (VDI)
4 © LETA IT-Company
ПРЕИМУЩЕСТВА ВИРТУАЛИЗАЦИИ
Гибкое централизованное
управление
Увеличение энергоэффективности
Обеспечение непрерывности работы
за счет механизмов кластеризации и
аварийного восстановления
5 © LETA IT-Company
УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
6 © LETA IT-Company
УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
Атака на гипервизор с виртуальной
машины
Атака на гипервизор из физической
сети
Атака на диск виртуальной машины
Атака на средства
администрирования виртуальной
инфраструктуры
7 © LETA IT-Company
УГРОЗЫ ВИРТУАЛЬНОЙ СРЕДЫ
Атака на виртуальную машину с другой
виртуальной машины
Атака на сеть репликации виртуальных
машин
Неконтролируемый рост числа
виртуальных машин
8 © LETA IT-Company
ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
Приказ ФСТЭК №21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК №17 от 12.02.2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
9 © LETA IT-Company
ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
КОД Содержание мер по обеспечению безопасности персональных данных
УЗ4/К4 УЗ3/К3 УЗ2/К2 УЗ1/К1
ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
+ + + +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри ВМ
+ + + +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + +
ЗСВ.4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
+ +
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
+ +
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + +
ЗСВ. 8
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
+ +
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + +
ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
+ + +
10 © LETA IT-Company
НЕДОСТАТКИ ТРАДИЦИОННЫХ СЗИ
Не всегда совместимы со средой
виртуализации, так как изначально
разрабатывались для использования в
физической среде
Не защищают от новых угроз
безопасности информации,
специфичных для виртуальной
инфраструктуры
11 © LETA IT-Company
ПРИМЕРЫ КОМПРОМЕТАЦИИ
Копирование и блокирование всего
потока данных, идущего на все
устройства (HDD, принтер, USB,
сеть)
Чтение и изменение данных на
дисках виртуальных машин, даже
когда они выключены и не работают,
без участия программного
обеспечения этих виртуальных
машин
12 © LETA IT-Company
VGATE – ПРЕДОТВРАЩАМЫЕ УГРОЗЫ
Несанкционированный доступ к
средствам управления ВИ
Угрозы гипервизору (ошибки
конфигурации, уязвимости, атаки)
Угрозы взаимодействия
компонентов
Угрозы файлам виртуальных машин
(искажение, удаление и др.)
13 © LETA IT-Company
VGATE – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и
по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них
данных
• Контроль целостности виртуальной инфраструктуры и ее
конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
14 © LETA IT-Company
TREND MICRO DEEP SECURITY
Атаки типа «отказ в обслуживании»
Использование угроз и атак
«нулевого дня»
Атаки, связанные с внедрением
SQL-кода и межсайтовым
выполнением сценариев
Несанкционированное
использование нестандартных
протоколов приложениями в ВМ
15 © LETA IT-Company
TREND MICRO DEEP SECURITY
Несанкционированное или
неожиданное изменение файлов и
системного реестра ВМ
Обращение пользователей ресурсов
ВИ к вредоносным URL-адресам
Антивирусные штормы в ВИ
16 © LETA IT-Company
TREN MICRO DS – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и
по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них
данных
• Контроль целостности виртуальной инфраструктуры и ее
конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
17 © LETA IT-Company
SAFENET PROTECT V
Доверенная загрузка виртуальных и
физических машин
Шифрование виртуальных дисков
гостевых и физических машин
Разграничение прав доступа к
виртуальным и физическим
машинам
18 © LETA IT-Company
SAFENET PROTECT V
Соответствие стандарту
безопасности данных индустрии
платёжных карт PCI DSS 2.0
Возможность миграции в
виртуальные и облачные среды.
При этом обеспечивается защита
данных и соблюдение требований
регуляторов
19 © LETA IT-Company
SAFENET PROTECT V – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и
по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них
данных
• Контроль целостности виртуальной инфраструктуры и ее
конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
20 © LETA IT-Company
VEEAM BACKUP & REPLICATION
Быстрое, гибкое и надежное
восстановление всех
виртуализованных приложений и
данных — как в среде VMware
vSphere, так и в среде Hyper-V
Позволяет восстановить
виртуальную машину целиком или
отдельныи объект любого
приложения или файловои системы
из резервнои копии образа
виртуальнои машины
21 © LETA IT-Company
SAFENET PROTECT V – ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
• Идентификация и аутентификация субъектов и объектов
доступа в ВИ
• Управление доступом в виртуальной инфраструктуре
• Регистрация событий
• Управление потоками информации между компонентами ВИ и
по периметру ВИ
• Доверенная загрузка серверов виртуализации, ВМ и т.д.
• Управление перемещением ВМ и обрабатываемых на них
данных
• Контроль целостности виртуальной инфраструктуры и ее
конфигураций
• Резервное копирование данных, технических средств и т.д.
• Антивирусная защита в ВИ
• Разбиение ВИ на сегменты
22
КОНТАКТНАЯ ИНФОРМАЦИЯ
LETA 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
Единая служба сервисной поддержки: + 7 (495) 921-1410
www.leta.ru
© 2011 LETA. All rights reserved. This presentation is for informational purposes only. LETA makes no warranties, express or implied, in this summary.
Владимир Овчарук Заместитель директора Департамента внедрения и
консалтинга
Моб. тел.: +7 (968) 827-3821
e-mail: [email protected]