Embed Size (px)
DESCRIPTION
IS 303. Облачные технологии безопасности для компании. Сергей Симаков Security Architect, CISSP, CISM Global Security Center of Excellence. Какое оно, Облако?. От эволюционного к революционному. ПРИЛОЖЕНИЯ как Сервис. ПЛАТФОРМА как Сервис. ИНФРАСТРУКТУРА как Сервис. - PowerPoint PPT Presentation
Citation preview
Облачные технологии безопасности для компанииСергей СимаковSecurity Architect, CISSP, CISMGlobal Security Center of Excellence
IS 303
Какое оно, Облако?
От эволюционного к революционному
ПЛАТФОРМАкак Сервис
ИНФРАСТРУКТУРА как Сервис
Провайдер Облака представляет
инфраструктуру; клиенты
развертывают ОС и приложения
Провайдер Облака предоставляет
инфраструктуру и ОС; клиенты
создают и работают с приложениями
ПРИЛОЖЕНИЯкак Сервис
Приложения работают в
Облаке
ЧАСТНЫЕ ОБЛАКА
ГИБРИДНЫЕ
ОБЛАКА
ПУБЛИЧНЫЕ
ОБЛАКА
Угрозы
Злоумышленники стали использовать более изощрённые методы
Увеличение целенаправленных атакСоздание сетей/botnet нацеленных на кокретные группы пользователей, корпорации и правительства
Операционные системы более безопасны
Больше атак на уровне приложенийПользователи стали слабым звеном (социальная инженерия)
Модель безопасности PaaS
Физический
Сетевой
Хост
Приложение
Данные
Физический
Сетевой
Хост
Приложение
Данные
Локально Платформа как Сервис
Ком
пани
я Ком
пани
я
Про
вайд
ер
СодержаниеОблачные сервисыАктуальные угрозыОбзор практического применения сервиса безопасности в облаке
Что такое Forefront Online Protection for Exchange (FOPE)Защита входящих сообщенийИсходящая фильтрацияГибридные сценарии
Облачные технологиичто это…
почему…
Приложения и платформа, которые всегда доступы, масштабируемы по необходимости и могут быть быстро развернуты
Ускоряют решение задач и снижают стоимость ИТ
Новый динамичный бизнес!
Новая ИТ компанииПродажи
Совместаная работа
Разработка
Маркетинг
Пример облачного сервиса безопасности
Контроль: соответствие требованиям• Опасения утечки конфиденциальной
информации• Необходимость ограничить несоответствующее
политикам ИБ содержимое
Угрозы: устойчивый рост атак• Спам состовляет большую часть электронной
почты• Вирусы и фишинг атаки через e-mail нацелены на
пользователей
• Бизнесу нужен постоянный доступ к почте• Механизмы безопасности иногда усложняют
работу
Доступ: возрастающая мобильность
Электронная почта
Статистика по спамуВ 2010 г. всего 1 из 47,6 входящих сообщений попало в ящики входящей почты получателей. Остальные были заблокированы на периметре.Около 95,4 % всех входящих сообщений блокируются на периметре
1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
ТенденцииМного рекламы фармсредств и продуктов
В начале 2010 был всплеск спама на основе изображений
Распространение некоторых категорий спама носит характер компаний, приуроченных к каким-то событиям
Microsoft Security Intelligence Report v9
• Предотвращение атак в реальном времени• Многоуровневая защита от спама и вирусов• Применение настраиваемых политик
• Шифрование сообщений электронной почты• Отсутствие необходимости управления ключами• Шифрование на шлюзе на основе заданных
политик
• Сохранение сообщений компании (governance/e-discovery)
• Создание отчётов для соответствия требованиям• Полностью индексируемый архив компании
Exchange Hosted Services
Где используется?Сервис FOPE был частью Exchange Hosted Services (EHS)Лицензия Microsoft® Forefront™ Protection Suite/ECAL/Exchange ECAL с СервисамиОбеспечивает защиту Microsoft® Business Productivity Online Suite (BPOS), Exchange Online и будущего Office 365
Всё ещё доступен как отдельный сервисТакже защищает Live@Edu и сам Microsoft
Блок
иров
ание
на
пер
имет
ре
Консоль управления
Карантин пользовател
я
Корпоративная сеть
Администратор почтовой
системы
Сотрудники
Входящие отфильтрованны
е сообщения
Исходящие отфильтрованные сообщения
Также использует
технологии…
Внешние Отправители/Получатели Почтовый
сервер
Спам-фильтр
Антивирус
Политики
Отказоустойчивость
* Шифрование Active
Directory
Почтовое сообщени
е
Спам
Uptime: 99.999%100% вирусов
98% спама1:250 000
доставка меньше минуты
FOPE Directory Synchronization
Tool
Как работает FOPE
Singapore
TexasVirginia
Washington
California
Dublin
mail.messaging.microsoft.com
Глобальная сетевая инфраструктураГлобальные резервируемые ЦОД с распределением
нагрузки, клиенты не затронуты в случае выхода ЦОД из строяСохранение производительности с ростом пользователей, может выдерживать рост трафика и атакиОптимизация за счёт доставки только «чистых» сообщений
Amsterdam
Доставка e-mail(Среднее время в SLA
меньше 1 минуты)Доступность
сети
Соглашения об уровне сервисаFOPE предоставляет набор финансово-подтвержденных SLA по производительности сети и эффективности защиты от вирусов/спама
100%Известных
вирусов
98%Спама
1:250,000Ошибочн
ых результат
ов
Производительность сети
Эффективность защиты от
вирусов/спама
АрхитектураБлоки контроля за всеми стадиями обработки сообщения:
Соединение
Безопасность
Фильтрация
Доставка
Защищенное взаимодействиеЗащищенный канал B2BВозможность настроить обязательный исходящий TLS к партнеруВыбор в пользу TLS при получении сообщений
Четкое разделение правил на периметре и политик контроля содержимого
Поддержка внедрения в гибридном сценарииСосуществование почтовых ящиков локально и у провайдераЛокальное решения обеспечения контроля продолжает работать
SPAM prevention
Защита от спамаДоверенные отправители
Защита входящих сообщений
SpamPrevention
Если сервер недоступен,
почта остается в очереди на 5
дней
E-mail попадает в глобальную сеть ЦОД – MX (mail.messaging.microsoft.
com)
Служба каталога
Блокирование по IP
Настройки фильтрации сообщений для домена
Фильтрация
вирусовАнтивирус1
Антивирус2
Антивирус3
Применение политик
Собственные политики
Управление вложениями и атрибутами
сообщения
Управление спам-
фильтрами
Весовые коэффициент
ы
Определение «отпечатков»
Карантин применения
политикКарантин
спамаSPAMSPAM
SPAM
Очередь
Сеть компани
и
Аналитики
Обратная связьFalse
+ve / -ve
Анализ структуры
SMTP Reject: 55x
Доступен ли
сервер?
Применяемые техникиФильтрация Описание Эффективнос
тьБлокирование на периметре по IP с DNSBL от SpamHaus
Общий «Золотой стандарт» для репутационного сервиса
80%
Блокирование на периметре по IP с Forefront DNSBL
IP адреса добавляются:• Через автоматические средства
• Идентифицирующие повторяющийся спам (30 минут)
• Выделением наборов IP адресов• Вручную аналитиками при анализе спама
95%
Фильтрация изображений
С использованием технологии SmartScreen 99.5%
Цифровые отпечатки
Используя SmartScreen и FOPE-MSRT• База FOPE-MSRT постоянно обновляется
аналитикамиПравила RegEx, подготовленные аналитиками
Весовая система основанная на 30 000 активных правил в базе с суммарно 400 000 правил
• Вычитается за «хорошие» характеристики
• Добавляется за характеристики спама
Ошибочные результаты«Отсутствие» ошибочных результатов
является основной идеологии FOPE Кнопка «Not Junk» в портале карантина
Уровень настолько низок, что многие перестают открывать карантин
Инструменты для компанийНастройки исключения блоков IP адресовПоддержка списоков доверенных отправителей
(SafeSender) из Exchange/Outlook компании
Исходящая фильтрация
Настройки фильтрации сообщений для домена
Фильтрация
вирусовАнтивирус1
Антивирус2
Антивирус3
Применение
политикСобственные политикиУправление вложениями
и атрибутами сообщения
Защита от спама
Управление спам-
фильтрамиВесовые
коэффициенты
Цифровые отпечатки
Сеть компани
и
Аналитики
Пул NDR
Высокий вес
Пул исходящих
Низкий вес
SEWR
Доверенные отправители
Что такое Backscatter?Backscatter — NDR спам с подделанным адресом отправителяBounce Address Tag Validation(BATV) — технология по защите от NDR спама
prvs=Fключ(время жизни, адрес)[email protected]
Пример: [email protected]
2. FOPE добавляет хешированную метку к P1.MailFrom
3. Получатель не может доставить сообщение и возвращает его обратно
INTERNET
1. Внутренний пользователь отправляет сообщение на корпоративный сервер
5. Если метка существует, то NDR будет доставлен пользователю
4. FOPE просматривает метку
Внутренний пользователь
([email protected]) FOPE Сервер получателя
Механизм работы Anti-Backscatter
2. Получатель не может доставить и должен послать NDR
3. FOPE ищет хешированную метку
INTERNET
1. Спамер генерирует сообщение с фальшивым адресом в MAIL FROM <[email protected]> и посылает его на сервер. 4. Если метки нет, то сообщение
признается backscatter spam
FOPE Сервер получателя
Спамер
Внутренний пользователь
Спамер использует Backscatter
Механизмы безопасностиЗащита транспорта – TLS
Входящий трафикИсходящий трафик
Возможность задать обязательное шифрование TLS для взаимодействия с партнером
Защита сообщений – шифрование IBEОтсутствие дополнительных затрат на ПО или оборудованиеОтсутствие необходимости сложного обмена ключами
Проверенные ЦОДISO 27001:2005Аттестация SAS Level I и Level II
Консоль администратора
Демонстрация
Гибридная архитектураМЭ
Mailbox Server
Hub Transport Server
Client Access Server
SMTPИнтернет
+Компания
Защита от вирусов
Защита от спама Управление
Forefront Online Protection for
Exchange
Технологии Forefront
BATV – Bounce Address Tag Validation
DLP – Data/Information Leakage Protection
Внешний спам, исходящий спам
Web-интерфейс Поиск сообщений Средства «обратной связи»
Отчёты
Forefront Protection for
Exchange Server
Встроенная защита antispyware
BATV - Bounce Address Tag Validation
Встроенная интеграция с сервисом CloudMark
Интеграция с консолью FPE
Управление политикамиМЭ
Mailbox ServerSMTP
Интернет
Exchange Edge
Шлюз FOPE
Exchange Hub
Почта
Почта
Политики анти-спама
Политики анти-спама
Полные политики
МЭ
Подключение к FOPE
SMTP почта
Запись MX
Компания
Создание учётной записи
Сервис защиты
Комплексный• Активная защита
от вирусов и спама
• Несколько уровней защиты
• Защита от новых атак
• Высокая доступность сервиса (DR, continuity)
Интегрированный• Интеграция с
Microsoft® Exchange, Microsoft® Forefront™ Protection for Exchange Server
• Единый интерфейс управления
• Гибкие настраевыемые политики
• Управление идентификационными данными
Упрощенный• Мониторинг и
масштабирование индустриального уровня
• Соглашения об уровне сервиса
• Безопасные ЦОД• Высококлассная
эксплуатация• Легкое
развертывание• Низкое TCO• Служба
поддержки
ИтогоОблачные сервисы уже доступныСервис FOPE снижает совокупную стоимость владения системы и упрощает защиту электронной почтыОблачные сервисы Microsoft помогают компании работать эффективно
Ресурсы Дополнительные сессии по теме
DC 204: Оптимизация управления частным динамическим ЦОД (14:30-15:30, Синий Конгресс-зал)CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (16:00-17:00, Зона интерактивных сессий)
Блогиhttp://blogs.technet.com/securityrus
Официальные курсы и сертификация Microsoft
Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft
под руководством опытного сертифицированного инструктора Microsoftинтенсивное обучение с акцентом на практикуболее 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)
Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .
• Microsoft предлагает гибкую систему сертификаций.
• Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning
40% Доказательство № 75
сертифицированных специалистов считают, что сертификация помогла им
получить работу или повышение
57% Доказательство № 119
рекрутеров считают сертификацию сотрудников
одним из критериев для повышения в
должности
Специальные предложенияСертификационный пакет со вторым шансом
Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.
Сэкономьте 15% на сертификации вашей ИТ-команды
Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.
Microsoft Certified Career ConferenceПервая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.Сессии по технологиям и построению карьерыСкидка 50% для сертифицированных специалистов Microsoft и студентов
Бесплатная подписка на TechNet для слушателей официальных курсов
Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008
Детали: www.microsoft.com/rus/learning
С 22 ноября 2010 г. – подписка TechNet
бесплатно для слушателей курсов.
Количество ограничено!
Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала
Спасибо!
Вопросы IS 303 Симаков Сергей
sergesim@http://blogs.technet.com/securityrus
Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада
