Upload
trantram
View
229
Download
4
Embed Size (px)
Citation preview
Insert Your Name
Insert Your Title
Insert Date
Обзор продуктов
Основные принципы решений Сейфнет
Защита непосредственно данных, а не периметра
Взаимосвязанность решений для защиты всех этапов жизненного цикла данных: от возникновения до уничтожения
Соблюдение требований отраслевых стандартов в области Информационной Безопасности
Только бизнес пользователь владеет своими данными
Разграничение полномочий
Автоматизация и единая Система Управления
Многофакторная Аутентификация
Хранение ключей в «железе» и Неизвлекаемость ключей
Даже оптические кабели требуют защиту
2
Virtual Instances
Virtual Storage
Protect V Manager Virtual Appliance
Data Secure Appliance
Applications
Databases Mainframes
File Servers
**##**
Tokenization
Cryptography
as an IT Service
3
Storage Secure Appliance
File Shares
Network
Storage
Tape
Backups
Management
Center
L2 High Speed
Encryptors
Nat. IDs AMI
Metering E-Signatures
E-Passports
Certificate Infrastructures
Authentication
Manager (On-Premise or Cloud)
HSM Appliance
3rd Party
Technologies KMIP
Protect Cloud
&Virtual Infrastructure
Protect
Data Centers
Protect Storage
Protect
Data Transfer
Protect
Identities
Protect
Infrastructure
Базовые решения компании Safenet
Аутентификация
- eToken
- iKey
- Ситема
управления
носителями
Модули
безопасности
(HSM)
- Платежные
- Общего
назначения
Высокоскоростны
е шифраторы
канала передачи
данных (HSE)
- Fiber Channel
- Ethernet
Система защиты
данных
(DataSecure)
- Защита баз
данных
(ProtectDB)
- Защита
приложений
(ProtectApp)
- Обезличивани
е
(Tokenization)
4
USB Authenticators
Smart Cards
Hybrid
(OTP/SC/Flash)
Authenticators
OTP Authenticators
Software / Mobile
Authenticators
Аутентификация: продуктовая линейка eToken, iKey
5
eToken 5100, iKey 4000
eToken 4100, SC 400
eToken 7000/7100/7300
eToken Gold/3000/4500/4300
eToken MobilePass/Virtual/SMS
6
Один сервер – множество решений
сервер для централизованного развертывания и управления
сервер для облачной и стандартной строгой аутентификации
сервер для множества методов аутентификации (PKI, OTP, OOB)
сервер для всех форм-факторов: смарт-карты, USB, ПО
сервер = простое управление, высокая гибкость и низкое TCO
Все необходимое в рамках одного решения - полностью доверенная
среда, позволяющая контролировать инфраструктуру аутентификации
Аутентификация: Система управления
7
SAM 8.2
Базовые решения компании Safenet
Аутентификация
- eToken
- iKey
- Ситема
управления
носителями
Модули
безопасности
(HSM)
- Общего
назначения
- Платежные
Высокоскоростны
е шифраторы
канала передачи
данных (HSE)
- Fiber Channel
- Ethernet
Система защиты
данных
(DataSecure)
- Защита баз
данных
(ProtectDB)
- Защита
приложений
(ProtectApp)
- Обезличивани
е
(Tokenization)
8
Общего назначения/PKI HSMs
XML
PKCS#11
Microsoft CryptoAPI / CNG
Java JCA/JCE
OpenSSL
Customization Software Development Kit
International EFT/ Payment Processing (MKII)
Incl. Acquiring/Authorisation and Card Issuance
Incl. End-to-End Online Banking Security (OBM)
Australian Payment Processing (AMB/APCA)
CAPS (US POS System)
Hundreds of Customizations
ProtectServer line: Subset of Mark II Cmd Set as FM
Luna EFT
Luna SA, SP, IS
Платежные/EFT поддерживаемы комманды Поддерживаемые крипто API
Модули безопасности (HSM)
Protect Server Internal Express (PSIe)
ProtectServer External (PSE)
Платежные/EFT HSMs
Luna G5 and HSM Backup Device
Luna PCI / PCI-X
Protect Server Internal Express (PSIe)
ProtectServer External (PSE)
Luna PED & PED Keys
Модули безопасности (HSM) системы
применения Application Space HSM Product Customers & Partners
PKI & Аутентификация Luna SA
Luna PCI/PCI-E
Luna G5
Luna CA4
Symantec (VeriSign),
GlobalSign, Entrust, Microsoft,
RSA, SafeLayer, OpenTrust,
Kinectis, EJBCA/PrimeKey,
Nexus, …
Выпуск карт
ProtectServer Internal Express
ProtectServer External
G&D, Gemalto, Oberthur,
Morpho, DataCard, Mühlbauer,
BellID, Cryptomathic, CardHall,
OpenWay, BPC, TSYS,
Compass Plus, …
Финансовые
платежные системы
Luna IS
Luna SA
Luna SP
SWIFT (ww)
SIX (Swiss Payment Systems),
…
Ритейловые
платежные системы
Luna EFT Banks and Processors (ww)
ACI, FIS, OpenWay, TSYS
BPC, Compass Plus, HPS,…
Базовые решения компании Safenet
Аутентификация
- eToken
- iKey
- Ситема
управления
носителями
Модули
безопасности
(HSM)
- Общего
назначения
- Платежные
Высокоскоростны
е шифраторы
канала передачи
данных (HSE)
- Fiber Channel
- Ethernet
Система защиты
данных
(DataSecure)
- Защита баз
данных
(ProtectDB)
- Защита
приложений
(ProtectApp)
- Обезличивани
е
(Tokenization)
11
Оптоволокно безопасно!?
*Sandra Kay Millar Information Security Magazine
• Clip on clamping device
• Стоимость такого устройства $ 300
Высокоскоростные шифраторы канала
передачи данных Поддеррживаемая
скорость
Расширяема - от 100Mps до 10Gps
Протоколы Ethernet; Fiber Channel; SONET/SDH; E1/T1
Размер 19” 1U
Ценовая политика Гибкая – оплата в зависимости от роста
канала
Пропускная способность
Source: Rochester Institute of Technology
0
50000
100000
150000
200000
250000
300000
350000
400000
64 128 256 512 1024 1280 1420
Late
ncy (
µs)
Frame Size (Bytes)
Latency: Ethernet Encryption vs IPSec
Typical Router with IPSec
Ethernet Encryption
300
400
500
600
700
800
900
1000
64 128 256 512 1024 1280 1420
Th
rou
gh
pu
t (M
bp
s)
Frame Size (Bytes)
Throughput: Ethernet Encryption vs IPSec
Ethernet Encryption
IPSec Encryption with GRE
Канальные шифраторы на уровне L2 позволяет увеличить
пропускную способность в 2 раза и в 5 раз увеличить скорость…
Типичная Сеть Профиль трафика
Базовые решения компании Safenet
Аутентификация
- eToken
- iKey
- Ситема
управления
носителями
Модули
безопасности
(HSM)
- Общего
назначения
- Платежные
Высокоскоростны
е шифраторы
канала передачи
данных (HSE)
- Fiber Channel
- Ethernet
Система защиты
данных
(DataSecure)
- Защита баз
данных
(ProtectDB)
- Защита
приложений
(ProtectApp)
- Обезличивани
е
(Tokenization)
15
SCALABLE FOR
GROWTH
Система защиты данных DataSecure
16
Mainframes File Shares
ProtectZ ProtectFile
SNMP, NTP, SYSLOG
Web/Application Servers
Databases
ProtectApp
Tokenization
Manager
DataSecure Enterprise Crypto Management
ProtectDB
Application Servers
PCI DSS
HIPAA
Legislative Mandates
Internal Corporate Policies
Encryption Offload
• Оптимизированная, высокопроизводительная платформа
• Разгрузка серверов баз данных и приложений
• Задержка менее 300 микросекунд на запрос
Функции по шифрованию
• Берет нагрузку по выполнению шифрования на себя
Пакетная обработка данных
• Выполняет пакетное шифрование/расшифрование для увелечения
производительности
• Более 100 000 криптоопераций в сек.
• Пакетная обработка включает: • Transform Utility
• ICAPI (SafeNet API protocol)
• Легко интегрируется в существующую платформу
Платформа защиты данных DataSecure
Новые тренды и технологии, требующие
особого внимания
Облачные технологии
Виртуализация
Мобильность
Большие данные
18
Новые направления в безопасности
Сервис по
предоставлению
аутентификации
(SAS)
- SPE (сервис из
Дата центра
SFNT)
- PCE
(персональный
дата центр)
Защита
виртуальных сред
(ProtectV)
- Vmware Sphere
- Amazon EC2
Защита систем
хранения данных
(StorageSecure)
- NAS
- iSCSI
- CIFS
- NFS
19
Сервис по предоставлению аутентификации (SAS)
20
Online
Storage
Application
Hosting
SAML
Tokens &
Users
Administrator
Agent
RADIUS
API
Private Networks
Corporate
Network
Corporate
Network
Corporate
Network
Corporate
Network
LDAP / Active
Directory
LDAP / Active
Directory
LDAP / Active
Directory
LDAP / Active
Directory
Private Cloud
Services
Public Cloud
Applications
Collaboration
Tools
SAML SAML
Поддерживаемые устройства ОТР
Устройства для любых платформ, поддержка
сторонних производителей
Аутентификаторы от SFNT:
Не устаревают
Могуть быть кастомизированы
Seed файлы могут быть сгенерированы на вашей стороне
Могуть быть переназначены другому пользователю
Легкость в управлении и обслуживании
Система оплаты OPEX
H/W SMS BlackBerry iOS Android Microsoft Java
Multi Platform
USB Grid Microsoft OSx
Новые направления в безопасности
Сервис по
предоставлению
аутентификации
(SAS)
- SPE (сервис из
Дата центра
SFNT)
- PCE
(персональный
дата центр)
Защита
виртуальных сред
(ProtectV)
- VMWare
- Amazon
Защита систем
хранения данных
(StorageSecure)
- NAS
- SAN
- iSCSI
- CIFS
- NFS
22
Риски виртуализации
На сколько защищенны мои данные при виртуализации?
VMs легко скопировать (и украсть)
VMs легко переместить.
VMs подразумевают новый
класс супер пользователей и
администраторов—сервера,
хранилища, резервной копии, и
приложения—все независимы.
VMs имеют множество
экземпляров, снимок файловой
системы и резервных копий данных.
И как на счет резервного
восстановления данных?
APP APP APP APP
OS OS OS OS
Hypervisor
Уровень сервера
Жесткий диск
Резервная копия
Snapshots Snapshots
Риски перехода в облако
Intellectual
Property
Sensitive
Communications Critical data
Customer data Payment info
File Servers
SharePoint Services
Mail Servers
Web Servers
E-commerce
App server
• Контролирую ли я данные?
• Кто имеет доступ к моим данным?
• Где хранятся мои данные?
• Если я удалю данные не останется
ли копии?
Защита виртуальных сред (ProtectV)
ProtectV API позволяет иметь
полный контроль над включением
VM
Для запуска VM
вам необходимо
авторизоваться
Все данные в VM
зашифрованы
При удалении
Ключа шифрования
данные становятся не
доступны.
Каждая копия VM
на жестком диске
или резервная
копия
зашифрованы
Включение
Запуск
Ежедневные операции
Snapshot
Удаление
1
2
3 4
5
25 © SafeNet Confidential and Proprietary
Хранение 6
Ключи шифрования
хранятся во внещнем
устройстве (отдельно от
зашированной
информации)
Новые направления в безопасности
Сервис по
предоставлению
аутентификации
(SAS)
- SPE (сервис из
Дата центра
SFNT)
- PCE
(персональный
дата центр)
Защита
виртуальных сред
(ProtectV)
- VMWare
- Amazon
Ключи
шифрования
хранятся во
внешнем
устройстве
Защита систем
хранения данных
(StorageSecure)
- NAS
- SAN
- iSCSI
- CIFS
- NFS
26
SafeNet StorageSecure
27
•Прозрачное шифрование сети
•Разограничение прав доступа и сегрегация данных
•Поддержка кластеризации для балансировки нагрузки и
отказоустойчивости
•Интегрируется с внешним хранилищем ключей шифрования
•Multi-gigabit поддержка скорости
•Совместим с NetApp DataFort and LKM
SafeNet StorageSecure™
Физические характеристики:
• Модели 1Гб/сек и 10Гб/сек
• 2U, 19”, дублированный блок питания
• Без LCD на панели
• Возможности кластеризации
• NAS (CIFS, NFS) & iSAN (iSCSI)
• Задержка < 100 микросекунд
• Физически защищенное шасси • Мастер ключ стирается при попытке логического или физического вторжения
Платформа
• Защищенный TileLinux OS, только по CLI
• SafeNet Storage Encryption Processor (SEP)
• Обновляемая прошивка через консоль управления
• Встроенные 32Гб памяти для конфигурации и ключей
Новые направления в безопасности
Сервис по
предоставлению
аутентификации
(SAS)
- SPE (сервис из
Дата центра
SFNT)
- PCE
(персональный
дата центр)
Защита
виртуальных сред
(ProtectV)
- VMWare
- Amazon
Ключи
шифрования
хранятся во
внешнем
устройстве
Платформа
хранения и
управления
жизненным
циклом ключей
шифрования
(KeySecure)
Защита систем
хранения данных
(StorageSecure)
- NAS
- SAN
- iSCSI
- CIFS
- NFS
Ключи
шифрования
хранятся во
внешнем
устройстве
29
SafeNet KeySecure Управление ключами шифрования
Управление жизненным циклом ключей • Централизованное управление и
хранение ключей • хранение, управление, генерация,
распространение, смена, резервное копирование, активация, деактивация, и уничтожение
• Более 1 миллиона ключей на кластер
• Высокий уровень защищенности
Поддержка стандарта – OASIS KMIP
Поддержка протоколов • NAS – StorageSecure
• SAN - Brocade Encryption Solutions (BES and FS8/18)
• KMIP подднрживает (NSE/FDE, Quantum Tape Library and other 3rd Party support)
• Работа с «облаком» (KMIP-based)
SafeNet LUNA SA (HSM) и PCI Card Management
ProtectV
•Hardware- based ,secure key replication across multiple appliances •Active-Active mode of clustering •Geo distribution support •Highly scalable for cloud implementations •LDAP/Active Directory Integration and Syslog forwarding •Heterogeneous solutions: SFNT and non-SFNT devices, applications, databases, storage devices, SAN switches, tape libraries, HSM, network and endpoint devices, etc.
In Summary…
Enterprise Key Management
SafeNet KeySecure
SafeNet StorageSecure
FAS-Based NetApp
Storage Encryption (NSE)
Brocade Encryption
Switches (BES)
KMIP Clients
ProtectV
Oasis KMIP Members
32
Аутентификация
- eToken
- iKey
- Ситема
управления
носителями
Модули
безопасности
(HSM)
- Платежные
- Общего
назначения
Высокоскоростн
ые шифраторы
канала передачи
данных (HSE)
- Fiber Channel
- Ethernet
Система защиты
данных
(DataSecure)
- ProtectDB
- ProtectApp
- Tokenization
Сервис по
предоставлению
аутентификации
(SAS)
- SPE (сервис из
Дата центра
SFNT)
- PCE
(персональный
дата центр)
Защита
виртуальных
сред (ProtectV)
- VMware
- Amazon
Платформа
хранения и
управления
жизненным
циклом ключей
шифрования
(KeySecure)
Защита систем
хранения данных
(StorageSecure)
- NAS
- iSCSI
- CIFS
- NFS
33
SafeNet Сегодня
Insert Your Name
Insert Your Title
Insert Date
Mail:
Thank you