Ibm virtualization security

© Copyright IBM Corporation 2010

Безопасность в "облаке" - станут ли "облачные" вычисления панацеей для отрасли информационной безопасности

Кирилл КерценбаумСпециалист по продажам IBM [email protected]

mailto:[email protected]

© 2010 IBM Corporation

InfoSecurity 2010

Интегрованный жизненный цикл сервисов.

Предоставление ресурсов “как сервис”.

Интегрированная ифраструктура безопасности.

Быстрая инициализация элементов ИТ инфраструктуры, масштабируемость.

Динамическое управление сервисами.

Энергоэффективность за счет автоматического перераспределения нагрузки.

Быстрый запуск инфраструктуры и приложений.

Основанный на запросах сервис.

Каталог сервисов.

Виртуализация.Лучшее

использование оборудования.

Повышает динамичность ИТ.

Консолидация серверов.Унифицированные операции.Экономия энергопотребления.

Облачные вычисления

Виртуализация – Первый шаг к путешествию в Облачные вычисления

2


InfoSecurity 2010

Степень проникновения виртуализации в ИТ растет огромными темпами

“Виртуализация становится ключевым оружием в арсенале CIO.”

- Forrester Research, Inc

Объемы рынка Виртуализации ($M)

“Виртуализация станет технологией- краеуггольным камнем … для поддержки

потребностей бизнеса в новом экономическом цикле”

- IDC


InfoSecurity 2010

Источник: IBM GTS Market Insights Analysis based on Goldman Sachs,“IT Spending Survey: Top of mind-Virtualization/PC refresh,” September 7, 2009; Bank of America / Merril Lynch, “Spending Intentions Still Muted; Slightly Less Cautious”, July 20, 2009

Инициативы в ИТ

Текущие инициативы в расходах на ИТ все больше направлены в сторону информационной безопасности и виртуализации

Повышение уровня безопасности, консолидация и виртуализация выделены как ключевые направления для инвестиций

“Для обеспечения безопасности виртуализации должны

применяться обычные средства: эшелонированная защита, дизайн

сети и сегментация, а также унифицированное управление.”

-451 Group

“[Безопасность виртуализации] будет расти на 87% ежегодно до 2013 года – самый агрессивный

прогноз на данный момент.”-451 Group


InfoSecurity 2010

Безопасность виртуализации становится все больше и больше в фокусе внимания

Ô 35% уязвимостей для серверов влияют на Гипервизор

Ô Количество обнаруженных в системах виртуализации уязвимостей немного сократилось к 2010 году

•Пик был в 2008 году со 100 уязвимостями, снизилось на 12% до 88 в 2009 году, и продолжают сокращаться и в 2010 (39 уязвимостей было обнаружно в первой половине 2010 года). •Эта динамика объясняется тем что производители систем виртуализации с начала 2008 года начали обращать больше внимания на вопросы безопасности и/или исследователи безопасности сконцентрировались на более легких целях

Ô Облачные вычисления сегодня являются наиболее растущими и поэтому уязвимости в них идентичны тому что мы видим в традиционных популярных технологиях, усложненные вызовами каждодневными операциями удаленного управления


InfoSecurity 2010

6

Виртуализация значительно снижает совокупную стоимость владения ИТ в организации

Источник: Gartner, Inc.

Снижение кол-ва площадок

Снижение кол-ва серверов

Консолидация данных с различных источников

Повышение производительности приложений

“В течение 2010 года консолидация ИТ инфраструктуры будет по-прежнему в центре инициативы по снижению расходов на ИТ инфраструктуру и операционные расходы.”

Консолидация и Виртуализация

Екатеринбург

Москва

Москва

Windows

Unix WindowsUnix

Бил-линг

Зака-зы

БиллингЗаказы

Веб

Веб


InfoSecurity 2010

7

Виртуализация позволяет компаниям быть эффективными и рациональными

Облегчение физической

консолидации

Упорядочивание серверов

Улучшение утилизации Снижение стоимости Снижение

энергопотребления

Обеспечение высокой

производительности

Быстрое развертывание приложений

Эффективное общее использование

Автоматическое управление загрузкой

Высокая доступность

Возможность работы “в облаке”

Всегда доступен Легко расширяем Автоматический

запуск Упрощение для

пользователей и администраторов

Улучшение SLA

Повышение надежности сервисов

Облегчение бэкапа и восстановления

Ускорение новых онлайн сервисов

Снижение Mean-time-to-recovery (MTTR)

Улучшение катастрофоустойчивости


InfoSecurity 2010

8

Виртуализация имеет массу преимуществ, но приносит новые сложности Мобильность систем Увеличение уровней инфраструктуры для управления и защиты Множество ОС и приложений на одном сервере Распределение физических ресурсов между системами Ручное управление ПО и конфигурациями для ВМ

Операционная система

После Виртуализации

VMM или Гипервизор


Приложения Приложения

До Виртуализации


Приложения

•Отношение 1:1 для ОС и приложений на сервер

• Отношение 1 к многим для ОС и приложений на сервер•Новый уровень для управления и защиты


InfoSecurity 2010

9

Больше компонент = Больше угроз и больше сложностей для поддержки соответствия стандартам и требованиям

Распределение ресурсов

——————————Единая точка отказа

Традиционные угрозы

Беспорядочное разрастание

——————————Динамическое

перераспределение——————————

Захват ВМ

Невидимые Руткиты на аппаратном уровне——————————

Вирт. NICи и Ресурсы теперь мишень

Управление уязвимостями

——————————Безопасность

хранилищ служебных и программных

данных——————————

Требует новых навыков

Новые угрозы для Виртуальной среды

Традиционные угрозы могут атаковать ВМ только как

физические системы


InfoSecurity 2010

10

Виртуальная среда также должна соответствовать стандартам и требованиям

Лучшие практики для соответствия стандартам безопасности в Виртуальной среде

1. Процессы управления конфигурациями и изменениями должны быть расширены и включать Виртуальную инфраструктуру– Добавляет стоимость и сложность работы для Системных администраторов

для постоянного переконфигурирования в меняющейся среде– Быть уверенными что процесс управления обновлениями включает также

Виртуальную среду

2. Поддерживать раздельный контроль доступа несмотря на то, что сервера, сеть и инфраструктура безопасности теперь едины

3. Обеспечивать разделение Виртуальных машин и Виртуальной сетевой инфраструктуры

4. Поддерживать аудит логов в Виртуальной среде

*Источник: RSA Security Brief: Security Compliance in a Virtual World http://w w w .rsa.com/solutions/technology/secure/w p/10393_VIRT_BRF_0809.pdf


InfoSecurity 2010

11

Целый спектр требований и технологий необходим для безопасности Виртуальной инфраструктуры

Нахождение данных“облачные” дата центры

Катастрофоустой-чивость

“эластичные облака”

Доступностьгеографическое

распределение нагрузки

Безопасность сервероваудит, контроль доступа

Сетевая безопасностьFirewall, IPS, VLAN

Безопасность виртуализации

Сегментация ВМ, Виртуальные решения,

Интегрированная безопасность Гипервизора

Защита браузеровssl, защита памяти,

антивирус

Управление обновлениямиприоритезация,

расписание, сбор данных

Аудит и требованияаудит создания политик,

логов и управления

Поддержка расследований

хранение, поиск и корреляция данных аудита

Управление политикамиунифицированная

безопасность, распространение политик

Безопасное выделение ресурсов

управление образами, политики общего доступа

Тестирование приложений

управление уязвимостями

Изоляция данныхшифрование,

разделение сетей, Оборудования / ОС / Прил.

/ БД

Восстановление данныхбэкап,

удаленное хранилище

Сокращение и удаление данных

безопасный процесс удаления данных клиентов и служебной информации

Защита от утечек данныхТехнология DLP для

хранимой и перемещаемой

информации

Привилегии доступа пользователей

централизованный доступ и аудит политик, каталогов

Управление Ролямиsingle sign-on, технология

предоставления

Управление привилегиями пользователей

изменение процессов контроля для

привилегированных пользователей

Доверенные ролизащита данных работников

и клиентов

Люди и Доступ Данные и Информация

Приложения и Процессы Сеть, Сервер и ПК Физическая среда

Конечный пользователь Администратор Аудитор Разработчик Провайдер сервисов


InfoSecurity 2010

12

Использование средств безопасности физической среды для виртуальной добавляет стоимость и сложность управления

Виртуальная среда

Блокировка угроз и атак на уровне виртуальной сети

Безопасность каждой ВМ как если бы это был Физический сервер вовремя и доступно

Слежение, обновление и контроль разрастающихся ВМ может резко увеличить стоимость системного администрирования

Политики должны быть более всеобъемлющи (Веб, данные, виды ОС, БД) и перемещаемы вместе с ВМ

Сетевой IPS

Защита серверов

Обновление систем

Политики безопасности


InfoSecurity 2010

13

Соблюдение лучших практик безопасности

1. Процессы управления конфигурациями и изменениями должны быть расширены и включать Виртуальную инфраструктуру

– Автоматическое обнаружение и защита как только ВМ начинает работу

– Внедрение в ОС хоста и виртуальную сеть для определения уязвимостей.

– Технология IBM Virtual Patch® защищает от уязвимостей вне зависимости от стратегии обновлений

2. Поддерживать раздельный контроль доступа несмотря на то, что сервера, сеть и инфраструктура безопасности теперь едины

– Контроль в виртуальной сети• Ограничение или запрет сетевого доступа от

виртуального сервера до подтверждения политики безопасности

– Мониторинг и отчетность по виртуальной инфраструктуре

3. Обеспечивать разделение Виртуальных машин и Виртуальной сетевой инфраструктуры

– Изоляция ресурсов на сетевом уровне

4. Поддержка аудита логов в Виртуальной среде– Мониторинг и отчетность по виртуальной инфраструктуре

*Источник: RSA Security Brief: Security Compliance in a Virtual World http://w w w .rsa.com/solutions/technology/secure/w p/10393_VIRT_BRF_0809.pdf


InfoSecurity 2010

14

Безопасность виртуализации от IBM

Server Intrusion Prevention System (IPS)

Network IPS

Virtualized Network Security Platform

Virtual Server Protection for VMware

Решения по безопасности систем виртуализации от IBM включают программы и сервисы, оптимизированные для виртуальных сред, что позволяет ощущать преимущества от виртуализации при сохранение

необходимого уровня безопасности

© Copyright IBM Corporation 2010

СПАСИБО!

Ibm virtualization security

Technology

ibm ibm

copyright ibm corporation

ibm corporation8

ibm virtual patch

rsa security brief

security compliance

virtual world http

windows unix windows