1© SafeNet Confidential and Proprietary
SafeNetОбзор решений
2
Вопросы презентации
О SafeNet ...Продукты и решения
Аутентификация Аппаратные модули безопасности Шифрование и управление данными Высокоскоростное шифрование Шифрование хранилищ Безопасность в облаках
3
Факты о SafeNetКрупнейшая компания занимающаяся исключительно защитой ценных информационных активов.
Основана: 1983
Владение: частная
Глобальная – более 25,000 клиентов в 100 странах
Штат: более 1500 в 25 станахЛидер в ИБ – более 550 инженеров-криптографов
Аккредитация – продукты сертифицированны по высшим стандартам безопасности
4
Доказанное лидерство. Доверие к защитеSafeNet защищает:
>Большую часть денег, пересылаемых в мире — 80% всех электронных транзакций — $1 трлн. в день
>Большинство цифровых сертификатов в мире —сертификатов PKI компаний F-100 и правительств
>Большую часть бизнес ПО в мире — 80 миллионов аппаратных ключей — больше любого другого производителя
>Большую часть секретной информация в мире —крупнейшие системы защиты правительственных коммуникаций
5
Глобальная организация
6
История поглощений
7
Сегменты бизнеса
> Сетевое шифрование
> Шифрование дисков и файлов
> Шифрование БД и приложений
> Аппаратные модули безопасности
> Управление ключами
> Многофакторная аутентификация
> Контентная безопасность
> Защита ПО и интеллектуальных прав
> Лицензирование
> Управление лицензиями
> Управление SaaS приложениями
ПРОДУКТЫ РЫНКИ
Enterprise
Government
Software Publishers
System & OnlineService Providers
8
Почему SafeNet?
Всесторонне Адаптивно Доказано
Comprehensive
Intelligent
PersistentExtensible
Enabling
Постоянная защита на всем жизненном цикле лучшими решениями в отрасли: > Защита идентичностей
> Безопасность транзакций
> Шифрование и управление
> Защита каналов
Решения разработаны для адаптации к меняющимся бизнес-потреностям:> От удаленного доступа до
цифровой подписи – одна платформа, одно решение
> От дата-центра к конечной точке и воблако – централизованные политики и управление ключами
Ведущие организации мира доверяют защиту наиболее критичных информационных активов:> Доказанные годами
работающие решения
> FIPS уровней 1-3
> Общие критерии
9
На всем жизненном цикле
Защита данных
10
Защита данных – на всем жизненном цикле
>Защищаем идентичности пользователей, приложений и серверов
>Защищаем транзакции, которые ими порождаются
>Обеспечиваем владение данными и их контроль за счет шифрования в процессах создания, доступа к ним, распространения, хранения и передачи
>Шифруем критичные коммуникационные каналы, по которым передаются данные
11
Портфоило продуктов SafeNet Data Protection
Широкий спектр аутентификаторов, от
смарт-карт и токенов до смартфонов –
управляемых с одной платформы
Соединяет высочайшую производительность и
легкостью интеграции и управления
Самые защищенные и легкие в интеграции с
приложениями решения
Первая и единственная в мире платформа
управления данными и их защитой для всех
информационных активов
Защита идентичностей - Аутентификация
Защита транзакций и идентичностей - HSM
Шифрование и управление данными – Data Secure
Защита каналов – высокоскоростное
шифрование
> Единственная в отрасли унифицированная платформа предоставляющая адаптивные к изменениям окружения возможности
> Лидер рынка по CBA токенам
> Уникальная технология токена, не требующего клиентского ПО
> Лидер рынка HSM
> Инновации в HSM для платежных систем
> Широкий спектр платформ и решений
> Больше всего используемых в мире HSM – 75 000
> Хранение ключей всегда в аппаратуре HSM
> Ориентированная на данные, постоянная защита от дата-центров в облака
> Централизованные политики, управление ключами, аудитом и логированием
> Интегрированный DLP на периметре
> Аппаратное, масштабируемое решение высокой производительности
> Решения для Ethernet и SONET до 10Гб/сек
> Лучшее в классе ПО управления безопасностью
> Без потерь пропускной способности, с минимальной задержкой
> Высочайший уровень защищенности
12
>Безопасный доступ
>Удаленное управление паролями
>Новые он-лайн сервисы
>Соответствие
Широчайший спектр аутентификаторов, от смарт-карт и токенов до программных аутентификаторов смартфонов управляется с единой платформы
Защита идентичностей - Аутентификация
Transaction and Identity Protection - HSM
Data Encryption and Control – Data Secure
Communication Protection – High-Speed Network
Encryptoion
Системы управления
USB аутентификаторы
Смарт-карты
Гибридные аутентификаторы
OTP аутентификаторы
Программные аутентификаторы
13
№1 мирового рынка, HSM SafeNet обеспечивают высочайшие производительность, защищенность, легкость интеграции с приложениями.
>Безопасное хранение ключевого материала
>Верификация идентичности в «железе»
>Безопасное выполнение цифровых транзакций
>Соответствие стандартам
Identity Protection - Authentication
Защита транзакций и идентичностей - HSM
Data Encryption and Control – Data Secure
Communication Protection – High-Speed Network
Encryptoion
Luna SA / SP
Luna EFT
Luna XML
CA4
Luna PCM
ProtectServer Gold
Luna PCI
14
>Централизованно шифрует и контролирует доступ к данным
>Защищенное совместное использование и обмен данными при постоянном контроле и защите
>Обеспечивает соответствие от дата-центра до конечной точки и далее – в облако
Dat
a C
ente
r S
uite
End
poin
t S
uite
DataSecure - единственная на рынке унифицированная платформ для шифрования данных, управления ключами и гранулярного управления доступом, постоянно защищающая информацию от дата-центров до широчайшего спектра конечных точек и в облаках.
Identity Protection - Authentication
Transaction and Identity Protection - HSM
Шифрование и управление данными – Data Secure
Communication Protection – High-Speed Network
Encryptoion
DataSecure
EdgeSecure
ProtectDB
ProtectApp
ProtectZ
Tokenization Manager
eSafe SmartSuite
ProtectFile
ProtectDrive
15
>Централизованное управление, шифрование и защита данных на высоких скоростях передачи
>Безопасность огромных объемов данных с высокой пропускной способностью и «нулевой» задержкой
Высокоскоростные шифраторы SafeNet соединяют высочайшую производительностьи легкость интеграции и управления.
Identity Protection - Authentication
Transaction and Identity Protection - HSM
Data Encryption and Control – Data Secure
Защита каналов – Высокоскоростное
шифрование
Ethernet Encryptor
SONET Encryptor
Conversion Encryptor
Security Management Center (SMC)
16
Защита данных на всем жизненном цикле
Контентная безопасность
Аутентификация и контроль доступа
Безопасность сети
eSafe
Laptop/mobile Handset
SafeNet ProtectFile
File Servers
Application and web servers
Databases
Mainframes
SafeNet DataSecure
Дата-центр
SafeNet ProtectFile
SafeNet ProtectAp
SafeNet ProtectDB
SafeNet ProtectApp
> Безопасное, централизованное управление ключами
> Ориентированные на данные политики
> Управление идентичностями и доступом
> Логирование, аудит и отчетность
17
Платформа для защиты данных
HS
M
Управление шифрование данных
Защита идентичностей и управление AUTHENTICATION
DATA SECURE
Мониторинг и аудит
Политики безопасности и управление
HS
M
Централизованное управление ключами и хранением
Изучение данных и классификация
Защита транзакций
DLPШифрование приложений
Шифрование БД
Защита конечных точек
Партнерские решения
18
Аутентификация
19
Используемые сегодня методы
Простые пароли Аутентификация по контексту/ знанию Распознование голоса/ SMS – Out-Of-the-Band (OOB) OTP Аутентификация по сертификатам (CBA)
21
Продукты SafeNet для защиты транзакций
Больше чем аутентификация: решения SafeNet гарантируют целостность данных в дополнение к аутентификации пользователя
Ни одно решение не подходит для всех случаев:
Различные методы снижения для разного уровня рисков
Различные решения под разные требования удобства
Любые форм-факторы Один сервер – множество решений: все решения
централизованно управляются с одной платформы, гарантируя экономическую эффективность и эффективную управляемость
22
Один сервер – множество решений
сервер для централизованного развертывания и управления
сервер для облачной и стандартной строгой аутентификации
сервер для множества методов аутентификации (PKI, OTP, OOB)
сервер для всех форм-факторов: смарт-карты, USB, ПО
сервер = простое управление, высокая гибкость и низкое TCO
111
11Все необходимое в рамках одного решения - полностью доверенная среда, позволяющая контролировать инфраструктуру аутентификации
23
Платформы управления Safenet Authentication
OTP Market
CBA Market
Все моделиСтандартные и облачные приложения
Один сервер = множество сценариев
Гибкость, масштабируемость, надежность
SafeNet Authentication Manager 8.0 (SAM)
Только OTP и OOB Установка - 5 кликов Стандартные и облачные приложения
SafeWord
(SAM Express)
26
Принятие риска может различаться для различных регионов Применение соответствующего метода снижения зависит от уровня активности Регулятор может влиять на требуемый метод снижения риска
Ни одно решение не подходит для всех случаев
MobilePASS OOB
MobilePASS OTP
eToken PASS
MobilePASS OOB
Digital Signing
TransactionSecurity
27
OTP аутентификаторы
OTP Market
SW HW
MobilePass
eToken 3000
eToken 3200
eToken 7000
OTP on Card
SafeNet eToken 3400New
Product
Optical signing
SafeNet eToken 3500New
Product
28
CBA аутентификаторы
CBA Market
SW HW
eToken 7000
eToken Virtual
eToken 4100
eToken 5200
eToken 7200
29
eToken 3200 (Gold)
Возможности:
Интерфейс ввода ПИНа или защита ПИНом
“Challenge/Response”
До генерации OTP, пользователь должен ввести пас-код, отображаемый на странице приложения
Алгоритмы OTP:
X9.9 – Challenge response алгоритм
Synchronous – проприетарный алгоритм по событию
Поддерживается SafeWord и SAM
Легкая интеграция с Check Point Endpoint Security: двухфакторная аутентификация и pre-boot аутентификация в одном устройстве
30
Новый дизайн – новые возможности CBA
SafeNet eToken 5200/ 5205
30
SafeNet eToken 4100
SafeNet eToken 5100/ 5105
SafeNet eToken Pro SC
SafeNet eToken Pro 72k Java
SafeNet eToken NG-Flash
SafeNet eToken Pro Anywhere
SafeNet eToken 7100/ 7200
Mask 9, SHA 256, Plug&Play
31
eToken 5200/ 7200 (Anywhere)
• Инновация• Первый портативный аутентификатор на смарт-карте, не
требующий ридера и установленного клиентского ПО – объединение стойкости CBA с простотой использования OTP
• Для критичных бизнес-приложений• Защищенный доступ к веб-сервисам и корпоративной сети (SSL
VPN) с любого компьютера, имеющего соединение с Интернет и USB порт
• Цифровая подпись/ приложения документооборота
• Непревзойденная безопасность, простота и удобство• Полная модильность пользователя: не нужен драйвер - клиент• Не требует знаний и опыта пользователя• Не оставляет следов по закрытии сессии• Не требует обслуживания
40
Что такое программный аутентификатор?
Двухфакторная аутентификация посредством только ПО (нет «токена»)
Предоставляет: удаленный и сетевой доступ, цифровую подпись (PKI)
Доступны в виде:
1. OTP аутентификатора - MobilePASS
OTP генерируется на мобильном устройстве или ПК
Доставка кода через SMS/Email - Out of Band (OOB)
2. Виртуальная смарт-карта – eToken Virtual
41
eToken Virtual
eToken Virtual – программное решение по двухфакторной аутентификации обеспечивает полную PKI функциональность для безопасного удаленного
доступа, сетевого досутпа и цифровой подписи.
eToken Virtual работает с SAC и SAM полностью управляемое внедрение программных смарт-карт безопасность и функциональность аппаратной смарт-карты может содержать ключевые пары, сертификаты, профили SSO
42
MobilePASS
Превращает мобильное устройство в двухфакторный аутентификатор
Платформы: iPad/iPhone/iPod , Android, BlackBerry, J2ME , Windows Mobile.
Дополнительно: Windows Desktop, доставка через SMS/Email
сниженное TCO
пожизненная гарантия
удобство
управляемость
высокая гибкость
Легко развернуть, активировать и управлятьМасштабирование
Самостоятельная активация
Интегрируется в существующие платформы управления (не требует внешних)
MobilePASS SDK: позволяет кастомизировать приложение (UI, бренд)
43
Как работает MobilePass?
1. User accesses OWA log-in screen
3. Enters user name, password and OTP passcode
3. Back end validates passcode; OWA inbox loads...
2. Clicks on OTP application to generate passcode
44
Аутентификация на мобильном устройстве
Мобильный аутентификатор Защищенный доступ с мобильного устройства
Решение
Мобильное приложение превращает мобильное устройство в устройство аутентификации.
Решение
Мобильное устройство выступает платформой для доступа к корпоративным ресурсам.
Продукт
• MobilePASS: OTP приложение, установленное на мобильном телефоне.Может доставлять код через SMS
Продукт• Безопасный доступ мобильному
устройству через SafeNet Authentication Manager (SAM): SAM внедряет сертификат на мобильное устройство, который гарантирует что только доверенное устройство с сертификатом может получить доступ.
45
Безопасный доступ с мобильных устройствДоступно в SAM 8.0 SP2!• Управление аутентификацией iOS-устройств посредством политик
• Управление сертификатами и учетными записями – контроль над мобильными устройствами имеющими доступ в сеть
• SAM позволяет IT персоналу выдавать сертификаты устройствам
• Политики паролей устройства и запрет паролей/ кэширование паролей на мобильных устройствах
47
Как насчет Malware?
Банк получает запрос на перевод $25 000 и шлет клиенту запрос на подтверждение
Клиет хочет перевести $2 500Malware меняет номер счета и сумму на $25 000Malware
гарантирует, что клиент видит $2 500
Клиент подтверждает перевод и злоумышленник получает $25 000!
48
Какими методами противостоять malware?
Transaction Signing OOB Separate browsing environment
48
49
Защита транзакции оптическим токеном
Транзакция подтверждена5
Токен генерирует код, пользовательнабирает
4781542
Детали транзакции получаеттокен
2Transfer $50,000Acc: 876543
Клиент видит детали транзакции на токене
387
6543
Клиент выполняет транзакцию1
Transfer $50,000Acc: 876543
54
SMS/Email OOB аутентификация
Код доступа поступает через SMS/Email на мобильное устройство
Какая разница между OOB SMS и OTP?
OTP генерирует код в приложении на мобильном устройстве, который должен совпасть с кодом на аутентификационном сервере
SMS код генерируется удаленным сервером и доставляется на мобильное устройство
55
Защита транзакции посредством MobilePass SMS
56
Доверенный браузер на eToken 7100/ 7200
Для браузинга используется безопасное окружение• находящееся на SafeNet eToken 7100/7200 (NG-Flash)
Доверия к пользовательскому компьютеру нет – заражен Короткий процесс развертывания: ПО не устанавливается Можно сконфигурировать предустановленное приложение или загрузить последнюю доверенную версию Защищает от: eavesdropping, phishing, password guessing, MiTM, MiTB USB аутентификатор с шифруемой флеш-памятью объемом 4-16 Гб
57
Как работает доверенный браузер?Высокорисковые транзакции
58
Угрозы и решения
Всестороняя защита от угроз различного уровня риска финансовых организаций
Риск\ решение Eavesdropping
Фишинг Фарминг MITM MITB TransactionSecurity
MobilePASS OTP
MobilePASS SMS
eToken 3000 (Pass)
eToken 3200 (GOLD)
eToken 5200 (Anywhere)
eToken 7200 (NG-FLASH)
60
Аппаратные модули безопасности - HSM
61
Что такое HSM?
Серверприложений
Приложение
Сервисы использования ключей
Сервисуправления
ключами
Сервис хранения ключей
Физическая защищенностьРазделение полномочийМногофакторная аутентификацияM из N контроль
PKCS #11 CAPI / CNGJava CSP OpenSSLXML-DIGSIG
Бэкап/восстановлениеКонроль экспорта ключейEKM интерфейсПолитики
FIPS 140-2 Level 3 Common Criteria EAL4+
HSM
Широкий спектр опций:Различные производительность, объемы хранения, форм-факторы, модели аутентификации
1. Криптографические ключи содержатся в высокозащищенном устройстве.
2. Ускоряет криптооперации3. Обеспечивает полный
аудит ключевого материала.
Все HSM сертифицированы:FIPS 140-2, Common Criteria
Полный набор SDK/Toolkit для гибкой интеграции
62
Портфолия SafeNet HSM
Аппаратные модули безопасности SafeNet – самые производительные, защищенные и легкие в интеграции решения для защиты идентичностей, транзакций и приложений
ProtectServer Gold
G5
Luna PCI
Luna EFT
Luna SX
Luna SA / SP / XML
Наиболее производительный
Сетевой, масштабируемый, SOA, Web Services
Платежный, EMV/EFT
Программируемый,экономичный
Offline CA, архивирование
ПО управления
63
Применение HSM Шифрование БД (MS/Oracle EKM/TDE)
Банковские и финансовые платежные
Веб сервисы и XML
Временные метки (лотереи, билеты, ПИН через Интернет)
Защита ключей CA
Работа с сертификатами
Почтовые шлюзы
Подпись документов (e-Invoicing)
Управление ключами
Выпуск банковских карт
Подписание кода
Доверенное производство (оригинальные запчасти, паспорта, права, ценные бумаги)
DNSSEC
SmartGrid
64
Унифицированная платформа DataSecure
65
Стоит задача защиты данных?данные в БД и приложениях
Структурированные данные
• ProtectApp & ProtectDB: шифрование данных в БД и приложениях• Tokenization Manager: токенизация данных – вывод из области аудита
данные в файловых структурахНеструктурированные
данные• ProtectFile: шифрование файловых серверов• StorageSecure: SAN/NAS, файловые хранилища и архивы
владение данными, изоляция и соответствие в виртуальных средахВиртуализация• ProtectV:• Виртуальные машины• Виртуальные хранилища
основа для корпоративных криптосистемКриптосервисы• DataSecure и KeySecure• Управление шифрованием хранилищ, БД, приложений, файлов• Управление шифрованием в конечных точках (Crypto API, HSM)• Управлением шифрованием виртуальных и облачных сред
0000 000 00
0000 000 00
0000 000 00
ArchiveNAS
66
Унифицированная платформа
БД
Сервера приложений
CSPApp
1. Шифрование• Приложений• БД• Файлов
2. Криптопровайдеры• HSM: Luna PCI/SA• ProtectApp
3. Виртуализация• ProtectV• Storage• Applications
67
SafeNet DataSecure PlatformIntelligent Data Protection
DataSecure – единственная платформа для всех информационных активов с централизованным управлением:
ключамиполитикамилогированием и аудитом
.
Бизнес потребность Решение SafeNet
Защита конфиденциальных
данных всех структур
Гибкая и масштабируемая аппаратная плафторма для
гетерогенного окружения
Внедрение шифрования данных для соответствия
Доказанное соответствие (PCI DSS, ЗПд)
Снижение расходов и сложности внедрения и
эксплуатации
Снижает операционные расходы за счет легкости
расширения, управления и администрирования
68
Портфолио продуктов DataSecureDataSecurei450 и i150
Производительное шифрование, контроль доступа, аудит, логирование
• Прозрачное шифрование (не/) структурированных данных
• Высочайшая производительность, низкая задержка (+100.000 TPS)
• Простая консоль администрирования
• Высокая доступность и масштабируемость (кластеризация и балансировка)
• FIPS, Common Criteria
Для удаленных офисов
• Высокая доступность устройства для локального шифрования
• Небольшой вес и форм-фактор оптимальны для размещения
• Удаленное управление после первичной настройки
• Полный бэкап центральным DataSecure
Централизованное управление ключами и политиками
• Ключи хранятся безопасно в едином хранилище для прозрачного разделения и определения границ
• Централизованные политики, логирование, аудит и архивирование
• Встроенный Центр Сертификации (CA)
• Разделение полномочий
• FIPS, Common Criteria
Коннекторы
ПО интеграции с объектом защиты
• ProtectDB - Oracle, IBM DB2, Windows SQL Server, Teradata
• ProtectApp – .NET, CAPI, JCE, PKCS#11, z/OS, XML – большинство известных приложений и веб-серв.
• ProtectV – ВМ и тома
• ProtectFile Server –Windows and Linux
• ProtectDrive - FDE
KeySecurei430
EdgeSecurei10
69
SafeNet KeySecure™
CentralManagement
UserAuthentication
Virtual
Sof tware
Certif icate
OTP
SigningServices
ServerID
Database
CommunicationProtocols
HSE NetworkGear
DataPrivacy
Drive
Protect V
Database Application
File
Media
70
Безопасность хранилищ
Enterprise Key Management
SafeNet KeySecure
SafeNet StorageSecure
FAS/NSE/SAN
Brocade Encryption Switches (BES)
71
SafeNet StorageSecure™
Физические характеристики:
Модели 1Гб/сек и 10Гб/сек2U, 19”, диблированный блок питанияБез LCD на панелиВозможности кластеризацииNAS (CIFS, NFS) & iSAN (iSCSI)Задержка < 100 микросекундФизически защищенное шасси
Мастер ключ стирается при попытке логического или физического вторжения
ПлатформаЗащищенный TileLinux OS, только по CLISafeNet Storage Encryption Processor (SEP)Обновляемая прошивка через консоль управленияВстроенные 32Гб памяти для конфигурации и ключей
72
Что такое стандарт KMIP?
KMIP (Key Management Interoperability Protocol)NSE использует KMIP для управления ключами
KMIP 1.0 одобрен в октябре 2010 г.
Альянс OASISСтандарт дорабатывается для определения взаимодействия сервер-сервер
Участники: Axway, Brocade, CA, Cisco, Cryptsoft, EMC, Emulex, Freescale, HP, IBM, Lexmark, LSI, Mitre, NSA, NIST, NetApp, Oracle, PrimeKey, Quantum, Red Hat, SafeNet, Skyworth, Symantec, Target, Thales, Venafi, Voltage Security, Vormetric
73
Контентная безопасность SafeNet eSafe
74
Safenet обеспечивает безопасный контент
Интеллектуальные шлюзы безопасности для обработки трафика почты и веба – гарантия легкой интеграции и управляемости.
Новый функционал:• DLP по расширенным словарям• Web Quota Control• new Transparent SSL Mode• Mail IP Reputation
Поддерживается на:• eSafe HG-200 Appliance• eSafe XG-110 Appliance• eSafe XG-210 Appliance• eSafe XG-300 Appliance• IBM HS22 Blade server• VMware image for ESX(i) server
Доступна инсталяция с USB накопителя
75
eSafe – продукты контентной безопасности Интеллект в реальном времени для веб и сообщений
eSafe Web
For Enterprise
AppliFilter Web SSL URL Filter eSafe
Reporter
Secure Surfing
Web Security Service Delivery
Platform for ISPs
Clean
Pipe
parental
Control
Neutralizer toolbar
eSafe Mail
For EnterpriseAntispam & Worm
Outbreak Protection
eSafe
Reporter
Отчетность Управление
76
Высокоскоростное шифрование канала
77
Вопрос производительности и пропускной способности
78
Сетевые шифраторы SafeNet
EthernetEncryptor (SEE)
Высокоскоростной шифратор Ethernet
• До 10 Гб/с• Прозрачное
шифрование сетей Ethernet
• Чрезвычайно низкая задержка
• «0» избыточности на 1Гб/с и ниже, низкая избыточность на 10Гб
• Full duplex, 10Гб/с AES
• FIPS 140-2 Level 3• Аутентификация на
сертификатах
Высокоскоростной шифратор SONET / SDH
• До 10 Гб/с• «0» избыточности• Интерфейсы OC3,
OC12, OC48, OC192
• FIPS 140-2 Level 3/2• Common Criteria
EAL4• Чрезвычайно низкая
задержка• Аутентификация на
сертификатах
Единственный в мире 10 GbE Ethernet to OC192 шифратор
• Гибкость Ethernet + устойчивость SONET
• До 9,5 Гб/с Ethernet over OC192
• «0» избыточности• FIPS 140-2 Level 2• Common Criteria
EAL4• Аутентификация на
сертификатах
Security Management Center (SMC)
Лучший в классе Центр управления безопасностью
• Легкая установка и управление всеми шифраторами
• Интуитивный веб-интерфейс
• Беспримерная устойчивость
• Низкая стоимость администрирования
• Полноценный аудит• Безопасное
удаленное администрирование
Conversion Encryptor (SCE)
SONET/SDH Encryptor (SSE)
79
Облачные решения
80
Infrastru
cture
as a
Se
rvice
Platform
as a
Se
rvice
So
ftwa
rea
s a S
ervice
Power & HVAC
Hardware & Networking
Virtualization APIs
Middleware
Data Engine & Platform APIs
Application Engine
Application Presentation & APIs
Архитектура Вендоры Услуги
Провайдеры SaaS, Paas и IaasБыстрое улучшение и проприетарные API
81
Проблемы безопасности в облаках
Фундаментальные вопросы доверия и ответственности
Данные в окружении разных владельцев
Отделение полномочий от инсайдеров облачного провайдера
Перенос ответственности с провайдера на владельца
Совершенно новые риски
Новые технологии гипервизоров и архитектур
Переосмысление доверия и подтверждения в облаках
Отсутствие ясной позиции регулятора
Регуляторы требуют механизмы строгого контроля в облаках
User ID and Access: Secure Authentication, Authorization, Logging
Data Co-Mingling: Multi-tenant data mixing, leakage, ownership
Application Vulnerabilities: Exposed vulnerabilities and response
Insecure Application APIs: Application injection and tampering
Data Leakage: Isolating data
Platform Vulnerabilities: Exposed vulnerabilities and response
Insecure Platform APIs: Instance manipulation and tampering
Data Location/ Residency: Geographic regulatory requirements
Hypervisor Vulnerabilities: Virtualization vulnerabilities
Data Retention: Secure deletion of data
Application & Service Hijacking: Malicious application usage
Privileged Users: Super-user abuse
Service Outage: Availability
Malicious Insider: Reconnaissance, manipulation, tampering
Logging & Forensics: Incident response, liability limitation
Perimeter/ Network Security: Secure isolation and access
Physical Security: Direct tampering and theft
82
Шифрование - унифицированный механизм защиты
Шифрование – фундаментальная технология реальной безопасности
Изолирует данные в общей среде
Аналитиками и экспертами признается универсальной и основной для данных в облаках
Устанавливает высший уровень соответствия защиты данных
От тактики дата-центров к облачной стратегии
Реальный контроль, доверие как основа процессов, изоляция данных упрощают отношение к шифрованию
Факторы доверия, не существующие в облаках
Strong encryption with key management is one of the core mechanisms that Cloud Computing systems should use to protect data. While encryption itself doesn’t necessarily prevent data loss, safe harbor provisions in laws and regulations treat lost encrypted data as not lost at all. The encryption provides resource protection while key management enables access to protectedresources.
- Cloud Security Alliance , “Security Guidance for Critical Areas of Focus in Cloud Computing”
Companies are looking to protect data in the cloud through encryption keys and robust key management. This enables companies to secure data from breaches as well as prevent the cloud provider from accessing the information if they decide to end their relationship with the cloud provider.
- Frost and Sullivan, Michael Suby
Encryption is one of the best ways to secure corporate data in the cloud, but it has to be encryption that the company controls.
- Forrester Research, Jonathan Penn
83
SafeNet Trusted Cloud FabricПоддержание доверия и контроля в виртуальной среде
Безопасность в облаках:
Управление и наблюдение за пользователями, данными, приложениями и системами при движении в виртуальное окружение
Гарантируемая безопасность и стратегии соответствия разработанные для облаков и проверенные клиентами
Модульная, гибкая интеграция в любых комбинациях частных, гибридных или публичных облаках - внедряйте что хотите, где и когда это нужно
Обеспечивая доверие и управляемость SafeNet дает заказчикам возможность плавно интегрировать любые облачные модели в краткосрочных и долгосрочных стратегиях технологий и безопасности
На месте
Безопасный доступ к SaaS
Защита виртуальных машин
Защита виртуальных хранилищЗащита облачных приложений
Защищенные сущности и транзакции
Безопасные облачные коммуникации
84
Решение SafeNet
Безопасный доступ кSaaS: Строгая аутентификация SafeNet
Защита виртуальных машин:SafeNet ProtectV™Instance
Безопасность хранилищ:SafeNet ProtectV™Volume
Защита облачных приложений: SafeNet DataSecure® and ProtectApp
Защита идентичностей и транзакций : SafeNet HSM
Безопасные коммуникации в облаках: SafeNet HSE
Преодоление барьеров безопасности в облаках используя SafeNet Trusted Cloud Fabric
Бизнес задача (крупнейший мировой банк)
1 Контролируемый доступ к SaaS; «Объединение» идентичностей
2Достижение соответствия в изоляции, разделении полномочий
3Поддержание доверия и управления в виртуальных хранилищах
4Защита приложений без снижения производительности; Владение ключами
5 Безопасная цифровая подпись и PKI в облаках
6 Безопасное соединение с частными облаками
85
Безопасный доступ к SaaS и облачным приложениям Обеспечить безопасность данных когда вы не владеете системой
Применение стратегии аутентификации в облакахСтрогая аутентификация для всех приложений
Облачных или реальных
Даже более критична для облачных приложений
Ниже уровень доверия, дополнительные требования регуляторов
«Зоопарк» систем аутентификацииРазные системы аутентификации у каждого провайдера
Снижение операционной управляемости, не масштабируются
Слабость паролей и «усталость» систем аутентификации Недостаточная гибкость
Одновременное использование нескольких провайдеров
Сложность быстрого развертывания новых сервисов
Наследуемые системы на хаотичном облачном рынке
Облачный рынок будет консолидироваться: вопрос когда
• SSO-аутентификация
• «Объединение» сущн.
• Легкая интеграция
• Быстрое развертывание
ПРОБЛЕМА
КЛЮЧЕВЫЕ ФАКТЫ
86
Безопасный доступ к SaaS: Аутентификация SafeNet Защитить доступ к облачным приложениям с единым управлением аутентификацией
ВозможностиОдно аутентификационное решение и для приложений на месте, и в облаках
Объединение местных идентичностей в облачные решения используя протокол SAML 2.0
Одно решение для всех форм-факторов: аппаратных, программных и OoB
Google Apps и salesForce.com уже поддерживаются
РЕШЕНИЕ
SafeNet Authentication Manager (SAM)
Пользователь аутентифицируется используя корпоративный аккаунт
Объединение SSO в облаке
Облачные приложенияSaaS Apps
Salesforce.com
Goggle Apps
87
Защита неконтролируемых виртуальных копий (instance)
Достижение соответствия по изоляции и разделению полномочий
Неограниченное копирование инстансов
Инстансы нерегулируемо копируются
Не прозрачно местоположение инстанса, нет аудита
Инстансы используются конкурентами и злонамеренными пользователями
Возможности неограниченных brute force-атак
Возврат к начальной копии и следующая попытка
Незащищенный контейнер конфид. данных
Похоже на кражу/потерю ноутбука, только инстанс всегда на сервере
Виртуальность делает «периметр» существенно больше
Не просто одиночная потеря, в потенциально все и сразу
ПРОБЛЕМА
• Изоляция данных• Разделение полномочий• Соответствие в облаках• Аутентификация до пуска• Ролевая защита
КЛЮЧЕВЫЕ ФАКТЫ
88
Защита виртуальных машин: SafeNet ProtectVTM InstanceУправление ВМ в облаке посредством шифрования и аутентификации инстанса
РЕШЕНИЕ
ВозможностиFIPS-шифрование до запуска инстанса
Безопасный интерфейс входа (HTTPS)
Пароли, OTP, CBA
Логирование и нотификация активности
SafeNet DataSecure (доп.функционал):• Управление инстансами• Управление ключами
• Политики безопасности• Управление доступом
На месте
Виртуальная машина
Гипервизор
Виртуальный сервер
ProtectVTM Instance
89
Доверие и управляемость в виртуальных хранилищахПотеря владения и окружении общего хранилища
Проблема утечки данных
Требует доверия к стратегии провайдера (meta-tagging vs data isolation)
Риски неверного конфигурирования и администраторов облака
Неочевидны конфиденциальность и целостность Проблема доверия и управления
Если шифрование предлагает провайдер:
Управление ключами
Соответствие
Стойкость, уникальность, смена и т.д.
АлгоритмыДоверие администратору
Разделение полномочий
• Изоляция данных
• Соответствие
• Защита владения
ПРОБЛЕМА
КЛЮЧЕВЫЕ ФАКТЫ
90
Защита вирт.хранилища: SafeNet ProtectVTM VolumeКонфиденциальность данных в общем хранилище посредством изоляции данных
РЕШЕНИЕ
ВозможностиНесколько вариантов:
ProtectVTM Volume для сервера
Поддержка NetApp
ProtectFile
FIPS-certified
Централизованное управление ключами и политиками
SafeNet DataSecure (доп.функционал):• Manages encrypted instances• Lifecycle key management
• Security policy enforcement• Access control
На местеДанные
Виртуальный сервер
ProtectVTM Instance
Хранилище
91
Безопасность приложений без снижения производительностиПоддержание доверия к облачному приложению
Вопрос доверия
Доверие провайдеру
Снижение прозрачности безопасности в облаке Риск и ответственность
Провайдер никогда не принимает риск
Написано в соглашениях
Как вы оцените риск?
Нет установленных рамок и метрик
Неопределенность регуляторов
Нет прямых правил для облаков
Аудиторы смотрят на стандартные меры или высшие стандарты
• Владение ключами
• Производительность
• Экономика облаков
• Централизованное управление
• Прозрачная интеграция
ПРОБЛЕМА
КЛЮЧЕВЫЕ ФАКТЫ
92
На месте
Безопасность облачного приложения: SafeNet ProtectDB и ProtectApp
Применить защиту данных в облачном приложении
РЕШЕНИЕ
ВозможностиНесколько вариантов:
ProtectApp-шифрование
ProtectDB-шифрование
Tokenization Manager для токенизации
FIPS-certified
Централизованное управление ключами и политиками
Приложение
ProtectApp
БД
ProtectDB
DataSecure
Локальный кэш ключей
Токенизация
93
Утеря владения и контроляБезопасная цифровая подпись и PKI в облаках
Докажите, что Вы – это Вы
Где корень доверия для подписи и PKI в облаке?
Проблема доказывания владения в виртуальном мире
Фокус на исследование виртуализации
Поддержка ключей в облаках
Если провайдер управляет ключами
Походящий ключевой материал
Необходимый жизненный цикл и политики
Привилегированный пользователь Проблема криптографии и энтропии
Сложно добиться настоящей «случайности» в облачных вычислениях
Изъяны в криптографии приведут к катастрофическим последствиям
В сентябре 2010 проблема с шифрованными .NET-cookie затронула как минимум 25% интернет серверов.
• Широкая интеграция платформ
• Разделение приложений от данных
• Высокопроизводительные транзакции
ПРОБЛЕМА
КЛЮЧЕВЫЕ ФАКТЫ
94
Безопасные идентичности и транзакции в облаке: SafeNet Hardware Security Modules (HSM)Установите «цифровое» владение и корень доверия в виртуальной среде
РЕШЕНИЕ
ВозможностиКорень доверия для идентичностей и транзакций
FIPS-certified
Виртуально разделяемый HSM
Поддерживает Xen/Hyper-V/ESX-i
Поддержка приложений партнеров и руководства по интеграции
Широкая интеграция и облачными платформами
Разделение данных и приложений
Высочайшая производительность
Частное
Публичное
Гибридное
На месте
Hardware Security Module
95
КЛЮЧЕВЫЕ ФАКТЫ
Перенос больших объемов данных Передача критических данных в облаках
Большие объемы, высокая ценность
Передача данных через границы доверия
Из дата-центра в частное облако
Целые серверы или даже хранилища
Может потребовать шифрование (PCI)
Нужны скорость и эффективность
Гигабитные каналы
Требование незначительных задержек
VMotion и подобные технологии
Потоковое видео или VoIP
• Устойчивость и надежность
• Передача в реальном времени
• Шифрованный трафик
ПРОБЛЕМА
96
Безопасные облачные коммуникации:SafeNet High Speed Encryptors (HSE)Перенос данных на больших скоростях с шифрованием на лету
РЕШЕНИЕ
ВозможностиДесятки гигабит с L2-шифрованием
Лучшие в классе решения, FIPS-certified
Центральные политики и простая интеграция
Отказоустойчивость
В реальном времени
На местеЧастное
High Speed Encryption
97
SafeNet Trusted Cloud Fabric (TCF)Практическая реализация обеспечения доверия и контроля пользователей, данных, систем и приложений в облаках
Решения1. Строгая аутентификация в облаках
SafeNet Authentication Manger
Аппаратные, программные и мобильные токены
2. Безопасность ВМ
SafeNet ProtectV Instance
+DataSecure
3. Защита хранилищ
SafeNet ProtectV Volume
+DataSecure и ProtectFile
4. Защита данных в приложениях
SafeNet DataSecure, ProtectApp и ProtectDB
+Tokenization Manager
5. Доверие к идентичностям и транзакциям
SafeNet HSM
6. Безопасные коммуникации
SafeNet HSE
On-premise
Secure Access to SaaS
Secure Virtual Machines
Secure Virtual Storage
Secure Cloud Applications
Secure Cloud-Based Identities and Transactions
Secure Cloud-Based Communications
98© SafeNet Confidential and Proprietary
Спасибо!
Вопросы, пожалуйста.