mcafee - optimized solutions for cloud security
DESCRIPTION
Подход компании McAfee к защите облачных вычислений. Оптимизированные технологии для защиты "облаков" и ЦОДов. Принцип работы MOVE, преимущества Application Control, DAM и других технологий.TRANSCRIPT
Оптимизированный подход
к защите ЦОДов и
облачных вычислений
Владислав Радецкий
Андрей Пастушенко
McAfee Confidential—Internal Use Only
Запросы бизнеса
Консолидация ЦОДов
Виртуализация
Требования:
Доступность
Целостность
Производительность
Гибкое
масштабирование
Устранение
новых рисков!
McAfee Confidential—Internal Use Only
Запросы бизнеса = головная боль ИТ
!!
McAfee Confidential—Internal Use Only
Статистика по расходам на ИТ
Virtualize
REQUIRED:
Availability
Performance
Integrity
Make the DC
more flexible
New risks?
Shore it up!
Lower costs
Внедрение новых технологий
Повышение эффективности энергопотребления
Улучшение удовлетворенности пользователей
Увеличение доходов
Другое 7%
15%
19%
22%
23%
24%
31%
34%
49%
54%Увеличение доступности
Сокращение рисков (утечки, соответствие и т.д.)
Адаптация к стремительно изменяющимся требованиям рынка
Усиление безопасности
Снижение затрат
Львиная доля средств идет на совершенствование ЦОДов
Архитектура инфраструктуры ИБ
Насколько взаимосвязаны компоненты Вашей ИБ?
Host IPS
Agent
Systems
Management
Agent
Audit
Agent
Antivirus
Agent
Encryption
NAC
DLP
Agent
У КАЖДОГО
РЕШЕНИЯ
ЕСТЬ АГЕНТ
У КАЖДОГО
АГЕНТА
ЕСТЬ
КОНСОЛЬ
КАЖДОЙ
КОНСОЛИ
НУЖЕН
СЕРВЕР
КАЖДОМУ
СЕРВЕРУ НУЖНА
ОС/СУБД
КАЖДОЙ ОС/СУБД
НУЖНО
СОПРОВОЖДЕНИЕ
ТАКАЯ
СТРУКТУРА
ПРИВОДИТ
К ХАОСУ
Что предлагает McAfee:
Одна
консоль
Один
Агент
McAfee ePO Server
(VSE, DLP,Encryption,
AC, HIPS…)
Централизация развертывания и управления
Intel + McAfee = новые технологии
McAfee
ePO Deep CommandУдаленное управление
McAfee
Deep DefenderЗащита от вирусов
7
безопасностьюУправление
Защита сети
McAfee ePO SIEM
G T I
Защита серверов
и виртуальных
рабочих сред
Комплексное оптимизированное решение
безопасности ЦОДов от МсAfee
McAfee MOVE
Оптимизированный антивирус
для виртуальных сред
Эволюция вычислений в разрезе ИБ
June 13, 201310
Серверная
Физические сервераОтдельные решения
Традиционный
подход к
безопасности
Виртуализация
Разнородная структураПроизводительность
Защита
виртуальных сред
«Облака»
Отдельная экосистемаОткрытая архитектура
Безопасность как
набор сервисов
Традиционный подход (без MOVE)
June 13, 201311
• «Узкие места» Обычные антивирусы расходуют
слишком много ресурсов
– ~100 МБ ОЗУ на каждой ВМ
• Трудности управления
– Необходимо обновлять сигнатуры на каждой ВМ
– Долгий процесс распространения обновлений
– Необходимо корректировать настройки каждой ВМ
• Перегрузки гипервизора
– При одновременном сканировании
– При одновременном обновлении
• Трата ресурсов
– Сканирование каждого файла на каждой ВМ
Преимущества MOVE
June 13, 201312
Агентное или Безагентное развертывание
Оптимизирует сканирование за счет кэша
Позволяет защищать ВМ через vShield
Устраняет необходимость обновления
вирусных сигнатур на каждой ВМ
Предотвращает перегрузку оборудования
Упрощает консолидацию ВМ
Сокращает потребление ресурсов
При внедрении MOVE
June 13, 201313
• Разумное использование ресурсов
– <10 МБ ОЗУ на каждой ВМ
• Легкость управления
– Обновления необходимы только для
серверов сканирования (SVA)
– Нет необходимости загружать и
устанавливать сигнатуры на каждой ВМ
• Оптимизация использования ресурсов
– Не возникает перегрузок
– Улучшенная масштабируемость
– Использование кэша: локальный (на
каждой ВМ) + глобальный (SVA)
MOVE - Агентный (Multi-Platform)
June 13, 201314
Виртуальная инфраструктура
MOVE
Security
Appliance
OS
ВМ
ОС
ВМ
ОС
VSE VSE
Возможности
• Сканирование по сети
• Кроссплатформенность
• Поддержка отказоустойчивости и
балансировка нагрузки на SVA
MOVE MOVE
McAfee ePO“Облако”
GTI
ЦОД
MOVE AV
VSE
virtual switch
MOVE - Безагентный
June 13, 201315
McAfee ePO
ЦОД
MOVE
Security
Appliance
ВМ ВМ
MOVE MOVE
OSОС ОС
VMware vShield Endpoint
VMware ESX
VMtools VMtools MOVE AV
VSE
“Облако”
GTI
Возможности
• Сканирование по VMware VMCI
• Поддержка кластеров
• Защита ВМ при vMotion
MOVE – варианты развертывания
June 13, 201316
Возможности Агентный (Multi-Platform) Безагентный
Возможности антивирусной проверки
Сканирование по доступу ✔ ✔
Сканирование по запросу ✔ ✔
Проверка репутации GTI ✔ ✔
Помещение в карантин ✔ ✔
Область применения политик На ВМ На гипервизор
Исключения ✔ путь\имя
Уведомление пользователя ✔ В планах VMware
Архитектура
Гипервизор Кроссплатформенный только VMware
Платформа SVA Windows 2008 VM Linux OVF
Масштабируемость 450 ВМ на 1 SVA 1 SVA на хост ESX
Коммуникация с SVA Сеть VMware vShield VMCI
Дополнительные расходы Никаких Лицензия на vShield
Как работает агентный MOVE
June 13, 201317
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
ВМ пытается получить доступ к файлу…
Как работает агентный MOVE
June 13, 201318
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Агент MOVE создает “отпечаток” файла и пытается найти его в локальном кэше
19870110AE
1D2675DB
Как работает агентный MOVE
June 13, 201319
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если “отпечаток” отсутствует в локальном кэше, агент отправляет его по сети на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
Как работает агентный MOVE
June 13, 201320
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если SVA не обнаружил “отпечаток” у себя
в глобальном кэше, агент передает файл целиком на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
Как работает агентный MOVE
June 13, 201321
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
SVA проверяет файл используя оба метода:
сигнатурный анализ + репутация по «облаку» GTI
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
Как работает агентный MOVE
June 13, 201322
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если файл инфицирован, файл будет удален / помещен в карантин / заблокирован (зависит от политик)
Файл
Как работает агентный MOVE
June 13, 201323
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если файл «чистый», «отпечаток» добавляется в локальный и глобальный кэш, доступ к файлу разрешается
Файл
19870110AE
1D2675DB
19870110AE
1D2675DB
1987..
.
1987..
.
Как работает агентный MOVE
June 13, 201324
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
При последующем доступе к тому же файлу, «отпечаток» сравнивается с содержимым локального кэша.
Повторное сканирование не выполняется.
1987..
.
1987..
.
19870110AE
1D2675DB
Как работает агентный MOVE
June 13, 201325
Виртуальная инфраструктура
Endpoint Endpoint
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Когда другая ВМ попытается открыть этот же файл, будет использован глобальный кэш. Повторной проверки не будет.
1987..
.
1987..
.
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
В чем отличие безагентного MOVE
June 13, 201326
VMware ESX Hypervisor
Endpoint Endpoint SVA
McAfee AgentVMware VMtools
Local
Cache VMware VMtools
Global
Cache
Local
Cache
Виртуальные машины и сканирующий сервер (SVA) запущенны на одном гипервизоре (ESX).
Решение использует драйвер vShield Endpoint
вместо агента MOVE.
В чем отличие безагентного MOVE
June 13, 201327
VMware ESX Hypervisor
Endpoint Endpoint SVA
McAfee AgentVMware VMtools
Local
Cache VMware VMtools
Global
Cache
Local
Cache
Отпечаток файла Отпечаток файла
«Отпечаток» файла передается по каналу VMware на SVA,
где выполняется проверка файла
MOVE Scheduler – для полноценного VSE
June 13, 201328
Возможности
• Управление ресурсами
гипервизора для предотвращения
перегрузки
• Интеграция с vCenter и
XenManager
Hypervisor (vSphere, Xen)
Hypervisor Manager
MA
OS
VSE
MA
OS
VSE
MA
OS
VSE
McAfee ePO
ЦОД
VSE для Offline Virtual Images
June 13, 201329
• Защита инфраструктуры
• Экономия средств за счет автоматических обновлений
• Экономия времени благодаря единой консоли
• Единый уровень безопасности в среде VDI
DAT’s
VirusScan Enterprise for Offline Virtual Images 2.6
Direct storageVMware ESX
Server
VMware vCenter
Server
Offline VM Images
Engine
Citrix XenServer
VirusScan Enterprise 8.8
McAfee Application Control
Контроль целостности и запуска приложений
McAfee Application Control
Белый список безопасности
32
Динамические
белые списки
Репутация
файлов
Защита
памяти
Предотвращает запуск
неавторизированных
приложений
Классификация
приложений по репутации
через GTI
Защита приложений от
эксплоитов и переполнения
буфераRAM
Как?
1
Неизвестный код
ЗАПРЕЩЕН
Белый список
• Создание списка проходит в режиме реального времени в процессе сканирования системы
2
3
Попытка запуска приложения
MAC проверяет код в списке
При отсутствии в списке
приложение блокируется
− Попытка запуска
регистрируется в журнале
Автоматическое
обновление списка
Заблокирован
доступ по списку
Возврат к контролю
списка
Модель доверия
Доверенные
Приложения
Доверенные
Папки
Доверенные
Издатели
Доверенные
Админы
Репутация файлов от GTI
Неизвестный
GTI
ПлохойХороший
Экономия средств
• Улучшенная защита− От целенаправленных и комплексных угроз
1
• Наблюдение за приложениями2
• No More Patch Panic3
• Продление жизни старым ОС− Win NT, Win 2000
4
• Повышение производительности систем− Низкое потребление ресурсов
5
McAfee Activity Monitoring
Защита облачной БД в режиме реального времени
Базы Данных
Базы Данных – мощнейшие
приложения в мире
Базы данных – место хранения критичных и конфиденциальных данных
Наличие уязвимостей и ошибок
конфигурации к нарушениям стандартов
(PCI, ISO …)
Уязвимые места?
• Технологии
• Доступны многим пользователям и
приложениям
• Уязвимы (SQL инъекции, переполнение
буфера)
• Процессы
• Несвоевременное применение патчей
• Стандартные практики использования
• Люди
• Угрозы инсайдеров… системные
администраторы и БД, программисты…
Отсутствие патчей – ОГРОМНЫЙ РИСК!
Высокий
Низкий
Експлоит
публикуется в ВЕБ
Риск наиболее
высок после
выпуска
обновления
Окно уязвимости
может длиться
месяцами и даже
годами
Месяцы/Годы Месяцы/Годы
Установка
обновления
Публикация уязвимости
0 день
Выпуск обновления
McAfee Activity Monitoring
• Защищенный сенсор позволяет мгновенно реагировать
на угрозы
• Оповещения через консоль и др. средства
• Прерывание сессий ( через «родные» API )
• Пользовательский карантин
• Механизм управления файрволом через OPSEC
Intra-
Stored
Proc.
Trigger
ViewData
Shared Memory
DBMS
Lis
ten
er
Сетевое соединение
SAP
1) Из сети
Be
qu
ea
thЛокальный доступ
DB Admins
Sys Admins
Programmers
2) Из системы
Внутренние
угрозы БД
3) Из Базы Данных
Защита БД на всех уровнях
Сенсор McAfee DAM
– Работает без вмешательств
• Защищен от изменений
• Процесс подобный системным
службам ОС
• Не вмешивается в ядро системы, не
требует перезагрузок
– Работает строго в режиме
релевантной активности
Высокая производительность
Минимальные задержки
Минимальное потребление ресурсов
McAfee DAM: Пример внедрения
Sensor
Web-based Admin Console
Alerts / Events
ePOCloud
McAfee Database
Security ServerNetwork
Sensor Sensor
DBDB
DB
DBDBDBDB
DB
Преимущество: работа в облаке!
• Виртуализация
• Инструменты мониторинга, расположенные в
памяти, отслеживают трафик между
виртуальными машинами (ВМ)
• Эффективная обработка локальных правил
• Эффективная эксплуатация в динамической
среде
• «Облачные» вычисления
• Распределенная модель в среде WAN
• Автоматизированный ввод в эксплуатацию и
разграничение служебных обязанностей
позволяет выполнять мониторинг
управляемых услуг внутри предприятия Cloud
Computing
D
B D
B D
B D
B
McAfee Network Security Platform
Противодействие комплексным угрозам на уровне сети
McAfee представляет IPS следующего
поколения
June 13,
2013
47
Network Security Platform
Анализ сетиНазначение
политик
Расширенный
анализ
Видимость
приложений
Гранулированный
контроль
Отчетность
и оповещение
Next
Generation
Intrusion
Prevention
McAfee представляет IPS следующего
поколения
48
Network Security Platform
Анализ сети
Гранулированный
контроль
Отчетность
и оповещение
Next
Generation
Intrusion
Prevention
Многолетнее лидерство• Лучшая в индустрии защита из коробки
• Лидер квадрата Gartner c 2003 года
• Лучший охват уязвимостей 2005-2011
Контекстный анализ
49
Network Security Platform
Network
Visibility
Policy
Definition
Advanced
Analysis
Application
Awareness
Granular
Control
Reporting
and Alerts
Next
Generation
Intrusion
Prevention
Поведенческий анализ Пользовательские данные
Репутация угроз
Виртуальная средыУязвимости хоста
Фактор угроз от хоста
Эффективность
Расширенная инспекция документов
50
Традиционный сигнатурный анализ
Репутация
файлов
Обнаружение
аномалий файлов
Поиск шелл-кода
Эффективность
Идеально для высокопроизводительной
среды
Ядро сети требует модернизации McAfee NSP
Масштабируемая архитектура
• Высокая производительность, до 80
Gbps
• Поддержка интерфейсов 10 GigE
• Высока плотность портов
• Модульный дизайн
• Отказоустойчивая конфигурация
Преимущества
• Отсутствие узких мест
• Простая сетевая архитектура
• Гибкие методы интеграции
• Дата центрам нужны быстрые
надежные сети
• Старая архитектура безопасности не
выдерживает 10 GigE и 40 GigE
• Виртуализация требует новых
подходов к сетевой безопасности
1gb
5gb
10gb
40gb
80gb
Производительность внушает доверие
52
От 100 Mbps до 80 Gbps
Network Security
Platform M-SeriesNetwork Security
Platform XC Cluster
Комплексное оптимизированное решение
безопасности ЦОДов от МсAfee
безопасностьюУправление
Защита сети
McAfee ePO SIEM
G T I
Защита серверов
и виртуальных
рабочих сред
Контактная информация
June 13, 201354
Владислав Радецкий
Инженер технической поддержки проектов
Направления (решения McAfee):
Data Protection (DLP, шифрование)
Email Security (защита почтовых серверов)
Endpoint Security (защита конечных точек)
Identity (двухфакторная аутентификация)
Mobile Security (MDM, защита моб. устройств)
Security-as-a-Service («облачные» решения)
Security Management (консоль управления)
Если у Вас возникли вопросы по теме доклада или
по указанным выше направлениям McAfee –
обращайтесь.
044 273-3333
вн. номер 152
Контактная информация
June 13, 201355
Андрей Пастушенко
Инженер технической поддержки проектов
Направления (решения McAfee):
Database Security (защита баз данных)
Web Security (контроль, защита Web)
Network Security (сетевая безопасность)
Risk & Compliance (анализ рисков)
SIEM (управление событиями безопасности)
Vulnerability Management (защита от
уязвимостей)
Если у Вас возникли вопросы по теме доклада или
по указанным выше направлениям McAfee –
обращайтесь.
044 273-3333
вн. номер 136
Контактная информация
June 13, 201356
Официальный сайт McAfee (документация, описание продуктов)
http://www.mcafee.com/ru/
Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)
http://bakotech.ua/vendor/mcafee/
McAfee Ukraine Technical Club (техническая информ-я на русском)
https://www.facebook.com/McAfeeUkraineTechnical
Техническая поддержка McAfee (первая линия)
http://www.mcafee.com/ru/support.aspx
База знаний по продуктам McAfee (спецификации, FAQ и др.)
http://kc.mcafee.com/corporate/index?page=home
Благодарим за внимание
Владислав Радецкий
Андрей Пастушенко
http://bakotech.ua