safenet обзор решений

1© SafeNet Confidential and Proprietary

SafeNetОбзор решений

2

Вопросы презентации

О SafeNet ...Продукты и решения

Аутентификация Аппаратные модули безопасности Шифрование и управление данными Высокоскоростное шифрование Шифрование хранилищ Безопасность в облаках

3

Факты о SafeNetКрупнейшая компания занимающаяся исключительно защитой ценных информационных активов.

Основана: 1983

Владение: частная

Глобальная – более 25,000 клиентов в 100 странах

Штат: более 1500 в 25 станахЛидер в ИБ – более 550 инженеров-криптографов

Аккредитация – продукты сертифицированны по высшим стандартам безопасности

4

Доказанное лидерство. Доверие к защитеSafeNet защищает:

>Большую часть денег, пересылаемых в мире — 80% всех электронных транзакций — $1 трлн. в день

>Большинство цифровых сертификатов в мире —сертификатов PKI компаний F-100 и правительств

>Большую часть бизнес ПО в мире — 80 миллионов аппаратных ключей — больше любого другого производителя

>Большую часть секретной информация в мире —крупнейшие системы защиты правительственных коммуникаций

5

Глобальная организация

6

История поглощений

7

Сегменты бизнеса

> Сетевое шифрование

> Шифрование дисков и файлов

> Шифрование БД и приложений

> Аппаратные модули безопасности

> Управление ключами

> Многофакторная аутентификация

> Контентная безопасность

> Защита ПО и интеллектуальных прав

> Лицензирование

> Управление лицензиями

> Управление SaaS приложениями

ПРОДУКТЫ РЫНКИ

Enterprise

Government

Software Publishers

System & OnlineService Providers

8

Почему SafeNet?

Всесторонне Адаптивно Доказано

Comprehensive

Intelligent

PersistentExtensible

Enabling

Постоянная защита на всем жизненном цикле лучшими решениями в отрасли: > Защита идентичностей

> Безопасность транзакций

> Шифрование и управление

> Защита каналов

Решения разработаны для адаптации к меняющимся бизнес-потреностям:> От удаленного доступа до

цифровой подписи – одна платформа, одно решение

> От дата-центра к конечной точке и воблако – централизованные политики и управление ключами

Ведущие организации мира доверяют защиту наиболее критичных информационных активов:> Доказанные годами

работающие решения

> FIPS уровней 1-3

> Общие критерии

9

На всем жизненном цикле

Защита данных

10

Защита данных – на всем жизненном цикле

>Защищаем идентичности пользователей, приложений и серверов

>Защищаем транзакции, которые ими порождаются

>Обеспечиваем владение данными и их контроль за счет шифрования в процессах создания, доступа к ним, распространения, хранения и передачи

>Шифруем критичные коммуникационные каналы, по которым передаются данные

11

Портфоило продуктов SafeNet Data Protection

Широкий спектр аутентификаторов, от

смарт-карт и токенов до смартфонов –

управляемых с одной платформы

Соединяет высочайшую производительность и

легкостью интеграции и управления

Самые защищенные и легкие в интеграции с

приложениями решения

Первая и единственная в мире платформа

управления данными и их защитой для всех

информационных активов

Защита идентичностей - Аутентификация

Защита транзакций и идентичностей - HSM

Шифрование и управление данными – Data Secure

Защита каналов – высокоскоростное

шифрование

> Единственная в отрасли унифицированная платформа предоставляющая адаптивные к изменениям окружения возможности

> Лидер рынка по CBA токенам

> Уникальная технология токена, не требующего клиентского ПО

> Лидер рынка HSM

> Инновации в HSM для платежных систем

> Широкий спектр платформ и решений

> Больше всего используемых в мире HSM – 75 000

> Хранение ключей всегда в аппаратуре HSM

> Ориентированная на данные, постоянная защита от дата-центров в облака

> Централизованные политики, управление ключами, аудитом и логированием

> Интегрированный DLP на периметре

> Аппаратное, масштабируемое решение высокой производительности

> Решения для Ethernet и SONET до 10Гб/сек

> Лучшее в классе ПО управления безопасностью

> Без потерь пропускной способности, с минимальной задержкой

> Высочайший уровень защищенности

12

>Безопасный доступ

>Удаленное управление паролями

>Новые он-лайн сервисы

>Соответствие

Широчайший спектр аутентификаторов, от смарт-карт и токенов до программных аутентификаторов смартфонов управляется с единой платформы

Защита идентичностей - Аутентификация

Transaction and Identity Protection - HSM

Data Encryption and Control – Data Secure

Communication Protection – High-Speed Network

Encryptoion

Системы управления

USB аутентификаторы

Смарт-карты

Гибридные аутентификаторы

OTP аутентификаторы

Программные аутентификаторы

13

№1 мирового рынка, HSM SafeNet обеспечивают высочайшие производительность, защищенность, легкость интеграции с приложениями.

>Безопасное хранение ключевого материала

>Верификация идентичности в «железе»

>Безопасное выполнение цифровых транзакций

>Соответствие стандартам

Identity Protection - Authentication

Защита транзакций и идентичностей - HSM



Encryptoion

Luna SA / SP

Luna EFT

Luna XML

CA4

Luna PCM

ProtectServer Gold

Luna PCI

14

>Централизованно шифрует и контролирует доступ к данным

>Защищенное совместное использование и обмен данными при постоянном контроле и защите

>Обеспечивает соответствие от дата-центра до конечной точки и далее – в облако

Dat

a C

ente

r S

uite

End

poin

t S

uite

DataSecure - единственная на рынке унифицированная платформ для шифрования данных, управления ключами и гранулярного управления доступом, постоянно защищающая информацию от дата-центров до широчайшего спектра конечных точек и в облаках.



Шифрование и управление данными – Data Secure


Encryptoion

DataSecure

EdgeSecure

ProtectDB

ProtectApp

ProtectZ

Tokenization Manager

eSafe SmartSuite

ProtectFile

ProtectDrive

15

>Централизованное управление, шифрование и защита данных на высоких скоростях передачи

>Безопасность огромных объемов данных с высокой пропускной способностью и «нулевой» задержкой

Высокоскоростные шифраторы SafeNet соединяют высочайшую производительностьи легкость интеграции и управления.




Защита каналов – Высокоскоростное

шифрование

Ethernet Encryptor

SONET Encryptor

Conversion Encryptor

Security Management Center (SMC)

16

Защита данных на всем жизненном цикле

Контентная безопасность

Аутентификация и контроль доступа

Безопасность сети

eSafe

Laptop/mobile Handset

SafeNet ProtectFile

File Servers

Application and web servers

Databases

Mainframes

SafeNet DataSecure

Дата-центр

SafeNet ProtectFile

SafeNet ProtectAp

SafeNet ProtectDB

SafeNet ProtectApp

> Безопасное, централизованное управление ключами

> Ориентированные на данные политики

> Управление идентичностями и доступом

> Логирование, аудит и отчетность

17

Платформа для защиты данных

HS

M

Управление шифрование данных

Защита идентичностей и управление AUTHENTICATION

DATA SECURE

Мониторинг и аудит

Политики безопасности и управление

HS

M

Централизованное управление ключами и хранением

Изучение данных и классификация

Защита транзакций

DLPШифрование приложений

Шифрование БД

Защита конечных точек

Партнерские решения

18

Аутентификация

19

Используемые сегодня методы

Простые пароли Аутентификация по контексту/ знанию Распознование голоса/ SMS – Out-Of-the-Band (OOB) OTP Аутентификация по сертификатам (CBA)

21

Продукты SafeNet для защиты транзакций

Больше чем аутентификация: решения SafeNet гарантируют целостность данных в дополнение к аутентификации пользователя

Ни одно решение не подходит для всех случаев:

Различные методы снижения для разного уровня рисков

Различные решения под разные требования удобства

Любые форм-факторы Один сервер – множество решений: все решения

централизованно управляются с одной платформы, гарантируя экономическую эффективность и эффективную управляемость

22

Один сервер – множество решений

сервер для централизованного развертывания и управления

сервер для облачной и стандартной строгой аутентификации

сервер для множества методов аутентификации (PKI, OTP, OOB)

сервер для всех форм-факторов: смарт-карты, USB, ПО

сервер = простое управление, высокая гибкость и низкое TCO

111

11Все необходимое в рамках одного решения - полностью доверенная среда, позволяющая контролировать инфраструктуру аутентификации

23

Платформы управления Safenet Authentication

OTP Market

CBA Market

Все моделиСтандартные и облачные приложения

Один сервер = множество сценариев

Гибкость, масштабируемость, надежность

SafeNet Authentication Manager 8.0 (SAM)

Только OTP и OOB Установка - 5 кликов Стандартные и облачные приложения

SafeWord

(SAM Express)

26

Принятие риска может различаться для различных регионов Применение соответствующего метода снижения зависит от уровня активности Регулятор может влиять на требуемый метод снижения риска

Ни одно решение не подходит для всех случаев

MobilePASS OOB

MobilePASS OTP

eToken PASS

MobilePASS OOB

Digital Signing

TransactionSecurity

27

OTP аутентификаторы

OTP Market

SW HW

MobilePass

eToken 3000

eToken 3200

eToken 7000

OTP on Card

SafeNet eToken 3400New

Product

Optical signing

SafeNet eToken 3500New

Product

28

CBA аутентификаторы

CBA Market

SW HW

eToken 7000

eToken Virtual

eToken 4100

eToken 5200

eToken 7200

29

eToken 3200 (Gold)

Возможности:

Интерфейс ввода ПИНа или защита ПИНом

“Challenge/Response”

До генерации OTP, пользователь должен ввести пас-код, отображаемый на странице приложения

Алгоритмы OTP:

X9.9 – Challenge response алгоритм

Synchronous – проприетарный алгоритм по событию

Поддерживается SafeWord и SAM

Легкая интеграция с Check Point Endpoint Security: двухфакторная аутентификация и pre-boot аутентификация в одном устройстве

30

Новый дизайн – новые возможности CBA

SafeNet eToken 5200/ 5205

30

SafeNet eToken 4100


SafeNet eToken Pro SC

SafeNet eToken Pro 72k Java

SafeNet eToken NG-Flash

SafeNet eToken Pro Anywhere


Mask 9, SHA 256, Plug&Play

31

eToken 5200/ 7200 (Anywhere)

• Инновация• Первый портативный аутентификатор на смарт-карте, не

требующий ридера и установленного клиентского ПО – объединение стойкости CBA с простотой использования OTP

• Для критичных бизнес-приложений• Защищенный доступ к веб-сервисам и корпоративной сети (SSL

VPN) с любого компьютера, имеющего соединение с Интернет и USB порт

• Цифровая подпись/ приложения документооборота

• Непревзойденная безопасность, простота и удобство• Полная модильность пользователя: не нужен драйвер - клиент• Не требует знаний и опыта пользователя• Не оставляет следов по закрытии сессии• Не требует обслуживания

40

Что такое программный аутентификатор?

Двухфакторная аутентификация посредством только ПО (нет «токена»)

Предоставляет: удаленный и сетевой доступ, цифровую подпись (PKI)

Доступны в виде:

1. OTP аутентификатора - MobilePASS

OTP генерируется на мобильном устройстве или ПК

Доставка кода через SMS/Email - Out of Band (OOB)

2. Виртуальная смарт-карта – eToken Virtual

41

eToken Virtual

eToken Virtual – программное решение по двухфакторной аутентификации обеспечивает полную PKI функциональность для безопасного удаленного

доступа, сетевого досутпа и цифровой подписи.

eToken Virtual работает с SAC и SAM полностью управляемое внедрение программных смарт-карт безопасность и функциональность аппаратной смарт-карты может содержать ключевые пары, сертификаты, профили SSO

42

MobilePASS

Превращает мобильное устройство в двухфакторный аутентификатор

Платформы: iPad/iPhone/iPod , Android, BlackBerry, J2ME , Windows Mobile.

Дополнительно: Windows Desktop, доставка через SMS/Email

сниженное TCO

пожизненная гарантия

удобство

управляемость

высокая гибкость

Легко развернуть, активировать и управлятьМасштабирование

Самостоятельная активация

Интегрируется в существующие платформы управления (не требует внешних)

MobilePASS SDK: позволяет кастомизировать приложение (UI, бренд)

43

Как работает MobilePass?

1. User accesses OWA log-in screen

3. Enters user name, password and OTP passcode

3. Back end validates passcode; OWA inbox loads...

2. Clicks on OTP application to generate passcode

44

Аутентификация на мобильном устройстве

Мобильный аутентификатор Защищенный доступ с мобильного устройства

Решение

Мобильное приложение превращает мобильное устройство в устройство аутентификации.

Решение

Мобильное устройство выступает платформой для доступа к корпоративным ресурсам.

Продукт

• MobilePASS: OTP приложение, установленное на мобильном телефоне.Может доставлять код через SMS

Продукт• Безопасный доступ мобильному

устройству через SafeNet Authentication Manager (SAM): SAM внедряет сертификат на мобильное устройство, который гарантирует что только доверенное устройство с сертификатом может получить доступ.

45

Безопасный доступ с мобильных устройствДоступно в SAM 8.0 SP2!• Управление аутентификацией iOS-устройств посредством политик

• Управление сертификатами и учетными записями – контроль над мобильными устройствами имеющими доступ в сеть

• SAM позволяет IT персоналу выдавать сертификаты устройствам

• Политики паролей устройства и запрет паролей/ кэширование паролей на мобильных устройствах

47

Как насчет Malware?

Банк получает запрос на перевод $25 000 и шлет клиенту запрос на подтверждение

Клиет хочет перевести $2 500Malware меняет номер счета и сумму на $25 000Malware

гарантирует, что клиент видит $2 500

Клиент подтверждает перевод и злоумышленник получает $25 000!

48

Какими методами противостоять malware?

Transaction Signing OOB Separate browsing environment

48

49

Защита транзакции оптическим токеном

Транзакция подтверждена5

Токен генерирует код, пользовательнабирает

4781542

Детали транзакции получаеттокен

2Transfer $50,000Acc: 876543

Клиент видит детали транзакции на токене

387

6543

Клиент выполняет транзакцию1

Transfer $50,000Acc: 876543

54

SMS/Email OOB аутентификация

Код доступа поступает через SMS/Email на мобильное устройство

Какая разница между OOB SMS и OTP?

OTP генерирует код в приложении на мобильном устройстве, который должен совпасть с кодом на аутентификационном сервере

SMS код генерируется удаленным сервером и доставляется на мобильное устройство

55

Защита транзакции посредством MobilePass SMS

56

Доверенный браузер на eToken 7100/ 7200

Для браузинга используется безопасное окружение• находящееся на SafeNet eToken 7100/7200 (NG-Flash)

Доверия к пользовательскому компьютеру нет – заражен Короткий процесс развертывания: ПО не устанавливается Можно сконфигурировать предустановленное приложение или загрузить последнюю доверенную версию Защищает от: eavesdropping, phishing, password guessing, MiTM, MiTB USB аутентификатор с шифруемой флеш-памятью объемом 4-16 Гб

57

Как работает доверенный браузер?Высокорисковые транзакции

58

Угрозы и решения

Всестороняя защита от угроз различного уровня риска финансовых организаций

Риск\ решение Eavesdropping

Фишинг Фарминг MITM MITB TransactionSecurity

MobilePASS OTP

MobilePASS SMS

eToken 3000 (Pass)

eToken 3200 (GOLD)

eToken 5200 (Anywhere)

eToken 7200 (NG-FLASH)

60

Аппаратные модули безопасности - HSM

61

Что такое HSM?

Серверприложений

Приложение

Сервисы использования ключей

Сервисуправления

ключами

Сервис хранения ключей

Физическая защищенностьРазделение полномочийМногофакторная аутентификацияM из N контроль

PKCS #11 CAPI / CNGJava CSP OpenSSLXML-DIGSIG

Бэкап/восстановлениеКонроль экспорта ключейEKM интерфейсПолитики

FIPS 140-2 Level 3 Common Criteria EAL4+

HSM

Широкий спектр опций:Различные производительность, объемы хранения, форм-факторы, модели аутентификации

1. Криптографические ключи содержатся в высокозащищенном устройстве.

2. Ускоряет криптооперации3. Обеспечивает полный

аудит ключевого материала.

Все HSM сертифицированы:FIPS 140-2, Common Criteria

Полный набор SDK/Toolkit для гибкой интеграции

62

Портфолия SafeNet HSM

Аппаратные модули безопасности SafeNet – самые производительные, защищенные и легкие в интеграции решения для защиты идентичностей, транзакций и приложений

ProtectServer Gold

G5

Luna PCI

Luna EFT

Luna SX

Luna SA / SP / XML

Наиболее производительный

Сетевой, масштабируемый, SOA, Web Services

Платежный, EMV/EFT

Программируемый,экономичный

Offline CA, архивирование

ПО управления

63

Применение HSM Шифрование БД (MS/Oracle EKM/TDE)

Банковские и финансовые платежные

Веб сервисы и XML

Временные метки (лотереи, билеты, ПИН через Интернет)

Защита ключей CA

Работа с сертификатами

Почтовые шлюзы

Подпись документов (e-Invoicing)

Управление ключами

Выпуск банковских карт

Подписание кода

Доверенное производство (оригинальные запчасти, паспорта, права, ценные бумаги)

DNSSEC

SmartGrid

64

Унифицированная платформа DataSecure

65

Стоит задача защиты данных?данные в БД и приложениях

Структурированные данные

• ProtectApp & ProtectDB: шифрование данных в БД и приложениях• Tokenization Manager: токенизация данных – вывод из области аудита

данные в файловых структурахНеструктурированные

данные• ProtectFile: шифрование файловых серверов• StorageSecure: SAN/NAS, файловые хранилища и архивы

владение данными, изоляция и соответствие в виртуальных средахВиртуализация• ProtectV:• Виртуальные машины• Виртуальные хранилища

основа для корпоративных криптосистемКриптосервисы• DataSecure и KeySecure• Управление шифрованием хранилищ, БД, приложений, файлов• Управление шифрованием в конечных точках (Crypto API, HSM)• Управлением шифрованием виртуальных и облачных сред

0000 000 00

0000 000 00

0000 000 00

ArchiveNAS

66

Унифицированная платформа

БД

Сервера приложений

CSPApp

1. Шифрование• Приложений• БД• Файлов

2. Криптопровайдеры• HSM: Luna PCI/SA• ProtectApp

3. Виртуализация• ProtectV• Storage• Applications

67

SafeNet DataSecure PlatformIntelligent Data Protection

DataSecure – единственная платформа для всех информационных активов с централизованным управлением:

ключамиполитикамилогированием и аудитом

.

Бизнес потребность Решение SafeNet

Защита конфиденциальных

данных всех структур

Гибкая и масштабируемая аппаратная плафторма для

гетерогенного окружения

Внедрение шифрования данных для соответствия

Доказанное соответствие (PCI DSS, ЗПд)

Снижение расходов и сложности внедрения и

эксплуатации

Снижает операционные расходы за счет легкости

расширения, управления и администрирования

68

Портфолио продуктов DataSecureDataSecurei450 и i150

Производительное шифрование, контроль доступа, аудит, логирование

• Прозрачное шифрование (не/) структурированных данных

• Высочайшая производительность, низкая задержка (+100.000 TPS)

• Простая консоль администрирования

• Высокая доступность и масштабируемость (кластеризация и балансировка)

• FIPS, Common Criteria

Для удаленных офисов

• Высокая доступность устройства для локального шифрования

• Небольшой вес и форм-фактор оптимальны для размещения

• Удаленное управление после первичной настройки

• Полный бэкап центральным DataSecure

Централизованное управление ключами и политиками

• Ключи хранятся безопасно в едином хранилище для прозрачного разделения и определения границ

• Централизованные политики, логирование, аудит и архивирование

• Встроенный Центр Сертификации (CA)

• Разделение полномочий

• FIPS, Common Criteria

Коннекторы

ПО интеграции с объектом защиты

• ProtectDB - Oracle, IBM DB2, Windows SQL Server, Teradata

• ProtectApp – .NET, CAPI, JCE, PKCS#11, z/OS, XML – большинство известных приложений и веб-серв.

• ProtectV – ВМ и тома

• ProtectFile Server –Windows and Linux

• ProtectDrive - FDE

KeySecurei430

EdgeSecurei10

69

SafeNet KeySecure™

CentralManagement

UserAuthentication

Virtual

Sof tware

Certif icate

OTP

SigningServices

ServerID

Database

CommunicationProtocols

HSE NetworkGear

DataPrivacy

Drive

Protect V

Database Application

File

Media

70

Безопасность хранилищ

Enterprise Key Management

SafeNet KeySecure

SafeNet StorageSecure

FAS/NSE/SAN

Brocade Encryption Switches (BES)

71

SafeNet StorageSecure™

Физические характеристики:

Модели 1Гб/сек и 10Гб/сек2U, 19”, диблированный блок питанияБез LCD на панелиВозможности кластеризацииNAS (CIFS, NFS) & iSAN (iSCSI)Задержка < 100 микросекундФизически защищенное шасси

Мастер ключ стирается при попытке логического или физического вторжения

ПлатформаЗащищенный TileLinux OS, только по CLISafeNet Storage Encryption Processor (SEP)Обновляемая прошивка через консоль управленияВстроенные 32Гб памяти для конфигурации и ключей

72

Что такое стандарт KMIP?

KMIP (Key Management Interoperability Protocol)NSE использует KMIP для управления ключами

KMIP 1.0 одобрен в октябре 2010 г.

Альянс OASISСтандарт дорабатывается для определения взаимодействия сервер-сервер

Участники: Axway, Brocade, CA, Cisco, Cryptsoft, EMC, Emulex, Freescale, HP, IBM, Lexmark, LSI, Mitre, NSA, NIST, NetApp, Oracle, PrimeKey, Quantum, Red Hat, SafeNet, Skyworth, Symantec, Target, Thales, Venafi, Voltage Security, Vormetric

73

Контентная безопасность SafeNet eSafe

74

Safenet обеспечивает безопасный контент

Интеллектуальные шлюзы безопасности для обработки трафика почты и веба – гарантия легкой интеграции и управляемости.

Новый функционал:• DLP по расширенным словарям• Web Quota Control• new Transparent SSL Mode• Mail IP Reputation

Поддерживается на:• eSafe HG-200 Appliance• eSafe XG-110 Appliance• eSafe XG-210 Appliance• eSafe XG-300 Appliance• IBM HS22 Blade server• VMware image for ESX(i) server

Доступна инсталяция с USB накопителя

75

eSafe – продукты контентной безопасности Интеллект в реальном времени для веб и сообщений

eSafe Web

For Enterprise

AppliFilter Web SSL URL Filter eSafe

Reporter

Secure Surfing

Web Security Service Delivery

Platform for ISPs

Clean

Pipe

parental

Control

Neutralizer toolbar

eSafe Mail

For EnterpriseAntispam & Worm

Outbreak Protection

eSafe

Reporter

Отчетность Управление

76

Высокоскоростное шифрование канала

77

Вопрос производительности и пропускной способности

78

Сетевые шифраторы SafeNet

EthernetEncryptor (SEE)

Высокоскоростной шифратор Ethernet

• До 10 Гб/с• Прозрачное

шифрование сетей Ethernet

• Чрезвычайно низкая задержка

• «0» избыточности на 1Гб/с и ниже, низкая избыточность на 10Гб

• Full duplex, 10Гб/с AES

• FIPS 140-2 Level 3• Аутентификация на

сертификатах

Высокоскоростной шифратор SONET / SDH

• До 10 Гб/с• «0» избыточности• Интерфейсы OC3,

OC12, OC48, OC192

• FIPS 140-2 Level 3/2• Common Criteria

EAL4• Чрезвычайно низкая

задержка• Аутентификация на


Единственный в мире 10 GbE Ethernet to OC192 шифратор

• Гибкость Ethernet + устойчивость SONET

• До 9,5 Гб/с Ethernet over OC192

• «0» избыточности• FIPS 140-2 Level 2• Common Criteria

EAL4• Аутентификация на


Security Management Center (SMC)

Лучший в классе Центр управления безопасностью

• Легкая установка и управление всеми шифраторами

• Интуитивный веб-интерфейс

• Беспримерная устойчивость

• Низкая стоимость администрирования

• Полноценный аудит• Безопасное

удаленное администрирование

Conversion Encryptor (SCE)

SONET/SDH Encryptor (SSE)

79

Облачные решения

80

Infrastru

cture

as a

Se

rvice

Platform

as a

Se

rvice

So

ftwa

rea

s a S

ervice

Power & HVAC

Hardware & Networking

Virtualization APIs

Middleware

Data Engine & Platform APIs

Application Engine

Application Presentation & APIs

Архитектура Вендоры Услуги

Провайдеры SaaS, Paas и IaasБыстрое улучшение и проприетарные API

http://www.rackspacecloud.com/

81

Проблемы безопасности в облаках

Фундаментальные вопросы доверия и ответственности

Данные в окружении разных владельцев

Отделение полномочий от инсайдеров облачного провайдера

Перенос ответственности с провайдера на владельца

Совершенно новые риски

Новые технологии гипервизоров и архитектур

Переосмысление доверия и подтверждения в облаках

Отсутствие ясной позиции регулятора

Регуляторы требуют механизмы строгого контроля в облаках

User ID and Access: Secure Authentication, Authorization, Logging

Data Co-Mingling: Multi-tenant data mixing, leakage, ownership

Application Vulnerabilities: Exposed vulnerabilities and response

Insecure Application APIs: Application injection and tampering

Data Leakage: Isolating data

Platform Vulnerabilities: Exposed vulnerabilities and response

Insecure Platform APIs: Instance manipulation and tampering

Data Location/ Residency: Geographic regulatory requirements

Hypervisor Vulnerabilities: Virtualization vulnerabilities

Data Retention: Secure deletion of data

Application & Service Hijacking: Malicious application usage

Privileged Users: Super-user abuse

Service Outage: Availability

Malicious Insider: Reconnaissance, manipulation, tampering

Logging & Forensics: Incident response, liability limitation

Perimeter/ Network Security: Secure isolation and access

Physical Security: Direct tampering and theft

82

Шифрование - унифицированный механизм защиты

Шифрование – фундаментальная технология реальной безопасности

Изолирует данные в общей среде

Аналитиками и экспертами признается универсальной и основной для данных в облаках

Устанавливает высший уровень соответствия защиты данных

От тактики дата-центров к облачной стратегии

Реальный контроль, доверие как основа процессов, изоляция данных упрощают отношение к шифрованию

Факторы доверия, не существующие в облаках

Strong encryption with key management is one of the core mechanisms that Cloud Computing systems should use to protect data. While encryption itself doesn’t necessarily prevent data loss, safe harbor provisions in laws and regulations treat lost encrypted data as not lost at all. The encryption provides resource protection while key management enables access to protectedresources.

- Cloud Security Alliance , “Security Guidance for Critical Areas of Focus in Cloud Computing”

Companies are looking to protect data in the cloud through encryption keys and robust key management. This enables companies to secure data from breaches as well as prevent the cloud provider from accessing the information if they decide to end their relationship with the cloud provider.

- Frost and Sullivan, Michael Suby

Encryption is one of the best ways to secure corporate data in the cloud, but it has to be encryption that the company controls.

- Forrester Research, Jonathan Penn

83

SafeNet Trusted Cloud FabricПоддержание доверия и контроля в виртуальной среде

Безопасность в облаках:

Управление и наблюдение за пользователями, данными, приложениями и системами при движении в виртуальное окружение

Гарантируемая безопасность и стратегии соответствия разработанные для облаков и проверенные клиентами

Модульная, гибкая интеграция в любых комбинациях частных, гибридных или публичных облаках - внедряйте что хотите, где и когда это нужно

Обеспечивая доверие и управляемость SafeNet дает заказчикам возможность плавно интегрировать любые облачные модели в краткосрочных и долгосрочных стратегиях технологий и безопасности

На месте

Безопасный доступ к SaaS

Защита виртуальных машин

Защита виртуальных хранилищЗащита облачных приложений

Защищенные сущности и транзакции

Безопасные облачные коммуникации

84

Решение SafeNet

Безопасный доступ кSaaS: Строгая аутентификация SafeNet

Защита виртуальных машин:SafeNet ProtectV™Instance

Безопасность хранилищ:SafeNet ProtectV™Volume

Защита облачных приложений: SafeNet DataSecure® and ProtectApp

Защита идентичностей и транзакций : SafeNet HSM

Безопасные коммуникации в облаках: SafeNet HSE

Преодоление барьеров безопасности в облаках используя SafeNet Trusted Cloud Fabric

Бизнес задача (крупнейший мировой банк)

1 Контролируемый доступ к SaaS; «Объединение» идентичностей

2Достижение соответствия в изоляции, разделении полномочий

3Поддержание доверия и управления в виртуальных хранилищах

4Защита приложений без снижения производительности; Владение ключами

5 Безопасная цифровая подпись и PKI в облаках

6 Безопасное соединение с частными облаками

85

Безопасный доступ к SaaS и облачным приложениям Обеспечить безопасность данных когда вы не владеете системой

Применение стратегии аутентификации в облакахСтрогая аутентификация для всех приложений

Облачных или реальных

Даже более критична для облачных приложений

Ниже уровень доверия, дополнительные требования регуляторов

«Зоопарк» систем аутентификацииРазные системы аутентификации у каждого провайдера

Снижение операционной управляемости, не масштабируются

Слабость паролей и «усталость» систем аутентификации Недостаточная гибкость

Одновременное использование нескольких провайдеров

Сложность быстрого развертывания новых сервисов

Наследуемые системы на хаотичном облачном рынке

Облачный рынок будет консолидироваться: вопрос когда

• SSO-аутентификация

• «Объединение» сущн.

• Легкая интеграция

• Быстрое развертывание

ПРОБЛЕМА

КЛЮЧЕВЫЕ ФАКТЫ

86

Безопасный доступ к SaaS: Аутентификация SafeNet Защитить доступ к облачным приложениям с единым управлением аутентификацией

ВозможностиОдно аутентификационное решение и для приложений на месте, и в облаках

Объединение местных идентичностей в облачные решения используя протокол SAML 2.0

Одно решение для всех форм-факторов: аппаратных, программных и OoB

Google Apps и salesForce.com уже поддерживаются

РЕШЕНИЕ

SafeNet Authentication Manager (SAM)

Пользователь аутентифицируется используя корпоративный аккаунт

Объединение SSO в облаке

Облачные приложенияSaaS Apps

Salesforce.com

Goggle Apps

87

Защита неконтролируемых виртуальных копий (instance)

Достижение соответствия по изоляции и разделению полномочий

Неограниченное копирование инстансов

Инстансы нерегулируемо копируются

Не прозрачно местоположение инстанса, нет аудита

Инстансы используются конкурентами и злонамеренными пользователями

Возможности неограниченных brute force-атак

Возврат к начальной копии и следующая попытка

Незащищенный контейнер конфид. данных

Похоже на кражу/потерю ноутбука, только инстанс всегда на сервере

Виртуальность делает «периметр» существенно больше

Не просто одиночная потеря, в потенциально все и сразу

ПРОБЛЕМА

• Изоляция данных• Разделение полномочий• Соответствие в облаках• Аутентификация до пуска• Ролевая защита


88

Защита виртуальных машин: SafeNet ProtectVTM InstanceУправление ВМ в облаке посредством шифрования и аутентификации инстанса

РЕШЕНИЕ

ВозможностиFIPS-шифрование до запуска инстанса

Безопасный интерфейс входа (HTTPS)

Пароли, OTP, CBA

Логирование и нотификация активности

SafeNet DataSecure (доп.функционал):• Управление инстансами• Управление ключами

• Политики безопасности• Управление доступом

На месте

Виртуальная машина

Гипервизор

Виртуальный сервер

ProtectVTM Instance

89

Доверие и управляемость в виртуальных хранилищахПотеря владения и окружении общего хранилища

Проблема утечки данных

Требует доверия к стратегии провайдера (meta-tagging vs data isolation)

Риски неверного конфигурирования и администраторов облака

Неочевидны конфиденциальность и целостность Проблема доверия и управления

Если шифрование предлагает провайдер:

Управление ключами

Соответствие

Стойкость, уникальность, смена и т.д.

АлгоритмыДоверие администратору

Разделение полномочий

• Изоляция данных

• Соответствие

• Защита владения

ПРОБЛЕМА


90

Защита вирт.хранилища: SafeNet ProtectVTM VolumeКонфиденциальность данных в общем хранилище посредством изоляции данных

РЕШЕНИЕ

ВозможностиНесколько вариантов:

ProtectVTM Volume для сервера

Поддержка NetApp

ProtectFile

FIPS-certified


SafeNet DataSecure (доп.функционал):• Manages encrypted instances• Lifecycle key management

• Security policy enforcement• Access control

На местеДанные

Виртуальный сервер

ProtectVTM Instance

Хранилище

91

Безопасность приложений без снижения производительностиПоддержание доверия к облачному приложению

Вопрос доверия

Доверие провайдеру

Снижение прозрачности безопасности в облаке Риск и ответственность

Провайдер никогда не принимает риск

Написано в соглашениях

Как вы оцените риск?

Нет установленных рамок и метрик

Неопределенность регуляторов

Нет прямых правил для облаков

Аудиторы смотрят на стандартные меры или высшие стандарты

• Владение ключами

• Производительность

• Экономика облаков

• Централизованное управление

• Прозрачная интеграция

ПРОБЛЕМА


92

На месте

Безопасность облачного приложения: SafeNet ProtectDB и ProtectApp

Применить защиту данных в облачном приложении

РЕШЕНИЕ

ВозможностиНесколько вариантов:

ProtectApp-шифрование

ProtectDB-шифрование

Tokenization Manager для токенизации

FIPS-certified


Приложение

ProtectApp

БД

ProtectDB

DataSecure

Локальный кэш ключей

Токенизация

93

Утеря владения и контроляБезопасная цифровая подпись и PKI в облаках

Докажите, что Вы – это Вы

Где корень доверия для подписи и PKI в облаке?

Проблема доказывания владения в виртуальном мире

Фокус на исследование виртуализации

Поддержка ключей в облаках

Если провайдер управляет ключами

Походящий ключевой материал

Необходимый жизненный цикл и политики

Привилегированный пользователь Проблема криптографии и энтропии

Сложно добиться настоящей «случайности» в облачных вычислениях

Изъяны в криптографии приведут к катастрофическим последствиям

В сентябре 2010 проблема с шифрованными .NET-cookie затронула как минимум 25% интернет серверов.

• Широкая интеграция платформ

• Разделение приложений от данных

• Высокопроизводительные транзакции

ПРОБЛЕМА


94

Безопасные идентичности и транзакции в облаке: SafeNet Hardware Security Modules (HSM)Установите «цифровое» владение и корень доверия в виртуальной среде

РЕШЕНИЕ

ВозможностиКорень доверия для идентичностей и транзакций

FIPS-certified

Виртуально разделяемый HSM

Поддерживает Xen/Hyper-V/ESX-i

Поддержка приложений партнеров и руководства по интеграции

Широкая интеграция и облачными платформами

Разделение данных и приложений

Высочайшая производительность

Частное

Публичное

Гибридное

На месте

Hardware Security Module

95


Перенос больших объемов данных Передача критических данных в облаках

Большие объемы, высокая ценность

Передача данных через границы доверия

Из дата-центра в частное облако

Целые серверы или даже хранилища

Может потребовать шифрование (PCI)

Нужны скорость и эффективность

Гигабитные каналы

Требование незначительных задержек

VMotion и подобные технологии

Потоковое видео или VoIP

• Устойчивость и надежность

• Передача в реальном времени

• Шифрованный трафик

ПРОБЛЕМА

96

Безопасные облачные коммуникации:SafeNet High Speed Encryptors (HSE)Перенос данных на больших скоростях с шифрованием на лету

РЕШЕНИЕ

ВозможностиДесятки гигабит с L2-шифрованием

Лучшие в классе решения, FIPS-certified

Центральные политики и простая интеграция

Отказоустойчивость

В реальном времени

На местеЧастное

High Speed Encryption

97

SafeNet Trusted Cloud Fabric (TCF)Практическая реализация обеспечения доверия и контроля пользователей, данных, систем и приложений в облаках

Решения1. Строгая аутентификация в облаках

SafeNet Authentication Manger

Аппаратные, программные и мобильные токены

2. Безопасность ВМ

SafeNet ProtectV Instance

+DataSecure

3. Защита хранилищ

SafeNet ProtectV Volume

+DataSecure и ProtectFile

4. Защита данных в приложениях

SafeNet DataSecure, ProtectApp и ProtectDB

+Tokenization Manager

5. Доверие к идентичностям и транзакциям

SafeNet HSM

6. Безопасные коммуникации

SafeNet HSE

On-premise

Secure Access to SaaS

Secure Virtual Machines

Secure Virtual Storage

Secure Cloud Applications

Secure Cloud-Based Identities and Transactions

Secure Cloud-Based Communications

safenet обзор решений

Documents