McAfee - Optimized Solutions for Cloud Security

Оптимизированный подход

к защите ЦОДов и

облачных вычислений

Владислав Радецкий

Андрей Пастушенко

McAfee Confidential—Internal Use Only

Запросы бизнеса

Консолидация ЦОДов

Виртуализация

Требования:

Доступность

Целостность

Производительность

Гибкое

масштабирование

Устранение

новых рисков!


Запросы бизнеса = головная боль ИТ

!!


Статистика по расходам на ИТ

Virtualize

REQUIRED:

Availability

Performance

Integrity

Make the DC

more flexible

New risks?

Shore it up!

Lower costs

Внедрение новых технологий

Повышение эффективности энергопотребления

Улучшение удовлетворенности пользователей

Увеличение доходов

Другое 7%

15%

19%

22%

23%

24%

31%

34%

49%

54%Увеличение доступности

Сокращение рисков (утечки, соответствие и т.д.)

Адаптация к стремительно изменяющимся требованиям рынка

Усиление безопасности

Снижение затрат

Львиная доля средств идет на совершенствование ЦОДов

Архитектура инфраструктуры ИБ

Насколько взаимосвязаны компоненты Вашей ИБ?

Host IPS

Agent

Systems

Management

Agent

Audit

Agent

Antivirus

Agent

Encryption

NAC

DLP

Agent

У КАЖДОГО

РЕШЕНИЯ

ЕСТЬ АГЕНТ

У КАЖДОГО

АГЕНТА

ЕСТЬ

КОНСОЛЬ

КАЖДОЙ

КОНСОЛИ

НУЖЕН

СЕРВЕР

КАЖДОМУ

СЕРВЕРУ НУЖНА

ОС/СУБД

КАЖДОЙ ОС/СУБД

НУЖНО

СОПРОВОЖДЕНИЕ

ТАКАЯ

СТРУКТУРА

ПРИВОДИТ

К ХАОСУ

Что предлагает McAfee:

Одна

консоль

Один

Агент

McAfee ePO Server

(VSE, DLP,Encryption,

AC, HIPS…)

Централизация развертывания и управления

Intel + McAfee = новые технологии

McAfee

ePO Deep CommandУдаленное управление

McAfee

Deep DefenderЗащита от вирусов

7

безопасностьюУправление

Защита сети

McAfee ePO SIEM

G T I

Защита серверов

и виртуальных

рабочих сред

Комплексное оптимизированное решение

безопасности ЦОДов от МсAfee

McAfee MOVE

Оптимизированный антивирус

для виртуальных сред

Эволюция вычислений в разрезе ИБ

June 13, 201310

Серверная

Физические сервераОтдельные решения

Традиционный

подход к

безопасности

Виртуализация

Разнородная структураПроизводительность

Защита

виртуальных сред

«Облака»

Отдельная экосистемаОткрытая архитектура

Безопасность как

набор сервисов

Традиционный подход (без MOVE)

June 13, 201311

• «Узкие места» Обычные антивирусы расходуют

слишком много ресурсов

– ~100 МБ ОЗУ на каждой ВМ

• Трудности управления

– Необходимо обновлять сигнатуры на каждой ВМ

– Долгий процесс распространения обновлений

– Необходимо корректировать настройки каждой ВМ

• Перегрузки гипервизора

– При одновременном сканировании

– При одновременном обновлении

• Трата ресурсов

– Сканирование каждого файла на каждой ВМ

Преимущества MOVE

June 13, 201312

Агентное или Безагентное развертывание

Оптимизирует сканирование за счет кэша

Позволяет защищать ВМ через vShield

Устраняет необходимость обновления

вирусных сигнатур на каждой ВМ

Предотвращает перегрузку оборудования

Упрощает консолидацию ВМ

Сокращает потребление ресурсов

При внедрении MOVE

June 13, 201313

• Разумное использование ресурсов

– <10 МБ ОЗУ на каждой ВМ

• Легкость управления

– Обновления необходимы только для

серверов сканирования (SVA)

– Нет необходимости загружать и

устанавливать сигнатуры на каждой ВМ

• Оптимизация использования ресурсов

– Не возникает перегрузок

– Улучшенная масштабируемость

– Использование кэша: локальный (на

каждой ВМ) + глобальный (SVA)

MOVE - Агентный (Multi-Platform)

June 13, 201314

Виртуальная инфраструктура

MOVE

Security

Appliance

OS

ВМ

ОС

ВМ

ОС

VSE VSE

Возможности

• Сканирование по сети

• Кроссплатформенность

• Поддержка отказоустойчивости и

балансировка нагрузки на SVA

MOVE MOVE

McAfee ePO“Облако”

GTI

ЦОД

MOVE AV

VSE

virtual switch

MOVE - Безагентный

June 13, 201315

McAfee ePO

ЦОД

MOVE

Security

Appliance

ВМ ВМ

MOVE MOVE

OSОС ОС

VMware vShield Endpoint

VMware ESX

VMtools VMtools MOVE AV

VSE

“Облако”

GTI


• Сканирование по VMware VMCI

• Поддержка кластеров

• Защита ВМ при vMotion

MOVE – варианты развертывания

June 13, 201316

Возможности Агентный (Multi-Platform) Безагентный

Возможности антивирусной проверки

Сканирование по доступу ✔ ✔

Сканирование по запросу ✔ ✔

Проверка репутации GTI ✔ ✔

Помещение в карантин ✔ ✔

Область применения политик На ВМ На гипервизор

Исключения ✔ путь\имя

Уведомление пользователя ✔ В планах VMware

Архитектура

Гипервизор Кроссплатформенный только VMware

Платформа SVA Windows 2008 VM Linux OVF

Масштабируемость 450 ВМ на 1 SVA 1 SVA на хост ESX

Коммуникация с SVA Сеть VMware vShield VMCI

Дополнительные расходы Никаких Лицензия на vShield

Как работает агентный MOVE

June 13, 201317


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global

CacheMcAfee AgentMcAfee Agent

ВМ пытается получить доступ к файлу…


June 13, 201318


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


Агент MOVE создает “отпечаток” файла и пытается найти его в локальном кэше

19870110AE

1D2675DB


June 13, 201319


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


Если “отпечаток” отсутствует в локальном кэше, агент отправляет его по сети на SVA

19870110AE

1D2675DB

19870110AE

1D2675DB


June 13, 201320


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


Если SVA не обнаружил “отпечаток” у себя

в глобальном кэше, агент передает файл целиком на SVA

19870110AE

1D2675DB

19870110AE

1D2675DB

Файл


June 13, 201321


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


SVA проверяет файл используя оба метода:

сигнатурный анализ + репутация по «облаку» GTI

19870110AE

1D2675DB

19870110AE

1D2675DB

Файл


June 13, 201322


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


Если файл инфицирован, файл будет удален / помещен в карантин / заблокирован (зависит от политик)

Файл


June 13, 201323


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


Если файл «чистый», «отпечаток» добавляется в локальный и глобальный кэш, доступ к файлу разрешается

Файл

19870110AE

1D2675DB

19870110AE

1D2675DB

1987..

.

1987..

.


June 13, 201324


Endpoint Endpoint

Файл

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


При последующем доступе к тому же файлу, «отпечаток» сравнивается с содержимым локального кэша.

Повторное сканирование не выполняется.

1987..

.

1987..

.

19870110AE

1D2675DB


June 13, 201325


Endpoint Endpoint

Local

Cache

Local

Cache

Scan Server

McAfee Agent

Global


Когда другая ВМ попытается открыть этот же файл, будет использован глобальный кэш. Повторной проверки не будет.

1987..

.

1987..

.

19870110AE

1D2675DB

19870110AE

1D2675DB

Файл

В чем отличие безагентного MOVE

June 13, 201326

VMware ESX Hypervisor

Endpoint Endpoint SVA

McAfee AgentVMware VMtools

Local

Cache VMware VMtools

Global

Cache

Local

Cache

Виртуальные машины и сканирующий сервер (SVA) запущенны на одном гипервизоре (ESX).

Решение использует драйвер vShield Endpoint

вместо агента MOVE.

В чем отличие безагентного MOVE

June 13, 201327

VMware ESX Hypervisor

Endpoint Endpoint SVA

McAfee AgentVMware VMtools

Local

Cache VMware VMtools

Global

Cache

Local

Cache

Отпечаток файла Отпечаток файла

«Отпечаток» файла передается по каналу VMware на SVA,

где выполняется проверка файла

MOVE Scheduler – для полноценного VSE

June 13, 201328


• Управление ресурсами

гипервизора для предотвращения

перегрузки

• Интеграция с vCenter и

XenManager

Hypervisor (vSphere, Xen)

Hypervisor Manager

MA

OS

VSE

MA

OS

VSE

MA

OS

VSE

McAfee ePO

ЦОД

VSE для Offline Virtual Images

June 13, 201329

• Защита инфраструктуры

• Экономия средств за счет автоматических обновлений

• Экономия времени благодаря единой консоли

• Единый уровень безопасности в среде VDI

DAT’s

VirusScan Enterprise for Offline Virtual Images 2.6

Direct storageVMware ESX

Server

VMware vCenter

Server

Offline VM Images

Engine

Citrix XenServer

VirusScan Enterprise 8.8

McAfee Application Control

Контроль целостности и запуска приложений

McAfee Application Control

Белый список безопасности

32

Динамические

белые списки

Репутация

файлов

Защита

памяти

Предотвращает запуск

неавторизированных

приложений

Классификация

приложений по репутации

через GTI

Защита приложений от

эксплоитов и переполнения

буфераRAM

Как?

1

Неизвестный код

ЗАПРЕЩЕН

Белый список

• Создание списка проходит в режиме реального времени в процессе сканирования системы

2

3

Попытка запуска приложения

MAC проверяет код в списке

При отсутствии в списке

приложение блокируется

− Попытка запуска

регистрируется в журнале

Автоматическое

обновление списка

Заблокирован

доступ по списку

Возврат к контролю

списка

Модель доверия

Доверенные

Приложения


Папки


Издатели


Админы

Репутация файлов от GTI

Неизвестный

GTI

ПлохойХороший

Экономия средств

• Улучшенная защита− От целенаправленных и комплексных угроз

1

• Наблюдение за приложениями2

• No More Patch Panic3

• Продление жизни старым ОС− Win NT, Win 2000

4

• Повышение производительности систем− Низкое потребление ресурсов

5

McAfee Activity Monitoring

Защита облачной БД в режиме реального времени

Базы Данных

Базы Данных – мощнейшие

приложения в мире

Базы данных – место хранения критичных и конфиденциальных данных

Наличие уязвимостей и ошибок

конфигурации к нарушениям стандартов

(PCI, ISO …)

Уязвимые места?

• Технологии

• Доступны многим пользователям и

приложениям

• Уязвимы (SQL инъекции, переполнение

буфера)

• Процессы

• Несвоевременное применение патчей

• Стандартные практики использования

• Люди

• Угрозы инсайдеров… системные

администраторы и БД, программисты…

Отсутствие патчей – ОГРОМНЫЙ РИСК!

Высокий

Низкий

Експлоит

публикуется в ВЕБ

Риск наиболее

высок после

выпуска

обновления

Окно уязвимости

может длиться

месяцами и даже

годами

Месяцы/Годы Месяцы/Годы

Установка

обновления

Публикация уязвимости

0 день

Выпуск обновления

McAfee Activity Monitoring

• Защищенный сенсор позволяет мгновенно реагировать

на угрозы

• Оповещения через консоль и др. средства

• Прерывание сессий ( через «родные» API )

• Пользовательский карантин

• Механизм управления файрволом через OPSEC

Intra-

Stored

Proc.

Trigger

ViewData

Shared Memory

DBMS

Lis

ten

er

Сетевое соединение

SAP

1) Из сети

Be

qu

ea

thЛокальный доступ

DB Admins

Sys Admins

Programmers

2) Из системы

Внутренние

угрозы БД

3) Из Базы Данных

Защита БД на всех уровнях

Сенсор McAfee DAM

– Работает без вмешательств

• Защищен от изменений

• Процесс подобный системным

службам ОС

• Не вмешивается в ядро системы, не

требует перезагрузок

– Работает строго в режиме

релевантной активности

Высокая производительность

Минимальные задержки

Минимальное потребление ресурсов

McAfee DAM: Пример внедрения

Sensor

Web-based Admin Console

Alerts / Events

ePOCloud

McAfee Database

Security ServerNetwork

Sensor Sensor

DBDB

DB

DBDBDBDB

DB

Преимущество: работа в облаке!

• Виртуализация

• Инструменты мониторинга, расположенные в

памяти, отслеживают трафик между

виртуальными машинами (ВМ)

• Эффективная обработка локальных правил

• Эффективная эксплуатация в динамической

среде

• «Облачные» вычисления

• Распределенная модель в среде WAN

• Автоматизированный ввод в эксплуатацию и

разграничение служебных обязанностей

позволяет выполнять мониторинг

управляемых услуг внутри предприятия Cloud

Computing

D

B D

B D

B D

B

McAfee Network Security Platform

Противодействие комплексным угрозам на уровне сети

McAfee представляет IPS следующего

поколения

June 13,

2013

47

Network Security Platform

Анализ сетиНазначение

политик

Расширенный

анализ

Видимость

приложений

Гранулированный

контроль

Отчетность

и оповещение

Next

Generation

Intrusion

Prevention

McAfee представляет IPS следующего

поколения

48


Анализ сети

Гранулированный

контроль

Отчетность

и оповещение

Next

Generation

Intrusion

Prevention

Многолетнее лидерство• Лучшая в индустрии защита из коробки

• Лидер квадрата Gartner c 2003 года

• Лучший охват уязвимостей 2005-2011

Контекстный анализ

49


Network

Visibility

Policy

Definition

Advanced

Analysis

Application

Awareness

Granular

Control

Reporting

and Alerts

Next

Generation

Intrusion

Prevention

Поведенческий анализ Пользовательские данные

Репутация угроз

Виртуальная средыУязвимости хоста

Фактор угроз от хоста

Эффективность

Расширенная инспекция документов

50

Традиционный сигнатурный анализ

Репутация

файлов

Обнаружение

аномалий файлов

Поиск шелл-кода

Эффективность

Идеально для высокопроизводительной

среды

Ядро сети требует модернизации McAfee NSP

Масштабируемая архитектура

• Высокая производительность, до 80

Gbps

• Поддержка интерфейсов 10 GigE

• Высока плотность портов

• Модульный дизайн

• Отказоустойчивая конфигурация

Преимущества

• Отсутствие узких мест

• Простая сетевая архитектура

• Гибкие методы интеграции

• Дата центрам нужны быстрые

надежные сети

• Старая архитектура безопасности не

выдерживает 10 GigE и 40 GigE

• Виртуализация требует новых

подходов к сетевой безопасности

1gb

5gb

10gb

40gb

80gb

Производительность внушает доверие

52

От 100 Mbps до 80 Gbps

Network Security

Platform M-SeriesNetwork Security

Platform XC Cluster

Комплексное оптимизированное решение

безопасности ЦОДов от МсAfee

безопасностьюУправление

Защита сети

McAfee ePO SIEM

G T I

Защита серверов

и виртуальных

рабочих сред

Контактная информация

June 13, 201354


Инженер технической поддержки проектов

Направления (решения McAfee):

Data Protection (DLP, шифрование)

Email Security (защита почтовых серверов)

Endpoint Security (защита конечных точек)

Identity (двухфакторная аутентификация)

Mobile Security (MDM, защита моб. устройств)

Security-as-a-Service («облачные» решения)

Security Management (консоль управления)

Если у Вас возникли вопросы по теме доклада или

по указанным выше направлениям McAfee –

обращайтесь.

[email protected]

044 273-3333

вн. номер 152

mailto:[email protected]


June 13, 201355


Инженер технической поддержки проектов

Направления (решения McAfee):

Database Security (защита баз данных)

Web Security (контроль, защита Web)

Network Security (сетевая безопасность)

Risk & Compliance (анализ рисков)

SIEM (управление событиями безопасности)

Vulnerability Management (защита от

уязвимостей)

Если у Вас возникли вопросы по теме доклада или

по указанным выше направлениям McAfee –

обращайтесь.

[email protected]

044 273-3333

вн. номер 136



June 13, 201356

Официальный сайт McAfee (документация, описание продуктов)

http://www.mcafee.com/ru/

Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)

http://bakotech.ua/vendor/mcafee/

McAfee Ukraine Technical Club (техническая информ-я на русском)

https://www.facebook.com/McAfeeUkraineTechnical

Техническая поддержка McAfee (первая линия)

http://www.mcafee.com/ru/support.aspx

База знаний по продуктам McAfee (спецификации, FAQ и др.)

http://kc.mcafee.com/corporate/index?page=home

http://www.mcafee.com/ru/

http://bakotech.ua/vendor/mcafee/

https://www.facebook.com/McAfeeUkraineTechnical

http://www.mcafee.com/ru/support.aspx

http://kc.mcafee.com/corporate/index?page=home

Благодарим за внимание



[email protected]

http://bakotech.ua


http://bakotech.ua/

Technology

McAfee - Optimized Solutions for Cloud Security