Embed Size (px)
Citation preview
Обеспечение информационной безопасности в виртуальной среде
Олег Шабуров
+Virtualization Success
• Data Protection
• High Availability
• Storage Management
• Systems Management
• Endpoint Security
• NFS File Storage
• Security
10 лет сотрудничества в следующих областях:
Сотрудничество Symantec и VMware
Решения Symantec для Виртуальных сред
High Availability
Storage Management
Data Protection
Security
3
4
• Virtualization Adoption
• VDI Growth
• AV, IPS and proactive detection growth
The Scan Storm
Проблема
Рост виртуализации и изменение картины угроз
Эффективная защита это не просто антивирус..
5
Network Intrusion
Prevention Behavioral-based
Protection File-based
ProtectionReputation-based
Protection
Блокирует сетевые
атаки
Блокирование
вредоносных файлов,
на основании
сигнатур и особых
параметров
Блокирование
Вредоносного ПО на
основании
поведенческого
анализа
Блокирует доступ к
вредоносным файлам
и сайтам на основании
данных от более чем
175 милионов
пользователей SONAR
Behavioral Signatures
Antivirus Engine
Auto Protect
Malheur
Protocol-aware IPS
Browser Protection
Network
РепутацияСеть Поведение Файл
Internet
Server
Domain Reputation
File Reputation
Для злоумышленника нет разницы виртуальная система или нет
Insight: Symantec’s Next Generation Community-Based Protection
2.5B unique app files, growing each second
6
175M+ users contributing data +
Is the source associated with infections?How old is the file?
Is the source associated with SPAM?
How often has this file been downloaded?
Does the file look similar to malware?
Is the file associated with files that are linked to infections?
Who created it?
What rights are required?
Where is it from?
What does it do?
Have other users reported infections?
• Блокирует новые уязвимости без сигнатур
• Блокирует 2 милиона новых уязвимостей в месяц
• Уникальная технология от Symantec
7
Повышение производительности с Insight
7
Оптимизация с репутациейПропускаем все известные файлы, сильно сокращая время сканирования
Обычное сканированиеНужно просканировать каждый файл
В среднем 80% используемых приложений можно не сканировать!
Symantec Endpoint Protection 12.1
8
Virtual Image Exception
• Используется при клонируемых образах
• Исключает все файлы
• Уменьшает влияние сканирования
Shared Insight Cache
• Идеально для виртальных серверов
• Файлы сканируются один раз
• Leverages Insight
Virtual Client Tagging
• Определяет гипервизор
• Назначает особую политику
• Посик виртуальных клиентов
Resource Leveling
• Используется на всех виртальных системах
• Сканирование и обновление
• Отсутствие «шторма»
Улучшение управленияУменьшает нагрузку на системы на 90%
Взгляд на развитие защиты виртуальных сред
• плюсы:
– Увеличение производительности и эффективности
– Возможность использовать различные продукты(технологии) для обеспечения безопасности
9
Единая точка безопасности
vShield Endpoint - в нужном направлении, товарищи…
10
Strengthen security for virtual machines and their hosts while improving
performance by orders of magnitude for endpoint protection, with
VMware vShield Endpoint, part of the VMware vShield family. Offload
antivirus and anti-malware processing to dedicated security-hardened
virtual machines delivered by VMware partners. Leverage existing
investments and manage antivirus and anti-malware policies for
virtualized environments with the same management interfaces as
physical environments.
• Переход от файлового сканирования к выделенной security VM
• Поддержка Windows XP, Vista, and 7 32 bit
• Поддержка Windows 2k3/2k8 32-bit/64-bit
vShield 1.0 vs vShield x.0
Protection Features vShield 1.0 vShield Future
File-basedProtection
Network Intrusion Prevention
Firewall
Behavioral
Email Scanning
Application Control, DeviceControl
Insight Enhanced Protection
vShield 1.0:
– Только Файловая защита
– Невозможно использованиеInsight, эвристического и поведенческого анализа
vShield 2.0:
– Должно помочь Symantec использовать Insight для улучшения производительности сканирования
11
Email Scanning
Behavioral Protection
Firewall
Network Intrusion
Prevention
File-Based Protection
Application and
Device Control
Insight Enhanced
Protection
Virtualization Feature Delivery
SEP 12.1
•Использование Insight
•Virtual Image Exception
•Shared Insight Cache
•Virtual Client Tagging
•Resource Leveling
Post SEP 12.1…
•Выделенная security VM выполняющая сканирование с использованием Insight (на основе VMware APIs)
•Дедупликация обновлений
•Перенос безопасности с гостевых Виртуальных машин
12
Эволюция к единой точке обеспечения безопасности
Централизованное управление
13
Защита VMware ESX Hypervisor и vSphereПроблеммы
– Атака на гостевые VM может начаться с атаки на host/console/hypervisor
– Обеспечение безопасности критичных серверверов и сервисов;
– Возможность использования compliance;
Symantec Critical Systems Protection
– Отслеживает и оповещает о атаках на host в режиме реального времени;
– Обеспечивает защиту ESX Console OS и гостевойOS/Приложений с помощью различных технологий: МСЭ, контроль устройств, настройка контроля приложений, контроль доступа администраторов, и защита файловой системы;
– Большое количество шаблонов для VMware;
– Минимальная нагрузка на систему
Symantec Critical System Protection
Console
OS/
HVisor Guest GuestGuest
Спасибо за внимание!
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
14
Олег Шабуров
