OPRACOWANIE. Zwiększanie dynamiki i bezpieczeństwa dzięki konsolidacji centrum danych

Transkrypt

1 OPRACOWANIE Zwiększanie dynamiki i bezpieczeństwa dzięki konsolidacji centrum danych

2 Wprowadzenie Aby zachować konkurencyjną pozycję na rynku, przedsiębiorstwa muszą zwiększać dynamikę działania przy jednoczesnym kontrolowaniu kosztów. Prawdziwa wartość infrastruktury informatycznej leży w jej możliwościach usprawniania prowadzonej działalności poprzez ciągłe dostarczanie nowych aplikacji i usług zapewniających wymierne korzyści zarówno firmom, jak i osobom prywatnym. Konsolidacja centrum danych jest częścią ciągłego procesu zmian, który ma na celu modernizowanie środowisk informatycznych przedsiębiorstw, tak by były one szybsze i bardziej dynamiczne, co przekłada się także na większą dynamikę działania całej firmy. W ramach tego procesu zwiększa się elastyczność architektur oraz wdrażane są nowe technologie umożliwiające szybkie wprowadzanie nowych aplikacji i usług w sposób bezpieczny, efektywny i odporny na awarie. Przy ciągłym nacisku na zwiększanie wydajności przy mniejszej ilości zasobów konsolidacja centrum danych zapewnia następujące główne korzyści: Obniżenie wydatków kapitałowych i kosztów operacyjnych Zmniejszenie fizycznych obiektów centrów danych Konsolidację personelu informatycznego Zmniejszenie potrzebnego miejsca Bardziej ustandaryzowaną infrastrukturę Dynamiczność Wirtualizację zwiększającą efektywność i dynamikę zasobów obliczeniowych Zaawansowane technologie, takie jak SDN Wzrost wydajności i zgodność z umowami SLA Szybkość działania Krótkie cykle wdrażania aplikacji i usług Przyspieszenie wprowadzania produktów na rynek Aby osiągnięcie lepszej wydajności i dynamiki działania było możliwe, zabezpieczenia należy uwzględnić w procesie projektowania i implementacji konsolidacji centrum danych jako jego integralną część. Jest to niezbędne do uzyskania naprawdę BEZPIECZNEGO i dynamicznego centrum danych. 2

3 Aspekty procesu konsolidacji związane z bezpieczeństwem Typowy proces konsolidacji centrum danych obejmuje kilka etapów. W przypadku większości z nich jako główny aspekt należy brać pod uwagę bezpieczeństwo, jak pokazano poniżej. Ocena Planowanie Implementacja Zarządzanie Aplikacje Aplikacje Aplikacje Konfiguracja Moc obliczeniowa Hosty/wirtualizacja Moc obliczeniowa Monitorowanie Pamięć Sieć Zabezpieczenia Architektura pamięci masowej Architektura sieci Zabezpieczenia Architektura Pamięć Sieć Zabezpieczenia Raporty Analiza Optymalizacja Przyjrzyjmy się powyższym etapom i powiązanym z nimi zagadnieniom związanym z bezpieczeństwem: 1. Ocena Ocena pozwala opracować podstawę zasobów informatycznych przedsiębiorstwa pod względem wdrażania i używania aplikacji, zasobów i wykorzystania mocy obliczeniowej i pamięci masowej, architektury i możliwości sieci, infrastruktury i zasad zabezpieczeń oraz dodatkowych czynników związanych z infrastrukturą i środowiskiem (energii, zajmowanego miejsca itd.). Na jej podstawie następnie identyfikowane są główne luki, które trzeba wypełnić, aby osiągnąć cele konsolidacji. Z punktu widzenia bezpieczeństwa na etapie oceny należy w podobny sposób przeanalizować istniejącą strategię zabezpieczeń przedsiębiorstwa, infrastrukturę, usługi, obowiązujące zasady i ogólny stan zabezpieczeń oraz wskazać niedociągnięcia. Uzyskana w ten sposób podstawa może posłużyć jako baza dla następnego etapu procesu konsolidacji planowania. 2. Planowanie Na etapie Planowania wyniki oceny są przekładane na szczegółowy, wykonywalny projekt skonsolidowanego centrum danych. Umożliwia on porównanie potrzeb i celów przedsiębiorstwa dotyczących infrastruktury informatycznej i kosztów eksploatacji/zwrotu z inwestycji z opracowaną podstawą w celu wskazania luk w zasobach. Nawet jeśli w ramach konsolidacji do centrum danych nie są dodawane żadne nowe aplikacje ani usługi, może mieć ona duży wpływ na istniejące zasoby i infrastrukturę. Przykładowo, zastosowanie w skonsolidowanym centrum danych wirtualizacji w celu obniżenia kosztów sprzętu i zwiększenia dynamiki działania wymaga wdrożenia w nim poza fizycznymi firewallami także zabezpieczeń w formie wirtualnej. Ten etap obejmuje także wysyłanie do dostawców zapytań ofertowych w celu przedstawienia dostępnej oferty rozwiązań, architektur zabezpieczeń i usług oraz wybrania spośród nich najodpowiedniejszych dla siebie. 3. Implementacja Na etapie Implementacji realizowany jest szczegółowy projekt zdefiniowany w fazie planowania. Jest to etap o znaczeniu krytycznym, w ramach którego różne domeny centrum danych (aplikacje, moc obliczeniowa, pamięć masowa, sieć i zabezpieczenia) są łączone w funkcjonujący, zintegrowany i funkcjonalny ekosystem służący rozwojowi i celom biznesowym firmy. Aby móc wykonać to niezwykle złożone zadanie, przedsiębiorstwo musi zaufać specjalistycznej wiedzy dostawcy, jego doświadczeniu i wskazówkom przekazywanym w ramach profesjonalnych usług i wsparcia. 4. Zarządzanie Na etapie Zarządzania realizowany jest cykl życia centrum danych. Zapewniane są tu narzędzia i procedury umożliwiające monitorowanie, ocenę i rozwijanie usług centrum danych, zgodności z umowami SLA i ogólnego działania we wszystkich domenach. Zarządzanie zapewnia podstawę planowanego rozwoju. Ze względów bezpieczeństwa ważne jest, by narzędzia do zarządzania używane w środowisku hybrydowym zapewniały pełne, całościowe możliwości konfiguracji, monitorowania, analizowania i raportowania. 3

4 Z punktu widzenia bezpieczeństwa najważniejszym etapem jest etap planowania. Wtedy właśnie definiowane są rzeczywiste potrzeby, architektury i zasady związane z bezpieczeństwem, które należy wdrożyć. Aby lepiej zrozumieć kluczowe zagadnienia dotyczące zabezpieczeń, które należy uwzględnić na tym etapie, przeanalizujemy poszczególne poziomy zmian, jakie może obejmować proces konsolidacji, zgodnie z opisem poniżej: 1. Konsolidacja obiektów fizycznych Przedsiębiorstwa i usługodawcy konsolidują wiele obiektów centrów danych, aby obniżyć koszty, zwiększyć efektywność operacyjną oraz uzyskać kontrolę i możliwości zarządzania. Skonsolidowane centrum danych charakteryzuje się: 1. Rozszerzonym zakresem aplikacji nie jest to regułą, ale skonsolidowane centra danych mogą mieć większe zagęszczenie i różnorodność aplikacji. Przykładowo, skonsolidowanie wewnętrznych i udostępnianych klientom aplikacji i usług może spowodować zgromadzenie w jednym centrum danych nowych typów aplikacji, takich jak aplikacje webowe, portal dla użytkowników, poczta czy systemy CRM i ERP. Z punktu widzenia bezpieczeństwa należy przeanalizować cały zestaw aplikacji i ich użytkowników, co pozwoli wybrać odpowiednie zabezpieczenia i zasady, które zapewnią ochronę wszystkich aplikacji, dostępu użytkowników i praw użytkowania. Dlatego też wdrażane firewalle centrum danych muszą obejmować bogaty zestaw funkcji, takich jak antywirus, system ochrony przed włamaniami, kontrolę aplikacji i usługi reputacyjne. 2. Zwiększonym natężeniem ruchu danych większa liczba aplikacji i korzystających z nich użytkowników bardzo zwiększa ruch pod względem natężenia, liczby sesji, ruchu szyfrowanego za pomocą protokołu SSL i połączeń IPsec VPN. Stosowane rozwiązania i infrastruktura zabezpieczeń muszą gwarantować wymagane usługi ochrony o wydajności zaspokajającej obecne i przyszłe potrzeby w zakresie przepustowości, szybkości interfejsów, liczby nowych i jednoczesnych sesji i połączeń IPsec VPN. Aby zapewnić bezpieczne działanie transakcji SSL i odpowiednią jakość usług świadczonych użytkownikom (QoE), należy przenieść obciążające procesor wszechstronne szyfrowanie SSL z poziomu aplikacji do specjalnych rozwiązań opartych na procesorach ASIC w ramach stosowanej ogólnej infrastruktury udostępniania aplikacji. 3. Zwiększeniem szybkości i zagęszczenia interfejsów wraz ze wzrostem natężenia ruchu w skonsolidowanym centrum danych pojawia się zapotrzebowanie na szybsze sieci lokalne. W takiej sytuacji konieczne może być wdrożenie infrastruktury Ethernet 10/40/100 Gb/s w celu zapewnienia jego obsługi. Poza tym zwiększająca się liczba aplikacji, użytkowników i grup użytkowników powoduje wzrost liczby segmentów sieci fizycznej i wirtualnych sieci lokalnych (VLAN). Z punktu widzenia bezpieczeństwa firewalle centrum danych muszą być w stanie obsłużyć zarówno szybkość interfejsów, jak i ich fizyczne i wirtualne zagęszczenie w sposób skalowalny i bez powodowania potencjalnych wąskich gardeł w sieci. 2. Wirtualizacja W celu uzyskania dużej dynamiki i efektywnego wykorzystania zasobów stosuje się wirtualizację mocy obliczeniowej, pamięci masowej i sieci. Chociaż poziom wirtualizacji centrum danych może być różny, warto zauważyć, że ogromny udział ma w nim wirtualizacja mocy obliczeniowej. W 2014 roku przekroczyła ona 50% wszystkich operacji przeprowadzanych na serwerze centrum danych, a zdaniem firmy Gartner w roku 2016 ta wartość osiągnie 86%. Wirtualizacja jest główną podstawą przetwarzania i usług w chmurze. Jako że wiele organizacji stosuje w swoich centrach danych zasadę najpierw wirtualnie, zgodnie z którą wszystkie nowe obciążenia mają być wdrażane na maszynie wirtualnej, należy pamiętać o zabezpieczeniu wirtualnego środowiska centrum danych: 1. Widoczność ruchu wschód zachód wirtualizacja mocy obliczeniowej pozwala na współdzielenie zasobów mocy hosta fizycznego przez wiele wystąpień maszyn wirtualnych (VM). Prowadzi to do zmian we wzorcach ruchu danych, gdzie do 76% ruchu w centrum danych* odbywa się między maszynami wirtualnymi i nie wychodzi poza obręb hosta fizycznego. Taki ruch określa się mianem ruchu wschód zachód, w odróżnieniu od ruchu północ południe, który przychodzi do hostów i wychodzi z nich do domeny fizycznej. Środowisko wirtualne zapewnia tradycyjnym urządzeniom zabezpieczającym, takim jak firewalle i firewalle aplikacji webowych (WAF), bardzo trudne warunki, ponieważ nie mają one w nim wglądu w ruch wschód zachód, przez co nie mogą zapewniać ochrony i egzekwować obowiązujących zasad bezpieczeństwa. Tworzy to lukę w podejściu do zabezpieczeń w centrum danych jako ruchu wschód zachód, w wyniku czego nie jest ono chronione przed złośliwymi i niezłośliwymi zagrożeniami, takimi jak wirusy, niewłaściwe działanie aplikacji, błędy w konfiguracji itd. 4

5 Dlatego też niezwykle istotne jest integrowanie wirtualnych firewalli i specjalistycznych zabezpieczeń, takich jak WAF, jako maszyn wirtualnych z hostami składającymi się na wirtualne środowisko obliczeniowe. Wirtualne urządzenia zabezpieczające zapewniają widoczność ruchu wschód zachód, eliminują luki w zabezpieczeniach centrum danych i pozwalają zachować spójne ogólne podejście do kwestii bezpieczeństwa. Muszą one zapewniać taki sam poziom funkcjonalności jak sprzętowe firewalle i inne urządzenia zabezpieczające, ponieważ zarówno domenom fizycznym, jak i wirtualnym zagrażają podobne niebezpieczeństwa. 2. Złap mnie, jeśli potrafisz KORZYŚCIĄ płynącą z wirtualizacji mocy obliczeniowej w centrum danych i chmurze jest dynamika. Pozwala ona na tworzenie maszyn wirtualnych i nowych przepływów pracy w ciągu kilku minut, a nie dni i godzin. Zwiększa dostępność aplikacji i usług, zapewniając stabilność sesji w trakcie migracji na żywo. Umożliwia tworzenie i zatrzymywanie nowych przepływów pracy i usług na żądanie. Umożliwia zawieszanie i wznawianie przepływów pracy z kopii migawkowej na różnych maszynach wirtualnych. Firewalle wirtualne i inne urządzenia zabezpieczające muszą dotrzymywać kroku tym nieustannym zmianom przepływów pracy i maszyn wirtualnych, aby utrzymywać zdefiniowane zasady bezpieczeństwa i unikać możliwych luk w zabezpieczeniach powstających na skutek niedopasowania przepływów pracy do egzekwowania zasad ochrony. Można to osiągnąć poprzez: Dobrze zdefiniowane procedury dopasowywania aplikacji, przepływów pracy i maszyn wirtualnych do obowiązujących zasad bezpieczeństwa i punktów kontrolnych usług. Przykładowo, wdrożenie aplikacji dostępnej z Internetu wymaga zastosowania takich usług ochrony jak firewall aplikacji webowych (WAF) zapewniany przez wirtualne wystąpienie WAF na hoście aplikacji. Automatyzację zabezpieczeń w takim środowisku, którą można także osiągnąć przez integrację z takimi rozwiązaniami, jak sieci sterowane programowo (SDN) i zarządzanie chmurą, np. OpenStack. 3. Rozbudowa i skalowalność w skonsolidowanym centrum danych współistnieją zarówno fizyczne, jak i wirtualne urządzenia zabezpieczeń. Do definiowania granic centrum danych, egzekwowania zasad dostępu, umożliwiania segmentacji oraz ochrony przed zagrożeniami zewnętrznymi, takimi jak ataki typu APT (Advanced Persistent Threat), złośliwe kody, wirusy, ataki typu DDoS, złośliwe witryny internetowe itd. wymagane są urządzenia fizyczne, takie jak obrzeża centrum danych i firewalle rdzenia. Są one wyposażone w technologie sprzętowe umożliwiające obsługę stale rosnącego ruchu sieciowego wchodzącego do centrum danych, wychodzącego z niego i przechodzącego przez niego bez tworzenia wąskich gardeł ani pogarszania działania usługi. Zasadniczo umożliwiają one skalowanie zabezpieczeń. Urządzenia wirtualne z kolei uzupełniają fizyczną infrastrukturę zabezpieczeń, zapewniając widoczność ruchu wschód zachód i egzekwowanie zasad bezpieczeństwa w środowisku wirtualnym/chmurze. Udostępniają one pełen zestaw usług ochrony, umożliwiają mikrosegmentację przepływów pracy i zachowanie zgodności z przepisami oraz zapewniają dynamikę zabezpieczeń. Umożliwiają rozbudowę zabezpieczeń. 4. Jedna konsola zarządzania pojedyncza konsola zarządzania umożliwiająca spójne konfigurowanie usług, zarządzanie i raportowanie dotyczące fizycznych i wirtualnych domen zabezpieczeń ma znaczenie kluczowe, ponieważ pozwala uniknąć luk w podejściu do zabezpieczeń centrum danych. Ścisłą integrację ze środowiskiem wirtualnym umożliwiającą zautomatyzowanie wdrażania zasad bezpieczeństwa dla nowych i zmieniających się przepływów pracy, zarówno na poziomie wdrożenia, jak i egzekwowania. Przykładowo, w przypadku oprogramowania vsphere vmotion firmy VMware wirtualny punkt kontrolny jest automatycznie tworzony na docelowej maszynie hosta, a zdefiniowane zasady egzekwowane w przepływach pracy. 5

6 3. Usługi chmury Nawet w skonsolidowanym centrum danych trzeba wdrażać nowe hosty, pamięć masową, platformy wirtualizacji, sprzętową i wirtualną infrastrukturę zabezpieczeń oraz inne komponenty umożliwiające rozwój oraz obsługę nowych aplikacji i usług. Wszystkie one wymagają dodatkowych wydatków kapitałowych i kosztów operacyjnych oraz czasu. Aby uzyskać większą dynamikę i jeszcze bardziej obniżyć koszty, przedsiębiorstwa poszukują rozwiązań poza swoimi prywatnymi centrami danych i chmurami. Dostępność i dojrzałość dostawców chmur pozwala im korzystać z wielu różnych usług chmur, takich jak: Infrastruktura jako usługa (Infrastructure-as-a-Service IaaS) umożliwia korzystanie z maszyn wirtualnych i innych zasobów, np. firewalli wirtualnych, jako usług. Pozwala to zwiększyć dynamikę i zapewnia rozwój przy niższych kosztach, ponieważ nie trzeba ponosić wydatków kapitałowych, a z usługi można korzystać i rezygnować na żądanie, zgodnie z potrzebami przedsiębiorstwa. Przykładem dostawcy usług w modelu IaaS jest firma Amazon Web Services (AWS). Platforma jako usługa (Platform-as-a-Service PaaS) umożliwia korzystanie z kompletnej platformy obliczeniowej, obejmującej system operacyjny, bazę danych, serwer sieciowy i inne komponenty, jako usługi. Ten model umożliwia obniżenie kosztów, pozwalając programistom na opracowywanie i uruchamianie aplikacji bez ponoszenia wydatków kapitałowych i kosztów operacyjnych związanych z zakupem sprzętu i zarządzaniem nim. Przykładem dostawcy usług w modelu PaaS jest Microsoft Azure. Oprogramowanie jako usługa (Software-as-a-Service SaaS) umożliwia korzystanie z aplikacji i ich baz danych, np. SalesForce, jako usługi bez ponoszenia wydatków kapitałowych i kosztów operacyjnych związanych z infrastrukturą wymaganą do uruchamiania i utrzymywania aplikacji. Korzystanie z usług w chmurze rozszerza centrum danych i chmurę prywatną przedsiębiorstwa oraz pozwala utworzyć środowisko hybrydowe chmurę hybrydową w którym niektóre zasoby centrum danych są zlokalizowane i używane poza jego fizycznymi granicami. Z punktu widzenia bezpieczeństwa, jednak, chmura hybrydowa musi stosować takie samo podejście do zabezpieczeń i egzekwować takie same zasady, jakie obowiązują w chmurze prywatnej przedsiębiorstwa: W przypadku modeli PaaS i SaaS zabezpieczenia są obsługiwane i gwarantowane przez usługodawcę, a przedsiębiorstwo musi upewnić się, że spełniają one jego wymagania. W przypadku modelu IaaS przedsiębiorstwo może wydzierżawić wymagane wirtualne urządzenie i usługi ochrony oraz mieć do nich pełen dostęp z uprawnieniami do obsługi administracyjnej, zarządzania i raportowania. Używanie wówczas tych samych urządzeń, jakie są wykorzystywane w prywatnej chmurze przedsiębiorstwa, niesie istotne korzyści, ponieważ można wtedy korzystać ze znanych już funkcji zarządzania, obsługi administracyjnej i raportowania. 6

7 Tworzenie ekosystemu ochrony centrum danych Centrum danych oraz chmury prywatne i hybrydowe stanowią serce infrastruktury informatycznej przedsiębiorstwa. Nie tylko zapewniają moc obliczeniową, pamięć masową i aplikacje wymagane do realizowania podstawowych operacji wewnętrznych w firmie, lecz także umożliwiają interakcję i przeprowadzanie transakcji z ogólnym ekosystemem zewnętrznym partnerami, dostawcami czy klientami. Dlatego właśnie centrum danych jest podstawowym celem ataków i należy je wyposażyć w odpowiednie zabezpieczenia gwarantujące nieprzerwaną, skuteczną ochronę przed ciągle zmieniającymi się zagrożeniami. Efektywne zabezpieczenia centrum danych nie mogą opierać się na pojedynczym produkcie lub technologii ze względu zarówno na rozwój i stopień złożoności samego centrum, jak i na czyhające zagrożenia. Trzeba je raczej zaplanować i wdrożyć jako adaptacyjny ekosystem złożony ze specjalistycznych rozwiązań, które razem mogą zapewnić jak najbardziej wszechstronną ochronę. Należy go oprzeć na następujących głównych założeniach: Możliwość adaptacji do zmieniających się zagrożeń dzięki automatycznym usługom aktualizowania danych przekazującym do ekosystemu zabezpieczeń aktualne informacje o nowych i rozwijających się zagrożeniach. Od sieci do aplikacji ekosystem musi zapewniać całościową ochronę przed atakami na wszystkich poziomach zarówno przed atakami na poziomie sieci, takimi jak wolumetryczne ataki DDoS, jak i przed atakami na poziomie konkretnych aplikacji, takimi jak ataki Cross Site Scripting (XSS) czy wyłudzające informacje wiadomości . Dynamiczny i zautomatyzowany aby nie ograniczać dynamiki i automatyzacji zapewnianych przez wirtualizację w chmurze prywatnej, ekosystem zabezpieczeń należy zintegrować z wirtualnym środowiskiem centrum danych i sieciami sterowanymi programowo (SDN). Klasa centrum danych ekosystem zabezpieczeń centrum danych musi działać efektywnie w dużych środowiskach o wysokiej wydajności i małych opóźnieniach, a przy tym nie stanowić wąskiego gardła ani nie pogarszać punktów usług. 7

8 Ekosystem zabezpieczeń firmy Fortinet dla skonsolidowanych centrów danych Udostępniając kompletny i wszechstronny ekosystem zabezpieczeń centrum danych, firma Fortinet umożliwia i ułatwia przedsiębiorstwu przejście przez proces jego konsolidacji. Oferowane przez nią urządzenia zabezpieczające zarówno płaszczyzny fizyczne, jak i wirtualne oraz niezrównana wydajność i funkcje ochrony umożliwiają wzrost i rozwój skonsolidowanego centrum danych bez pogarszania jakości usług czy powodowania wąskich gardeł. Zachowują przy tym pełen zakres ochrony i zapewniają niezwykle korzystny zwrot z inwestycji: Rozwiązanie Fortinet do ochrony centrum danych jest adaptacyjne dzięki programowi FortiGuard do badania zagrożeń i aktualizowania danych na ich temat, co gwarantuje nieprzerwaną i dynamiczną ochronę za pomocą automatycznych usług aktualizacji przekazującym do ekosystemu aktualne informacje o nowych i rozwijających się zagrożeniach. Ekosystem zabezpieczeń firmy Fortinet zapewnia kompletną, całościową ochronę przed atakami na wszystkich poziomach, zarówno przed atakami na poziomie sieci, takimi jak wolumetryczne ataki DDoS, jak i przed atakami na poziomie konkretnych aplikacji, takimi jak ataki Cross Site Scripting (XSS) czy wyłudzające informacje wiadomości 1. FortiGate obsługuje segmentację, firewall, antywirusa, systemy IPS, kontrolę aplikacji, kategoryzację i filtrowanie stron WWW, NGFW itd. 2. FortiDDoS chroni przed atakami DDoS na poziomie sieci i aplikacji. 3. FortiWeb obsługuje firewall aplikacji webowych (WAF). 4. FortiMail zapewnia zabezpieczoną bramę poczty. 5. FortiADC gwarantuje świadczenie usług i odciąża SSL. 6. FortiSandbox wykrywa naruszenia zabezpieczeń i zapewnia ochronę przed zaawansowanymi zagrożeniami (Advanced Threat Protection ATP). Szeroki zakres wirtualnych urządzeń centrum danych i domen wirtualnych (VDOM) umożliwia integrację rozwiązań Fortinet ze środowiskami wirtualnymi i sieciami sterowanymi programowo (SDN), zapewniając szereg usług ochrony charakteryzujących się wymaganą dynamiką i automatyzacją, jak przedstawiono w poniższej tabeli: Urządzenie wirtualne vsphere v4.0/4.1 vsphere v5.0 VMware Citrix Open Source Amazon Microsoft vsphere v5.1 vsphere v5.5 Xen Server v5.6 SP2 Xen Server v6.0 Xen KVM AWS Hyper-V 2008 R2 Hyper-V 2012 FortiGate VM FortiManager VM FortiAnalyzer VM FortiWeb VM FortiMail VM FortiAuthenticator VM FortiADC VM FortiCache VM FortiSandbox VM FortiGate VMX 8

9 Urządzenia zabezpieczające firmy Fortinet zapewniają wysoką dostępność i opierają się na specjalnie opracowanej technologii FortiASIC spełniającej najbardziej wygórowane wymagania w zakresie wydajności klasy centrum danych w kilku aspektach: 1. Przepustowość / opóźnienia od 80 Gb/s do ponad 1 Tb/s / poniżej 7 µs 2. Zagęszczenie portów od sześciu do setek portów na urządzenie 3. Szybkie interfejsy 10/40/100 Gb/s Zarządzanie z jednej konsoli: Rozwiązania FortiManager i FortiAnalyzer zapewniają scentralizowane zarządzanie oraz funkcje raportowania i analizy do zarówno sprzętowych, jak i wirtualnych urządzeń zabezpieczających. Na poniższej ilustracji przedstawiono ekosystem Fortinet obejmujący fizyczne i wirtualne płaszczyzny centrum danych: 9

10 Płaszczyzna fizyczna Chociaż wiele funkcji zabezpieczeń można, a czasami nawet trzeba, wdrożyć na poziomie płaszczyzny wirtualnej, nadal konieczne jest wdrożenie fizycznych urządzeń zabezpieczających na poziomie płaszczyzny fizycznej, jak opisano w poniższych przykładach: 1. Ochrona przed atakami DDoS (FortiDDoS) musi działać w warstwie sieci fizycznej, aby chronić przed atakami DDoS na poziomie sieci i aplikacji. Próba jej wdrożenia na płaszczyźnie wirtualnej spowoduje, że centrum danych nadal będzie podatne na tego typu ataki przeprowadzane z sieci połączonych, na przykład z Internetu czy korporacyjnego ekstranetu. 2. Firewall brzegowy następnej generacji i firewall rdzenia centrum danych (FortiGate) także należy wdrożyć na fizycznej płaszczyźnie centrum danych z następujących względów: A. Ochrona zasobów niezwirtualizowanych w większości przypadków centra danych nie są zwirtualizowane w 100%. Dlatego też niezwirtualizowane zasoby obliczeniowe i pamięć masową należy chronić przed jak największym zakresem ataków, korzystając z firewalla następnej generacji FortiGate. B. Segmentacja fizyczna kwestie operacyjne i konieczność zapewnienia zgodności z różnymi przepisami dotyczącymi poufności i ochrony danych (takimi jak ustawy HIPPA i PCI) wymagają utworzenia zaufanych stref bezpieczeństwa posegmentowanych za pomocą firewalla. Jeśli tylko te poufne zasoby i zaufane strefy bezpieczeństwa są wdrażane także na płaszczyźnie fizycznej, do egzekwowania ich segmentacji i ochrony wymagany jest fizyczny firewall FortiGate. C. Ochrona środowiska wirtualnego jeśli na płaszczyźnie fizycznej nie ma żadnego fizycznego firewalla, który egzekwowałby zasady bezpieczeństwa, samo środowisko wirtualne staje się potencjalnie podatne na ataki. Dzieje się tak dlatego, że firewalle wirtualne zyskują wgląd w dane, dopiero gdy przejdą przez to środowisko. Jest to bardzo niebezpieczna luka w zabezpieczeniach, którą należy eliminować przez wdrażanie na obrzeżach centrum danych rozwiązania FortiGate jako firewalla następnej generacji. D. Wydajność zabezpieczenia skonsolidowanego centrum danych muszą zapewniać bogaty zestaw usług ochrony nieustannie rosnących ilości danych. Aby podołać temu zadaniu bez powodowania wąskich gardeł, urządzenia zabezpieczające centrum danych muszą gwarantować odpowiedni poziom wydajności (przepustowość, możliwość skalowania sesji, opóźnienia itd.). Podczas gdy wymaganą wydajność łatwo osiągnąć za pomocą fizycznych urządzeń FortiGate, zapewnienie jej poprzez dodanie wirtualnych urządzeń ochrony w celu zwiększenia zagregowanej wydajności zabezpieczeń może być trudne zarówno ze względu na koszty, jak i złożoność zarządzania. W celu zapewnienia skutecznej i pełnej ochrony centrum danych konieczne jest wdrożenie na jego płaszczyźnie fizycznej fizycznych urządzeń zabezpieczających (ochrony przed atakami DDoS i firewalla następnej generacji). Kierując się specjalnymi potrzebami dotyczącymi na przykład wydajności, kosztu czy udostępnianych usług, niektóre ze specjalnie konstruowanych urządzeń zabezpieczających, takie jak bezpieczna brama pocztowa (SMG FortiMail), firewall aplikacji webowych (WAF FortiWeb), kontroler dostarczania aplikacji (ADC FortiADC) i Sandboxing (FotiSandbox), można wdrażać jako urządzenia wirtualne. Płaszczyzna wirtualna Na wirtualnej płaszczyźnie centrum danych Fortinet oferuje bogaty zestaw urządzeń wirtualnych dostarczanych jako standardowe maszyny wirtualne (VM) działające ponad wirtualnymi przełącznikami i funkcjami, które mogą dzięki temu korzystać z zapewnianej dynamiki i elastyczności. W środowisku VMware rozwiązanie FortiGate-VMX firmy Fortinet umożliwia integrację na poziomie jądra systemu, tak by każda maszyna wirtualna w hoście mogła korzystać z pełnej segmentacji i ochrony zapewnianej przez firewalla następnej generacji (NGFW). Rozwiązanie FortiGate-VMX jest zgodne z oprogramowaniem NSX firmy VMware, co pozwala na automatyczne i dynamiczne egzekwowanie zasad bezpieczeństwa przepływów pracy w centrum danych sterowanym programowo (Software Defined Data Center SDDC) SDN. System operacyjny zabezpieczeń firmy Fortinet, FortiOS, działa zarówno na fizycznych, jak i wirtualnych urządzeniach zabezpieczających. Dzięki temu na obu płaszczyznach dostępny jest ten sam bogaty zestaw usług i funkcji, co eliminuje możliwe luki w zabezpieczeniach i zapewnia pełen zakres usług ochrony przed obecnymi i przyszłymi zagrożeniami. 10

11 Podsumowanie Ekosystem zabezpieczeń firmy Fortinet zapewnia kompletne, wszechstronne rozwiązanie zabezpieczeń i umożliwia wdrożenie go w skonsolidowanym centrum danych. Obejmuje on fizyczne i wirtualne urządzenia ochrony przeznaczone do fizycznych i wirtualnych płaszczyzn nowoczesnych centrów danych zapewniające wysoką wydajność, dynamikę, zgodność z przepisami i efektywność kosztową wymagane w tych wysoko wydajnych i dynamicznych środowiskach. Rozwiązania FortiManager i FortiAnalyzer udostępniają funkcje scentralizowanego zarządzania urządzeniami oraz logowania i analizowania zdarzeń, a także zarządzania bezpieczeństwem centrum danych. Niezależnie od rozwoju centrum danych oraz etapu procesu konsolidacji firma Fortinet udostępnia rozwiązania, specjalistyczną wiedzę i doświadczenie zapewniające optymalny poziom ochrony. 11

12 OPRACOWANIE Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: (55) Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji.