Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Transkrypt

1 Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

2 Agenda Wprowadzenie Tradycyjny i dedykowany sposób ochrony środowiska wirtualnego Standardowy tryb pracy zabezpieczeń VPN-1 VE Nowe rozwiązanie VE "Avatar" VE praktyczne zastosowanie Podsumowanie 2

3 Wprowadzenie Wymaganie biznesowe Optymalizacja rosnących kosztów utrzymania i rozwoju systemów IT. Rozwiązanie Centralizacja i konsolidacja systemów IT w głównych lokalizacjach firm i Centrach Danych. Wirtualizacja zasobów IT i infrastruktury sieciowej. Problemy bezpieczeństwa Te klasy systemów IT posiadają specyficzne zagrożenia i wymagają wdrożenia adekwatnych środków bezpieczeństwa. 3

4 Wprowadzenie NIC NIC NIC NIC Wymaga wdrożenia zabezpieczeń Zagrożenia sieciowe: Exploits C2S i S2C (D)DoS Malware - robak, wirus, bakteria/królik, trojan/rootkit, spyware, keylogger, bot, zombie, drones, itd. Sniffing Spoofing Phishing Pharming SQL-injection, Cross Site Scripting, itd. Internet / WAN LAN 4

5 Wprowadzenie Wirtualne maszyny Wirtualne porty sieciowe Wirtualne przełączniki Fizyczne porty sieciowe VM1 VM2 VM3 vnic vnic vnic vnic vswitch 1 vswitch 2 NIC NIC Zabezpieczenia środowiska VMWare (m.in. izolacja VM i vswitch) nie ograniczają możliwości wykonywania ataków na/z VM. Zagrożenia analogiczne jak dla środowiska fizycznego. Dodatkowo, atakom może zostać poddane samo środowisko wirtualne (Hipervisor, VMware Console). Internet / WAN LAN 5

6 Ochrona tradycyjna Wymaga wdrożenia fizycznych urządzeń zabezpieczeń: Firewall VPN IPS AV, AS, WF, itd. Niezgodne z filozofią środowiska wirtualnego. Wysokie koszty wdrożenia i utrzymania. Ogranicza swobodę rozwoju wirtualnego środowiska IT. vswitch 1 VM1 VM2 VM3 vnic vnic vnic vnic NIC Internet / WAN NIC Port group X vswitch 2 vswitch 3 Urządzenia zabezpieczeń NIC Port group Y VLAN ID X, Y VLAN Trunk (802.1q) LAN 6

7 Ochrona dedykowana Check Point VPN-1 Virtual Edition (VE) 7

8 Ochrona dedykowana System zabezpieczeń Check Point VPN-1 VE w środowisku VMware działa jako maszyna wirtualna ze specjalizowanym systemem operacyjnym Check Point SecurePlatform. VPN-1 VE jest certyfikowany przez VMware (ESX, vsphere). Moduł zabezpieczeń VPN-1 VE uruchamiany z prekonfigurowanego pakietu OVF. Wdrożenie VE nie wymaga wiedzy eksperckiej VMware. 8

9 Ochrona dedykowana Stały poziom bezpieczeństwa bez względu na zmiany wirtualnego środowiska (m.in. ochrona VM w trakcie działania VMotion) Wsparcie dla VMotion (także dla Storage) zapewnia elastyczność i ochronę przed awariami. Integracja z VMsafe API (m.in. umożliwia ochronę VM w sytuacji, gdy VM podłączone są do tego samego vswitch). Inspekcja na poziomie Hypervisor zapewnia wysoką wydajność. VPN-1 VE pkt Security API ESX Server 9

10 Ochrona dedykowana VE zarządzane z jednego systemu SmartCenter /Provider-1 razem z fizycznymi urządzeniami zabezpieczeń Check Point. Fizyczne urządzania zabezpieczeń VSX VPN-1 VE SmartCenter / Provider-1 SmartCenter może zostać także uruchomione w VE. 10

11 Ochrona dedykowana Wersja oprogramowania VPN-1 VE R70 wspiera 2 tryby pracy: Standard VE - moduł zabezpieczeń VPN-1 działa w środowisku wirtualnym na analogicznej zasadzie jak urządzenie zabezpieczeń w sieci (tzn. poprzez vswitch pośredniczy w komunikacji VM). "Avatar" - moduł zabezpieczeń VPN-1 jest zintegrowany z VMware Hypervisor poprzez interfejsy vnetwork Appliance API (VMsafe API). 11

12 VE tryb standardowy 12

13 VE tryb standardowy VM1 VM2 VM3 vnic vnic vnic vnic vswitch 3 vswitch 4 Port group X, Y, Z VLAN ID X, Y, Z Check Point VE Ochrona zasobów IT maszyn wirtualnych przed zagrożeniami zewnętrznymi oraz atakami z innych VM. Nie wymaga inwestycji w dodatkowe urządzenia sieciowe i zabezpieczeń, ani też ponoszenia kosztów ich utrzymania (zasilanie, chłodzenie, podłączenie do sieci, itd.). vswitch 1 vswitch 2 NIC NIC Internet / WAN LAN 13

14 VE tryb standardowy Wpierane funkcje ochrony i zarządzania: UTM/Power: Firewall, Intrusion Prevention (IPS), Anti-virus, Anti-spyware, Anti-spam, Web application security, VoIP security, Web filtering, IPSec i SSL VPN. ClusterXL: ochrona przed awarii zabezpieczeń i podwyższenie wydajności (load sharing). SmartCenter: centralny system zarządzania zabezpieczeń. 14

15 VE tryb standardowy Sprawny i bezpieczny rozwój wirtualnego środowiska IT. Elastyczność wdrożenia: tryb rutera (L3) z translacją adresów NAT, obsługa VLAN 802.1q - kreowanie nowych stref bezpieczeństwa, tryb przezroczysty Bridge Mode (L2) utrzymanie istniejącej adresacji IP. IP /16 VM1 VM2 VM3 vnic vnic vnic vswitch 2 Check Point VE (Bridge Mode) vswitch 1 NIC IP: /16 15

16 VE "Avatar" 16

17 VE "Avatar" Integracja zabezpieczeń VPN-1 w trybie Avatar ze środowiskiem VMware odbywa się poprzez komponenty Fast Path Agent dołączane w czasie instalacji pakietu VE do wszystkich vnic wszystkich VM. Wszystkie pakiety przechodzące przez vnic są poddawane inspekcji przez Fast Path Agent. Ochrona każdej istniejącej i dodawanej VM. 17

18 VE "Avatar" Ruch sieciowy poprzez Fast Path Agent trafia do wirtualnej maszyny VE. Dla nowych VM obowiązują domyślne ustawienia bezpieczeństwa. Możliwość dostrajania pracy zabezpieczeń (Bypass, Block, Secure, Monitor-Only) na poziomie VM, port group i vswitch. 18

19 VE "Avatar" Podstawowe własności (1): Wsparcie podstawowych funkcji bezpieczeństwa - Firewall/VPN, Antywirus i Intrusion Prevention (IPS). Ochrona przed podszywaniem VM Spoofing na poziomie L2 i L3 (adresy MAC i IP). Zarządzanie zabezpieczeń Avatar odbywa się z konsoli Check Point SmartCenter (R70 i wyższe). Rejestrowanie zdarzeń systemu VMware związanych z bezpieczeństwem (np. dodanie VM, zmiana topologii). Specyficzne ustawienia konfiguracyjne poprzez narzędzia sysconfig. Wdrożenie VE Avatar nie wymaga żadnej dodatkowej konfiguracji ani zmian środowiska VMware. 19

20 VE "Avatar" Podstawowe własności (2): Rozwiązanie "pod klucz" - importowane jako pakiet OVF poprzez vsphere Client Import Wizard. Obsługa do 100 VM na jednym serwerze ESX. Praca w trybie Fail-Close lub Fail-Open (w razie problemów z działaniem agentów lub zabezpieczeń VPN-1 VE ruch jest przepuszczany bez inspekcji). Ochrona klastrów ESX z wykorzystaniem technologii Check Point ClusterXL VE (do 4 serwerów w klastrze ESX). Wsparcie dla zaawansowanych funkcji VMware jak vmotion, Distributed Resource Scheduler (DRS), Distributed Virtual Switches (DVS). 20

21 VE praktyczne zastosowania 21

22 VE praktyczne zastosowania Virtualization Server Security Ochrona wirtualnych farm serwerów i Centrów Danych z możliwością integracji z innymi rozwiązaniami ochrony. Office-in-a-box Na jednym fizycznym serwerze (lub klastrze) kompletne środowisko aplikacyjne firmy wraz z wysokiej jakości zabezpieczeniami. Disaster Recovery W razie awarii systemu informatycznego VE umożliwia szybkie odtworzenie w środowisku wirtualnym kluczowych zasobów IT przy zapewnieniu należytego bezpieczeństwa. 22

23 Ext Ext Ext Ext VE praktyczne zastosowania Virtualization Server Security pkt pktpkt The Internet ESX 1 ESX 2 ESX 3 ESX 4 Active Standby Sync App Sync App Sync App 23

24 Vswitch ext Vswitch sync Vswitch sync Vswitch ext VE praktyczne zastosowania Office-in-a-box Pkt The Internet pkt pkt ESX server 1 ESX server 2 ext Web ext Vswitch Web Web Web Vswitch Web VE Active Sync Sync VE Standby Active Vswitch App int Switch int Vswitch App App1 App2 App3 Mgmt 24

25 V3 VE praktyczne zastosowania Disaster Recovery pkt The Internet Ext VPN Tunnel Trunk port VE Int Web DB FTP pkt Service Console pkt 25

26 Podsumowanie Check Point VPN-1 VE - "naturalna" ochrona środowiska wirtualnego, specjalnie zaprojektowana i działająca wewnątrz tego środowiska. Avatar - tryb pracy zabezpieczeń VPN-1 VE zintegrowany z VMware Hypervisor (VMsafe API). Zapewnia stałe bezpieczeństwo dla dynamicznie zmieniającego się środowiska wirtualnego (m.in. VMotion, nowe VM). Zarządzanie VE przez SmartCenter/Provider-1 razem z innymi zabezpieczeniami Check Point. Wdrożenie VE nie wymaga wiedzy eksperckiej VMware. Nie wymaga inwestycji w dodatkowe urządzenia sieciowe i zabezpieczeń, ani też ponoszenia kosztów ich utrzymania (zasilanie, chłodzenie, podłączenie do sieci, itd.). 26

27 Dziękuję! Zapraszamy do wypożyczenia i testów nowego rozwiązania