Wirtualizacja sieciowej infrastruktury bezpieczeństwa

Transkrypt

1 Wirtualizacja sieciowej infrastruktury bezpieczeństwa - Check Point VSX i VE dr inŝ.. Mariusz Stawowski mariusz.stawowski@clico.pl

2 Plan wystąpienia Wprowadzenie Ochrona Centrów Danych i MSS Check Point VSX Ochrona środowisk wirtualnych Check Point VPN-1 1 VE Podsumowanie

3 Wprowadzenie Wymaganie biznesowe Optymalizacja rosnących kosztów utrzymania i rozwoju systemów IT. Rozwiązanie Centralizacja i konsolidacja systemów IT w głównych lokalizacjach firm, Centrach Danych, a takŝe wykorzystanie usług outsourcingu jak MSS. Wirtualizacja sprzętu IT i infrastruktury. Problemy Te klasy systemów IT posiadają liczne zagroŝenia i wymagają wdroŝenia adekwatnych środków bezpieczeństwa. Centralizacja i konsolidacja zasobów IT stwarza większe zagroŝenie ataków (D/DoS, włamania) i utrudnione zarządzanie bezpieczeństwem (wielu uŝytkowników i zasoby IT róŝnych firm). Wirtualizacja stwarza zagroŝenie przeciąŝenia współdzielonych zasobów. Incydent bezpieczeństwa w DC i MSS moŝe spowodować zakłócenie ciągłości działania biznesu i straty dla wielu firm.

4 Check Point dostarcza rozwiązania zania bezpieczeństwa umoŝliwiaj liwiające efektywną ochronę Centrów w Danych i MSS oraz środowisk wirtualnych VSX: : Wirtualizacja systemu zabezpieczeń Provider-1: : Wirtualizacja systemu zarządzania VPN-1 1 VE: : Ochrona środowisk wirtualnych VM1 VM2 VM3 VM4

5 Ochrona Centrów w Danych i MSS - Check Point VSX / Provider-1 Internet Zasoby klienta 1 NOC VSX Cluster wirtualne systemy Zasoby klienta 2 Provider-1 WAN (MPLS,...) Zasoby klienta N Sieć klienta 1 Sieć klienta 2 Sieć klienta N

6 Check Point VSX VSX na jednej platformie sprzętowej implementuje wirtualne systemy zabezpieczeń VS oraz elementy sieci wirtualne rutery,, przełą łączniki i łącza. Wirtualne systemy VS zachowują swoją autonomiczność - posiadają oddzielne: interfejsy sieciowe tabele rutingu /forwardingu tabele stanu zabezpieczeń polityki zabezpieczeń i logi certyfikaty SIC parametry konfiguracyjne, itp.

7 Check Point VSX URL Filtering aktywowane per VS skalowalność do setek tysięcy uŝytkowniku ytkowników SSL VPN SNX Rozszerzona ochrona przed atakami SmartDefense Web Intelligence VoIP security wspierane protokoły: H.323 v2,3,4; H.225 v2,3,4; H.245 v3,5,7, SIP, SIP over UDP, SIP over TCP, MGCP, Skinny/SCCP, Alcatel UA

8 Check Point Provider-1 Provider-1 1 MDS na jednej platformie sprzętowej utrzymuje wiele modułów w zarządzania CMA. KaŜdy wirtualny moduł zarządzania CMA posiada: własnych administratorów, własne zbiory polityk zabezpieczeń, własny urząd d certyfikacji ICA, własną bazę uŝytkowników w i obiektów w sieciowych, własne pliki logów, itp.

9 Check Point VPN-1 Virtual Edition (VE) VM1 VM2 VM3 VM4

10 ZagroŜenia systemów w IT NIC NIC NIC NIC Wymaga wdroŝenia zabezpieczeń ZagroŜenia sieciowe: Exploits C2S i S2C (D)DoS Malware - robak, wirus, bakteria/królik, trojan/rootkit rootkit, spyware, keylogger,, bot, zombie, drones,, itd. Sniffing Spoofing Phishing Pharming SQL-injection injection,, Cross Site Scripting,, itd. Internet / WAN LAN

11 ZagroŜenia środowiska wirtualnego Wirtualne maszyny Wirtualne porty sieciowe Wirtualne przełączniki Fizyczne porty sieciowe VM1 VM2 VM3 vnic vnic vnic vnic vswitch 1 vswitch 2 NIC NIC Zabezpieczenia środowiska VMWare (m.in. izolacja VM i vswitch) ) nie ograniczają moŝliwo liwości wykonywania ataków w na/z VM. ZagroŜenia analogiczne jak dla środowiska fizycznego. Internet / WAN LAN

12 Ochrona środowiska wirtualnego Wymaga wdroŝenia fizycznych urządze dzeń zabezpieczeń: Firewall VPN IPS AV, AS, WF, itd. Niezgodne z filozofią środowiska wirtualnego. Wysokie koszty wdroŝenia i utrzymania. Ogranicza swobodę rozwoju wirtualnego środowiska IT. vswitch 1 VM1 VM2 VM3 vnic vnic vnic vnic NIC Internet / WAN vswitch 2 vswitch 3 NIC Port group X Urządzenia zabezpieczeń NIC Port group Y VLAN ID X, Y VLAN Trunk (802.1q) LAN

13 Check Point VPN-1 1 VE System zabezpieczeń VE w środowisku VMWare działa a jako maszyna wirtualna z systemem operacyjnym Check Point SecurePlatform. VPN-1 1 VE jest certyfikowany na serwery VMware ESX w wersjach 3.0.2, 3.5 oraz ESXi 3.5. Moduł zabezpieczeń VPN-1 1 VE uruchamiany z pre-konfigurowanego pakietu OVF lub VMX (1CPU, 512MB RAM, 12GB HDD). Nie wymaga uŝycia dodatkowych urządze dzeń.

14 Check Point VPN-1 1 VE Ochrona zasobów w IT maszyn wirtualnych przed zagroŝeniami zewnętrznymi oraz atakami z innych VM. Nie wymaga inwestycji w dodatkowe urządzenia sieciowe i zabezpieczeń,, ani teŝ ponoszenia kosztów ich utrzymania (zasilanie, chłodzenie, podłą łączenie do sieci, itd.).

15 VPN-1 1 VE - funkcjonalność Check Point VPN-1 1 VE posiada wszystkie funkcje bezpieczeństwa VPN-1 Gateway oraz modułu zarządzania SmartCenter Server. Wspierane sąs następuj pujące pakiety: VPN-1 1 UTM NGX R65: kompletna ochrona UTM - firewall, intrusion prevention, antivirus, antispyware,, Web application firewall, IPSec i SSL VPN. VPN-1 1 Power NGX R65: zabezpieczenia firewall/vpn wysokiej wydajności. VPN-1 1 UTM Power NGX R65: rozwiązanie zanie UTM wysokiej wydajności. ClusterXL NGX R65: ochrona przed awarii zabezpieczeń i podwyŝszenie wydajności (load( sharing). Check Point SmartCenter: centralny system zarządzania zabezpieczeń. VPN-1 1 VE jest kompatybilny ze zwykłymi ymi pakietami poprawek VPN-1 Hotfix Accumulators (HFAs)) począwszy od wersji HFA 30.

16 VPN-1 1 VE - wdroŝenie Sprawny i bezpieczny rozwój wirtualnego środowiska IT. Elastyczność wdroŝenia: WdroŜenia zabezpieczeń VE w trybie Standalone lub Distributed, Firewall/ruter ruter (L3) z obsług ugą VLAN 802.1q - kreowanie nowych stref bezpieczeństwa, Bridge Mode (L2) utrzymanie istniejącej adresacji IP. Konfiguracje HA (ClusterXL( ClusterXL) dla VPN-1 Gateway i SmartCenter w obszarze serwera ESX oraz pomiędzy róŝnymi serwerami. IP /16 VM1 VM2 VM3 vnic vnic vnic vswitch 2 vswitch 1 NIC IP: /16 Check Point VE (Bridge Mode)

17 VPN-1 1 VE - zarządzanie VE zarządzane z jednego systemu SmartCenter /Provider-1 1 razem z fizycznymi urządzeniami zabezpieczeń Check Point. SmartCenter moŝe e zostać takŝe e uruchomione w VE.

18 VPN-1 1 VE - zastosowania Virtualization Server Security Office-in in-a-box Disaster Recovery Ochrona wirtualnych farm serwerów w i Centrów w Danych z moŝliwo liwością integracji z innymi rozwiązaniami zaniami wirtualizacji Check Point VSX i Provider-1. Na jednym fizycznym serwerze kompletne środowisko aplikacyjne firmy wraz z wysokiej jakości zabezpieczeniami. SSL VPN (Connectra( Connectra) ) w trakcie certyfikacji. W razie awarii systemu informatycznego VE umoŝliwia szybkie odtworzenie w środowisku wirtualnym kluczowych zasobów w IT przy zapewnieniu naleŝytego bezpieczeństwa.

19 Podsumowanie Efektywna ochrona środowiska wirtualnego VE - warstwy zabezpieczeń UTM, chroniące ce zasoby IT maszyn wirtualnych w środowisku VMWare przed zagroŝeniami zewnętrznymi oraz atakami z innych wirtualnych maszyn. Zunifikowany system zarządzania Zarządzenie VE z jednego systemu SmartCenter /Provider-1 1 razem z fizycznymi urządzeniami zabezpieczeń Check Point. ObniŜenie kosztów w rozwoju systemów w IT VE zapewnia bezpieczny rozwój j wirtualnego środowiska IT bez konieczności ci inwestycji w dodatkowe urządzenia zabezpieczeń i ponoszenia kosztów w ich utrzymania (zasilanie, chłodzenie, podłą łączenie do sieci, itd.). Uproszczone wdroŝenie zabezpieczeń - VE uruchamiane jest z gotowego do uŝyciau ycia pakietu bez konieczności ci uŝycia u dodatkowych urządze dzeń. Utrzymanie ciągłości działania ania biznesu VE umoŝliwia szybkie odtworzenie kluczowych zasobów IT na wypadek awarii przy zapewnieniu naleŝytego bezpieczeństwa.

20 Pytania? Opis rozwiązań w j. polskim Bezpłatne warsztaty zabezpieczeń moŝliwość weryfikacji rozwiązań Check Point w praktycznym działaniu Centrum kompetencyjne CLICO - doradztwo świadczone przez doświadczonych, certyfikowanych ekspertów bezpieczeństwa IT (m.in. CISSP, CCSE+) Szkolenia eksperckie z tematyki projektowania zabezpieczeń sieciowych Więcej informacji nt. VSX i innych rozwiązań Check Point w ksiąŝce -->