Wirtualizacja sieciowej infrastruktury bezpieczeństwa - Check Point VSX i VE dr inŝ.. Mariusz Stawowski mariusz.stawowski@clico.pl
Plan wystąpienia Wprowadzenie Ochrona Centrów Danych i MSS Check Point VSX Ochrona środowisk wirtualnych Check Point VPN-1 1 VE Podsumowanie
Wprowadzenie Wymaganie biznesowe Optymalizacja rosnących kosztów utrzymania i rozwoju systemów IT. Rozwiązanie Centralizacja i konsolidacja systemów IT w głównych lokalizacjach firm, Centrach Danych, a takŝe wykorzystanie usług outsourcingu jak MSS. Wirtualizacja sprzętu IT i infrastruktury. Problemy Te klasy systemów IT posiadają liczne zagroŝenia i wymagają wdroŝenia adekwatnych środków bezpieczeństwa. Centralizacja i konsolidacja zasobów IT stwarza większe zagroŝenie ataków (D/DoS, włamania) i utrudnione zarządzanie bezpieczeństwem (wielu uŝytkowników i zasoby IT róŝnych firm). Wirtualizacja stwarza zagroŝenie przeciąŝenia współdzielonych zasobów. Incydent bezpieczeństwa w DC i MSS moŝe spowodować zakłócenie ciągłości działania biznesu i straty dla wielu firm.
Check Point dostarcza rozwiązania zania bezpieczeństwa umoŝliwiaj liwiające efektywną ochronę Centrów w Danych i MSS oraz środowisk wirtualnych VSX: : Wirtualizacja systemu zabezpieczeń Provider-1: : Wirtualizacja systemu zarządzania VPN-1 1 VE: : Ochrona środowisk wirtualnych VM1 VM2 VM3 VM4
Ochrona Centrów w Danych i MSS - Check Point VSX / Provider-1 Internet Zasoby klienta 1 NOC VSX Cluster wirtualne systemy Zasoby klienta 2 Provider-1 WAN (MPLS,...) Zasoby klienta N Sieć klienta 1 Sieć klienta 2 Sieć klienta N
Check Point VSX VSX na jednej platformie sprzętowej implementuje wirtualne systemy zabezpieczeń VS oraz elementy sieci wirtualne rutery,, przełą łączniki i łącza. Wirtualne systemy VS zachowują swoją autonomiczność - posiadają oddzielne: interfejsy sieciowe tabele rutingu /forwardingu tabele stanu zabezpieczeń polityki zabezpieczeń i logi certyfikaty SIC parametry konfiguracyjne, itp.
Check Point VSX URL Filtering aktywowane per VS skalowalność do setek tysięcy uŝytkowniku ytkowników SSL VPN SNX Rozszerzona ochrona przed atakami SmartDefense Web Intelligence VoIP security wspierane protokoły: H.323 v2,3,4; H.225 v2,3,4; H.245 v3,5,7, SIP, SIP over UDP, SIP over TCP, MGCP, Skinny/SCCP, Alcatel UA
Check Point Provider-1 Provider-1 1 MDS na jednej platformie sprzętowej utrzymuje wiele modułów w zarządzania CMA. KaŜdy wirtualny moduł zarządzania CMA posiada: własnych administratorów, własne zbiory polityk zabezpieczeń, własny urząd d certyfikacji ICA, własną bazę uŝytkowników w i obiektów w sieciowych, własne pliki logów, itp.
Check Point VPN-1 Virtual Edition (VE) VM1 VM2 VM3 VM4
ZagroŜenia systemów w IT NIC NIC NIC NIC Wymaga wdroŝenia zabezpieczeń ZagroŜenia sieciowe: Exploits C2S i S2C (D)DoS Malware - robak, wirus, bakteria/królik, trojan/rootkit rootkit, spyware, keylogger,, bot, zombie, drones,, itd. Sniffing Spoofing Phishing Pharming SQL-injection injection,, Cross Site Scripting,, itd. Internet / WAN LAN
ZagroŜenia środowiska wirtualnego Wirtualne maszyny Wirtualne porty sieciowe Wirtualne przełączniki Fizyczne porty sieciowe VM1 VM2 VM3 vnic vnic vnic vnic vswitch 1 vswitch 2 NIC NIC Zabezpieczenia środowiska VMWare (m.in. izolacja VM i vswitch) ) nie ograniczają moŝliwo liwości wykonywania ataków w na/z VM. ZagroŜenia analogiczne jak dla środowiska fizycznego. Internet / WAN LAN
Ochrona środowiska wirtualnego Wymaga wdroŝenia fizycznych urządze dzeń zabezpieczeń: Firewall VPN IPS AV, AS, WF, itd. Niezgodne z filozofią środowiska wirtualnego. Wysokie koszty wdroŝenia i utrzymania. Ogranicza swobodę rozwoju wirtualnego środowiska IT. vswitch 1 VM1 VM2 VM3 vnic vnic vnic vnic NIC Internet / WAN vswitch 2 vswitch 3 NIC Port group X Urządzenia zabezpieczeń NIC Port group Y VLAN ID X, Y VLAN Trunk (802.1q) LAN
Check Point VPN-1 1 VE System zabezpieczeń VE w środowisku VMWare działa a jako maszyna wirtualna z systemem operacyjnym Check Point SecurePlatform. VPN-1 1 VE jest certyfikowany na serwery VMware ESX w wersjach 3.0.2, 3.5 oraz ESXi 3.5. Moduł zabezpieczeń VPN-1 1 VE uruchamiany z pre-konfigurowanego pakietu OVF lub VMX (1CPU, 512MB RAM, 12GB HDD). Nie wymaga uŝycia dodatkowych urządze dzeń.
Check Point VPN-1 1 VE Ochrona zasobów w IT maszyn wirtualnych przed zagroŝeniami zewnętrznymi oraz atakami z innych VM. Nie wymaga inwestycji w dodatkowe urządzenia sieciowe i zabezpieczeń,, ani teŝ ponoszenia kosztów ich utrzymania (zasilanie, chłodzenie, podłą łączenie do sieci, itd.).
VPN-1 1 VE - funkcjonalność Check Point VPN-1 1 VE posiada wszystkie funkcje bezpieczeństwa VPN-1 Gateway oraz modułu zarządzania SmartCenter Server. Wspierane sąs następuj pujące pakiety: VPN-1 1 UTM NGX R65: kompletna ochrona UTM - firewall, intrusion prevention, antivirus, antispyware,, Web application firewall, IPSec i SSL VPN. VPN-1 1 Power NGX R65: zabezpieczenia firewall/vpn wysokiej wydajności. VPN-1 1 UTM Power NGX R65: rozwiązanie zanie UTM wysokiej wydajności. ClusterXL NGX R65: ochrona przed awarii zabezpieczeń i podwyŝszenie wydajności (load( sharing). Check Point SmartCenter: centralny system zarządzania zabezpieczeń. VPN-1 1 VE jest kompatybilny ze zwykłymi ymi pakietami poprawek VPN-1 Hotfix Accumulators (HFAs)) począwszy od wersji HFA 30.
VPN-1 1 VE - wdroŝenie Sprawny i bezpieczny rozwój wirtualnego środowiska IT. Elastyczność wdroŝenia: WdroŜenia zabezpieczeń VE w trybie Standalone lub Distributed, Firewall/ruter ruter (L3) z obsług ugą VLAN 802.1q - kreowanie nowych stref bezpieczeństwa, Bridge Mode (L2) utrzymanie istniejącej adresacji IP. Konfiguracje HA (ClusterXL( ClusterXL) dla VPN-1 Gateway i SmartCenter w obszarze serwera ESX oraz pomiędzy róŝnymi serwerami. IP 10.10.0.0/16 VM1 VM2 VM3 vnic vnic vnic vswitch 2 vswitch 1 NIC IP: 10.10.0.0/16 Check Point VE (Bridge Mode)
VPN-1 1 VE - zarządzanie VE zarządzane z jednego systemu SmartCenter /Provider-1 1 razem z fizycznymi urządzeniami zabezpieczeń Check Point. SmartCenter moŝe e zostać takŝe e uruchomione w VE.
VPN-1 1 VE - zastosowania Virtualization Server Security Office-in in-a-box Disaster Recovery Ochrona wirtualnych farm serwerów w i Centrów w Danych z moŝliwo liwością integracji z innymi rozwiązaniami zaniami wirtualizacji Check Point VSX i Provider-1. Na jednym fizycznym serwerze kompletne środowisko aplikacyjne firmy wraz z wysokiej jakości zabezpieczeniami. SSL VPN (Connectra( Connectra) ) w trakcie certyfikacji. W razie awarii systemu informatycznego VE umoŝliwia szybkie odtworzenie w środowisku wirtualnym kluczowych zasobów w IT przy zapewnieniu naleŝytego bezpieczeństwa.
Podsumowanie Efektywna ochrona środowiska wirtualnego VE - warstwy zabezpieczeń UTM, chroniące ce zasoby IT maszyn wirtualnych w środowisku VMWare przed zagroŝeniami zewnętrznymi oraz atakami z innych wirtualnych maszyn. Zunifikowany system zarządzania Zarządzenie VE z jednego systemu SmartCenter /Provider-1 1 razem z fizycznymi urządzeniami zabezpieczeń Check Point. ObniŜenie kosztów w rozwoju systemów w IT VE zapewnia bezpieczny rozwój j wirtualnego środowiska IT bez konieczności ci inwestycji w dodatkowe urządzenia zabezpieczeń i ponoszenia kosztów w ich utrzymania (zasilanie, chłodzenie, podłą łączenie do sieci, itd.). Uproszczone wdroŝenie zabezpieczeń - VE uruchamiane jest z gotowego do uŝyciau ycia pakietu bez konieczności ci uŝycia u dodatkowych urządze dzeń. Utrzymanie ciągłości działania ania biznesu VE umoŝliwia szybkie odtworzenie kluczowych zasobów IT na wypadek awarii przy zapewnieniu naleŝytego bezpieczeństwa.
Pytania? Opis rozwiązań w j. polskim www.checkpoint.pl Bezpłatne warsztaty zabezpieczeń moŝliwość weryfikacji rozwiązań Check Point w praktycznym działaniu Centrum kompetencyjne CLICO - doradztwo świadczone przez doświadczonych, certyfikowanych ekspertów bezpieczeństwa IT (m.in. CISSP, CCSE+) Szkolenia eksperckie z tematyki projektowania zabezpieczeń sieciowych Więcej informacji nt. VSX i innych rozwiązań Check Point w ksiąŝce -->