Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl
Agenda Wprowadzenie Specyficzne wymagania i problemy Rozwiązania specjalizowane do zastosowań w Centrach Danych i innych systemach o podwyższonych wymaganiach bezpieczeństwa Podsumowanie
Wprowadzenie Potrzeby biznesowe Rozwój systemów informatycznych wymaga dużych nakładów (serwery, sieci, zabezpieczenia, kadra IT, itd.) Potrzeba obniżenia kosztów systemów informatycznych i jednoczenie utrzymania wysokiego poziomu ich bezpieczeństwa Rozwiązanie Centra Danych i Zarządzane Usługi Bezpieczeństwa (MSS) Konsolidacja i centralizacja zasobów IT -większa kontrola, niższe koszty utrzymania (TCO) Wirtualizacja zasobów IT - współdzielenie zasobów IT, wirtualne serwery, rutery, VLAN, wirtualne moduły zabezpieczeń i serwery zarządzania, itd. Problemy bezpieczeństwa Centralizacja zasobów podwyższa prawdopodobieństwo wystąpienia ataków Obsługa dużej liczby użytkowników o różnych prawach i poziomie zaufania Brak kontroli nad środowiskiem lokalnym użytkownika Przeciążenie serwerów, urządzeń i łączy komunikacyjnych Opóźnienia w komunikacji powodują zakłócenia w pracy aplikacji
Wprowadzenie Bezpieczeństwo Centrów Danych jest sprawą zbyt skomplikowaną, by można je rozpatrywać jedynie w kontekście produktów Wybór konkretnych rozwiązań powinien wynikać nie tylko z zakresu ich funkcji, ile z dopasowania do całościowego projektu zabezpieczeń systemu informatycznego
Specyficzne wymagania i problemy 1. Obsługa wielu aplikacji i klientów Centrum Danych (różne wymagania, polityki, itd.) wymaga wdrożenia setek urządzeń zabezpieczeń. 2. Przeciążenie VSYS jednego klienta spowoduje zakłócenie całego urządzenia (VSYS innych klientów) 3. Klienci Centrów Danych oczekują własnych polityk zabezpieczeń i dostępu do rejestrowanych zdarzeń wdrożenie setek serwerów zarządzania 4. Obsługa wielu aplikacji i klientów Centrum Danych prowadzi do przeciążenia systemu zabezpieczeń
Specyficzne wymagania i problemy 5. Dostęp wielu klientów do usług Centrum Danych wymaga dużych nakładów administracyjnych (m.in. instalacji i konfiguracji aplikacji na wielu stacjach użytkowników) 6. Niska stabilność zintegrowanych urządzeń zabezpieczeń (zablokowanie jednego modułu ochrony powoduje zablokowanie całego urządzenia) 7. Urządzenia w Centrum Danych narażone są na ataki z sieci, w tym DDoS 8. Przeniesienie całej obsługi IT firmy do Centrum Danych wymusi inwestycję w nowe łącza WAN
1. Obsługa wielu aplikacji i klientów Centrum Danych (różne wymagania, polityki, itd.) wymaga wdrożenia setek urządzeń zabezpieczeń
Rozwiązanie: Wirtualizacja zabezpieczeń - wiele niezależnych modułów zabezpieczeń VSYS na jednym fizycznym urządzeniu VSYS 1 VSYS 2 VSYS 3... VSYS n Wirtualny system (VSYS) stanowi oddzielny moduł zabezpieczeń, posiadający własnych administratorów i ustawienia konfiguracyjne, m.in.: interfejsy sieciowe (fizyczne, VLAN) strefy bezpieczeństwa ustawienia rutingu (ruting statyczny i dynamiczny) zdefiniowane obiekty sieciowe bazę użytkowników polityki zabezpieczeń firewall/vpn/ips
2. Przeciążenie VSYS jednego klienta spowoduje zakłócenie całego urządzenia (VSYS innych klientów)
Rozwiązanie: Precyzyjna kontrola wykorzystania zasobów przez VSYS VSYS 1 VSYS 2 VSYS 3... VSYS n
3. Klienci Centrów Danych oczekują własnych polityk zabezpieczeń i dostępu do rejestrowanych zdarzeń wdrożenie setek serwerów zarządzania
Rozwiązanie: Wirtualizacja systemu zarządzania - wiele domen zarządzania, oddzielne bazy obiektów konfiguracyjnych, oddzielne konta administratorów, oddzielne zestawy polityk zabezpieczeń
4. Obsługa wielu aplikacji i klientów Centrum Danych prowadzi do przeciążenia systemu zabezpieczeń
Rozwiązanie: Urządzenia zabezpieczeń o wielo-gigabitowej przepustowości Intrusion Prevention - 10 Gbps - 5 milionów sesji Firewall / VPN - 30 Gbps stateful inspection - 15 Gbps 3des/aes
Rozwiązanie: Sprzętowa implementacja zabezpieczeń (ASIC) Bus Bus Fabric Mgt Module CPU ASIC Secure Port Module ASIC ASIC Secure Port Module ASIC ASIC pierwszy pakiet, IKE, itp. ruch sieciowy sterowanie Ruch sieciowy przetwarzany w module sieciowym (interfejsy sieciowe zintegrowane z ASIC)
Rozwiązanie: Precyzyjne sterowanie ruchem sieciowym - tylko określony ruch kierowany jest do odpowiednich urządzeń ochrony Intrusion Prevention Zdalna lokalizacja VPN Policy-based Routing Ruch HTTP Ruch z VPN Sieci firmowe Ruch SMTP i FTP Anty-Wirus, Anty-Spam
5. Dostęp wielu klientów do usług Centrum Danych wymaga dużych nakładów administracyjnych (m.in. instalacji i konfiguracji aplikacji na wielu stacjach użytkowników)
Rozwiązanie: Standaryzacja dostępu (Web) - portale aplikacyjne SSL VPN zapewniają dostęp do zasobów IT za pomocą standardowej przeglądarki Web Klienci firmy A Partnerzy firmy A Pracownicy firmy A INTERNET Brama SSL VPN Serwer aplikacji firmy B Serwer aplikacji firmy A Serwer bazy danych firmy A Pracownicy firmy N Klienci i partnerzy firmy N Sesje szyfrowane Serwer plików firmy N Serwer aplikacji firmy C Centrum Danych Zwykła komunikacja
6. Niska stabilność zintegrowanych urządzeń zabezpieczeń (zablokowanie jednego modułu ochrony powoduje zablokowanie całego urządzenia)
Rozwiązanie: Konstrukcja sprzętowa zapewnia realizację różnych funkcji ochrony na oddzielnych jednostkach przetwarzania (CPU, RAM) FPGA 2Gig RAM 2x CPU IDP SM (Slots # 1-3)
7. Urządzenia w Centrum Danych narażone są na ataki z sieci, w tym DDoS
Rozwiązanie: Ataki sieciowe blokowane już w module interfejsów sieciowych - funkcje SCREEN zaimplementowane sprzętowo w GigaScreen3 ASIC
-Rozwiązanie: Konstrukcja systemu operacyjnego urządzenia (JUNOS) odseparowanie funkcji sterowania i forwardingu Redundancyjne modułysterowania Redundancyjne zasilanie Moduły do zamontowania interfejsów sieciowych Wiele modułów forwardingu
8. Przeniesienie całej obsługi IT firmy do Centrum Danych wymusi inwestycję w nowe łącza WAN
Rozwiązanie: Akceleracja sieci WAN Kompresja i caching - zwiększenie pojemności łączy 4x do 100x Zarządzanie i optymalizacja wykorzystania pasma (QoS) Zwiększenie szybkości odpowiedzi dzięki technikom akceleracji TCP i aplikacji (L7) Monitorowanie wydajności ścieżek i sterowanie ruchem w sieci WAN
Podsumowanie Projekt zabezpieczeń Centrum Danych jest przedsięwzięciem zbyt skomplikowanym, by można go rozpatrywać jedynie w kontekście produktów i ich funkcjonalności Wdrożenie skutecznych i efektywnych kosztowo zabezpieczeń wymaga zastosowania odpowiednich rozwiązań, dopasowanych do całościowego projektu zabezpieczeń systemu informatycznego Juniper Networks oferuje specjalizowane rozwiązania sieci i zabezpieczeń do zastosowań w Centrach Danych i innych systemach o podwyższonych wymaganiach bezpieczeństwa (m.in. wirtualizacja zabezpieczeń i systemu zarządzania, precyzyjna kontrola wykorzystania współdzielonych zasobów, konstrukcja sprzętowa - ISG, GigaScreen3 ASIC, itd.)
Pytania?