OPRACOWANIE Zabezpieczanie centrum danych Zaawansowane zagrożenia wymagają stosowania zaawansowanych zabezpieczeń Poważne naruszenia bezpieczeństwa, większe ryzyko W obliczu niedawnych doniesień o naruszeniach bezpieczeństwa danych często cytowane stwierdzenie dyrektora FBI, Jamesa Comeya wydaje się wyjątkowo prawdziwe: Są dwa rodzaje dużych przedsiębiorstw w Stanach Zjednoczonych: te, na których serwery hakerom udało się włamać, i te... które o tym nie wiedzą. Lista tych pierwszych ciągle się powiększa. W 2014 roku został pobity rekord liczby zgłoszonych naruszeń bezpieczeństwa. Dotknęły one między innymi takie firmy jak Home Depot, Target czy JP Morgan Chase. Do tej pory w 2015 roku zdążyło już ucierpieć duże przedsiębiorstwo z branży medialnej oraz gigant z branży ubezpieczeniowej, który padł ofiarą największego naruszenia zabezpieczeń w historii Stanów Zjednoczonych. Atakujący wywodzili się z różnych kręgów od państw narodowych po nieznanych cyberprzestępców a same ataki były zróżnicowane i zaawansowane. Niezależnie od atakującego, wektora czy użytej metody wszystkie te ataki połączyło jedno: doprowadziły one do kradzieży i wycieku ogromnych ilości informacji z jednego lub kilku centrów danych. W miarę jak architektury centrów danych ewoluują w stronę większej wydajności i wykorzystują innowacje w dziedzinie sieci sterowanych programowo, wirtualizacji i infrastruktury chmury hybrydowej, zabezpieczenia muszą nie tylko dotrzymywać kroku pojawiającym się zagrożeniom, lecz także je wyprzedzać. Muszą się one także charakteryzować wydajnością i przepustowością umożliwiającymi spełnienie najnowszych wymagań centrów danych, jak również zaspokojenie potrzeb, które dopiero pojawią się w nadchodzących latach. Nowe architektury, nowe wektory Działanie tradycyjnych centrów danych opierało się na intensywnym routingu wewnętrznym, fizycznie oddzielonych serwerach i operacjach przeprowadzanych w całkowitym odizolowaniu. Architektury takich centrów dzieliły się na wiele warstw, a dostęp operacyjny był z konieczności ograniczony do personelu działu informatycznego. ZATROSKANI, ALE NIEPRZYGOTOWANI 90% dyrektorów ds. informatycznych i innych specjalistów IT z różnych branż twierdzi, że naruszenia zabezpieczeń są ich największym zmartwieniem. Tylko 21% spośród 145 ankietowanych osób odpowiedzialnych za podejmowanie decyzji dotyczących infrastruktury informatycznej odpowiedziało jednak, że naprawdę ufają, że używane przez nich systemy łagodzą ryzyko wystąpienia problemów z bezpieczeństwem 1. TechTarget 1. http://searchcio.techtarget.com/feature/cios-beef-up-security-tools-in-wake-of-2014-data-breaches www.fortinet.com 1
Czasy jednak szybko się zmieniły i wraz z nimi zasadniczo zmieniły się także cele, działania, architektura i funkcja nowoczesnych centrów danych: nich sieci są teraz bardziej płaskie, co pozwoliło przejść z aplikacji działających w modelu klient serwer (tak zwany ruch północ południe ) na przesyłanie dużych ilości danych między serwerami (ruch wschód zachód ). nserwery, pamięć masowa, a nawet funkcje sieciowe są w dużej mierze zwirtualizowane, dzięki czemu nie trzeba już stosować fizycznie rozdzielonych serwerów (i towarzyszących im rozdzielonych zabezpieczeń). nwymagania własnych urządzeń użytkowników, zdalnego dostępu, aplikacji używanych przez pracowników i klientów oraz deweloperów aplikacji, administratorów systemów i SDN wobec centrum danych są coraz wyższe i coraz bardziej zróżnicowane. nwszystko to ułatwia hakerom przejmowanie kontroli nad architekturą po złamaniu zabezpieczeń na jej obrzeżach oraz rozszerzanie ataków i docieranie do zasobów przechowywanych w centrum danych. Nowe architektury, większa szybkość W dzisiejszych, wysoko zwirtualizowanych centrach danych coraz więcej operacji jest wykonywanych na mniejszej liczbie maszyn fizycznych, co wymaga stosowania dużo szybszych sieci podstawowych. Połączone infrastruktury chmur wymagają także większej wydajności na obrzeżach sieci. Jeśli dodamy do tego przechodzenie na architektury korzystające z protokołu IPv6 oraz zorientowane na aplikacje i usługi, nie dziwi fakt, że operatorzy centrów danych poszukują urządzeń zabezpieczających, które obsługują nporty 10 GbE o dużej gęstości nszybkie porty 40 GbE/100 GbE nprędkości sieci podstawowej przekraczające 100Gb/s Tworzenie bezpiecznego, skalowalnego centrum danych Szybki rozwój centrów danych oraz zmieniające się potrzeby biznesowe spowodowały, że przed starszymi aplikacjami stawia się zupełnie inne wymagania w zakresie bezpieczeństwa. Jednocześnie ich operatorzy osiągają niespotykaną dotychczas wydajność. Myśląc o wydajności, nie można jednak bagatelizować zagadnienia bezpieczeństwa. Nowoczesne centrum danych udostępnia w sieci szereg różnych aplikacji, zarówno użytkownikom wewnętrznym, jak i zewnętrznym klientom i partnerom. Dane są szybko i często przesyłane między centrum danych, infrastrukturą chmury, zdalnymi centrami danych i innymi ośrodkami. Nowoczesne centrum danych: dynamiczne, dostępne i odporne na awarie. Po złamaniu zabezpieczeń hakerzy często zastają sieci centrów danych o strukturze płaskiej i łatwej do poruszania się. Liczba urządzeń wykorzystywanych przez użytkowników bardzo szybko się powiększa. Użytkownicy wymagają dostępu do aplikacji i danych w centrach danych w każdej chwili i z dowolnego miejsca, przy użyciu heterogenicznych systemów i platform. Ataki na centra danych są przeprowadzane niemal nieustannie. Hakerzy szukają wszelkich możliwych luk w zabezpieczeniach, które mogą wykorzystać, czy to na ich obrzeżach, czy poprzez niezabezpieczone aplikacje lub przejęte urządzenia. 2
Wysoka wydajność nie wyklucza bezpieczeństwa Kluczowa dla obsługi skalowalności i zróżnicowanych funkcji nowoczesnego centrum danych jest wysoka wydajność. Aby uzyskać wymaganą przepustowość (zarówno połączeń LAN, jak i WLAN centrum danych), trzeba wdrożyć ochronę na obrzeżach oraz zabezpieczenia wewnętrzne, które będą wystarczająco szybkie, by móc dogłębnie skanować przechodzący ruch i zapobiegać zagrożeniom z szybkością równą szybkości łączy. Podczas gdy w przypadku starszych centrów danych do ochrony przeciwko o wiele mniej złożonym zagrożeniom wystarczała sama ich architektura i zabezpieczenia działające na obrzeżach, nowe centra wymagają firewalli o niezwykle wysokiej wydajności i przesunięcia zabezpieczeń bliżej rdzenia w celu zrównoważenia bezpieczeństwa z dynamiką działania, prędkością i skalowalnością. Te nowe urządzenia można skonfigurować tak, by obsługiwały wiele portów 100 GbE, co pozwala fizycznie posegmentować sieć podstawową bez wprowadzania dodatkowych mechanizmów switchingu rdzenia. W innych centrach z kolei są stosowane wymienne moduły umożliwiające operatorom wybór między gęstymi portami 10 GbE lub skalowaniem do 40/100 GbE. We wszystkich przypadkach osiąganie zrównoważonej przepustowości liczonej w setkach gigabitów na sekundę przy jednoczesnym minimalizowaniu opóźnień jednostkom tym umożliwiają specjalnie skonstruowane na potrzeby zabezpieczeń, niestandardowe układy ASIC (applicationspecific integrated circuits zintegrowane obwody specyficzne dla aplikacji). Standardowe procesory nie mogą po prostu zapewnić porównywalnej przepustowości i obsługi różnych funkcji firewalli nowej generacji oraz elastyczności operacyjnej zarówno w rdzeniu sieci, jak i na jej obrzeżach. Scentralizowane zarządzanie Siedziba główna (rdzeń infrastruktury) Centrum danych Oddział (przedsiębiorstwo rozproszone) Punkt sprzedaży detalicznej/ kiosk (przedsiębiorstwo rozproszone) RYSUNEK 2: Centrum danych przedsiębiorstwa jest częścią dużo większego ekosystemu informatycznego, który potrzebuje bezpiecznego dostępu do aplikacji i zasobów. Sprawdzone metody zabezpieczania centrów danych Wyniki przeprowadzonej w 2013 roku ankiety Firewalle zaawansowane wykazały, że chociaż istnieje wiele powodów aktualizowania firewalli centrów danych, najczęstsze z nich mają związek z wydajnością w środowiskach sieciowych o dużych szybkościach i konwergencją funkcji zabezpieczeń. Sam sprzęt jednak nie zapewni wymaganego połączenia wydajności z bezpieczeństwem. W miarę jak organizacje rozważają wdrażanie zupełnie nowych centrów danych lub aktualizowanie obiektów istniejących, pojawia się kilka nowych sprawdzonych metod zwalczania nowych zagrożeń bezpieczeństwa. Ich połączenie ze sprzętem następnej generacji i solidnymi środowiskami zarządzania może pomóc uniknąć wąskich gardeł, a zarazem umożliwić dokładne skanowanie ruchu sieciowego i zagwarantować bezpieczeństwo danych i aplikacji. Ankieta: 73% respondentów chce zaktualizować firewalle swoich centrów danych. Aktualizacja urządzeń zabezpieczających do obsługi sieci o dużej prędkości Konieczność zwiększenia zabezpieczeń wielofunkcyjnych Aktualizacja firewalli centrum danych Konieczność zwiększenia kontroli stanowej Konsolidacja technologii zabezpieczeń na mniejszej liczbie platform Obsługa większej liczby jednoczesnych sesji TCP Konieczność zwiększenia wydajności VPN Obsługa protokołu IPv6 Konieczność skrócenia opóźnień Konieczność zwiększenia wydajności obsługi małych pakietów Źródło: Infonetics High End Firewall Survey 2013 3
Po pierwsze bezpieczeństwo Zabezpieczenia należy uwzględniać już na etapie projektowania centrów danych nie można o nich myśleć jako o dodatkach do gotowych rozwiązań. Ze względu na zagrożenia, na jakie narażone są centra danych, oraz dużą liczbę przechowywanych w nich danych i aplikacji zabezpieczenia muszą stanowić ich integralną część. Pozwala to korzystać z wysokiej wydajności i firewalli następnej generacji o dużej gęstości portów, jak również na bieżąco kontrolować luki w zabezpieczeniach. Równowaga między bezpieczeństwem a wydajnością Obecne (i przyszłe) zagrożenia nie oznaczają, że w centrach danych trzeba poświęcić wysoką wydajność na rzecz bezpieczeństwa. Zamiast tego ich operatorzy powinni wyszukiwać najlepsze w swoim rodzaju urządzenia i odpowiednią architekturę sieci, które pozwolą zmaksymalizować oba te parametry. Firewalle następnej generacji, które można integrować z sieciami sterowanymi programowo, dzięki czemu dorównują dynamiką centrom danych, do których ochrony zostały zaprojektowane, w równym stopniu gwarantują wydajność i bezpieczeństwo. Powinny one także wykorzystywać zoptymalizowany pod kątem wydajności, niestandardowy sprzęt i oprogramowanie do obsługi aplikacji zabezpieczeń. Świadomość wirtualizacji Chociaż na dzisiejszym rynku jest wiele firewalli, nie wszystkie one zostały zaprojektowane pod kątem obsługi środowisk wirtualnych i błyskawicznych zmian, jakie mogą zachodzić w wysoko zwirtualizowanych sieciach. Stosowanie starych metod routingu czy brak wbudowanej obsługi sieci sterowanych programowo i orkiestracji pozostawiają w dynamicznym centrum danych luki w zabezpieczeniach o znaczeniu krytycznym. Ciągłe, całościowe monitorowanie Dostawcy często mówią o zarządzaniu i monitorowaniu z jednej konsoli. W przypadku urządzeń zabezpieczających, jednak, niezwykle istotna jest możliwość nieustannego monitorowania wszystkich aspektów bezpieczeństwa centrum danych od jego obrzeży po rdzeń, zarówno aplikacji, jak i przepływającego ruchu, a także wszystkich potencjalnych wektorów ataków. Konwergencja urządzeń Firewalle następnej generacji niosły obietnicę możliwości łączenia w jednym urządzeniu wielu różnych funkcji zabezpieczeń, co miało zmniejszyć złożoność infrastruktury oraz uprościć zarządzanie i wdrażanie. Jednakże w miarę włączania kolejnych opcji zabezpieczeń wydajność rozwiązań często spadała, przez co przestawały się one nadawać do stosowania w centrach danych. Teraz jednak urządzenia wyposażone w specjalnie konstruowane procesory ASIC i niestandardowe oprogramowanie mogą zapewnić zarówno bezpieczeństwo, jak i niezwykłą wydajność. Budowane na potrzeby obsługi wielu klientów Nowoczesne, wysoko zwirtualizowane centra danych muszą zapewniać obsługę wielu podmiotów z możliwością rozróżniania zasad bezpieczeństwa według użytkownika, aplikacji itd. Firewalle z wbudowaną obsługą domen wirtualnych (VDOM) i logicznej segmentacji sieci zapewniają operatorom szczegółową kontrolę nad siecią centrum danych przy jednoczesnym zachowaniu płaskiej architektury zoptymalizowanej pod kątem wydajności. Ochrona obrzeży nie wystarcza Nie wystarcza już wdrożyć zabezpieczenia na obrzeżach sieci centrów danych, by chronić je przed zaawansowanymi zagrożeniami. Należy zamiast tego przesunąć je dalej w ich głąb i stosować dodatkowe firewalle wewnętrzne oraz funkcje centralnej kontroli i zarządzania. Pozwala to zapewnić: nszybsze wykrywanie zagrożeń i ochronę przed nimi nsilniejszą ochronę przed zagrożeniami wewnętrznymi nwyższą wydajność dzięki solidnemu rozwiązaniu zabezpieczeń. Podsumowanie Wymagania stawiane przed nowoczesnymi centrami danych zbyt często powodują, że ich operatorzy poświęcają bezpieczeństwo na rzecz wydajności i dynamiczności. Największe znaczenie ma przy tym przepustowość na obrzeżach sieci centrum danych i w jej rdzeniu, ponieważ swoją działalność obiekty te opierają na integracji z chmurami i wirtualizacji. W wielu przypadkach stare metody zabezpieczeń przestały zaspokajać wymagania dotyczące wydajności lub, co gorsza, chronić przed zaawansowanymi zagrożeniami, na które przedsiębiorstwa są nieustannie narażone. Rozwiązaniem jest wbudowanie w samą sieć centrum danych zabezpieczeń obejmujących wydajne technologie wykrywania zagrożeń i zapewniających maksymalną przepustowość oraz elastyczność. Kluczem do solidnej ochrony centrum danych są wdrożone bliżej rdzenia sieci firewalle i uzupełniające się funkcje ochrony o dużej świadomości aplikacji i wirtualizacji. Podczas gdy głównym zagadnieniem podczas tworzenia i obsługiwania centrum danych powinna być ochrona przed zagrożeniami, jego operatorzy muszą także brać pod uwagę wydajność firewalli oraz stawiane przez firmy zewnętrzne oczekiwania dotyczące wydajności. Właściwe urządzenia zabezpieczające wdrożone we właściwej architekturze mogą zapewnić doskonałą wydajność bez rezygnowania z bezpieczeństwa. 4
Informacje o firmie Fortinet Firma Fortinet jest światowym liderem i innowatorem w dziedzinie zabezpieczeń sieciowych. Jej misją jest udostępnianie klientom najbardziej innowacyjnej platformy zabezpieczeń sieciowych o najwyższej wydajności, która jednocześnie upraszcza infrastrukturę IT i zapewnia jej ochronę. Dostarczamy urządzenia do ochrony sieci i usługi zabezpieczeń świadczone na zasadzie subskrypcji operatorom, centrom danych, przedsiębiorstwom, biurom rozproszonym i firmom MSSP. Dzięki nieustannemu udoskonalaniu naszych niestandardowych układów ASIC, systemów sprzętowych, oprogramowania sieciowego i możliwości zarządzania, a także postępom w badaniach nad zabezpieczeniami możemy pochwalić się liczną i szybko powiększającą się grupą zadowolonych klientów, wśród których znajduje się większość firm z listy Fortune Global 100. Nieustannie wyznaczamy tendencje rozwoju rynku zabezpieczeń sieciowych. Nasza pozycja rynkowa oraz skuteczność naszych rozwiązań były często doceniane przez analityków branżowych, niezależne laboratoria testowe, organizacje biznesowe i media z całego świata. Nasza bogata linia rozwiązań uzupełniających wykracza poza same zabezpieczenia sieciowe, dzięki czemu umożliwiamy ochronę rozszerzonego przedsiębiorstwa. Firewalle centrów danych FortiGate firmy Fortinet zapewniają skuteczność zabezpieczeń rekomendowaną przez organizację NSS oraz dziesięciokrotnie wyższą wydajność niż inne rozwiązania z tej samej kategorii cenowej. Dzięki wyjątkowej ochronie i przepustowości w cenach dostępnych dla każdej organizacji FortiGate gwarantuje najwyższą wartość na rynku. Więcej informacji o firmie Fortinet i linii produktów FortiGate do centrów danych można znaleźć na stronie www.fortinet.com. Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) 00-120 Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 Stany Zjednoczone Tel.: +1.408.235.7700 www.fortinet.com/sales BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: +33 4 8987 0510 BIURO SPRZEDAŻY REGION APAC 300 Beach Road 20-01 The Concourse Singapur 199555 Tel.: +65 6513 3730 BIURO SPRZEDAŻY AMERYKA ŁA- CIŃSKA Paseo de la Reforma 412 piso 16 Col. Juarez C.P. 06600 México D.F. Tel.: 011-52-(55) 5524-8428 Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji.