Ochrona infrastruktury wirtualnej J. Prokop Check Point
Agenda ABC wirtualizacji Kwestie bezpieczeństwa infrastruktury wirtualnej Produkt: Firewall – Edycja Wirtualna (VE) Scenariusze wykorzystania produktu Podsumowanie
ABC wirtualizacji Wirtualizacja pozwala rozdzielić zasoby fizyczne (komputery) i zasoby logiczne (komputery wirtualne) Hypervisor (monitor wirtualizacyjny) udostępnia wiele maszyn wirtualnych w oparciu o pojedynczy komputer Wirtualizacji podlega też sieć: połączenia między maszynami wirtualnymi Maszyny wirtualne są izolowane (nie interferują między sobą w jakikolwiek sposób) Maszyny wirtualne są enkapsulowane: łatwe do przenoszenia, archiwizacji itp. Redukcja kosztów obsługi, zasilania, chłodzenia, wynajmu powierzchni, elastyczność operacyjna, uproszczone uruchamianie aplikacji, ekologia
VMware Infrastructure VMotion Przesuwanie maszyn wirtualnych pomiędzy serwerami ESX bez przerw i zakłóceń w pracy zwirtualizowanych systemów App OS App OS App OS App OS VMotion VMware Infrastructure Storage VMotion 4 4 4
Agenda ABC wirtualizacji Kwestie bezpieczeństwa infrastruktury wirtualnej Produkt: Firewall – Edycja Wirtualna (VE) Scenariusze wykorzystania produktu Podsumowanie
Specyficzne wyzwania dla bezpieczeństwa sieciowego w środowisku wirtualnym Brak widoczności ruchu pomiędzy VM’ami w celu monitorowania i ochrony Fizyczne firewalle/IPS rujnują zalety wirtualizacji Połączenie statycznych polityk bezpieczeństwa z mobilnością i szybkością pojawiania się VM’ów Utrzymanie stanu sesji sieciowej w VMotion Koordynacja pomiędzy administratorami serwerów i sieci
Agenda ABC wirtualizacji Kwestie bezpieczeństwa infrastruktury wirtualnej Produkt: Firewall – Edycja Wirtualna (VE) Scenariusze wykorzystania produktu Podsumowanie
Wprowadzenie do Check Point VPN-1 VE (Virtual Edition) Ochrona sieci wirtualnych - sieci istniejących wewnątrz serwera wirtualizacyjnego: Ruch pomiędzy maszynami wirtualnymi Ruch przychodzący z sieci zewnętrznej Zbieranie logów, statystyk n/t ruchu wewnątrz serwera Ochrona infrastruktury wirtualizacyjnej (np. konsoli systemu ESX) Pełna ochrona śrdodowiska wirtualnego Serwer bezpieczeństwa Check Point jest certyfikowaną przez VMware maszyną wirtualną
Farmy ESX Internet pkt pkt pkt ESX 1 ESX 2 ESX 3 ESX 4 Ext Ext Ext Ext Active Standby Sync Sync Sync App App App
Agenda ABC wirtualizacji Kwestie bezpieczeństwa infrastruktury wirtualnej Produkt: Firewall – Edycja Wirtualna (VE) Scenariusze wykorzystania produktu Podsumowanie
Przykłady użycia firewall’a Wirtualizacja centrum przetwarzania (Data Center) Wchłonięcie strefy zdemilitaryzowanej, strefy wewnętrznej sieci przez platformę wirtualizacyjną ESX ESX jako platforma dla dostawców usług zarzadzanych (MSP) Zróżnicowana oferta dla klientów dostarczana przez systemy wirtualne Office-in-a-box dla małych i regionalnych biur Disaster Recovery Zabezpieczenie infrastruktury wirtualnej jest konieczne przy wprowadzaniu PCI DSS i podobnych standardów (separacja systemów, segmentacja sieci, monitoring )
Zwirtualizowane usługi i usługodawcy pkt pkt MSP UTM-1 full-set UTM-1 Antivirus UTM-1 Web Filtering Int ext ESX Server Klient A Klient B Klient C VE
Office-in-a-box Internet VE pkt pkt pkt Ext Int Web DB FTP VPN Tunnel Trunk port VE Int V1 Trunk port V2 V3 V4 Web pkt DB FTP V5 Service Console V6 V7 pkt
Disaster Recovery Stara usługa – nowy sposób jej dostarczania! Zachowanie bezpieczeństwa w różnych scenariuszach DR Nie trzeba wdrażać oddzielnych systemów fw w miejscu zapasowym “DR on a Disk” Błyskawiczne wdrożenie - „zero time”
W kierunku aplikacyjnej polityki bezpieczeństwa IIS #1 Firewall Firewall Przed Tomcat App Server Oracle Load Balancer IIS #2 Po 15 15 15
Zintegrowane bezpieczeństwo interfejs VMsafe i jego wykorzystanie VPN-1 VE Firewall IPS/IDS Anti-Virus pkt pkt Security API ESX Server Tworzy nową, mocniejszą warstwę obronną – fundamentalnie zmienia możliwości ochrony VM w stosunku do serwerów fizycznych Ochrona VM przez inspekcję wirtualnych komponentów (CPU, pamięć, sieć, storage) Kompletna integracja i współpraca z VMotion, Storage VMotion, HA itd. Okazuje się, że wirtualne może być bezpieczniejsze niż fizyczne 16 16
Porównanie działania tradycyjnego z interfejsem VMsafe Zdolność do ochrony maszyn wirtualnych połączonych pojedynczym vSwitch’em Zgodność z wymogami VMotion Współpraca z Hypervisor’em Wysoka wydajność
Agenda ABC wirtualizacji Kwestie bezpieczeństwa infrastruktury wirtualnej Produkt: Firewall – Edycja Wirtualna (VE) Scenariusze wykorzystania produktu Podsumowanie
Integracja Pojedynczy system zarządzania dla systemu fizycznych i wirtualnych serwerów bezpieczeństwa
Maszyny wirtualne są dostępne na stronach firm Check Point i VMware Check Point download VMware Marketplace
Dziękuję za uwagę!