Подход компании McAfee к защите облачных вычислений.
Оптимизированные технологии для защиты "облаков" и ЦОДов.
Принцип работы MOVE, преимущества Application Control, DAM и других технологий.
4. McAfee Confidential—Internal Use Only
Статистика по расходам на ИТ
Virtualize
REQUIRED:
Availability
Performance
Integrity
Make the DC
more flexible
New risks?
Shore it up
!
Lower costs
Внедрение новых технологий
Повышение эффективности энергопотребления
Улучшение удовлетворенности пользователей
Увеличение доходов
Другое 7%
15%
19%
22%
23%
24%
31%
34%
49%
54%Увеличение доступности
Сокращение рисков (утечки, соответствие и т.д.)
Адаптация к стремительно изменяющимся
требованиям рынка
Усиление безопасности
Снижение затрат
Львиная доля средств идет на совершенствование ЦОДов
5. Архитектура инфраструктуры ИБ
Насколько взаимосвязаны компоненты Вашей ИБ?
Host IPS
Agent
Systems
Management
Agent
Audit
Agent
Antivirus
Agent
Encryption
NAC
DLP
Agent
У КАЖДОГО
РЕШЕНИЯ
ЕСТЬ АГЕНТ
У КАЖДОГО
АГЕНТА
ЕСТЬ
КОНСОЛЬ
КАЖДОЙ
КОНСОЛИ
НУЖЕН
СЕРВЕР
КАЖДОМУ
СЕРВЕРУ НУЖНА
ОС/СУБД
КАЖДОЙ ОС/СУБД
НУЖНО
СОПРОВОЖДЕНИЕ
ТАКАЯ
СТРУКТУРА
ПРИВОДИТ
К ХАОСУ
10. Эволюция вычислений в разрезе ИБ
June 13, 201310
Серверная
Физические сервера
Отдельные решения
Традиционный
подход к
безопасности
Виртуализация
Разнородная структура
Производительность
Защита
виртуальных сред
«Облака»
Отдельная экосистема
Открытая архитектура
Безопасность как
набор сервисов
11. Традиционный подход (без MOVE)
June 13, 201311
• «Узкие места» Обычные антивирусы расходуют
слишком много ресурсов
– ~100 МБ ОЗУ на каждой ВМ
• Трудности управления
– Необходимо обновлять сигнатуры на каждой ВМ
– Долгий процесс распространения обновлений
– Необходимо корректировать настройки каждой ВМ
• Перегрузки гипервизора
– При одновременном сканировании
– При одновременном обновлении
• Трата ресурсов
– Сканирование каждого файла на каждой ВМ
12. Преимущества MOVE
June 13, 201312
Агентное или Безагентное развертывание
Оптимизирует сканирование за счет кэша
Позволяет защищать ВМ через vShield
Устраняет необходимость обновления
вирусных сигнатур на каждой ВМ
Предотвращает перегрузку оборудования
Упрощает консолидацию ВМ
Сокращает потребление ресурсов
13. При внедрении MOVE
June 13, 201313
• Разумное использование ресурсов
– <10 МБ ОЗУ на каждой ВМ
• Легкость управления
– Обновления необходимы только для
серверов сканирования (SVA)
– Нет необходимости загружать и
устанавливать сигнатуры на каждой ВМ
• Оптимизация использования ресурсов
– Не возникает перегрузок
– Улучшенная масштабируемость
– Использование кэша: локальный (на
каждой ВМ) + глобальный (SVA)
14. MOVE - Агентный (Multi-Platform)
June 13, 201314
Виртуальная инфраструктура
MOVE
Security
Appliance
OS
ВМ
ОС
ВМ
ОС
VSE VSE
Возможности
• Сканирование по сети
• Кроссплатформенность
• Поддержка отказоустойчивости и
балансировка нагрузки на SVA
MOVE MOVE
McAfee ePO
“Облако”
GTI
ЦОД
MOVE AV
VSE
virtual switch
15. MOVE - Безагентный
June 13, 201315
McAfee ePO
ЦОД
MOVE
Security
Appliance
ВМ ВМ
MOVE MOVE
OSОС ОС
VMware vShield Endpoint
VMware ESX
VMtools VMtools MOVE AV
VSE
“Облако”
GTI
Возможности
• Сканирование по VMware VMCI
• Поддержка кластеров
• Защита ВМ при vMotion
16. MOVE – варианты развертывания
June 13, 201316
Возможности Агентный (Multi-Platform) Безагентный
Возможности антивирусной проверки
Сканирование по доступу ✔ ✔
Сканирование по запросу ✔ ✔
Проверка репутации GTI ✔ ✔
Помещение в карантин ✔ ✔
Область применения политик На ВМ На гипервизор
Исключения ✔ путьимя
Уведомление пользователя ✔ В планах VMware
Архитектура
Гипервизор Кроссплатформенный только VMware
Платформа SVA Windows 2008 VM Linux OVF
Масштабируемость 450 ВМ на 1 SVA 1 SVA на хост ESX
Коммуникация с SVA Сеть VMware vShield VMCI
Дополнительные расходы Никаких Лицензия на vShield
17. Как работает агентный MOVE
June 13, 201317
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
ВМ пытается получить доступ к файлу…
18. Как работает агентный MOVE
June 13, 201318
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Агент MOVE создает “отпечаток” файла и
пытается найти его в локальном кэше
19870110AE
1D2675DB
19. Как работает агентный MOVE
June 13, 201319
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если “отпечаток” отсутствует в локальном кэше,
агент отправляет его по сети на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
20. Как работает агентный MOVE
June 13, 201320
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если SVA не обнаружил “отпечаток” у себя
в глобальном кэше, агент передает файл целиком на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
21. Как работает агентный MOVE
June 13, 201321
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
SVA проверяет файл используя оба метода:
сигнатурный анализ + репутация по «облаку» GTI
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
22. Как работает агентный MOVE
June 13, 201322
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если файл инфицирован, файл будет удален / помещен в
карантин / заблокирован (зависит от политик)
Файл
23. Как работает агентный MOVE
June 13, 201323
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если файл «чистый», «отпечаток» добавляется в локальный
и глобальный кэш, доступ к файлу разрешается
Файл
19870110AE
1D2675DB
19870110AE
1D2675DB
1987..
.
1987..
.
24. Как работает агентный MOVE
June 13, 201324
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
При последующем доступе к тому же файлу, «отпечаток»
сравнивается с содержимым локального кэша.
Повторное сканирование не выполняется.
1987..
.
1987..
.
19870110AE
1D2675DB
25. Как работает агентный MOVE
June 13, 201325
Виртуальная инфраструктура
Endpoint Endpoint
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Когда другая ВМ попытается открыть этот же файл, будет
использован глобальный кэш. Повторной проверки не будет.
1987..
.
1987..
.
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
26. В чем отличие безагентного MOVE
June 13, 201326
VMware ESX Hypervisor
Endpoint Endpoint SVA
McAfee AgentVMware VMtools
Local
Cache VMware VMtools
Global
Cache
Local
Cache
Виртуальные машины и сканирующий сервер (SVA)
запущенны на одном гипервизоре (ESX).
Решение использует драйвер vShield Endpoint
вместо агента MOVE.
27. В чем отличие безагентного MOVE
June 13, 201327
VMware ESX Hypervisor
Endpoint Endpoint SVA
McAfee AgentVMware VMtools
Local
Cache VMware VMtools
Global
Cache
Local
Cache
Отпечаток файла Отпечаток файла
«Отпечаток» файла передается по каналу VMware на SVA,
где выполняется проверка файла
28. MOVE Scheduler – для полноценного VSE
June 13, 201328
Возможности
• Управление ресурсами
гипервизора для предотвращения
перегрузки
• Интеграция с vCenter и
XenManager
Hypervisor (vSphere, Xen)
Hypervisor Manager
MA
OS
VSE
MA
OS
VSE
MA
OS
VSE
McAfee ePO
ЦОД
29. VSE для Offline Virtual Images
June 13, 201329
• Защита инфраструктуры
• Экономия средств за счет
автоматических обновлений
• Экономия времени
благодаря единой консоли
• Единый уровень
безопасности в среде VDI
DAT’s
VirusScan Enterprise for Offline Virtual Images 2.6
Direct storage
VMware ESX
Server
VMware vCenter
Server
Offline VM Images
Engine
Citrix XenServer
VirusScan Enterprise 8.8
32. McAfee Application Control
Белый список безопасности
32
Динамические
белые списки
Репутация
файлов
Защита
памяти
Предотвращает запуск
неавторизированных
приложений
Классификация
приложений по репутации
через GTI
Защита приложений от
эксплоитов и переполнения
буфера
RAM
33. Как?
1
Неизвестный код
ЗАПРЕЩЕН
Белый список
• Создание списка проходит в режиме
реального времени в процессе
сканирования системы
2
3
Попытка запуска приложения
MAC проверяет код в списке
При отсутствии в списке
приложение блокируется
− Попытка запуска
регистрируется в журнале
36. Экономия средств
• Улучшенная защита
− От целенаправленных и комплексных угроз
1
• Наблюдение за приложениями2
• No More Patch Panic3
• Продление жизни старым ОС
− Win NT, Win 2000
4
• Повышение производительности систем
− Низкое потребление ресурсов
5
38. Базы Данных
Базы Данных – мощнейшие
приложения в мире
Базы данных – место хранения критичных
и конфиденциальных данных
Наличие уязвимостей и ошибок
конфигурации к нарушениям стандартов
(PCI, ISO …)
39. Уязвимые места?
• Технологии
• Доступны многим пользователям и
приложениям
• Уязвимы (SQL инъекции, переполнение
буфера)
• Процессы
• Несвоевременное применение патчей
• Стандартные практики использования
• Люди
• Угрозы инсайдеров… системные
администраторы и БД, программисты…
40. Отсутствие патчей – ОГРОМНЫЙ РИСК!
Высокий
Низкий
Експлоит
публикуется в ВЕБ
Риск наиболее
высок после
выпуска
обновления
Окно уязвимости
может длиться
месяцами и даже
годами
Месяцы/Годы Месяцы/Годы
Установка
обновления
Публикация уязвимости
0 день
Выпуск обновления
41. McAfee Activity Monitoring
• Защищенный сенсор позволяет мгновенно реагировать
на угрозы
• Оповещения через консоль и др. средства
• Прерывание сессий ( через «родные» API )
• Пользовательский карантин
• Механизм управления файрволом через OPSEC
43. Сенсор McAfee DAM
– Работает без вмешательств
• Защищен от изменений
• Процесс подобный системным
службам ОС
• Не вмешивается в ядро системы, не
требует перезагрузок
– Работает строго в режиме
релевантной активности
Высокая производительность
Минимальные задержки
Минимальное потребление ресурсов
44. McAfee DAM: Пример внедрения
Sensor
Web-based Admin Console
Alerts / Events
ePO
Cloud
McAfee Database
Security ServerNetwork
Sensor Sensor
DBDB
DB
DBDBDBDB
DB
45. Преимущество: работа в облаке!
• Виртуализация
• Инструменты мониторинга, расположенные в
памяти, отслеживают трафик между
виртуальными машинами (ВМ)
• Эффективная обработка локальных правил
• Эффективная эксплуатация в динамической
среде
• «Облачные» вычисления
• Распределенная модель в среде WAN
• Автоматизированный ввод в эксплуатацию и
разграничение служебных обязанностей
позволяет выполнять мониторинг
управляемых услуг внутри предприятия Cloud
Computing
D
B D
B D
B D
B
47. McAfee представляет IPS следующего
поколения
June 13,
47
Network Security Platform
Анализ сети
Назначение
политик
Расширенный
анализ
Видимость
приложений
Гранулированный
контроль
Отчетность
и оповещение
Next
Generation
Intrusion
Prevention
48. McAfee представляет IPS следующего
поколения
48
Security Platform
Анализ сети
Гранулированный
контроль
Отчетность
и оповещение
Next
eneration
ntrusion
evention
Многолетнее лидерство
• Лучшая в индустрии защита из коробки
• Лидер квадрата Gartner c 2003 года
• Лучший охват уязвимостей 2005-2011
49. Контекстный анализ
49
Network Security Platform
Network
Visibility
Policy
Definition
Advanced
Analysis
Application
Awareness
Granular
Control
Reporting
and Alerts
Next
Generation
Intrusion
Prevention
Поведенческий анализ Пользовательские данные
Репутация угроз
Виртуальная среды
Уязвимости хоста
Фактор угроз от хоста
Эффективность
51. Идеально для высокопроизводительной
среды
Ядро сети требует модернизации McAfee NSP
Масштабируемая архитектура
• Высокая производительность, до 80
Gbps
• Поддержка интерфейсов 10 GigE
• Высока плотность портов
• Модульный дизайн
• Отказоустойчивая конфигурация
Преимущества
• Отсутствие узких мест
• Простая сетевая архитектура
• Гибкие методы интеграции
• Дата центрам нужны быстрые
надежные сети
• Старая архитектура безопасности не
выдерживает 10 GigE и 40 GigE
• Виртуализация требует новых
подходов к сетевой безопасности
54. Контактная информация
June 13, 201354
Владислав Радецкий
Инженер технической поддержки проектов
Направления (решения McAfee):
Data Protection (DLP, шифрование)
Email Security (защита почтовых серверов)
Endpoint Security (защита конечных точек)
Identity (двухфакторная аутентификация)
Mobile Security (MDM, защита моб. устройств)
Security-as-a-Service («облачные» решения)
Security Management (консоль управления)
Если у Вас возникли вопросы по теме доклада или
по указанным выше направлениям McAfee –
обращайтесь.
vr@bakotech.com
044 273-3333
вн. номер 152
55. Контактная информация
June 13, 201355
Андрей Пастушенко
Инженер технической поддержки проектов
Направления (решения McAfee):
Database Security (защита баз данных)
Web Security (контроль, защита Web)
Network Security (сетевая безопасность)
Risk & Compliance (анализ рисков)
SIEM (управление событиями безопасности)
Vulnerability Management (защита от
уязвимостей)
Если у Вас возникли вопросы по теме доклада или
по указанным выше направлениям McAfee –
обращайтесь.
ap@bakotech.com
044 273-3333
вн. номер 136
56. Контактная информация
June 13, 201356
Официальный сайт McAfee (документация, описание продуктов)
http://www.mcafee.com/ru/
Раздел McAfee на сайте БАКОТЕК (каталог решений, новости)
http://bakotech.ua/vendor/mcafee/
McAfee Ukraine Technical Club (техническая информ-я на русском)
https://www.facebook.com/McAfeeUkraineTechnical
Техническая поддержка McAfee (первая линия)
http://www.mcafee.com/ru/support.aspx
База знаний по продуктам McAfee (спецификации, FAQ и др.)
http://kc.mcafee.com/corporate/index?page=home