1

Защита информации и вычислений в виртуальных облачных средах. Подход и технологии Symantec

Повестка

• Основные задачи и приоритеты ИТ

• VMWare & Symantec - совместная стратегия

• Технологии реализующие эту стратегию

– Часть 1: Доступность данных и вычислений

– Часть 2: Информационная безопасность

2

Deeply Integrated. Highly Protected.

Повышение BC/DR (готовности к авариям/сбоям)

Готовность к масштабным авариям

Решение ежедневных проблем

Поддержание работоспособности бизнес задач

Работа в условиях ограниченности ресурсов

3

Независимость от ручных процессов

Внедрение средств обеспечения доступности и информационной безопасности

Консолидация серверов

Внедрение решений по виртуализации

Простота - залог надежности. VMWare + Symantec

4

+ Extended Customer Value!

• Защита данных

• Отказоустойчивость

• Хранение данных

• Управление системами

• Безопасность

• NFS File Storage

Более 10 лет партнерства и совместной разработки решений:

VMWare + Symantec – польза от партнерства

5

Преодолевая барьеры - решения Symantec для Виртуальных сред

Доступность ИС

Управление хранением

Защита данных то сбоев

Информационная безопасность

6

Решения Symantec для Виртуальных сред

Доступность ИС

Управление хранением

Защита данных то сбоев

Информационная безопасность

7

Обеспечение отказоустойчивости в среде VMWare

8

1. Source: IDC, October 2009. Choosing Storage for Virtualized Servers. For companies with > 1,000 employees.

Ключевые задачи

TIER 3 TIER 2 TIER 1

IIS

Apache

Print

WebLogic

WebSphere

File

SQL, Oracle

SAP

Exchange

Criticality of applications V

irtu

aliz

atio

n a

do

pti

on

“40% сбоев в виртуальных средах происходит по причине сбоя внутри приложения” Donna Scott, Gartner

• Запуск процессов App ≠ App работает

• VM работает ≠ App работает

• порядок запуска VM ≠

порядок запуска Арр

• восстановление ≠ восстановление App

Symantec ApplicationHA – обеспечение доступности приложений в виртуальных средах

9

VM1

OS

VM2

OS

VM1

OS

VM2

OS

• Мониторинг приложений

– Проверка статуса

– Обнаружение сбоев

• Координированное восстановление

– Перезапуск приложения

– Использование VMware HA для восстановления

– Интеграция через App Monitoring API

• Защита от всех видов сбоев

– Сбои оборудования

– VM работает, а приложение нет

VMware ESX

VMware ESX

Application HA

Application HA

SQL ORA SQL ORA

10

VMware HA VMware HA

– VM восстановилась, а приложение нет

– Приложение запущено, но не работает

Как ApplicationHA дополняет инструменты VMware

ApplicationHA + Vmware – эффективное решение

11

• Полноценная поддержка o vMotion o DRS o HA o DPM o Snapshots

• Ожидание Heartbeat(а)

o Приостанавливается на vMotion stun

o Возобновляется после vMotion un-stun

• Мониторинг приложений в

ApplicationHA продолжается в vMotion

VMware ESX VMware ESX VMware ESX

Решения Symantec для Виртуальных сред

12

Доступность ИС

Управление хранением

Защита данных то сбоев

Информационная безопасность

Рост объемов данных • Рост CapEx затрат на устройства хранения

• Увеличение OpEx для поддержания растущих и усложняющихся инфраструктур

Такая динамика влечет…

“In 2011 alone, 1.8 zettabytes (or 1.8 trillion gigabytes) of data will be created, the equivalent to every U.S. citizen writing 3 tweets per minute for 26,976 years.”

-Computerworld citing IDC

62% Year Over Year

Вызовы современности: Зачем нужен еще лучший

Backup?

2011- 2012

13

Разнородные решения • Невозможность одновременно видеть физику и виртуальные среды

• Несовместимость политик хранения

• Множество консолей управления

• Несколько вендоров/контрактов на сопровождение

Количество решений приводит к росту сложности и стоимости…

“Система резервного копирования должна быть ЕДИНОЙ, УНИФИЦИРОВАННОЙ и ИНТЕГРИРОВАННОЙ для работы с разными средами.”

-Dave Russell Analyst, Gartner

Вызовы современности: Зачем нужен еще лучший

Backup?

14 Защита бизнеса и ИТ при помощи решений VMWare и Symantec

Сложности защиты виртуальных средBad Things Can Happen in the Dark

Резервирование VM Не делайте бэкап вслепую

Нельзя защитить или восстановить то, чего ты не видишь.

Поместив бэкап клиента внутрь VM мы, как правило, сильно ухудшаем производительность LAN

15

Применение технологий V-Ray для резервирования и восстановления сред VMware®

16

Presenter’s Title

V-Ray – унификация управления резервированием

Виртуальная инфраструктура & администраторы VMWare

Symantec

Физическая инфраструктура & Бэкап администраторы

Унифицированная защита данных

Symantec

vCenter plug-in для мониторинга бэкап - событий

17

Symantec NetBackup с технологией V-Ray

Symantec V-Ray

• Запатентованная технология работы с VM, приложениями внутри VM и дедупликации их данных

• Прозрачные бэкап и восстановление

• Объединяет физическую и виртуальную среды

Сокращение расходов, Прозрачность, Производительность и эффективность

Унификация Восстановление файлов и приложений

Дедупликация Автоматизированная защита

18

V-Ray автоматически защищает VM “на лету” Wherever They May Reside

• Сокращение OpEx и рисков засчет автоматической защиты VM по мере их:

– Создания

– Перемещения

– Старта

– ...

(25 критериев)

20

V-Ray

With VMware Intelligent Policy

Offload IT staff and reduce risk of unprotected data

Восстановление VM как решить все задачи – Часть 1

• Бэкап VMDK нужен для DR

• Восстановление же файла предполагает:

1. Восстановление VMDK, что требует отдельного диска

2. Стартовать VM

3. Найти образ VM с требуемым файлом (может занять время)

4. Восстановить файл !!!

22

80% запросов – это восстановление единичных файлов ….при этом, задача Disaster Recovery всегда актуальна

Восстановление VM как решить все задачи – Часть 2

80% запросов – это восстановление единичных файлов ….при этом, задача Disaster Recovery всегда актуальна

• Если же ограничиться бэкапом файловой системы…

• То как обеспечить DR?

1. Создать и запустить VM

2. Установить агент NetBackup

3. Запустить восстановление по сети – (может занять время)

23

V-Ray – триединый бэкап в действии

• Поддержка трех типов восстановления из одного бэкапа – единичный файл, приложение и DR образ

• Все файлы катологизируются для возможности восстановления

• Идентифицируются объекты MS Exchange, SharePoint и SQL server

• Бэкап создается ОДИН раз

• Восстановление напрямую с любого типа носителя – диска или ленты

• Стейджинг на диск не требуется

24

Symantec V-Ray

NetBackup – интеллектуальная дедупликация

Без V-Ray – • “Multi-Step” Backup and Recovery Slow

• “Guessing” at best-fit deduplication

• Requires ‘more’ compute power

• Limited to no growth potential

?

Traditional backup data stream

What They See

С применением V-Ray – • “Single-Pass” Backup and Recovery Fast

• “Intelligent” Deduplication Data Aware

• Use ‘less’ compute power Green

• Deduplication Platform Future growth

NetBackup data stream

What We See

25

Symantec V-Ray обеспечивает дедупликацию везде Yet Manage Centrally from the Same Interface

Ch

oic

e o

f

Pla

ces

to D

ed

up

e

Client Servers

Built-In Dedupe at the client

Media Server

Built-In Dedupe at the media server

Target Device

Dedupe to a backend storage target

3 2 1

Ch

oic

e o

f

Form

Fac

tor

More Choices on a Single Platform

26

Решения Symantec для Виртуальных сред

Доступность ИС

Управление хранением

Защита данных то сбоев

Информационная безопасность

27 Защита бизнеса и ИТ при помощи решений VMWare и Symantec

Защита конфигурации виртуализации

Symantec CCS VSM

Control Compliance Suite Virtualization Security Manager

Как обеспечить безопасность виртуализации ?

30

VM guest management

Access Contorol

VM Infrastructure management

SIEM

Network/Endpoint Security

Как обеспечить безопасность виртуализации ?

31

Строгая многофакторная аутентификация

Детализированное журналирование

Хранение журналов

Политики доступа

Контроль конфигураций

Patch management / vulnerability management

Endpoint Security

Vcenter – наше все

Symantec CCS VSM

Vcenter – наше все

VClient Vcenter

Строгая многофакторная аутентификация

VClient

CCS VSM Vcenter

Доступ к Vcenter / ESXi физически не осуществляется до момента успешной аутентификации

Возможна двухфакторная аутентификация

Строгая многофакторная аутентификация

Logging

Log Data Provider

Data for Allowed Operation (example)

Data for Denied Operation (example)

Usability & Productivity

Virtualization Platform

User: root Time/date Target resource name, URL Operation executed

none • Separate log files for vCenter and each host server

• Different log formats for vCenter vs. hosts

CCS VSM

All above, plus: • User ID • Source IP address • Resource reconfigured • Previous & new resource

state • Label (Production) • Required privileges • Evaluated

rules/constraints

• User ID • Date/time • Source IP address • Operation requested • Operation denial • Target resource name,

IP address, port, and protocol

• Required privileges • Missing privileges • Evaluated

rules/constraints

• Consolidated, centrally managed logs covering vCenter and all hosts

• Single, uniform format for combined vCenter and host log data

• Logs sent to central repository or SIEM via syslog

35 Breakfast Briefing - CCS Virtual Security Manager

Детализированное журналирование

Регистрация действий

VClient

CCS VSM ESX(i) / VCenter

Детализированное журналирование

Контроль доступа - метки

ESX(i)

CCS VSM

L

L

Политики доступа

Авторизация по меткам

Авторизация по протоколу

Подтверждение действий

CCS VSM

Политики доступа

CIS PCI

Vmware SOX

Контроль соответствия

CCS VSM ESX(i)

Контроль конфигураций

Интеграция в Control Compliance Suite

40

Контроль конфигураций

Мониторинг и защита компонентов виртуализации

Symantec CCS VSM

Critical System Protection

Symantec Endpoint Protection

Чуть о безопасности VMware …

Как и у обычного софта, у гипервизоров бывают «дыры»

42

Source : CVE (cve.mitre.org)

Чуть о безопасности VMware …

… и еще о неизвестных уязвимостях…

43

Exploit Value Source

Excel > $1200 0day auction site

Weaponized Mozilla Exploit

> $4000 Chinese Forum

vSphere 0day $15000 TOR covert forum

Source : Various underground forums

Что за продукт нужен для защиты серверов? Host Intrusion Prevention

• Real-Time Proactive Enforcement

• Intrusion/Malware Prevention

• System Hardening

• Application Control

• Privileged User access control

• Vulnerability & Patch Mitigation

Host Intrusion Detection

• Real-time Monitoring & Auditing

• Host Intrusion Detection

• File Integrity Monitoring

• Configuration Monitoring

• Track and Monitor user access

• Logging and Event Reporting

Безо

пасн

ее

Symantec Critical System Protection Многоуровневая защита для критичных систем

Защита Сети (Host IPS)

Защита от эксплойтов

(Host IPS)

Контроль системы (Host IPS)

Аудит и оповещение

(Host IDS)

Symantec Critical

System Protection

• Контроль поведения

приложений и ОС

• Защита систем от атак

переполнения буфера

• Защита от атак 0-го дня

• Контроль приложений

• Мониторинг журналов

и событий

безопасности

• Централизация

журналов для

отчетности и анализа

• Реагирование по

событию

• Close back doors

(блокировка портов)

• Ограничение соединений

на уровне приложений

• Контроль исходящего и

входящего трафика

• Ограничение доступа к

конфигурации и

настройкам

• Применение политики

безопасности

• Контроль прав

пользователей

• Ограничение

использования

переносных устройств

Symantec Endpoint Protection 12.1 Built for Virtualization

46