Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Transkript

1 Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager

2 Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server Stage 3 Private > Public Cloud 85% Desktops 70% 30% 15% Herausforderungen auf dem Weg zur Virtualisierung

3 Virtuelle Systeme spezifischer Schutz Gleiche Bedrohungen für virtuelle und physische Server. + Neue Herausforderungen: 1. Inter-VM Attacken 2. Instant-on Lücken 3. Ressourcenprobleme 4. Komplexes Management

4 Herausforderung der virtuellen Sicherheit 1 Inter-VM Attacken

5 Herausforderung der virtuellen Sicherheit 2 Instant-on Lücken Aktiv Reaktiviert mit veralteter Ruhend Security Neue VMs

6 Herausforderung der virtuellen Sicherheit 3 Ressourcen Engpässe 3:00 Uhr Scan Standard AV Konsole

7 Herausforderung der virtuellen Sicherheit 4 Komplexes Management Provisionierung neuer VMs Neukonfiguration der Agenten Pattern verteilen Patchen der Clients

8 Traditioneller Schutz virtueller Server AV App OS App AV App OS App AV App OS App Netzwerk IDS/IPS ESX Server Antivirus: Lokaler, agenten-basierter Schutz in der virtuellen Maschine IDS / IPS: Netzwerk-basiertes Gerät

9 Deep Security

10 Architektur PHYSICAL VIRTUAL CLOUD Deep Security Virtual Appliance Deep Security Agent Deep Security Relay Agent Security Updates Alerts Deep Security Manager Security Center Reports Security Updates

11 Trend Micro Deep Security 5 Sicherheits-Module Agentenlos Schützt Sicherheitslücken in Webapplikationen Schützt vor schadhaften Webseiten Verringert die Angriffsfläche. Verhindert DoS & erkennt Netzwerk-Scans Optimiert Erkennung von wichtigen Sicherheitsvorfällen in unterschiedlichen Logfiles Deep Packet Inspection IDS / IPS Web Application Protection Firewall Log Inspection Webreputation Application Control Anti-Malware Integrity Monitoring Erkennt und blockt bekannte und Zero-Day Angriffe welche Sicherheitslücken adressieren Bietet erhöhte Sichtbarkeit auf, und Kontrolle über Applikationen welche auf das Netzwerk zugreifen Erkennt und blockt Malware (Viren, Würmer, Trojaner, etc.) Erkennt bösartige und unautorisierte Veränderungen von Ordnern, Files, Registry Keys, 11 Schutz wird über Agent und/oder die Virtual Appliance gewährleistet

12 Deep Packet Inspection IDS/IPS Vulnerability rules: Schützt bekannte Schwachstellen vor unbekannten Angriffen Exploit rules: Stoppt bekannte Angriffe Smart rules: Zero-day Schutz vor unbekannten Exploits gegen unbekannte Schwachstellen Virtuelles Patching Web Application Protection Unterstützt PCI DSS 6.6 Compliance Sichert Schwachstellen in Webapplikationen Schützt Applikationen die nicht gefixt werden können Verhindert SQL injection, cross-site scripting (XSS) Application Control Erkennt verdächtigen Traffic wie z.b. erlaubte Protokolle über nicht-standard Ports Begrenzt Netzwerkzugriff für Applikationen Erkennt und blockt den Netzwerkzugriff durch bösartige Software

13 Recommendation Scan

14 Integrity Monitoring Überwacht Files, Systeme und Registry Kritische OS und Applikations Daten (Dateien, Ordner, Registrykeys und -values) On-change, on-demand oder Scheduled Detection Ausführliche Dateieigenschaften - Überprüfung inkl. Attribute Überwacht spezifische Verzeichnisse Ausführliche Reports Hilfreich bei: Einhalten der PCI Compliance Alarmierung bei Fehlern, die einen Angriff signalisieren Alarmierung bei kritischen Änderungen am System

15 VMware APIs

16 VMware APIs (VMSafe & EPSec) Überprüfung von CPU/Speicher Überprüfung spezifischer Speicherseiten Kenntnis des CPU-Zustands Richtliniendurchsetzung durch Ressourcenzuweisung Vernetzung Anzeige des gesamten IO-Verkehrs auf dem Host IO-Verkehr unterbrechen, anzeigen, verändern und reproduzieren Verfügbarkeit aktiven oder passiven Schutzes Speicherplatz Einbauen und Lesen virtueller Festplatten (VMDK) IO-Lese-/Schreibzugriffe auf die Speichergeräte überwachen Transparent für Geräte und verbunden mit ESX- Speicherstapel

17 Deep Security/EPSec API Components Deep Security Virtual Appliance Security Admin Deep Security Manager Deep Security Super Agent vshield Endpoint Library On Access Scans EPsec Interface VM VM Guest VM APPs APPs APPs REST Status Monitor On Demand Scans Remediation Caching & Filtering OS OS OS Kernel Kernel Vshield Guest Driver BIOS BIOS VI Admin vshield Manager 4.1 / 5 vcenter ESX 4.1 / ESXi 5 vsphere Platform vshield Endpoint ESX Module Legend Trend Micro Deep Security EPSEC API Components (Within DS) vshield Endpoint Components VMware Platform VMware Internal Interfaces Partner Accessible Interfaces

18 On Access Scan mit vshield Endpoint VM VMGuest VM OS Deep Security Virtual Appliance EPsec Lib On Access Scans APPs APPs APPs EPsec Thin Agent On Demand Scans Remediation Caching & Filtering Deep Security Agent file event result result cached? result excluded by filter? file event * file data request data cached? * file data * file data scan result result

19 Effiziente Ressourcenallokation (RAM) Anti-Virus B Anti-Virus Y Anti-Virus R DS 8 AV Y AV R AV B # of Guest VMs

20 Effiziente Ressourcenallokation (Bandbreite) Signatur Update bei 10 Agenten Anti-Virus B Anti-Virus Y Anti-Virus R Time (Seconds)

21 Geschützte Plattformen (Agent & VA) Windows 2000 Windows 2003 R2 / 2008 (32 & 64 bit) Windows XP Vista (32 & 64 bit) Windows Server 2008 / R2(32 & 64 bit) Windows 7 (32 & 64 bit) HyperV (Guest VM) 8, 9, 10 on SPARC 10 on x86 (64 bit) Red Hat 4, 5 (32 & 64 bit) SuSE 10, 11 VMware ESX Server (guest OS) VMware Server (host & guest OS) XenServer (Guest VM) HP-UX 11i (11.23 & 11.31) AIX 5.3, 6.1 Integrity Monitoring & Log Inspection Module 21

22 Vorteile für Kunden Höhere Konsolidierungsrate: Ineffiziente Abläufe entfallen Mehr Leistung Keine Antiviren-Stürme Einfachere Verwaltung Keine Agenten,die konfiguriert, aktualisiert und gepatcht werden müssen Besserer Schutz Manipulationssicherer Sofortschutz Jetzt mit Deep Security VS Virtuelle Appliance Früher VM VM VM VM VM VM VM

23 Vielen Dank!?