Agentenlos! Cloud-übergreifend! Einfach! Trend Micro Deep Security Die optimale Sicherheitsplattform für VMware Umgebungen Thomas Brinkschröder Business Development Westcon Security Thomas.brinkschroeder@westconsecurity.de
Trend Micro marktführender Anbieter von Sicherheitslösungen für Rechenzentren Führender Sicherheitsanbieter für Server, Cloud und Virtualisierung Erste und einzige agentenlose Sicherheitssuite speziell für Virtualisierungsumgebungen Erster Anbieter von Sicherheitslösungen für die Cloud VMware Technology Alliance-Partner des Jahres 2011 Innovationspreis 2011 der Cloud Security Alliance 3
Die Fakten: Deep Security 9 PHYSISCH VIRTUELL CLOUD Abwehr von Eindringlingen Firewall Anti- Malware Web Reputation Integritätsüberwachung Protokollprüfung 1. Agentenlose Plattform für VMware-Umgebungen für umfassenderen, tiefgreifenderen Schutz Unterstützung aller aktuellen VMware-Plattformen Hypervisor-Integritätsüberwachung Verbesserungen bei Leistung und Tuning 2. Ausweitung der Sicherheit für Rechenzentren auf öffentliche und hybride Clouds Die Integration von vcloud und Amazon Web Services (AWS) ermöglicht eine zentrale und transparente Verwaltung und einheitliche Richtlinien für alle Arbeitslasten. 3. Mandantenfähige Architektur für softwarebasierte Rechenzentren und Provider Delegation und Selbstverwaltung für Mandanten Automatische Verteilung von Komponenten für eine flexible Skalierung
Deep Security 9: Die Fakten Herausforderungen Deep Security: Eine Serversicherheitsplattform
1. Veraltete Sicherheitslösungen sind ein Hemmnis für die Konsolidierung von Rechenzentren Physisch Virtuell Cloud Physische Server Virtuelle Server Virtuelle Desktops Server in privater u. öffentlicher Cloud Verringerte Cloud- Implementierung Geringere Virtualisierungsdichte und -rendite SICHERHEITSHEMMNISSE
2. Problemfaktor Serverpatching 1772 kritische Sicherheitslücken im Jahr 2012 Bekannte Schwachstellen und Sicherheitslücken ( CVE ): Wert von 7 10 1772 pro Jahr = 5 kritische Warnmeldungen täglich! Year # of Vulns % of Total 1997 145 57,54 1998 134 54,47 1999 424 47,43 2000 452 44,31 2001 773 46,09 2002 1.004 46,57 2003 678 44,4 2004 969 39,53 2005 2.040 41,37 2006 2.761 41,78 2007 3.160 48,51 2008 2.839 50,41 2009 2.719 47,44 2010 2.094 45,14 2011 1.821 43,88 2012 1.772 33,5 2013 487 35,24
3. Komplexe Bedrohungen lassen sich durch die vorhandenen Abwehrmaßnahmen nicht stoppen Raffinierter Gezielter Häufiger Profitabler Komplexe, zielgerichtete Bedrohungen Auflösung des Netzwerkrandes Die grundlegenden Schutzmaßnahmen für Netzwerkrand und Host reichen nicht mehr aus.
4. Auflagen zur Richtlinieneinhaltung sind Kostentreiber Benötigt werden umfassendere Lösungen mit geringeren Gesamtkosten Immer mehr Normen: PCI, SAS70, HIPAA, ISO 27001, FISMA/NIST 800-53, MITS Immer spezifischere Sicherheitsanforderungen Virtualisierung, Webanwendungen, EPA, personenbezogene Daten Immer mehr Strafen und Geldbußen HITECH, Meldung von Sicherheitsverletzungen, Zivilprozesse Die DMZ-Konsolidierung mit Hilfe von Virtualisierung wird ein Knackpunkt für die Auditoren sein, da ein höheres Risiko von Fehlkonfigurationen und eine verringerte Sichtbarkeit von Verletzungen der DMZ-Richtlinien besteht. Bis zum Jahresende 2011 werden die Auditoren mehr virtualisierte DMZ-Lösungen prüfen als nicht-virtualisierte DMZ-Lösungen. Neil MacDonald, Gartner 9
Trend Micro Deep Security Eine Serversicherheitsplattform für alle Umgebungen: 6 Schutzmodule Verringert die Angriffsfläche, verhindert Denial-of-Service- Angriffe und erkennt Reconnaissance-Suchen Prüft die Integrität von Websites und schützt Anwender vor dem Zugriff auf bösartige URLs Optimiert die Erkennung wichtiger, sicherheitsrelevanter Ereignisse, die sich in Protokolleinträgen verbergen Firewall Web Reputation Protokollprüfung IDS/IPS Virenschutz Integritätsüberwachung Erkennt und sperrt bekannte und Zero- Day-Angriffe auf Schwachstellen Erkennt und sperrt Malware (Internetbedrohungen, Viren und Würmer, Trojaner) Entdeckt bösartige und unbefugte Änderungen an Verzeichnissen, Dateien, Registrierungsschlüsseln... Physisch Virtuell Schutz durch Agent und/oder virtuelle Appliance * Protokollprüfung derzeit nur agentenbasiert
Architektur von Deep Security Zentrale Konsole Skalierbar Redundant Deep Security Manager Threat Intelligence Manager SecureCloud Berichte Deep Security Agent Module: Abwehr von Eindringlingen Firewall Integritäts-überwachung Protokollprüfung Malware-Schutz Web Reputation Deep Security Virtual Appliance Beinhaltet: Abwehr von Eindringlingen Firewall Malware-Schutz Web Reputation Integritätsüberwachung Hypervisor-Integritätsüberwachung Klassifizie rung 4/26/2013 11
Virtualisierungssicherheit mit Deep Security Agentenlose Sicherheitsplattform für virtuelle Umgebungen Deep Security Virtual Appliance Intrusion Prevention Firewall Malware-Schutz Web Reputation Integritätsüberwachung Herkömmliche Methode Mit Deep Security Mehr VMs VM VM VM Virtuelle Sicherheitsappliance VM VM VM VM VM Höhere Dichte Weniger Ressourcen Einfachere Verwaltung Mehr Sicherheit
Agentenlose Architektur = Kosteneinsparungen bei CAPEX + OPEX VM-Server pro Host Agentenloser Agentless Virenschutz AV 75-100 Herkömmlicher Traditional Virenschutz AV 25 3-10 x höhere Konsolidierungsraten bei VDI-VMs 0 10 20 30 40 50 60 70 80 Einsparungen in 3 Jahren bei 1000 VDI-VMs = 539.600 US-Dollar Quellen: Testbericht von Tolly Enterprises: Trend Micro Deep Security im Vergleich zu McAfee und Symantec, Februar 2011; Geschätzte Einsparungen basierend auf ROI-Berechnungen von VMware 13
Deep Packet Inspection Virtuelles Patching mit Deep Security Ursprünglicher Datenverkehr Abschirmung von mehr als 100 Anwendungen, darunter: Betriebssysteme Gefilterter Datenverkehr 1 2 3 4 Stateful-Firewall Bekannte unbedenkliche Daten werden zugelassen. Regeln zur Abwehr von Exploits Bekannte gefährliche Daten werden gestoppt. Regeln für Schwachstellen Bekannte Schwachstellen werden abgeschirmt. Intelligente Regeln Unbekannte Schwachstellen werden abgeschirmt und spezifische Anwendungen geschützt. Datenbankserver Webanwendungsserver Mail-Server FTP-Server Backup-Server Speichermanagementserver DHCP-Server Desktop-Anwendungen Mail-Clients Webbrowser Virenschutz Sonstige Anwendungen 14
Deep Security zur tiefgreifenden Verteidigung und Einhaltung von Richtlinien Wird 7 PCI-Vorgaben sowie mehr als 20 nachgeordneten Kontrollmechanismen gerecht, z. B.: Firewall Web Reputation Protokollprüfung IDS/IPS Virenschutz Integritätsüberwachung (1.) Netzwerksegmentierung (1.x) Firewall (5.x) Virenschutz (6.1) Virtuelles Patchen* (6.6) Schutz von Webanwendungen Physische Server Virtuelle Server Cloud- Computing Endpunkte und Geräte (10.6) Tägliche Protokollprüfung (11.4) IDS/IPS (11.5) Integritätsüberwachung von Dateien * ergänzende Kontrolle
Deep Security 9: Die Fakten Markttrends Deep Security: Eine Serversicherheitsplattform Was ist neu in Deep Security 9? Warum Sie Deep Security brauchen
Herausforderungen im Bereich Cloud-Sicherheit Schutz der privaten Cloud Fehlende Kontrolle über die Umsetzung der Sicherheitsrichtlinien beim Umstieg von physischen auf virtuelle Umgebungen Schwierigkeiten beim Delegieren von Sicherheitskontrollen an interne Teams Schutz der hybriden Cloud Schutz von dynamischen Ressourcen Transparenz bezüglich Schwachstellen und Änderungen Security-as-a-Service (xsp) Bereitstellung differenzierter Serviceangebote Delegation von Sicherheitsverwaltungsaufgaben 4/26/2013 17
1. Engere Integration in die VMware-Plattform Unterstützung für die neuen Funktionen von vsphere und vshield 4. und optimierte Generation der umfassendsten agentenlosen Sicherheitssuite Verbesserte Leistung VM-übergreifendes Caching/Deduplizierung von Virensuchen und Integritätsprüfungen Erhebliche Speicher-E/A-Vorteile für die weitere Konsolidierung der VDI Feinabstimmung der IPS-Richtlinien auf die Gastanwendung Mehr Schutz Boot-Integrität des Hypervisors: Vertrauenskette von der VM-Dateiintegrität bis hin zur Hardware Anwendungssensitive IPS-Richtlinien (agentenlos) Trend Micro vertraulich; GHV erforderlich
Integration von Deep Security in VMware-APIs Integration in vcenter Integration in vcloud Integration in Intel TPM/TXT Trend Micro Deep Security IDS/IPS Firewall Agentenlos Agentenlos Virenschutz Web Reputation Agentenlos Integritätsüberwachung Agentenbasiert Protokollprüfung 1 2 3 4 VMsafe APIs vshield Endpunkt vshield Endpunkt Sicherheitsagent auf einzelnen VMs Security Virtual Machine v S p h e r e v C l o u d 5 Jahre Zusammenarbeit und gemeinsame Produktinnovationen Erste und einzige agentenlose Sicherheitsplattform Erste und einzige umfassende Sicherheitslösung vom Rechenzentrum bis zur Cloud Hypervisor-Integritätsüberwachung
2. Erweiterung der Sicherheitslösung für Rechenzentren auf die hybride Cloud Integration in die AWS- und vcloud- API Zentrale und transparente Verwaltung von VMs in internen VMware- Rechenzentren, virtuellen privaten Clouds (VPC) und öffentlichen Clouds Hierarchische Richtlinienverwaltung Benutzerdefinierte Richtlinien für verschiedene VMs oder Rechenzentren durch Vererbungsmechanismus (zentrale IT-Abteilung kann richtlinienkonforme Grundeinstellungen vorgeben) Vertrauliches Material von Trend Micro GHV erforderlich
Datensicherheit in der Cloud Sicherheit für Systeme, Anwendungen und Daten in der Cloud Deep Security 9 Kontextüberwachung SecureCloud Vertrauliche Sozialversicherungsnummern Kreditkartendaten Patientendaten Forschungsergebnisse Modularer Schutz für Server und Anwendung VM-Sicherheit mit Selbstverteidigungsmechanismus in der Cloud Agent auf VM ermöglicht den Wechsel zwischen Cloud-Lösungen Ein Verwaltungsportal für sämtliche Module Verschlüsselung mit richtlinienbasierter Schlüsselverwaltung Daten sind für Unbefugte nicht lesbar Richtlinienbasierte Schlüsselverwaltung steuert und automatisiert die Bereitstellung von Schlüsseln Servervalidierung authentifiziert Server, die Schlüssel anfordern
Deep Security 9: Die Fakten Herausforderungen Deep Security: Eine Serversicherheitsplattform Warum Sie Deep Security brauchen 4/26/2013 24
Deep Security Wesentliche Unterscheidungsmerkmale der Lösung Umfassender Schutz für Systeme, Anwendungen und Daten Effizientere Betriebsabläufe Herausragende Plattformunterstützung Engere Integration in das Ökosystem Firewall IDS/IPS Schutz von Webanwendungen Anti-Malware Schutz vor Internetbedrohungen Integritätsüberwachung (einschl. Hypervisor) Protokollprüfung Integrierte Sicherheitsplattform Zentrale, transparente Verwaltung für das Rechenzentrum und die Cloud Agentenlose Architektur Automatisierung von Aufgaben durch Empfehlungssuchen, Sicherheitsprofile, vertrauenswürdige Quellen usw. Umfassende Funktionalität für mehr Plattformen (physisch, virtuell, Cloud) Schneller Support für aktuelle Versionen Hypervisor- und Cloud-Plattformen Unternehmensverzeichnisse, SIEM-Systeme und andere Anwendungen
DANKE für Ihr FEEDBACK! Als Dankeschön erhalten Sie einen USB Mini Charger für ihr Auto. z.b. für Ihr Smartphone 4/26/2013 Confidential Copyright 2012 TrendMicro Inc. 2
Vielen Dank 29
Trend Micro Confident ial 30
Trend Micro Confident ial 31
Trend Micro Confident ial 32
Trend Micro Confident ial 33
Trend Micro Confident ial 34
Trend Micro Confident ial 35
Trend Micro Confident ial 36