POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

Transkript

1 POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

2 VYBUDOVÁNÍ NADSTAVBY NAD PROSTŘEDÍM AZURE

3 OBLASTI ZABEZPEČENÍ Datové centrum Azure - síť Síť subscripce Subnet 1 řešení Barracuda Subnet 2 interní zdroje

4 DATOVÉ CENTRUM AZURE Dvě separátní oblasti: ochrana Azure infrastruktury x ochrana zákazníka Ochrana Azure infrastruktury: Vrstva A izolace privátní sítě Azure od Internetu Vrstva B vrstva Azure DDoS/DOS/IDS Vrstva C Host firewally x VLAN ochrana Vrstva D více-faktorová autentizace operátorů Azure Ochrana zákazníka Layer 1 a 2 izolace prostředí zákazníka od jiných pomocí distribuovaných firewallů Layer 3 Ochrana uvnitř VM: Firewall, IDS, DOS Virtuální síťové appliance

5 SÍŤ SUBSCRIPCE Zajištění síťové izolace pro každý Azure deployment Komunikace mezi jednotlivými VM prochází přes důvěryhodné packet filtry: ARP, DHCP a jiné OSI Layer-2 protokoly jsou kontrolovány ochranou (anti-spoofing a další) VM nemůže zachytávat žádný provoz z cizí sítě Zákazník definuje endpointy (porty), na které lze přistoupit z internetu A není to trochu málo Antone Pavloviči?

6 SUBNET 2 INTERNÍ ZDROJE Network Security Groups Lze definovat pravidla komunikace NSG pravidlo obsahuje pětici prvků (IP adresa, protokol.) NSG pravidla jsou statefull NSG pravidla se podle priority Komunikace v rámci NSG je tagována a to lze dále využívat k řízení

7 Alerty např. malware, brute force attack, DDoS AZURE SECURITY CENTER REPORTING CELÉHO PROSTŘEDÍ Prevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu Prevence přehled bezpeč. politik Monitoring prostředků vůči bezpeč. politikám Detekce exploitů pomocí Azure Machine Learning Upozornění chybějící záplaty

8 AZURE SECURITY CENTER REPORTING SUBNET 2 Pohled v rámci vybrané Azure Subscription

9 AZURE SECURITY CENTER REPORTING SUBNET 2

10 A NENÍ TO POŘÁD MÁLO..? Odpovědí jsou řešení třetích stran Stejný princip jako v rámci in-house (on-premise) řešení Potřebuji / chci pokročilý firewall / aplikační firewall na jaký jsem zvyklý Potřebuji vytvářet VPN a pokročilé Site-to-Site řešení K dispozici mám pouze TCP / UDP ESP ani náhodou.

11

12 SUBNET 1 BARRACUDA NETWORK TINY protokol pro vytváření VPN řešení NG Firewall Další řešení pro pokročilou ochranu aplikací WAF Řešení pro ochranu pošty SF Řešení pro zálohování do Azure - MA

13 KOMPLETNÍ APLIKAČNÍ OCHRANA Pokročilá aplikační ochrana Data Loss Prevention OWASP Top-10 útoky Credit Card Numbers DDOS na aplikace Social Security Number Proactive Defense Custom Patterns Application Cloaking Geo-IP Control Příchozí inspekce Odchozí inspekce

14 WAF DYNAMICKÉ ŠKÁLOVÁNÍ V CLOUDU Auto-Scaling Group Azure LB Barracuda WAF Cluster Server 1 Server N Dynamic Scaling

15 KOMPLETNÍ OCHRANA POMOCÍ NOVÉ GENERACE FIREWALU

16 Vícevrstvá ochrana v rámci Azure prostředí

17 EXPRESSROUTE ARCHITEKTURA SPOLU S NG FIREWALEM Internet Inet router NG on-prem Azure gateway NG Firewall for Azure MPLS router ExpressRoute Public Internet router network LAN / DC Transport networks (public/private) Azure VNet ER Local Network

18 BEZPEČNÉ PROPOJENÍ SÍTÍ

19 Bezpečná a vysoce výkonná konektivita

20 TINA PROTOKOL Oproti IPSec nemá tolik limitovanou rychlost (IPSec - 80 Mbit/s) Umožňuje správu připojení, např. failover proces Enkapsulace ESP Více konkurenčních fyzickýh transportních cest na logický tunel Fallback v případě ztráty spojení Komprese provozu a deduplikace Podpora DHCP a NAT Heartbeat monitoring pro failover scénáře Client-to-Site Site-to-Site

21 Multi-Site konektivita

22 VÝHODY HYBRIDNÍ INFRASTRUKTURY Firewall As a Services plně cloudový firewall Hybridní scénář 1 předřadím NG firewall v Azure kvůli vysoké dostupnosti / škálování Zakrývám si vlastní bezpečnostní infrastrukturu Hybridní scénář 2 NG firewall v Azure Centrální NG firewall on-premise Propojím obě části do hybridního cloudu Připojím VPN klienty do NG v Azure Připojím mobilní NG firewally přes NG v Azure

23 CHAREKTERISTIKY NG FIREWALLU Microsoft Azure Compute Instance Name Barracuda NG Firewall SMALL (A1) MEDIUM (A2) LARGE (A3) EXTRA LARGE (A4) Virtual Cores Firewall Throughput 400 Mbps 2 Gbps 5 Gbps 9 Gbps VPN Throughput 120 Mbps 500 Mbps 1 Gbps 1.5 Gbps IPS Throughput 80 Mbps 900 Mbps 2.5 Gbps 3 Gbps Concurrent Sessions 35, , ,000 1,000,000 New Sessions/s 2,500 16,000 35,000 45,000 Premium Support * Malware Protection ** Optional Optional Optional Optional * Premium Support ensures that an organization s network is running at its peak performance by providing the highest level of 24x7 technical support for mission-critical environments. For more information, please visit ** Malware protection requires a separate one-year subscription.