POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT
VYBUDOVÁNÍ NADSTAVBY NAD PROSTŘEDÍM AZURE
OBLASTI ZABEZPEČENÍ Datové centrum Azure - síť Síť subscripce Subnet 1 řešení Barracuda Subnet 2 interní zdroje
DATOVÉ CENTRUM AZURE Dvě separátní oblasti: ochrana Azure infrastruktury x ochrana zákazníka Ochrana Azure infrastruktury: Vrstva A izolace privátní sítě Azure od Internetu Vrstva B vrstva Azure DDoS/DOS/IDS Vrstva C Host firewally x VLAN ochrana Vrstva D více-faktorová autentizace operátorů Azure Ochrana zákazníka Layer 1 a 2 izolace prostředí zákazníka od jiných pomocí distribuovaných firewallů Layer 3 Ochrana uvnitř VM: Firewall, IDS, DOS Virtuální síťové appliance
SÍŤ SUBSCRIPCE Zajištění síťové izolace pro každý Azure deployment Komunikace mezi jednotlivými VM prochází přes důvěryhodné packet filtry: ARP, DHCP a jiné OSI Layer-2 protokoly jsou kontrolovány ochranou (anti-spoofing a další) VM nemůže zachytávat žádný provoz z cizí sítě Zákazník definuje endpointy (porty), na které lze přistoupit z internetu A není to trochu málo Antone Pavloviči?
SUBNET 2 INTERNÍ ZDROJE Network Security Groups Lze definovat pravidla komunikace NSG pravidlo obsahuje pětici prvků (IP adresa, protokol.) NSG pravidla jsou statefull NSG pravidla se podle priority Komunikace v rámci NSG je tagována a to lze dále využívat k řízení
Alerty např. malware, brute force attack, DDoS AZURE SECURITY CENTER REPORTING CELÉHO PROSTŘEDÍ Prevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu Prevence přehled bezpeč. politik Monitoring prostředků vůči bezpeč. politikám Detekce exploitů pomocí Azure Machine Learning Upozornění chybějící záplaty
AZURE SECURITY CENTER REPORTING SUBNET 2 Pohled v rámci vybrané Azure Subscription
AZURE SECURITY CENTER REPORTING SUBNET 2
A NENÍ TO POŘÁD MÁLO..? Odpovědí jsou řešení třetích stran Stejný princip jako v rámci in-house (on-premise) řešení Potřebuji / chci pokročilý firewall / aplikační firewall na jaký jsem zvyklý Potřebuji vytvářet VPN a pokročilé Site-to-Site řešení K dispozici mám pouze TCP / UDP ESP ani náhodou.
SUBNET 1 BARRACUDA NETWORK TINY protokol pro vytváření VPN řešení NG Firewall Další řešení pro pokročilou ochranu aplikací WAF Řešení pro ochranu pošty SF Řešení pro zálohování do Azure - MA
KOMPLETNÍ APLIKAČNÍ OCHRANA Pokročilá aplikační ochrana Data Loss Prevention OWASP Top-10 útoky Credit Card Numbers DDOS na aplikace Social Security Number Proactive Defense Custom Patterns Application Cloaking Geo-IP Control Příchozí inspekce Odchozí inspekce
WAF DYNAMICKÉ ŠKÁLOVÁNÍ V CLOUDU Auto-Scaling Group Azure LB Barracuda WAF Cluster Server 1 Server N Dynamic Scaling
KOMPLETNÍ OCHRANA POMOCÍ NOVÉ GENERACE FIREWALU
Vícevrstvá ochrana v rámci Azure prostředí
EXPRESSROUTE ARCHITEKTURA SPOLU S NG FIREWALEM Internet Inet router NG on-prem Azure gateway NG Firewall for Azure MPLS router ExpressRoute Public Internet router network LAN / DC Transport networks (public/private) Azure VNet ER Local Network
BEZPEČNÉ PROPOJENÍ SÍTÍ
Bezpečná a vysoce výkonná konektivita
TINA PROTOKOL Oproti IPSec nemá tolik limitovanou rychlost (IPSec - 80 Mbit/s) Umožňuje správu připojení, např. failover proces Enkapsulace ESP Více konkurenčních fyzickýh transportních cest na logický tunel Fallback v případě ztráty spojení Komprese provozu a deduplikace Podpora DHCP a NAT Heartbeat monitoring pro failover scénáře Client-to-Site Site-to-Site
Multi-Site konektivita
VÝHODY HYBRIDNÍ INFRASTRUKTURY Firewall As a Services plně cloudový firewall Hybridní scénář 1 předřadím NG firewall v Azure kvůli vysoké dostupnosti / škálování Zakrývám si vlastní bezpečnostní infrastrukturu Hybridní scénář 2 NG firewall v Azure Centrální NG firewall on-premise Propojím obě části do hybridního cloudu Připojím VPN klienty do NG v Azure Připojím mobilní NG firewally přes NG v Azure
CHAREKTERISTIKY NG FIREWALLU Microsoft Azure Compute Instance Name Barracuda NG Firewall SMALL (A1) MEDIUM (A2) LARGE (A3) EXTRA LARGE (A4) Virtual Cores 1 2 4 8 Firewall Throughput 400 Mbps 2 Gbps 5 Gbps 9 Gbps VPN Throughput 120 Mbps 500 Mbps 1 Gbps 1.5 Gbps IPS Throughput 80 Mbps 900 Mbps 2.5 Gbps 3 Gbps Concurrent Sessions 35,000 300,000 500,000 1,000,000 New Sessions/s 2,500 16,000 35,000 45,000 Premium Support * Malware Protection ** Optional Optional Optional Optional * Premium Support ensures that an organization s network is running at its peak performance by providing the highest level of 24x7 technical support for mission-critical environments. For more information, please visit https://www.barracuda.com/support/premium. ** Malware protection requires a separate one-year subscription.