Deep Security 7.5 Agent-less Anti Malware pro virtualizaci serverů a desktopů Ondrej KOVAC Technical Sales Engineer
Agenda Potřeba hostovaného zabezpečení Proč okrajové zabezpečení není dostačující Jak dochází k útokům Virtualization Security Challenges Deep Security 7.5 Deep Security 7.5 Architecture Instalace Deep Security 7.5 Instalace Gotcha s from PoCs Deep Security AV vs OfficeScan Kdy nasadit Deep Security Q&A 5/5/11 2
High Profile Cases proč potřebují hostovanou ochranu May-2009: Hackers broke into 2 databases over a 6 month period, and exposed the data of 160,000+ students. Mar-2009: Hackers hijack PII for 45,000 employees & retirees. Dec-2008: PII of 1.5M customers & 1.1M Social Security Numbers. Dec-2008: DNS hijacking puts 5,000,000 check processing accounts at risk. May-2008: Security breach cost $68 million, 130 million records affected Aug-2007: Hackers placed software on the company s network, and steal 45 M credit card # s. Costs soar to $256 M. 3
Cílený útok Srdce platebních systémů 5. největších zpracovatelů plateb v USA K porušení bezpečnosti došlo v květnu 2008; zveřejněny 20. ledna 2009 Největší kriminální úlovek kreditních kart všech dob (130 milionu záznamů), což stálo přes $68 milionu. V březnu 2010 byl Albert Gonzalez odsouzen k 20 letům odnětí svobody Útok Přes sítě (DMZ) prostřednictvím webové aplikace (SQL injection) a instalaci Malware Zpropagovaný odposlouchávač paketů přes korporátní síť Stejné techniky používané k útokům Hannaford, 7-eleven, JC Penny
Útoky vedené za účelem prospěchu more than 70% of the Malware today is being served or linked from legitimate web sites
Okrajové zabezpečení není dostatečné 1 Šifrované útoky 1001110011100 2 Mobilní zařízení 3 Bezdrátové sítě Nic netušící 4 uživatelé? 5 Útoky interních pracovníků 6 Copyright 2009 Trend Micro 2005, Inc. Third Brigade Inc.
Postaveno na dynamických datových centrech zítřka Stage 1 Consolidation Stage 2 Expansion & Desktop Stage 3 Private > Public Cloud Desktops 85% 15% 30% Servers 70% Security Built for Virtualization Security Built for Virtualization Security Built for Virtualization Virtualization Aware: Enable Increased Virtualization: Support Cloud Deployments: - Remove Network Blind spots - Instant On Protection - Reduce Resource Contention - Reduce Operation Cost - Enable Full Virtualization - Remove Security Restrictions -Manage private and cloud assets -Centrally Enforced Security -Enable Compliance
Virtualizace na vzestupu 10 X vyšší růst v příštích 3 letech: 58 Milionu Virtuálních zařízení do r. 2012 Do roku 2012, 60 % virtualizovaných serverů bude méně zabezpečených než fyzické servery, které je nahrazují** 5/5/11 **Gartner, Inc
Virtualizace & Cloud Computing vytvořily nové bezpečnostní výzvy Inter-VM attacks PCI Mobility Cloud Computing Hypervisor 9
Bezpečnostní výzvy virtualizovaného prostředí Stejné hrozby jako ve fyzickém prostředí Nové výzvy: Security Challenges Inter VM Traffic Concentration of VM with Mixed Trust Levels Compliance Challenge Network Segmentation IDS/IPS Network Segmentation IDS/IPS Variable State - Instant ON, Reverted, Paused, Copied, Restarted... VM Movement VM Sprawl 5/5/11 Network Segmentation IDS/IPS Patch Management Anti Virus Integrity Monitoring Network Segmentation IDS/IPS Network Segmentation IDS/IPS
Další výzvy Virtualizovaného prostředí Resource contention 3:00am Scan Typical AV Console
DEEP SECURITY Kompletní, rentabilní a modulární systém, který doplňuje síť obrany pro fyzické i virtualizované servery NSS Labs Deep Security je první produkt, který prošel NSS Labs PCI Suitability testováni pro Host Intrusion Prevention Systems (HIPS).
Trend Micro Deep Security DSA 5 ochranných modulů DSVA Shields web application vulnerabilities Deep Packet Inspection IDS / IPS Web Application Protection Application Control Detects and blocks known and zero-day attacks that target vulnerabilities Provides increased visibility into, or control over, applications accessing the network Reduces attack surface. Prevents DoS & detects reconnaissance scans Firewall Anti-Virus Detects and blocks malware (viruses & worms, Trojans) Optimizes identification of important security events across multiple log files Log Inspection Integrity Monitoring Detects malicious and unauthorized changes to directories, files, registry keys 13 Ochrana je poskytována pomocí Agenta a nebo Virtuálního zařízení
Trend Micro Deep Security Agentless ochrana pro VMware servery Security Virtual Appliance Firewall IDS/ IPS Anti-virus Virtual Appliance zabezpečuje VMs z venčí, bez změn ve VM VMware APIs umožňuje o FW, IDS/IPS funkce na provni hypervizoru o AV skenování na úrovni hypervizoru Virtual Appliance izoluje bezpečnost lépe než fyzické zabezpečení Vmware Introspection APIs Classification 5/5/11 14
Deep Security Productové portfólio PHYSICAL VIRTUAL CLOUD Deep Security Agent Security Profiles Deep Security Manager Alerts Deep Security Virtual Appliances IT Infrastructure Integration vcenter SIEM Active Directory Log correlation Web services Security Center Reports Security Updates 15
Trend Micro Deep Security Virtuální Apliance Trend Micro Deep Security Guest VMs Virtual Appliance IDS/IPS - Virtual Patch Anti Malware - App Control - On Access - On Demand Firewall OS Kernel VMsafe-net API (EPSEC) API VMTools Introspection API s vsphere 4.1 (ESX)
Deep Security/Vmware rozmístění VCenter 4.1 Vshield Manager 4.1 ESX A (4.1) Vshield Kernel Driver VMSafe KernelDriver DSVA Guest 1 Vshield Guest Driver ESX B Driver Driver Guest DSVA Driver Deep Security Manager Guest 2 Vshield Guest Driver Guest Driver 5/5/11 17
Deep Security/EPSec API Componenty Deep Security Virtual Appliance Security Admin Deep Security Manager vshield Endpoint Library Deep Security Super Agent On Access Scans EPsec Interface VM VM Guest VM APPs APPs APPs REST Status Monitor On Demand Scans Remediation Caching & Filtering OS OS OS Kernel Kernel Vshield Guest Driver BIOS BIOS VI Admin vshield Manager 4.1 vcenter ESX 4.1 vsphere Platform vshield Endpoint ESX Module Legend Trend Micro Deep Security EPSEC API Components (Within DS) vshield Endpoint Components VMware Platform VMware Internal Interfaces Partner Accessible Interfaces
Deep Security/EPSec API Main Features Agent-Less Real Time Scan Triggers notifications to AV engine on file open/close Provides access to file data for scanning Agent-Less Manual and Schedule Scan On demand scans are coordinated and staggered Traverses guest file-system and triggers notifications to the AV engine Auto-protection of new VMs or reactivated VMs Zero Day Protection Trend Micro icrc Support (no WRS) Agent-Less Remediation Active Action, Delete, Pass, Quarantine, Clean API Level Caching Caching of data and results to minimize data traffic and optimize performance
Deep Security zlepšení DSM průvodce Asistence v obtížných začátcích(add VCenter, výchozí profil..atd) Anti Malware Dashboard/Alerts/Reports AV Historie, Top X Real time AV upozornění, aktualizace záznamů a na vyžádání scan upozornění AV zprávy, aktualizování auditových zprávy včetně AV Trend Micro Product Registration Licence a aktivaci pomocí Trend Aktivačního kódu Trend Micro Active Update AU Update prostřednictvím proxy (and Socks4) AU Update for AV pattern, engine and DPI/Firewall AV Update rollback, schedule and manual update Trend Micro Download Center for software update
Deep Security souhrn hodnot Méně složité Významně snižuje úsilí kolem aktualizací a nasazení bezpečnostních řešení 60 to 1 snížení intenzity ve VMWare View prostředí 30 to 1 snížení intenzity ve VMware ESX prostředí Více ochrany Odolné agenti, žádné další komponenty pro vypínání hosta Instant On ochrana pro stávajícií i nové hosty Lepší výkon Odstraňuje problémy s PCU, diskem a sítí Více VM = více uspořených zdrojů Zvýšení konsolidace hostů 5/5/11 21
Q & A Classification 5/5/11 22