Bezpečnostné riešenia pre verejný a hybridný cloud. Ako na to? Vjačeslav Petraševskij externí konzultant
[email protected] 28.09.2016, Bratislava 1
Hlavni otázka většiny zákazníku:
Co je bezpečnější? Privátní Datové Centrum nebo Veřejný Cloud? 2
Odpověď je: SPOLEČNE ŘEŠENÍ
3
Agenda Představeni Microsoft Azure (co to je?) Příklady využiti pro veřejný a hybridní cloud (co to umi?) Bezpečnostní řešení v Microsoft Azure Marketplace (co tam je?) Fortinet - příklad použiti (proč to dělat?) Fortinet - ukázka instalace (jak na to?) Diskuse
4
Představeni Microsoft Azure (co to je?)
5
5
Gartner
x86 Server virtualization
Cloud IaaS
Cloud PaaS
Gartner “Magic Quadrant for x86 Server Virtualization Infrastructure,” by Thomas J. Bittman, Mark A. Margevicius, Philip Dawson, July 2, 2014
Gartner “Magic Quadrant for Cloud Infrastructure as a Service,” by Lydia Leong, Douglas Toombs, Bob Gill, Gregor Petri, Tiny Haynes, May 28, 2014
Gartner “Magic Quadrant for Enterprise Application Platform as a Service,” by Yefim V. Natis, Massimo Pezzini, Mark Driver, David Mitchell Smith, Kimihiko Iijima, Ross Altman, January 7, 2014
BI and analytics platforms
Social software in the workplace
Jak vnímá Microsoft ve všech 7 Cloud Magických Kvadrantech? Ucelená platforma
Public cloud storage services
Gartner “Magic Quadrant for Public Cloud Storage Services,” by Gene Ruth, Arun Chandrasekaran, July 9, 2014
Gartner “Magic Quadrant for Business Intelligence and Analytics Platforms,” by Rita L. Sallam, Joao Tapadinhas, Josh Parenteau, Daniel Yuen, and Bill Hostmann, February 20, 2014
Gartner “Magic Quadrant for Social Software in the Workplace,” by Nikos Drakos, Jeffrey Mann, Mike Gotta, September 3, 2014
Sales force automation
Gartner “Magic Quadrant for Sales Force Automation,” by Robert P. Desisto, July 15, 2014
6
These graphics were published by Gartner, Inc. as part of larger research documents and should be evaluated in the context of each entire document. The Gartner documents are available upon request from Microsoft. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
Nabídka řešení Microsoft – hybridní cloud
7
Přínosy cloudových služeb Microsoft Flexibilní řízení výkonu a zdrojů podle potřeby – platba dle spotřeby Certifikace a soulad s mezinárodními a průmyslovými standardy Využití známeho uživatelského rozhraní a zkušeností Přechod dle potřeby zákazníka a hybridní prostředí Přístup odkudkoliv - mobilní aplikace, Internet of Things… Komplexní řešení pro mobilní prostředí Strategická priorita společnosti Microsoft – rozvoj a investice
8
Celosvětová infrastruktura datacenter 19 datacenter
North Europe Central US Iowa
US Gov
Ireland
North Central US
Illinois
West Europe Netherlands
China North * Beijing
East US
Iowa
West US
Virginia
South Central US
Texas
India West
US Gov
Japan West
India East
TBD
Virginia
Saitama
Shanghai
East US 2
California
Japan East
China South *
Virginia
Osaka
TBD
East Asia
Hong Kong
SE Asia
Singapore
Australia East Sydney
Brazil South Sao Paulo
§ § §
Jedna ze tří největších celosvětových sítí (pokrytí, rychlost, připojení) Více regionů než konkurence - 2 x AWS a 6x Google G Series – Největší VM dostupné na trhu – 32 jader, 448GB RAM, SSD…
Australia West Melbourne
Oznámeno Běžící * Operováno přes 21Vianet
9
Fyzická bezpečnost 24 x 7
Perimeter Security
Fire Detection & Suppression
Multi-factor authentication
Extensive Monitoring
+ Odolnost proti výpadku energie v řádu dnů 10
Ochrana dat šifrováním
Protokol SSL/TLS Nově: Perfect Forward Secrecy Exchange online podporuje S/MIME, PGP
Asymetr. šifra 2048 bit Perfect Forward Secrecy
Disky: Bitlocker AES 256 Chybné disky ničeny v datacentru (NIST 800-88) SP Online, OneDrive Pro: „File encryption“
Skype call: AES 256 Exchange Online trunk: TLS by default Azure nebo On-premise Rights Mgmt Services 11
12
12
Hybridní cloud ve stávajícím IT Disaster recovery A zálohování
Rozšíření lokálního výkonu Krátkodobé projekty
Dlouhodobé uchovávání dat a informací
Nové webové aplikace Externí systémy
Dev/Test prostředí
Obnovené datového centra Transformace do cloudu
Mobilní uživatelé IoT
Více než 50 jednotlivých služeb UNIFIED PLATFORM FOR MODERN BUSINESS
Automatizované
Elastické
Spravované zdroje
Založeno na spotřebě
Možnosti využití Microsoft Azure
Rozšíření lokální infrastruktury
Databáze jako služba
Neprodukční prostředí
Nativní cloudové aplikace
Vyčlenění IT infrastruktury outsourcing
Portály Webshopy
Možnosti vyzkoušení Microsoft Azure
Microsoft TechSummit 2016 Prague
Microsoft Azure Ent Mobility Suite Exchange Online Office 365 Power BI Project Online SharePoint Online Skype for Business System Center SQL Server Windows 10 Windows Server Visual Studio Online Yammer
Bezpečnostní řešení v Microsoft Azure Marketplace (co tam je?)
19
Co je Microsoft Azure Marketplace?
Podle čeho jsme vybírali?
21
Podle čeho jsme vybírali?
22
Fortinet - příklad použiti (proč to dělat?)
23
Fortinet & Microsoft Azure Jak zkombinovat cloudovou a lokální infrastrukturu
© Copyright Fortinet Inc. All rights reserved.
Fortinet Inc. FOUNDED
2000 IPO
2009
$
1.17B CASH
40% GROWTH
HQ
SUNNYVALE, CA
100+ OFFICES WORLDWIDE
3,900+
OVER
MILLION 2 DEVICES SHIPPED
#1
UNIT SHARE WORLDWIDE
In Network Security (IDC)
EMPLOYEES
MARKET LEADING
TECHNOLOGY
255,000+ CUSTOMERS
257 PATENTS 228 PENDING
25
SECURITY OPERATING CENTER User ID Mgmt.
Central Log & report
Central Device mgmt.
File Analysis
DATA CENTER
DB Servers
DB Security
Cloud based Mgmt.
FortiAuthenticator FortiAnalyzer FortiManager
FortiCloud 3G/4G WAN
FortiExtender
FortiWiFi
Mail Security Gateway
Security gateway
FortiWAN
App Servers
FortiDB
FortiTester
Site-to-site VPN
Secure WiFi Access
FortiSandBox
Network Tester
Mail Servers
FortiMail
Link Load Balancer
Secure Web Caching server
FortiGate
LAN
REMOTE L2 Switching
Remote VPN
WiFi Access
IP Cam. Recorder
IP PBX
Web App. Firewall
Failopen Device
FortiCache Load Balancer
Endpoint Security
FortiSwitch
FortiAP
FortiRecorder
FortiToken FortiClient
FortiVoice/ FortiGateVoice
FortiBridge L7 D/DOS Mitigator
FortiWeb
FortiADC Web Servers
2 Factor OTP Token
MOBILE
FortiCamera
FortiFone
FortiDDoS 26
Původní podoba sítě
IPS management
AV GW mgmt DB Web proxy mgmt
Web proxy
IPS
App Srv
Antivir GW
WiFi management www Switch management
Firewall management
27
Krok #1: přesun aplikací do MS Azure
DB Web proxy
IPS
App Srv
Antivir GW
www
28
Krok #2: zabezpečení cloud služeb App Srv DB
www
Web proxy
IPS
Antivir GW
29
FortiGate – NGFW/UTM/…
Firewall VPN Application Control
Softwarové moduly
IPS Web Filtering App Control
Antivirus
Anti-spam
Anti-malware WAN Acceleration Data Leakage Protection
IPS
Database
Wi-Fi Controller Advanced Threat Protection SaaS Gateway
Web Filtering
Web App
IP Reputation
Jednotné řešení (HW, VM, KVM, XEN, HV, Azure, AWS, OpenStack, VMX, …)
30
FortiWeb – WEB Application Firewall (WAF) § WAF chrání webové aplikace před: » » » » »
Web aplikační servery
SQL Injection Cross Site Scripting, Request Forgery L7 DoS/DDoS attacks Cookie poisoning …
§ Chrání jak standardizované/komerční aplikace, tak aplikace na míru vytvořené
FortiWeb WAF
§ Automaticky se “učí” strukturu webové aplikace a její konkrétní využití » Struktura aplikace, URL parametry, HTTP metody, session IDs, cookies, atd. » Adaptivní limity
§ Web Vulnerability Scanner § Application Delivery » Load balancing, caching, komprese, TCP optimalizace,
INTERNET Proč nestačí NGFW? SQL Injection, XSS…
§ Firewalls look for network-based attacks § IPS/AppCtrl Signatury detekují pouze známé hrozby nebo jejich modifikace » Chybí autolearning » Chybí pokročilá inspekce HTTP » …
31
FortiManager – centrální správa, logování a reportování Centrální logovací server • Ukládání a archivace logů • Podpora FTNT zařízení • Podpora Syslog
Centrální reporting • Řada předdefinovaných reportů • Možnost vytvářet vlastní reporty • Automatická distribuce reportů
Analýza a korelace událostí • Analýza síťového provozu • Analýza bezpečnostních událostí • Analýza využití systémových prostředků
Centrální správa • • • • •
Škálovatelná správa firewallů (HW I VM) Centrální databáze objektů Centrální politika Revize a porovnávání konfigurací … 32
Krok #3: optimalizace lokální sítě App Srv DB
www
Web proxy mgmt
IPS management
Switch management
Web proxy
IPS
Antivir GW
Firewall management
WiFi management AV GW mgmt
33
FortiGate – management Wireless AP a switchů § Firewall FortiGate plně spravuje switche i wireless AP FortiGate
DM Z
Lokální management
switch mgmt FortiSwitch
local network
wireless Network segment
FortiAP
§ Jedno management rozhraní pro celou infrastrukturu § Celá infrastruktura je plně integrovaná a chová se jako jeden celek § Bezpečnostni politika je aplikována na místě připojení klienta do sítě 34
Porovnání původního a současného stavu
• Většina aplikací přesunuta do cloudu (MS Azure) • Plně zajištěna bezpečnost z pohledu síťových hrozeb/útoků • Výrazně zjednodušená infrastruktura a její mgmt • Možnosti dalšího rozšiřování (Sandbox, LB, AS, …) • Místo správy infrastruktury se zákazník může plně soustředit na aplikace a služby 35
Fortinet - ukázka instalace (jak na to?)
36
Fortinet - ukázka instalace
37
Fortinet - ukázka instalace
38
Fortinet - ukázka instalace
39
Fortinet - ukázka instalace
40
Fortinet - ukázka instalace
41
Fortinet - ukázka instalace
42
Fortinet - ukázka instalace
43
Fortinet - ukázka instalace
44
Fortinet - ukázka instalace
45
Fortinet - ukázka instalace
46
Fortinet - ukázka instalace
47
Fortinet - ukázka instalace
48
Fortinet - ukázka instalace
49
Fortinet - ukázka instalace
50
Fortinet - ukázka instalace
51
Děkuji za pozornost Vjačeslav Petraševskij externí konzultant
[email protected]
