POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT
VYBUDOVÁNÍ NADSTAVBY NAD PROSTŘEDÍM AZURE
OBLASTI ZABEZPEČENÍ • Datové centrum Azure - síť • Síť subscripce • Subnet 1 – řešení Barracuda • Subnet 2 – interní zdroje
DATOVÉ CENTRUM AZURE • Dvě separátní oblasti: ochrana Azure infrastruktury x ochrana zákazníka • Ochrana Azure infrastruktury: • • • •
Vrstva A – izolace privátní sítě Azure od Internetu Vrstva B – vrstva Azure DDoS/DOS/IDS Vrstva C – Host firewally x VLAN ochrana Vrstva D – více-faktorová autentizace operátorů Azure
• Ochrana zákazníka • Layer 1 a 2 – izolace prostředí zákazníka od jiných pomocí distribuovaných firewallů
• Layer 3 • •
Ochrana uvnitř VM: Firewall, IDS, DOS Virtuální síťové appliance
SÍŤ SUBSCRIPCE • Zajištění síťové izolace pro každý Azure deployment • Komunikace mezi jednotlivými VM prochází přes důvěryhodné packet filtry: • ARP, DHCP a jiné OSI Layer-2 protokoly jsou kontrolovány ochranou (anti-spoofing a další) • VM nemůže zachytávat žádný provoz z „cizí“ sítě
• Zákazník definuje „endpointy“ (porty), na které lze přistoupit z internetu • „A není to trochu málo Antone Pavloviči?“
SUBNET 2 – INTERNÍ ZDROJE • Network Security Groups • Lze definovat pravidla komunikace
• NSG pravidlo obsahuje pětici prvků (IP adresa, protokol ….)
• NSG pravidla jsou statefull • NSG pravidla se podle priority • Komunikace v rámci NSG je tagována a to lze dále využívat k řízení
AZURE SECURITY CENTER – REPORTING CELÉHO PROSTŘEDÍ Prevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu Monitoring prostředků vůči bezpeč. politikám
Detekce exploitů pomocí Azure Machine Learning
Upozornění – chybějící záplaty
Alerty – např. malware, brute force attack, DDoS
Prevence – přehled bezpeč. politik
AZURE SECURITY CENTER – REPORTING SUBNET 2 • Pohled v rámci vybrané Azure Subscription
AZURE SECURITY CENTER – REPORTING SUBNET 2
A NENÍ TO POŘÁD MÁLO ….. ? • Odpovědí jsou řešení třetích stran • Stejný princip jako v rámci in-house (on-premise) řešení • Potřebuji / chci pokročilý firewall / aplikační firewall na jaký jsem zvyklý • Potřebuji vytvářet VPN a pokročilé Site-to-Site řešení • K dispozici mám pouze TCP / UDP – ESP ani náhodou….
SUBNET 1 – BARRACUDA NETWORK • TINY protokol pro vytváření VPN řešení – NG Firewall • Další řešení pro pokročilou ochranu aplikací – WAF • Řešení pro ochranu pošty – SF • Řešení pro zálohování do Azure - MA
KOMPLETNÍ APLIKAČNÍ OCHRANA Pokročilá aplikační ochrana
Data Loss Prevention
OWASP Top-10 útoky DDOS na aplikace
Proactive Defense
Credit Card Numbers Social Security Number Custom Patterns
Application Cloaking Geo-IP Control
Příchozí inspekce
Odchozí inspekce
WAF – DYNAMICKÉ ŠKÁLOVÁNÍ V CLOUDU
Auto-Scaling Group
… Azure LB
Server N Barracuda WAF Cluster
Dynamic Scaling
Server 1
KOMPLETNÍ OCHRANA POMOCÍ NOVÉ GENERACE FIREWALU
Vícevrstvá ochrana v rámci Azure prostředí
EXPRESSROUTE ARCHITEKTURA SPOLU S NG FIREWALEM
Internet Inet router Azure gateway
NG on-prem MPLS router
NG Firewall for Azure
ExpressRoute
Public Internet router network LAN / DC
Transport networks (public/private) ER Local Network
Azure VNet
BEZPEČNÉ PROPOJENÍ SÍTÍ
Bezpečná a vysoce výkonná konektivita
TINA PROTOKOL • Oproti IPSec nemá tolik limitovanou rychlost (IPSec - 80 Mbit/s) • Umožňuje správu připojení, např. failover proces • Enkapsulace ESP • Více konkurenčních fyzickýh transportních cest na logický tunel • Fallback v případě ztráty spojení • Komprese provozu a deduplikace • Podpora DHCP a NAT • Heartbeat monitoring pro failover scénáře • Client-to-Site • Site-to-Site
Multi-Site konektivita
VÝHODY HYBRIDNÍ INFRASTRUKTURY • Firewall As a Services – plně cloudový firewall • Hybridní scénář 1 – předřadím NG firewall v Azure kvůli vysoké dostupnosti / škálování • Zakrývám si vlastní bezpečnostní infrastrukturu
• Hybridní scénář 2 • • • • •
NG firewall v Azure Centrální NG firewall on-premise
Propojím obě části do hybridního cloudu Připojím VPN klienty do NG v Azure Připojím mobilní NG firewally přes NG v Azure
CHAREKTERISTIKY NG FIREWALLU Microsoft Azure – Compute Instance Name Barracuda NG Firewall
SMALL (A1)
MEDIUM (A2)
LARGE (A3)
EXTRA LARGE (A4)
1
2
4
8
Firewall Throughput
400 Mbps
2 Gbps
5 Gbps
9 Gbps
VPN Throughput
120 Mbps
500 Mbps
1 Gbps
1.5 Gbps
IPS Throughput
80 Mbps
900 Mbps
2.5 Gbps
3 Gbps
Concurrent Sessions
35,000
300,000
500,000
1,000,000
New Sessions/s
2,500
16,000
35,000
45,000
•
•
Optional
Optional
Virtual Cores
Premium Support * Malware Protection **
Optional
Optional
* Premium Support ensures that an organization‘s network is running at its peak performance by providing the highest level of 24x7 technical support for mission-critical environments. For more information, please visit https://www.barracuda.com/support/premium.
** Malware protection requires a separate one-year subscription.
