Ochrona przed atakami dla serwerów fizycznych, wirtualnych oraz ulokowanych w centrach danych w chmurze o krytycznym znaczeniu dla organizacji.

Trudno wyobrazić sobie współczesne Data Center w którym nie są wdrożone środowiska wirtualne bazujące na produktach VMware, Microsoft czy Citrix. Niestety najczęściej środowiska te są niejako oderwane od warstwy sieciowej oraz systemów bezpieczeństwa, które są nieświadome istnienia środowiska zwirtualizowanego na fizycznej infrastrukturze serwerowej. W praktyce spotyka się zatem:

• obniżenie bezpieczeństwa danych i transmisji – często ruch w obrębie vswitcha nie jest widoczny z punktu widzenia sieci LAN jak i urządzeń bezpieczeństwa takich jak firewall czy IPS,
• zwiększenie pracochłonności oraz czasu trwania zmian – migracja maszyny wirtualnej (np. w oparciu o vmotion) na inny serwer fizyczny może wymagać zmian w konfiguracji portu dostępowego na przełączniku oraz w systemach bezpieczeństwa. Powoduje to, że szybki proces migracji na poziomie środowiska wirtualnego jest opóźniany poprzez oczekiwanie na ręczne zmiany w warstwie sieciowej i systemach bezpieczeństwa.

Krytycznym elementem w projektowaniu środowisk w Data Center staje się zwirtualizowanie nie tylko warstwy serwerowej, ale także sieci LAN oraz systemów bezpieczeństwa, tak aby wszystkie te trzy elementy współpracowały ze sobą i stanowiły spójny system. Kolejnym zagadnieniem związanym z wirtualizacją Data Center jest możliwość współdzielenia infrastruktury przez wielu niezależnych klientów:

• niezależne adresacje IP oraz tablice routingu – zastosowanie mechanizmu VRF lub VRF lite,
• niezależne zarządzanie systemami bezpieczeństwa – każdy klient posiada możliwość zarządzania i monitorowania stref bezpieczeństwa obejmujących własną infrastrukturę fizyczna i logiczną oraz jest nieświadomy istnienia zasobów innych klientów (separacja),
• dostęp do wspólnych zasobów dla wielu klientów (np. serwer DNS, NTP, Gateway Internet) przy zablokowaniu możliwości bezpośredniego ruchu między systemami klientów – prywatne VLAN.

Trend Micro Deep Security to rozwiązanie do kompleksowej ochrony serwerów i aplikacji, które umożliwia samoobronę środowiskom fizycznym, wirtualnym oraz środowiskom cloud computing. Bez względu na to, czy wdrażane jest jako oprogramowanie, urządzenie wirtualne, czy hybrydowo, rozwiązanie to: redukuje koszty, ułatwia zarządzanie oraz nie zakłócając normalnej pracy wzmacnia ochronę maszyn wirtualnych. Oprogramowanie Deep Security spełnia także wiele wymogów dotyczących zgodności z przepisami, w tym sześć głównych wymogów zgodności z normą PCI - dzięki zaporze na poziomie warstwy aplikacji internetowej, systemom IDS/IPS, monitorowaniu integralności plików oraz segmentacji sieci.

• Deep Security Manager - pełni rolę scentralizowanego punktu zarządzania całym rozwiązaniem. Umożliwia administratorom tworzenie profili ochrony i zastosowanie ich na serwerach, monitorowanie ostrzeżeń i podejmowanie działań zapobiegawczych w odpowiedzi na zagrożenia, przesyłanie aktualizacji zabezpieczeń do serwerów oraz tworzenie raportów. Nowa funkcja oznaczania zdarzeń (event tagging) ułatwia zarządzanie dużą ich liczbą,
• Deep Security Agent - ten niewielki element oprogramowania zainstalowany na chronionym serwerze lub maszynie wirtualnej wdraża reguły zabezpieczeń (IDS/IPS, ochrona aplikacji internetowych, kontrola aplikacji, zapora sieciowa, monitorowanie spójności oraz kontrola dziennika),
• Security Center - wykwalifikowany zespół specjalistów do spraw zabezpieczeń, pomaga użytkownikom zabezpieczyć się przed najnowszymi zagrożeniami, tworząc i dostarczając aktualizacje zabezpieczeń chroniące przed nowo odkrytymi zagrożeniami. Portal dla klientów zapewnia dostęp do aktualizacji programu Deep Security Manager,
• Deep Security Virtual Appliance - wirtualne urządzenie pozwala na wdrażanie reguły zabezpieczeń dla maszyn wirtualnych w środowisku VMware vSphere. DSVA wykorzystuje interfejs VMsafe API do ochrony innych maszyn wirtualnych uruchomionych w tym środowisku. Dostarcza ochrony - podobnie jak agent zainstalowany w systemie zwirtualizowany - za pomocą systemu wykrywania i zapobiegania intruzom (IDS/IPS), ochrony aplikacji internetowych, kontroli aplikacji oraz za pomocą zapory sieciowej.

Deep Packet Inspection (dogłębne sprawdzanie pakietów danych)

• sprawdza ruch przychodzący i wychodzący pod kątem odchyleń w protokołach, treści sygnalizującej atak lub przypadków naruszeń reguł. Działa w trybie wykrywania lub zapobiegania w celu ochrony systemów operacyjnych i eliminowania luk w zabezpieczeniach aplikacji w firmie. Chroni przed atakami na poziomie warstwy aplikacji, przed wstawianiem kodu do baz danych i wstawianiem skryptów na stronach. Dostarcza cennych danych, m.in. o sprawcy ataku, czasie ataku oraz o tym, jakie luki próbowano wykorzystać. Automatycznie powiadamia administratorów o zaistniałym zdarzeniu,
• wykrywanie i przeciwdziałanie intruzom. Chroni przed znanymi i najnowszymi atakami, zabezpieczając przed wykorzystywaniem znanych luk. Automatycznie w ciągu kilku godzin zapewnia ochronę przed nowo wykrytymi zagrożeniami, obejmuje ochroną tysiące serwerów w ciągu kilku minut bez konieczności ponownego uruchamiania systemu. Obejmuje natychmiastową ochroną ponad 100 aplikacji, bazy danych, serwery internetowe, pocztę elektroniczną oraz serwery FTP. Inteligentne reguły zapewniają ochronę przed najnowszymi nieznanymi zagrożeniami atakującymi niewykryte luki, wykrywając nietypowe dane protokołu zawierające złośliwy kod,
• ochrona aplikacji Web. Zapewnia zgodność z regulacjami (PCI DSS 6.6), aby chronić aplikacje internetowe i przetwarzane za ich pomocą dane. Zabezpiecza przed wstawianiem kodu do baz danych SQL, wstawianiem skryptów na stronach i innymi lukami w zabezpieczeniach aplikacji internetowych. Zapewnia ochronę przed lukami w zabezpieczeniach do momentu wprowadzenia poprawek w kodzie,
• kontrola aplikacji. Zapewnia wgląd w aplikacje uzyskujące dostęp do sieci i kontrolę nad nimi. W celu identyfikacji złośliwego oprogramowania uzyskującego dostęp do sieci wykorzystuje reguły kontroli aplikacji. Zmniejsza ryzyko ataków na serwery.

Zapora sieciowa

• dwukierunkowa pełnostanowa zapora sieciowa zmniejsza zakres ataków na serwery fizyczne, w środowisku cloud oraz na serwery wirtualne.
• zarządzana centralnie regułami zapory dla serwerów, zawiera gotowe szablony dla popularnych typów serwerów. Udostępnia funkcje szczegółowego filtrowania (adresy IP oraz MAC, porty), reguły projektowe dla kart sieciowych, rozpoznawanie lokalizacji. Zapobiega atakom typu DoS i wykrywa skanowanie w celach rozpoznawczych. Obejmuje wszystkie protokoły oparte o IP (TCP, UDP, ICMP, itp.) i wszystkie typy ramek (IP, ARP, itp.).

Monitorowanie spójności

• monitoruje krytyczne pliki systemu operacyjnego i aplikacji, takie jak katalogi, klucze rejestru i wartości w celu wykrywania szkodliwych i nieoczekiwanych zmian,
• wykrywa modyfikacje istniejących systemów plików oraz przypadki utworzenia nowych plików i zgłasza je w czasie rzeczywistym,
• oferuje wykrywanie: na żądanie, zaplanowane lub w czasie rzeczywistym, sprawdza właściwości plików (PCI 10.5.5) i monitoruje określone katalogi,
• zapewnia elastyczne i praktyczne monitorowanie za pomocą raportów włączeń i wykluczeń, które można łatwo edytować.

Inspekcja logów

• zbiera i analizuje wpisy dziennika systemu operacyjnego oraz aplikacji dotyczące zdarzeń związanych z bezpieczeństwem.
• zapewnia zgodność z przepisami (PCI DSS 10.6), aby zoptymalizować identyfikację ważnych zdarzeń związanych z bezpieczeństwem znajdujących się w wielu wpisach w dzienniku.
• przekazuje zdarzenia do systemu SIEM lub scentralizowanego serwera dzienników w celu korelacji, raportowania i archiwizacji.
• wykrywa podejrzane zachowania, gromadzi zdarzenia związane z bezpieczeństwem i działania administracyjne w centrum danych i tworzy zaawansowane reguły, wykorzystując składnię OSSEC.

Ochrona przed szkodliwym oprogramowaniem

• pozwala na skanowanie systemu w celu odnalezienia wszelkiego typu szkodliwego oprogramowania, wykorzystuje w tym celu zasoby SPN,
• umożliwia skanowanie dysków maszyn wirtualnych w stanie zatrzymania (suspend) i wyłączenia (stop) w poszukiwaniu wrogiej zawartości,
• dzięki zaawansowanemu harmonogramowaniu pozwala uniknąć blokady/wyczerpania zasobów w środowiskach wirtualnych,
• ta funkcja ochrony dostępna jest w DSVA. W teście wydajności rozwiązań ochrony przed szkodliwym oprogramowanie dla środowisk wirtualnych Deep Security deklasuje konkurencję.

Agenci ochrony dostępni są na wiele platform systemowych (nie tylko Windows, min.: Linux, Solaris, Unix (Hp-UX, AIX). Oprogramowanie posiada także certyfikacje Common Criteria EAL3+ oraz certyfikat spełniania norm PCI (PCI Suitability Testing for HIPS) firmy NSS Labs.