软件定义安全
. 软件定义安全 . 不断变革的数据中心 2 80% 的服务器到2016年会 被虚拟化 1 40% 的数据到2020年会在 云端存储或处理3 $5.4B 到2018年软件定义数据 中心的市场规模2 43% 的服务采用云架构。包括 公有云、私有云或混合云 架构。 1 0 0 1 0 1 0 0 1 0 1 1 0 0 0 1 0 1 1 0 0 1 1 0 0 0 1 0 1 0 1 1 0 1 1 0 1 0 0 1 1 0 1 0 1 . 数据中心变革:对安全意味着什么? 3 每分每分钟新出钟新出现现 236个新的威胁4 (接近每秒钟4个) 数据丢失的平均每分钟的成本 : $7900 比比2010年上升了年上升了41% 5 80%+的公司用户在IT部 门不知情的情况下使用云app 40%的攻击目标 是服务器 3 仅有50%需要保护的数据 得到了恰当的安全保护1 攻击界面增加 . 现代数据中心安全的挑战 实时发现并有效保护所有的工作载荷,实现安全可视化实时发现并有效保护所有的工作载荷,实现安全可视化 跨越物理环境、虚拟环境和云部署发现所有的工作载荷,从 而可以在混合环境下应用最合适的安全策略 防范未知威防范未知威胁胁 对于未知威胁缺乏识别能力和防范能力 适适应软件定义数据中心的防护应软件定义数据中心的防护 能够在SDDC环境下灵活地部署安全防护 在不在不牺牲安全性前提下最小化对性能的影响牺牲安全性前提下最小化对性能的影响 利用最小化的资源开销实现物理设备和虚拟环境的全面安全 防护 管理复管理复杂度杂度 安全体系的割裂以及安全管理过于复杂往往成为安全防护的 薄弱环节 4 . 我们需要新的思路和技术 5 静态的物理设备或者 其虚拟化版本所有流量都需要经过所有的安全功能 Hypervisor VM VM VM VM VM VM VM VM VM 复杂度 人工人工 安全策略无法扩 展到不同的解决 方案或数据中心 结果结果 新的新的应用部署缓慢应用部署缓慢 合合规性挑战规性挑战 新的威新的威胁因素胁因素 安全控制和策略不一致安全控制和策略不一致 安全架构不合理、性能降低安全架构不合理、性能降低 HEARTBLEED! . 私有云中的东西向流量 云数据中心中76%的流量是内部流量 工作载荷迁移 新的工作载荷启用和停用 边界安全完全没有控制能力 6 Hypervisor/NSXHypervisor/NSXHypervisor/NSX . 自服务 计算,存储,网络安全 简单的安全设备虚拟化不能解决问题 集中集中重定向重定向 扩展性问题扩展性问题 流量流量拥塞拥塞 分分组粒度粗组粒度粗 安全安全设备管理设备管理 Orchestrators Zone 1 Zone 2 Zone 3 Zone 4 Security NFV . 软件定义架构需要软件定义安全 8 . Intel Security Controller (ISC) 平台 9 . 基于控制器的途径 安全和基础架构的融合 工作载荷根据属性请求安全服务 10 创建可调度的安全资源池 安全功能虚安全功能虚拟化拟化 Resource Pool Orchestration Software Infrastructure Attributes Database AApplication BApplication CApplication D Power Performance Location Thermals Utilization Security COMPUTENETWORKSTORAGE Resource Pool 安全控制器安全控制器 IPS, AV, DLP安全安全SANDBOX, SIEM 工作工作载荷载荷属性属性 Security Services Delivery . 全面保护东西向流量 结合微分段实现高级威胁防护 安全策略同步 自动部署 高级防御 可扩展性 11 . 私有云中的东西向流量 东西向流量 在边界内部提供安全检测 工作载荷迁移 分布式的安全检测能力 新工作载荷的保护 即刻对新的工作载荷实施安全策略 不同的安全需求 支持多种安全功能 12 Hypervisor/NSXHypervisor/NSX Hypervisor/NSX . ComputeNetworkStorage Virtualization (VMware, KVM) vSecurity App VM App VM vNetwork Intel Security在云数据中心环境下的安全解决方案 13 vStorage App VM App VM App VM 管理平面 API ePOSIEMNSM 网网络安全络安全 Network Security Platform 端点安全端点安全 MOVE Antivirus/ Application Control/PCS/ENS 应用和数据安全应用和数据安全 DB/Content Security, Data Security 可信基可信基础架构础架构 Intel VT-x, Intel TXT 集中管理集中管理 ePO, SIEM, NSM - API . Intel Security网络安全平台(NSP) 14 连连续续9次次在在Gartner魔力象限中位居魔力象限中位居领领 导者象限导者象限 NSS Labs数据中心数据中心IPS测试中测试中安全安全检检 测和防护率第一、性价比第一测和防护率第一、性价比第一 7类类非特征引擎非特征引擎高效高效检测未知网络威胁检测未知网络威胁 结合端点安全技术实现结合端点安全技术实现超越七超越七层之上层之上 的安全可的安全可视化视化 广泛运用于广泛运用于全球大全球大规模规模的数据中心网的数据中心网 络中络中 可灵活部署于可灵活部署于软件定义数据中心软件定义数据中心环境环境 中中 Completeness of Vision Ability to Execute . vSwitch V M V M V M V M V M V M vSwitch V M V M V M V M V M V M VMware vCenter NSM NSP NSX 防火墙NSX 防火墙 I P S I P S VMware NSX Controller Intel® Security Controller 分布式服务 大规模配置 响应措施 大规模、动态配置和策略更新 安全统一管理 攻击! 安全管理 检测并拦截攻击 隔离 VM (安全响应 API) 隔离措施 网络安全防护服务的自动化部署和响应 Intel Security Controller 和 vNSP 安全功能虚拟化和自动化调度 安全基础设施抽象化 根据策略在工作流中插入服务 智能保护与补救 可扩充 添加数据中心 可扩展 添加功能 . 连接云和Intel Security端点安全平台 Data Center Connector 16 ePO 通过Intel Security端点安全管理平台自动化发现、管理和保护云中的计算资源 支持计算资源在多种云平台中实现弹性扩展的同时,保障其安全性 确保云端的计算资源和本地一样实现统一安全策略 公有云公有云私有云私有云 安全策略安全策略扩展到云扩展到云 端端 . 云端计算资源安全保护可视化 17 . 18 Intel Security 端点安全平台在云中的应用 全盘加密和文件 加密 数据防泄露 云应用支持 云端数据库交易 可视化 监控和防御各种 来源的威胁 动态白名单仅允 许可信程序运行 集成威胁情报机 制对文件动态分 级 虚拟化环境下的高效病 毒防御 VMware无代理杀毒 支持多虚拟化平台 虚拟化 防病毒 应用程序 控制 数据 安全 数据库 安全 ePO . 19 案例分享 . 20 案例分享 ClearDATA 一家专注于健康医疗IT解决方案的企业 业务目标: 实现在云环境中交付业务的HIPAA合规性 技术目标: 持续的安全控制 灵活的运营管理 服务交付方便快捷 服务的可用性 解决方案 VMware NSX 分布式防火墙 Intel Security ISC + 虚拟网络安全平台(vNSP) 部署效果 细粒度、基于应用的策略 快速、简单、可扩展的服务交付 给医疗行业客户的可视化服务 . 21