Check Point zapewnia ochronę wirtualnych środowisk
Zasoby nowoczesnych centrów danych, takie jak serwery, pamięci masowe, sieć oraz systemy ochronne, są zwirtualizowane i dostarczane jako usługa. Tak stworzone środowisko charakteryzuje się bardzo dużą dynamiką zmian, a z tego powodu tradycyjne podejście do zapewnienia ciągłości jego pracy może okazać się niewystarczające.
Firmy wirtualizują swoje centra danych w celu redukcji czasu i kosztów zarządzania oraz usprawnienia zadań konfiguracyjnych i przyspieszenia reagowania na potrzeby działów biznesowych. Proces ten rodzi jednak wiele wyzwań. Jednym z podstawowych jest znaczny wzrost liczby współpracujących ze sobą programów. Ich rozproszenie ułatwia hakerom przeprowadzanie ataków. Mogą znaleźć mało istotną aplikację i wykorzystać ją do rozwinięcia ataku na inne elementy, omijając rozwiązania ochronne działające na brzegu sieci.
W wielu firmach zarządzanie regułami polityki bezpieczeństwa nadal odbywa się ręcznie. Działania związane z ochroną infrastruktury zajmują zbyt wiele czasu działom IT, przez co znacząco wpływają na opóźnienia w dostarczaniu biznesowi nowych aplikacji lub usług. W związku z tym istotne staje się zautomatyzowanie procesów oraz zmniejszenie prawdopodobieństwa popełnienia poważnych błędów.
Mikrosegmentacja ułatwia zarządzanie
Przez długi czas zaawansowana ochrona wewnątrz centrum danych wiązała się z ręcznym zarządzaniem dużą liczbą sieci VLAN, utrzymaniem skomplikowanej topologii i konfiguracji sieci. Metoda ta generowała duże koszty i komplikowała procesy zarządzania firmową infrastrukturą.
We współczesnych zwirtualizowanych środowiskach, w których do zarządzania ochroną wykorzystywane jest oprogramowanie, rolę strażnika na brzegu sieci może pełnić nadal rozwiązanie bramowe, chroniące w klasyczny sposób zasoby centrum przetwarzania danych. Pojawia się problem sfery wewnętrznej i ochrony maszyn wirtualnych znajdujących się w tym samym segmencie sieci. Nie można dopuścić do sytuacji, w której działy bezpieczeństwa były powiadomione o zaatakowaniu fragmentu sieci dopiero po fakcie.
Aleksander Łapiński
Security Engineer, Check Point
Przedsiębiorstwa podczas tworzenia polityki bezpieczeństwa bardzo często skupiają się na wzmacnianiu ochrony brzegowej, kładąc mniejszy nacisk na bezpośrednie zabezpieczanie danych. To zwiększa ryzyko, że w sytuacji gdy atakujący naruszy ochronę zewnętrzną centrum przetwarzania danych będzie mógł – praktycznie bez wywoływania zbyt wielu alarmów – w miarę swobodnie poruszać się między aplikacjami lub zakłócać ich działanie.
Odpowiedzią na to wyzwanie jest mikrosegmentacja. Umożliwia zgrupowanie zasobów, do których dobierane są odpowiednie reguły polityki bezpieczeństwa. Dzięki temu ruch jest kierowany do niezależnych od hypervisora zwirtualizowanych bram, znajdujących się w tym samym segmencie sieci, które dokonują inspekcji w celu zatrzymania ataku wewnątrz chronionej infrastruktury. Zatem jeżeli maszyna wirtualna lub serwer są elementem lub źródłem ataku, mogą zostać oznaczone jako niebezpieczne, przeniesione do kwarantanny przez „strażnika” w centrum danych, co powoduje ograniczenie zasięgu ataku do jednego segmentu, bez narażania innych elementów na niebezpieczeństwo. Informacja o zdarzeniu zostanie przekazana do centralnego serwera.
Bezpieczeństwo w wirtualnym środowisku
Firmy mogą zbudować platformę ochronną bazującą na rozwiązaniach Check Point. Zapewniają one analizę ruchu (wychodzącego i przychodzącego) między maszynami wirtualnymi pod kątem występujących zagrożeń – na brzegu sieci oraz w rdzeniu centrum przetwarzania danych. Oferowane przez producenta oprogramowanie umożliwia centralne zarządzanie ochroną środowiska wirtualnego (maszyn wirtualnych i aplikacji w VMware vSphere vApps) zarówno w chmurze prywatnej, jak i publicznej.
Na szczególną uwagę zasługuje rozwiązanie Check Point vSEC. Jest to zintegrowany system oferujący ochronę ruchu wewnątrz centrum danych zarządzanego przez oprogramowanie (Software-Defined Data Center), niezależny od platformy wirtualizacyjnej. Wykorzystane w nim mechanizmy mikrosegmentacji umożliwiają dodanie do wirtualnej infrastruktury takich elementów jak firewalle, logiczne przełączniki i routery w obrębie pojedynczego segmentu sieci, zmniejszając obszar ataku do pojedynczego obiektu. Zapewniają centralne zarządzanie przez połączenie platform wirtualizacyjnych lub chmurowych w jedną, logiczną i spójną całość.
Dodatkowe informacje:
Filip Demianiuk,
Channel Manager, Check Point Software
Technologies, filipd@checkpoint.com
Artykuł powstał we współpracy z firmami Check Point Software Technologies i RRC Poland.
Podobne artykuły
Coraz mniej kompromisów
Dostawcy pamięci masowych dla klientów korporacyjnych uporali się z wieloma wyzwaniami, które pojawiły się na ich drodze. To jednak nie koniec „podróży”.
DCIM receptą na droższe przestoje
Zastosowanie odpowiednich narzędzi do zarządzania zawsze kosztuje mniej niż awaria w centrum danych.
Pamięci masowe: Europa szuka niszy
Wśród producentów pamięci masowych karty rozdają firmy z USA i Azji. Europejscy dostawcy, którzy wyraźnie od nich odstają, starają się jednak znaleźć dla siebie miejsce na tym trudnym rynku.