漫步在雲端傳輸安全我把關傳輸安全我把關

Jeff TiungInsert Your NameInsert Your TitleInsert Date

Jeff Tiung

Sales Engineerj i @ f i

se t atejtiung@safenet‐inc.com

June 2011

簡介

雲端的威脅與挑戰

敏感性資料的傳輸如何保護?

SafeNet⾼速傳輸加密解決⽅案太網路加密器• ⼄太網路加密器

應⽤案例 應⽤案例

公 簡介 公司簡介

雲端安全⾯臨的挑戰 基本的信任與責任問題

• 多用戶環境中的資料洩露用戶ID和訪問：安全認證、授權、登錄

多用戶環境中的資料洩露• 雲端服務提供者內部人員

的職責分離• 雲端服務提供者向資料所

資料混合:多用戶資料混合，洩露，所有權

應用程式漏洞:暴露的漏洞及應對

不安全的應用程式API：應用程式注入和篡改

有者的責任轉移

新的基本雲端風險• 新的管理程式技術和架構

資料洩露：隔離數據

平臺漏洞： 暴露的漏洞及應對

不安全的平臺API： 實例操縱和篡改新的管理程式技術和架構

• 在雲端環境下重新定義信任與認證

雲端環境下法規的不確

資料位置： 地區法規要求

管理程式漏洞: 虛擬化漏洞

數據保留： 資料的安全刪除

應 程式和 務劫持 雲端環境下法規的不確定性

• 在雲端環境下法規可能需要強有力的控制

應用程式和服務劫持： 惡意應用程式的使用

特權用戶： 超級用戶濫用

服務中斷： 可用性

惡意內部人員 要強有力的控制惡意內部人員： 搜索、操縱、篡改

日誌記錄和取證： 事件應對、責任限制

邊界/網路安全： 安全隔離和訪問

實體安全實體安全： 直接篡改和盜竊

加密成為統⼀的雲端安全控制⽅法加密成為統 的雲端安全控制⽅法

加密是實現雲端安全的基本技術加密是實現雲端安全的基本技術• 在多用戶環境中隔離資料• 獲得分析師和專家的普遍認可並用於

雲端資料基本控制雲端資料基本控制• 為證明資料遵守法規要求設置了高標

準

從資料中心策略轉向雲端戰略解從資料中心策略轉向雲端戰略解決方案

• 實體控制、對程式的基本信任和隔離減少了加密的一些使用減少了加密的 些使用

• 減少雲端中存在的不信任因素

SafeNet Trusted Cloud Fabric在虛擬環境中保持信任與控制在虛擬環境中保持信任與控制

提供雲端安全需要：提供雲端安全需要：• 轉到虛擬環境中時對使用者、資

料、應用程式和系統的控制和可見性 安全虛擬器

安全虛擬存儲 安全雲應用程式

基於雲的安全身份驗證和交易

• 為企業進行雲端部署而設計和信賴的經驗證的安全與合乎法規的策略 軟體即服務（SaaS）

應用程式的安全訪問基於雲的安全通信

• 以任何私有、混合或公共雲模型組合進行部署的模組化、靈活的整合—在需要的時間、地點部署需要的模型

企業

應用程式的安全訪問基於雲的安全通信

需要的模型

通過擴展信任和控制，SafeNet使客戶能夠將任何雲端模型無縫地融合到他們的近期和長期技術與安全政策中

P ti lM d lPPracticalModularProven

使⽤SafeNet Trusted Cloud Fabric解決現今的核⼼雲端安全障礙

SafeNet雲端解決方案

解決現今的核⼼雲端安全障礙業務目標

軟體即服務（SaaS）應用程式的安全訪問：SafeNet多因素認證

安全虛擬器：

1 控制對SaaS的訪問應用程式；聯合身份驗證

在多用戶環境中實現符合要求的職 安全虛擬器：SafeNet ProtectV™Volume

安全虛擬存儲：

2 在多用戶環境中實現符合要求的職責隔離和分離

3 在虛擬存儲空間中保持信任和控制 安全虛擬存儲：SafeNet ProtectV™Volume

安全雲應用程式：SafeNet DataSecure®和ProtectApp

3 在虛擬存儲空間中保持信任和控制

4 不影響性能的安全雲應用程式；保持金鑰所有權 和 pp

基於雲的安全身份驗證與交易：SafeNet HSM

45 雲端環境下安全的數位簽章

和PKI

基於雲的安全通信：SafeNet HSE6 安全地連接到私有雲

⼤量敏感性資料的傳輸Problem

⼤量敏感性資料的傳輸在雲端存儲環境下發送敏感性資料

要點高容量、高度敏感的資料

• 跨信任邊界傳輸高度敏感性資料• 數據冗餘

• 資料中心至私有雲

• 整個伺服器和大型存放區

• 數據冗餘

• 即時資料傳輸

• 連續、加密的資料傳輸

• 可能引起加密要求（PCI）

對速度和效率的需求

• multi‐gigabit links

• 低延遲的要求

• VMotion和類似技術

• 串流媒體和VoIP協議

Solution

基於雲的安全通信：從企業向雲端⾼速傳輸加密資料通信

企業私有雲

高速加密器安全功能

GigBits L2低延遲加密

一流的FIPS 140-2 Level3安全認證

高速加密器

集中策略管理和無縫融合

數據冗餘(Data Redundancy)

即時資料傳輸

連續、加密的資料傳輸

⾼速傳輸線路 總公司與分公司間連線增加 異地備援中心建置，傳輸連線增加 異地備援中心建置，傳輸連線增加

網路頻寬需求

網路穩定需求

網路安全需求

⼄太網路的優勢

可擴充性 低成本 高效能

彈性化的頻寬調整 降低企業設備開銷 低延遲，高QoS

SafeNet⾼速傳輸加密解決⽅案

Ethernet Encryptor

SafeNet 的網路安全裝置已被證明可靠性高、輸送量大、延遲時間低，因 SONET Encryptor靠性高、輸送量大、延遲時間低，因此成為最理想的資料傳輸防護解決方案，能夠快速、輕鬆地整合健全且經過 FIPS認證的網路安全性，以保護

SONET Encryptor

過 FIPS認證的網路安全性 以保護企業與政府組織的任務關鍵資料。 Conversion Encryptor

Security Management Center (SMC)

11REV 0.1

資料傳輸安全所⾯臨的威脅資料傳輸安全所⾯臨的威脅

光纖=安全?

透過MicroBending的技術，駭客可以在不破壞光纖外層的情況下竊取封包 企業無法察覺資料遭到竊取的情況下竊取封包，企業無法察覺資料遭到竊取。

光纖=安全?

(Source: Sandra Kay Miller, Information Security Magazine, November 2006)

透過Sniffer即可看到資料內容

資料傳輸所⾯臨的三⼤挑戰

SafeNet給您更好的傳輸安全⽅案

提高安全性 低成本

高效能

Layer 2 Encryption of Ethernet

⼄太網路加密 – 優勢I

Reduced Bandwidth Consumption (up to

50%) Lowest

減少頻寬消耗

50%) Lowest Cost Per

Bit 資料傳輸成本低

低成本Minimal Ongoing

Maintenance易於建置及與網路環境整合

Fast Setup and

IntegrationIntegration

⼄太網路加密 – 優勢II

Protects All Layer 3

ProtocolsSimple

保護Layer3協定Simple,

Independent Policy

提高提高安全性

Protected Routing

Information

安全性保護路由資訊

Traffic Flow Security (SONET)(SONET)

⼄太網路加密 – 優勢III

No Protocol Overhead

No GRE or C lComplex

QoSSchemes

高效能No

Fragmentation

Lower Latency 低延遲

Ethernet Encryption - 以 ⼄太網路為核⼼ 減少網路的複雜性 增加網路運行時間

yp

增加網路運行時間 減少頻寬浪費

Ethernet Core

優異的網路效能Typical Network Traffic Profile

Higher Throughput

Lower Latency

Reliable PerformancePerformance

Source: Rochester Institute of Technology

Report available at http://mktg.safenet-inc.com/mk/get/hse_22

gy

在Router上進⾏IPSec加密…而且，電信供應商也知道了我們的路由資訊..

這裡也是…還有！！

IP/MPLS

營運中心B 災害復原中心

DR-SiteRouter的Security

透過Router進行IPSec加密

Router的Security Policy必須要更新

LAN

每當內部網路環境改變…

LAN

營運中心A

透過⼄太網路加密器…電信供應商無法得知

路由資訊

這裡也是還有

路由資訊

Ethernet

加密器不需做 乙太網路加密器

營運中心B 災害復原中心

DR-Site

Router

加密器不需做任何更動

乙太網路加密器

LAN

每當內部網路環境改變

LAN

營運中心A

SafeNet Ethernet Encryption – ⼄太網路加密⽅案

High-speed, low-latency encryptor to secure Carrier Ethernet, LAN, and dark fiber

安全性

, ,

• AES-256 / RSA 2048 / HMAC-SHA-256 / SNMPv3 AES• Certificate-based Authentication

FIPS 140 2 Le el 3 (In Coordination)

安全性

• FIPS 140-2 Level 3 (In Coordination)

使用效能

• Line speed throughput from 10M up to 10Gbps• Low latency(< 5 μs)• Zero overhead

• Supports point-to-point and multi-point modes• Encrypts unicast broadcast and multicast traffic

建置容易

• Encrypts unicast, broadcast and multicast traffic• Central remote configuration, monitoring and management

Security Management Center II – 安全管理中⼼

Simple, powerful central security management for SafeNet Network

y g

安全性

gEncryptors

• Full Audit and Event logging• Secure remote administration

Encr pted SNMP 3 Management

安全性

• Encrypted SNMPv3 Management

支援作業系統

• Solaris• Windows• VMWare

• Easy Installation• Intuitive web based GUI

操作容易

• Intuitive web-based GUI• Simple Ongoing Management

應⽤案例

2011中國SEE客戶⾼速連線加密建置

2006 SEE⾼速連線加密建置

資料處理中心ASecurity Management Center

(SMC)

Databases

SEE

M tMetroEthernet分公司A 分公司B

SEESEE

資料處理中心B資料處理中心C

DatabasesDatabases

資料處 中心

點對多⾼速連線加密建置

總公司Point to Multi-point connections

總公司SEE (1GB)

SEE (10MB)

資料處理中心MPLS Network

SEE (1GB)

SEE (100MB)Note: Ethernet encryptors Configured for

SEE (100MB)SEE (100MB)

MPLS & possible VLAN rules.

SEE (100MB)

Company Overviewp y公司概況

關於我們關於我們受信任保護世界上最有價值的資訊資產

SafeNet的實際情況成立於 所有權 我們保護世界上最多的成立於 所有權1983年 私有企業

收入 全球分布

我們保護世界上最多的機密信息

收入 全球分布

約5億美元 在100個國家和地區擁有超過25000個客戶

員工 認證

我們保護世界上最多的數字身分

員工 認證在25個國家和地區擁有超過1500名員工

產品獲得了最高等級的安全標準認證

我們保護世界上最多的流動資金（1萬億(兆)美元/day）

合作夥伴

加密器系列總代理瑞奇數碼股份有限公司

成功案例

全球客戶信賴球客戶信賴

Q & A