Облачные технологии безопасности для компании

Облачные технологии безопасности для компанииСергей СимаковSecurity Architect, CISSP, CISMGlobal Security Center of Excellence

IS 303

Какое оно, Облако?

От эволюционного к революционному

ПЛАТФОРМАкак Сервис

ИНФРАСТРУКТУРА как Сервис

Провайдер Облака представляет

инфраструктуру; клиенты

развертывают ОС и приложения

Провайдер Облака предоставляет

инфраструктуру и ОС; клиенты

создают и работают с приложениями

ПРИЛОЖЕНИЯкак Сервис

Приложения работают в

Облаке

ЧАСТНЫЕ ОБЛАКА

ГИБРИДНЫЕ

ОБЛАКА

ПУБЛИЧНЫЕ

ОБЛАКА

Угрозы

Злоумышленники стали использовать более изощрённые методы

Увеличение целенаправленных атакСоздание сетей/botnet нацеленных на кокретные группы пользователей, корпорации и правительства

Операционные системы более безопасны

Больше атак на уровне приложенийПользователи стали слабым звеном (социальная инженерия)

Модель безопасности PaaS

Физический

Сетевой

Хост

Приложение

Данные

Физический

Сетевой

Хост

Приложение

Данные

Локально Платформа как Сервис

Ком

пани

я Ком

пани

я

Про

вайд

ер

СодержаниеОблачные сервисыАктуальные угрозыОбзор практического применения сервиса безопасности в облаке

Что такое Forefront Online Protection for Exchange (FOPE)Защита входящих сообщенийИсходящая фильтрацияГибридные сценарии

Облачные технологиичто это…

почему…

Приложения и платформа, которые всегда доступы, масштабируемы по необходимости и могут быть быстро развернуты

Ускоряют решение задач и снижают стоимость ИТ

Новый динамичный бизнес!

Новая ИТ компанииПродажи

Совместаная работа

Разработка

Маркетинг

Пример облачного сервиса безопасности

Контроль: соответствие требованиям• Опасения утечки конфиденциальной

информации• Необходимость ограничить несоответствующее

политикам ИБ содержимое

Угрозы: устойчивый рост атак• Спам состовляет большую часть электронной

почты• Вирусы и фишинг атаки через e-mail нацелены на

пользователей

• Бизнесу нужен постоянный доступ к почте• Механизмы безопасности иногда усложняют

работу

Доступ: возрастающая мобильность

Электронная почта

Статистика по спамуВ 2010 г. всего 1 из 47,6 входящих сообщений попало в ящики входящей почты получателей. Остальные были заблокированы на периметре.Около 95,4 % всех входящих сообщений блокируются на периметре

1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

ТенденцииМного рекламы фармсредств и продуктов

В начале 2010 был всплеск спама на основе изображений

Распространение некоторых категорий спама носит характер компаний, приуроченных к каким-то событиям

Microsoft Security Intelligence Report v9

• Предотвращение атак в реальном времени• Многоуровневая защита от спама и вирусов• Применение настраиваемых политик

• Шифрование сообщений электронной почты• Отсутствие необходимости управления ключами• Шифрование на шлюзе на основе заданных

политик

• Сохранение сообщений компании (governance/e-discovery)

• Создание отчётов для соответствия требованиям• Полностью индексируемый архив компании

Exchange Hosted Services

Где используется?Сервис FOPE был частью Exchange Hosted Services (EHS)Лицензия Microsoft® Forefront™ Protection Suite/ECAL/Exchange ECAL с СервисамиОбеспечивает защиту Microsoft® Business Productivity Online Suite (BPOS), Exchange Online и будущего Office 365

Всё ещё доступен как отдельный сервисТакже защищает Live@Edu и сам Microsoft

Блок

иров

ание

на

пер

имет

ре

Консоль управления

Карантин пользовател

я

Корпоративная сеть

Администратор почтовой

системы

Сотрудники

Входящие отфильтрованны

е сообщения

Исходящие отфильтрованные сообщения

Также использует

технологии…

Внешние Отправители/Получатели Почтовый

сервер

Спам-фильтр

Антивирус

Политики

Отказоустойчивость

* Шифрование Active

Directory

Почтовое сообщени

е

Спам

Uptime: 99.999%100% вирусов

98% спама1:250 000

доставка меньше минуты

FOPE Directory Synchronization

Tool

Как работает FOPE

Singapore

TexasVirginia

Washington

California

Dublin

mail.messaging.microsoft.com

Глобальная сетевая инфраструктураГлобальные резервируемые ЦОД с распределением

нагрузки, клиенты не затронуты в случае выхода ЦОД из строяСохранение производительности с ростом пользователей, может выдерживать рост трафика и атакиОптимизация за счёт доставки только «чистых» сообщений

Amsterdam

Доставка e-mail(Среднее время в SLA

меньше 1 минуты)Доступность

сети

Соглашения об уровне сервисаFOPE предоставляет набор финансово-подтвержденных SLA по производительности сети и эффективности защиты от вирусов/спама

100%Известных

вирусов

98%Спама

1:250,000Ошибочн

ых результат

ов

Производительность сети

Эффективность защиты от

вирусов/спама

АрхитектураБлоки контроля за всеми стадиями обработки сообщения:

Соединение

Безопасность

Фильтрация

Доставка

Защищенное взаимодействиеЗащищенный канал B2BВозможность настроить обязательный исходящий TLS к партнеруВыбор в пользу TLS при получении сообщений

Четкое разделение правил на периметре и политик контроля содержимого

Поддержка внедрения в гибридном сценарииСосуществование почтовых ящиков локально и у провайдераЛокальное решения обеспечения контроля продолжает работать

SPAM prevention

Защита от спамаДоверенные отправители

Защита входящих сообщений

SpamPrevention

Если сервер недоступен,

почта остается в очереди на 5

дней

E-mail попадает в глобальную сеть ЦОД – MX (mail.messaging.microsoft.

com)

Служба каталога

Блокирование по IP

Настройки фильтрации сообщений для домена

Фильтрация

вирусовАнтивирус1

Антивирус2

Антивирус3

Применение политик

Собственные политики

Управление вложениями и атрибутами

сообщения

Управление спам-

фильтрами

Весовые коэффициент

ы

Определение «отпечатков»

Карантин применения

политикКарантин

спамаSPAMSPAM

SPAM

Очередь

Сеть компани

и

Аналитики

Обратная связьFalse

+ve / -ve

Анализ структуры

SMTP Reject: 55x

Доступен ли

сервер?

Применяемые техникиФильтрация Описание Эффективнос

тьБлокирование на периметре по IP с DNSBL от SpamHaus

Общий «Золотой стандарт» для репутационного сервиса

80%

Блокирование на периметре по IP с Forefront DNSBL

IP адреса добавляются:• Через автоматические средства

• Идентифицирующие повторяющийся спам (30 минут)

• Выделением наборов IP адресов• Вручную аналитиками при анализе спама

95%

Фильтрация изображений

С использованием технологии SmartScreen 99.5%

Цифровые отпечатки

Используя SmartScreen и FOPE-MSRT• База FOPE-MSRT постоянно обновляется

аналитикамиПравила RegEx, подготовленные аналитиками

Весовая система основанная на 30 000 активных правил в базе с суммарно 400 000 правил

• Вычитается за «хорошие» характеристики

• Добавляется за характеристики спама

Ошибочные результаты«Отсутствие» ошибочных результатов

является основной идеологии FOPE Кнопка «Not Junk» в портале карантина

Уровень настолько низок, что многие перестают открывать карантин

Инструменты для компанийНастройки исключения блоков IP адресовПоддержка списоков доверенных отправителей

(SafeSender) из Exchange/Outlook компании

Исходящая фильтрация

Настройки фильтрации сообщений для домена

Фильтрация

вирусовАнтивирус1

Антивирус2

Антивирус3

Применение

политикСобственные политикиУправление вложениями

и атрибутами сообщения

Защита от спама

Управление спам-

фильтрамиВесовые

коэффициенты

Цифровые отпечатки

Сеть компани

и

Аналитики

Пул NDR

Высокий вес

Пул исходящих

Низкий вес

SEWR

Доверенные отправители

Что такое Backscatter?Backscatter — NDR спам с подделанным адресом отправителяBounce Address Tag Validation(BATV) — технология по защите от NDR спама

Alice@contoso.com

prvs=Fключ(время жизни, адрес)=alice@contoso.com

Пример: prvs=12we34fnr=alice@contoso.com

2. FOPE добавляет хешированную метку к P1.MailFrom

3. Получатель не может доставить сообщение и возвращает его обратно

INTERNET

1. Внутренний пользователь отправляет сообщение на корпоративный сервер

5. Если метка существует, то NDR будет доставлен пользователю

4. FOPE просматривает метку

Внутренний пользователь

(alice@example.com) FOPE Сервер получателя

<prvs=12we34fnr=alice@contoso.com>

Механизм работы Anti-Backscatter

2. Получатель не может доставить и должен послать NDR

3. FOPE ищет хешированную метку

INTERNET

1. Спамер генерирует сообщение с фальшивым адресом в MAIL FROM <alice@contoso.com> и посылает его на сервер. 4. Если метки нет, то сообщение

признается backscatter spam

FOPE Сервер получателя

Спамер

Внутренний пользователь

(alice@contoso.com)

Спамер использует Backscatter

Механизмы безопасностиЗащита транспорта – TLS

Входящий трафикИсходящий трафик

Возможность задать обязательное шифрование TLS для взаимодействия с партнером

Защита сообщений – шифрование IBEОтсутствие дополнительных затрат на ПО или оборудованиеОтсутствие необходимости сложного обмена ключами

Проверенные ЦОДISO 27001:2005Аттестация SAS Level I и Level II

Консоль администратора

Демонстрация

Гибридная архитектураМЭ

Mailbox Server

Hub Transport Server

Client Access Server

SMTPИнтернет

+Компания

Защита от вирусов

Защита от спама Управление

Forefront Online Protection for

Exchange

Технологии Forefront

BATV – Bounce Address Tag Validation

DLP – Data/Information Leakage Protection

Внешний спам, исходящий спам

Web-интерфейс Поиск сообщений Средства «обратной связи»

Отчёты

Forefront Protection for

Exchange Server

Встроенная защита antispyware

BATV - Bounce Address Tag Validation

Встроенная интеграция с сервисом CloudMark

Интеграция с консолью FPE

Управление политикамиМЭ

Mailbox ServerSMTP

Интернет

Exchange Edge

Шлюз FOPE

Exchange Hub

Почта

Почта

Политики анти-спама

Политики анти-спама

Полные политики

МЭ

Подключение к FOPE

SMTP почта

Запись MX

Mail

Компания

Создание учётной записи

Сервис защиты

Комплексный• Активная защита

от вирусов и спама

• Несколько уровней защиты

• Защита от новых атак

• Высокая доступность сервиса (DR, continuity)

Интегрированный• Интеграция с

Microsoft® Exchange, Microsoft® Forefront™ Protection for Exchange Server

• Единый интерфейс управления

• Гибкие настраевыемые политики

• Управление идентификационными данными

Упрощенный• Мониторинг и

масштабирование индустриального уровня

• Соглашения об уровне сервиса

• Безопасные ЦОД• Высококлассная

эксплуатация• Легкое

развертывание• Низкое TCO• Служба

поддержки

ИтогоОблачные сервисы уже доступныСервис FOPE снижает совокупную стоимость владения системы и упрощает защиту электронной почтыОблачные сервисы Microsoft помогают компании работать эффективно

Ресурсы Дополнительные сессии по теме

DC 204: Оптимизация управления частным динамическим ЦОД (14:30-15:30, Синий Конгресс-зал)CT 304: Миграция на Exchange Server 2010: сценарии, рекомендации, практический опыт (16:00-17:00, Зона интерактивных сессий)

Блогиhttp://blogs.technet.com/securityrus

Официальные курсы и сертификация Microsoft

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft

под руководством опытного сертифицированного инструктора Microsoftинтенсивное обучение с акцентом на практикуболее 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)

Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .

• Microsoft предлагает гибкую систему сертификаций.

• Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning

40% Доказательство № 75

сертифицированных специалистов считают, что сертификация помогла им

получить работу или повышение

57% Доказательство № 119

рекрутеров считают сертификацию сотрудников

одним из критериев для повышения в

должности

Специальные предложенияСертификационный пакет со вторым шансом

Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.

Сэкономьте 15% на сертификации вашей ИТ-команды

Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.

Microsoft Certified Career ConferenceПервая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.Сессии по технологиям и построению карьерыСкидка 50% для сертифицированных специалистов Microsoft и студентов

Бесплатная подписка на TechNet для слушателей официальных курсов

Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008

Детали: www.microsoft.com/rus/learning

С 22 ноября 2010 г. – подписка TechNet

бесплатно для слушателей курсов.

Количество ограничено!

Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала

Спасибо!

Вопросы IS 303 Симаков Сергей

sergesim@http://blogs.technet.com/securityrus

Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада