pokročilé zabezpečení dat a aplikací v prostředí azure · barracuda ng firewall small (a1)...
Post on 18-Jul-2020
0 Views
Preview:
TRANSCRIPT
POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE
TOMÁŠ MIROŠNÍK
ACCOUNT TECHNOLOGY STRATEGIST
MICROSOFT
VYBUDOVÁNÍ NADSTAVBY NAD PROSTŘEDÍM AZURE
OBLASTI ZABEZPEČENÍ
• Datové centrum Azure - síť
• Síť subscripce
• Subnet 1 – řešení Barracuda
• Subnet 2 – interní zdroje
DATOVÉ CENTRUM AZURE
• Dvě separátní oblasti: ochrana Azure infrastruktury x ochrana zákazníka
• Ochrana Azure infrastruktury:
• Vrstva A – izolace privátní sítě Azure od Internetu
• Vrstva B – vrstva Azure DDoS/DOS/IDS
• Vrstva C – Host firewally x VLAN ochrana
• Vrstva D – více-faktorová autentizace operátorů Azure
• Ochrana zákazníka
• Layer 1 a 2 – izolace prostředí zákazníka od jiných
pomocí distribuovaných firewallů
• Layer 3
• Ochrana uvnitř VM: Firewall, IDS, DOS
• Virtuální síťové appliance
SÍŤ SUBSCRIPCE
• Zajištění síťové izolace pro každý Azure deployment
• Komunikace mezi jednotlivými VM prochází přes důvěryhodné packet filtry:
• ARP, DHCP a jiné OSI Layer-2 protokoly jsou kontrolovány ochranou (anti-spoofing a další)
• VM nemůže zachytávat žádný provoz z „cizí“ sítě
• Zákazník definuje „endpointy“ (porty), na které lze přistoupit z internetu
• „A není to trochu málo Antone Pavloviči?“
SUBNET 2 – INTERNÍ ZDROJE
• Network Security Groups
• Lze definovat pravidla komunikace
• NSG pravidlo obsahuje pětici prvků
(IP adresa, protokol ….)
• NSG pravidla jsou statefull
• NSG pravidla se podle priority
• Komunikace v rámci NSG je tagována a
to lze dále využívat k řízení
AZURE SECURITY CENTER – REPORTING CELÉHO PROSTŘEDÍ
Prevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu
Prevence – přehled bezpeč. politik
Monitoring prostředků vůči bezpeč. politikám
Ale
rty –
nap
ř. m
alw
are
, b
rute
fo
rce a
ttack
, D
Do
S
Detekce exploitů pomocí Azure Machine Learning
Up
ozo
rněn
í –ch
yb
ějící zá
pla
ty
AZURE SECURITY CENTER – REPORTING SUBNET 2
• Pohled v rámci
vybrané Azure
Subscription
AZURE SECURITY CENTER – REPORTING SUBNET 2
A NENÍ TO POŘÁD MÁLO ….. ?
• Odpovědí jsou řešení třetích stran
• Stejný princip jako v rámci in-house (on-premise) řešení
• Potřebuji / chci pokročilý firewall / aplikační firewall na jaký jsem zvyklý
• Potřebuji vytvářet VPN a pokročilé Site-to-Site řešení
• K dispozici mám pouze TCP / UDP – ESP ani náhodou….
SUBNET 1 – BARRACUDA NETWORK
• TINY protokol pro vytváření VPN řešení – NG Firewall
• Další řešení pro pokročilou ochranu aplikací – WAF
• Řešení pro ochranu pošty – SF
• Řešení pro zálohování do Azure - MA
KOMPLETNÍ APLIKAČNÍ OCHRANA
Odchozí inspekcePříchozí inspekce
Pokročilá aplikační ochranaOWASP Top-10 útokyDDOS na aplikace
Proactive DefenseApplication CloakingGeo-IP Control
Data Loss PreventionCredit Card Numbers
Social Security NumberCustom Patterns
WAF – DYNAMICKÉ ŠKÁLOVÁNÍ V CLOUDU
AzureLB
Server 1
…
Server N
Dyn
amic Scalin
gAuto-Scaling Group
BarracudaWAF Cluster
KOMPLETNÍ OCHRANA POMOCÍ NOVÉ GENERACE FIREWALU
Vícevrstvá ochrana v rámci Azure prostředí
EXPRESSROUTE ARCHITEKTURA SPOLU S NG FIREWALEM
MPLS router
Inet router
NG on-prem
Internet
NG Firewall for Azure
ER Local Network
LAN / DC Transport networks (public/private) Azure VNet
Public Internet router network
ExpressRoute
Azure gateway
BEZPEČNÉ PROPOJENÍ SÍTÍ
Bezpečná a vysoce výkonná konektivita
TINA PROTOKOL
• Oproti IPSec nemá tolik limitovanou rychlost (IPSec - 80 Mbit/s)
• Umožňuje správu připojení, např. failover proces
• Enkapsulace ESP
• Více konkurenčních fyzickýh transportních cest na logický tunel
• Fallback v případě ztráty spojení
• Komprese provozu a deduplikace
• Podpora DHCP a NAT
• Heartbeat monitoring pro failover scénáře
• Client-to-Site
• Site-to-Site
Multi-Site konektivita
VÝHODY HYBRIDNÍ INFRASTRUKTURY
• Firewall As a Services – plně cloudový firewall
• Hybridní scénář 1 – předřadím NG firewall v Azure kvůli vysoké dostupnosti / škálování
• Zakrývám si vlastní bezpečnostní infrastrukturu
• Hybridní scénář 2
• NG firewall v Azure
• Centrální NG firewall on-premise
• Propojím obě části do hybridního cloudu
• Připojím VPN klienty do NG v Azure
• Připojím mobilní NG firewally přes NG v Azure
CHAREKTERISTIKY NG FIREWALLU
Microsoft Azure – Compute Instance Name
Barracuda NG Firewall SMALL (A1) MEDIUM (A2) LARGE (A3) EXTRA LARGE (A4)
Virtual Cores 1 2 4 8
Firewall Throughput 400 Mbps 2 Gbps 5 Gbps 9 Gbps
VPN Throughput 120 Mbps 500 Mbps 1 Gbps 1.5 Gbps
IPS Throughput 80 Mbps 900 Mbps 2.5 Gbps 3 Gbps
Concurrent Sessions 35,000 300,000 500,000 1,000,000
New Sessions/s 2,500 16,000 35,000 45,000
Premium Support * • •
Malware Protection ** Optional Optional Optional Optional
* Premium Support ensures that an organization‘s network is running at its peak performance by providing the highest level of 24x7 technical support for mission-critical environments. For more information, please visit https://www.barracuda.com/support/premium.
** Malware protection requires a separate one-year subscription.
top related