POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE

TOMÁŠ MIROŠNÍK

ACCOUNT TECHNOLOGY STRATEGIST

MICROSOFT

VYBUDOVÁNÍ NADSTAVBY NAD PROSTŘEDÍM AZURE

OBLASTI ZABEZPEČENÍ

• Datové centrum Azure - síť

• Síť subscripce

• Subnet 1 – řešení Barracuda

• Subnet 2 – interní zdroje

DATOVÉ CENTRUM AZURE

• Dvě separátní oblasti: ochrana Azure infrastruktury x ochrana zákazníka

• Ochrana Azure infrastruktury:

• Vrstva A – izolace privátní sítě Azure od Internetu

• Vrstva B – vrstva Azure DDoS/DOS/IDS

• Vrstva C – Host firewally x VLAN ochrana

• Vrstva D – více-faktorová autentizace operátorů Azure

• Ochrana zákazníka

• Layer 1 a 2 – izolace prostředí zákazníka od jiných

pomocí distribuovaných firewallů

• Layer 3

• Ochrana uvnitř VM: Firewall, IDS, DOS

• Virtuální síťové appliance

SÍŤ SUBSCRIPCE

• Zajištění síťové izolace pro každý Azure deployment

• Komunikace mezi jednotlivými VM prochází přes důvěryhodné packet filtry:

• ARP, DHCP a jiné OSI Layer-2 protokoly jsou kontrolovány ochranou (anti-spoofing a další)

• VM nemůže zachytávat žádný provoz z „cizí“ sítě

• Zákazník definuje „endpointy“ (porty), na které lze přistoupit z internetu

• „A není to trochu málo Antone Pavloviči?“

SUBNET 2 – INTERNÍ ZDROJE

• Network Security Groups

• Lze definovat pravidla komunikace

• NSG pravidlo obsahuje pětici prvků

(IP adresa, protokol ….)

• NSG pravidla jsou statefull

• NSG pravidla se podle priority

• Komunikace v rámci NSG je tagována a

to lze dále využívat k řízení

AZURE SECURITY CENTER – REPORTING CELÉHO PROSTŘEDÍ

Prevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu

Prevence – přehled bezpeč. politik

Monitoring prostředků vůči bezpeč. politikám

Ale

rty –

nap

ř. m

alw

are

, b

rute

fo

rce a

ttack

, D

Do

S

Detekce exploitů pomocí Azure Machine Learning

Up

ozo

rněn

í –ch

yb

ějící zá

pla

ty

AZURE SECURITY CENTER – REPORTING SUBNET 2

• Pohled v rámci

vybrané Azure

Subscription

AZURE SECURITY CENTER – REPORTING SUBNET 2

A NENÍ TO POŘÁD MÁLO ….. ?

• Odpovědí jsou řešení třetích stran

• Stejný princip jako v rámci in-house (on-premise) řešení

• Potřebuji / chci pokročilý firewall / aplikační firewall na jaký jsem zvyklý

• Potřebuji vytvářet VPN a pokročilé Site-to-Site řešení

• K dispozici mám pouze TCP / UDP – ESP ani náhodou….

SUBNET 1 – BARRACUDA NETWORK

• TINY protokol pro vytváření VPN řešení – NG Firewall

• Další řešení pro pokročilou ochranu aplikací – WAF

• Řešení pro ochranu pošty – SF

• Řešení pro zálohování do Azure - MA

KOMPLETNÍ APLIKAČNÍ OCHRANA

Odchozí inspekcePříchozí inspekce

Pokročilá aplikační ochranaOWASP Top-10 útokyDDOS na aplikace

Proactive DefenseApplication CloakingGeo-IP Control

Data Loss PreventionCredit Card Numbers

Social Security NumberCustom Patterns

WAF – DYNAMICKÉ ŠKÁLOVÁNÍ V CLOUDU

AzureLB

Server 1

…

Server N

Dyn

amic Scalin

gAuto-Scaling Group

BarracudaWAF Cluster

KOMPLETNÍ OCHRANA POMOCÍ NOVÉ GENERACE FIREWALU

Vícevrstvá ochrana v rámci Azure prostředí

EXPRESSROUTE ARCHITEKTURA SPOLU S NG FIREWALEM

MPLS router

Inet router

NG on-prem

Internet

NG Firewall for Azure

ER Local Network

LAN / DC Transport networks (public/private) Azure VNet

Public Internet router network

ExpressRoute

Azure gateway

BEZPEČNÉ PROPOJENÍ SÍTÍ

Bezpečná a vysoce výkonná konektivita

TINA PROTOKOL

• Oproti IPSec nemá tolik limitovanou rychlost (IPSec - 80 Mbit/s)

• Umožňuje správu připojení, např. failover proces

• Enkapsulace ESP

• Více konkurenčních fyzickýh transportních cest na logický tunel

• Fallback v případě ztráty spojení

• Komprese provozu a deduplikace

• Podpora DHCP a NAT

• Heartbeat monitoring pro failover scénáře

• Client-to-Site

• Site-to-Site

Multi-Site konektivita

VÝHODY HYBRIDNÍ INFRASTRUKTURY

• Firewall As a Services – plně cloudový firewall

• Hybridní scénář 1 – předřadím NG firewall v Azure kvůli vysoké dostupnosti / škálování

• Zakrývám si vlastní bezpečnostní infrastrukturu

• Hybridní scénář 2

• NG firewall v Azure

• Centrální NG firewall on-premise

• Propojím obě části do hybridního cloudu

• Připojím VPN klienty do NG v Azure

• Připojím mobilní NG firewally přes NG v Azure

CHAREKTERISTIKY NG FIREWALLU

Microsoft Azure – Compute Instance Name

Barracuda NG Firewall SMALL (A1) MEDIUM (A2) LARGE (A3) EXTRA LARGE (A4)

Virtual Cores 1 2 4 8

Firewall Throughput 400 Mbps 2 Gbps 5 Gbps 9 Gbps

VPN Throughput 120 Mbps 500 Mbps 1 Gbps 1.5 Gbps

IPS Throughput 80 Mbps 900 Mbps 2.5 Gbps 3 Gbps

Concurrent Sessions 35,000 300,000 500,000 1,000,000

New Sessions/s 2,500 16,000 35,000 45,000

Premium Support * • •

Malware Protection ** Optional Optional Optional Optional

* Premium Support ensures that an organization‘s network is running at its peak performance by providing the highest level of 24x7 technical support for mission-critical environments. For more information, please visit https://www.barracuda.com/support/premium.

** Malware protection requires a separate one-year subscription.