soluções de segurança marketing de soluções de virtualização microsoft 2009
TRANSCRIPT
Soluções de SegurançaMarketing de Soluções de Virtualização Microsoft
2009
Cenários deSoluçãoPlataforma Central
Cenários deSoluçãoPlataforma Central
Cenários deCapacidade dePlataforma Central
Cenários de Solução de Virtualização Microsoft
Aplicações Críticas
Infraestrutura de Escritório
Remoto
Empresas Pequenas e Médias (SMB)
Continuidade de Negócios
Consolidação de TI
Automação de Laboratório e Gerenciamento de Testes
SegurançaConectividade
Gerenciamento de Sistema Hospedagem/Computação
em Nuvem
Serviços de Rede
Estação de Trabalho Centralizada
3
Contêiner de VHD
Visão Geral de Solução de Segurança
O que é Virtualização de Segurança?Virtualização de segurança se refere aos seguintes mecanismos virtualizados:
Plataforma Segura
VM Offline
ComunicaçãoEntre VMs
Hipervisor Núcleo de Servidor
Soluções de Segurança Específicas de Sistemas Virtuais
Introspecção
Soluções de Segurança para Sistemas Físicos e Virtuais
Gerenciamento de SistemasAtualização/Configuração
Diretiva/Conformidade
Antivírus Online
Autenticação e Autorização
Segurança Centralizada de Estação de Trabalho
1. Componentes de plataforma do stack de virtualização (hipervisor, as partições raiz e filhas) são configuradosde maneira ideal e têm todos os mecanismos em vigor para proativamente detectar e atenuar ameaças de segurança
2. Gerenciamento de autenticação e autorização está em vigor junto com controle de acesso baseado em função3. Soluções de segurança, como antivírus e atualizações de patches estão em vigor em VMs online e offline para reduzir ameaças4. Mecanismos de segurança adicionais, como introspecção, estão disponíveis para análise e auditoria forense
5
Desafios de Segurança em VirtualizaçãoCenários em Virtualização
Economia de custo de capital e operacional
Flexibilidade e economia de custos
Agilidade na resposta do TI
Consolidação de Hardware de Servidor
Contração de Switches e Servidores em Um Dispositivo Desafio 2
Sem separação por padrão da administração e elevado risco de falhas de configuração
Desafio 1Maior impacto de ataques e maior área de superfície para ataque
Apps
OS
Apps
OS
Apps
OS
Desafio 3Falta de planejamento adequado e
conhecimento incompleto do estado atual da infraestrutura
Implantação Mais Rápida
6
Desafios de Segurança Associados
Desafios de Segurança em Virtualização
Cenários em Virtualização
Facilidade de continuidade de negócios e capacidade de impor restrições em sistemas
Níveis de serviço melhorados
Mobilidade
Desafio 5Identidade separada do local físico e
diretivas de segurança precisam mover-se com a máquina virtual
Encapsulamento
Apps
OS
Apps
OS
Apps
OS
Apps
OS
Apps
OS
Apps
OS
Apps
OS
Desafio 4Esforços adicionais para gerenciar
sistemas offline
7
Desafios de Segurança Associados
Estratégia de Atenuação de Riscos em Virtualização
Isolamento, não interferência entre VMs Proteger o Microsoft® Hyper-V™ e a partição
raiz
Desafio 1 Maior impacto de ataque Maior área de superfície para ataque
Usar ferramentas que proporcionem separação de deveres
Controles de alterações fortes e log e monitoramento monitoramento de eventos meticulosos
Gerenciamento de segurança centralizado – gerenciamento de atualizações e configuração, de diretivas e conformidade, varredura antivírus, etc.
8
Desafio de Segurança Solução
Usar ferramentas antivírus e de aplicação de patches que possam atualizar uma máquina offline
Desafio 2 Sem separação por padrão da administração e
elevado risco de falhas de configuração
Desafio 3 Falta de planejamento adequado Conhecimento inadequado do estado atual da
infraestrutura
Desafio 4 Esforços adicionais para gerenciar sistemas
offline
Desafio 5 Identidade separada do local físico Diretivas de segurança precisam mover-se
com a máquina virtual
Migrar diretivas de segurança junto com a máquina virtual
Soluções de segurança devem ser compatíveis com virtualização e devem funcionar após migração
Gerenciamento de Segurança da Virtualização Microsoft
Produtos e Tecnologias Microsoft
Soluções de Virtualização Microsoft Não apenas um produto, mas uma oferta completa
Hardware, Software e Serviços
de Parceiro Microsoft
10
Arquitetura e Recursos de
de Implantação de Referência Conjuntos
A Microsoft oferece uma abordagem totalmente integrada para segurança de virtualização: Protege ambientes físicos e virtuais com ROI otimizado Oferece um ecossistema de parceiros de soluções de segurança para cobertura abrangente
Estratégia e Ecossistema de Segurança de Virtualização Microsoft + Parceiro
Offline Virtual Machine Security Tool
McAfee, Symantec, Altor Networks
McAfee, Symantec
Plataforma Segura
VM Offline
ComunicaçãoEntre VMs
Hipervisor Núcleo de Servidor
Soluções de Segurança Específicas de Sistemas Virtuais
Introspecção
Soluções de Segurança para Sistemas Físicos e Virtuais
Antivírus Online
Autenticação e Autorização
Segurança Centralizada de Estação de
Trabalho
11
Gerenciamento de SistemasAtualização/Configuração
Diretiva/Conformidade
Plataforma Segura: Soluções Microsoft + Parceiro
Hipervisor Núcleo de Servidor
Plataforma de computação segura em ambientes físicos e virtuais Arquitetura de última geração: Microsoft® Windows Server® 2008 Hyper-V™ projetado para
segurança
12
Desafio 1 Maior impacto do ataque Maior área de superfície de ataque
• IsolamentoNão interferência entre VMs com arquitetura de microkernel segura
• Defesa com Hyper-VRisco de ataque eliminado com arquitetura segura
Plataforma Segura
Soluções Microsoft + Parceiros para Desafios de Migração com Segurança
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Hipervisor: Microkernel vs Monolítico
Virtualização: Hypervisor + Drivers + Stack de Software Virtualizado + Interface de Gerenciamento
O Windows Server® 2008 Hyper-V™ usa o microkernel à medida que fornece benefícios de segurança adicionais:
13
Hipervisor de Microkernel
Hardware
Hipervisor
Virtualização Virtualização
DriversDriversDrivers DriversDriversDrivers DriversDriversDrivers
Memória e CP com apenas um particionamento
Aumenta a confiabilidade e minimiza a base de computação confiável
Sem código de terceiros Drivers executados dentro dos convidados
Hipervisor Monolítico
Abarca todos os componentes de virtualização, inclusive drivers
Executa todo o código na parte mais privilegiada do processador
Aplicação de patches mais provável devido ao código incluído
VM 1(Admin) VM 2 VM 3
Hardware
DriversDriversDrivers
VM 1(“Root”)
VM 2(“Guest”)
VM 3(“Guest”)
Hipervisor
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Defesa Abrangente Contra Risco de Ataque
1
2
3
4
Principais Alvos de Ataque Soluções Seguras Microsoft® Hyper-V™1 Máquinas virtuais executadas na mesma caixa Isolamento forte entre partições 2 Hipervisor Separação de componentes por privilégio3 VSPs através do caminho de comunicação VSC-
VSPValidação e proteção contra solicitações não confiáveis
4 Processos de trabalho de VM Separação entre processos de trabalho de VM
O Hyper-V™ oferece arquitetura segura: Separação de componentes por
privilégio e processo Hipervisor de microkernel com área de
superfície muito pequena Núcleo de servidor – bloqueia a partição-
raiz e minimiza o tamanho Isolamento convidado a convidado
reduz riscos
malware
14
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Soluções de Segurança para Sistemas Físicos e VirtuaisSoluções Microsoft + Parceiro
Desafio 2Sem separação da administração por padrão e elevado risco de falha de configuração
Soluções de Segurança para Sistemas Físicos e Virtuais
Autenticação e Autorização
Soluções Microsoft + Parceiro para Atenuar Desafios de Segurança
Desafio 3Falta de planejamento adequadoConhecimento incompleto do estado atual da infraestrutura
Atenuação de risco de acesso não autorizado e falhas de configuração Defesa em profundidade combinando recursos de segurança do Windows Server® 2008
com ferramentas de proteção
McAfeeSymantec
15
• Authenticação Único armazenamento de identidades para autenticar usuários
• Autorização Separação de deveres através de autorização baseada em função
• Contabilidade/AuditoriaRegistro de todas atividades administrativas
• Proteão à VM Proteção antivírus
• Atualização e Configuração, Diretivas e Conformidade
Gerenciamento de SistemasAtualização/Configuração
Diretiva/Conformidade
Antivírus Online
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Todas as soluções Microsoft para virtualização fornecem um único armazenamento de identidades para autenticar usuários com o Microsoft® Active Directory® em sistemas físicos e virtuais.
Virtualization
Hyper-V™
Hardware Apresentação Aplicação
Proteção de Acesso à Rede
Isolamento de Servidor e Domínio
Soluções de Segurança Forefront™lutions
System Center Virtual Machine Manager
Identity Lifecycle Manager 2007
Activ
e Di
rect
ory
Autenticação de Usuário Integrada
Active Directoryo Único armazenamento de identidades
para autenticar usuários o Suporte em sistemas físicos e virtuais
Microsoft® Identity Lifecycle Manager 2007
o Aprovisionamento fácil de usuários reduz altos custos e riscos associados com o aprovisionamento manual
o Sincronização de identidadeso Gerenciamento simplificado de novas
iniciativas de segurança
16
Serviços de
TerminalMicrosoft App. Virt.
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Aumente a segurança concedendo acesso baseado em função a sistemas físicos e virtuais
Melhore a administração através doActive Directory® e Hyper-V™
Elimine o risco de falhas de configuração Poupe tempo delegando autoridade sobre
máquinas virtuais sem que a administração tenha autoridade sobre todo o sistema
O Microsoft Authorization Manager faz parte do Windows Server e permite controle de acesso baseado em função para fornecer separação de deveres para ambientes virtualizados.
AutorizaçãoSeparação de deveres com o Microsoft Authorization Manager
17
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Soluções para Proteção à Máquina Virtual Online Soluções Microsoft + Parceiro
Soluções Microsoft + Parceiro
Antivírus Online
• Proteção antivírus para VMs online
• Bloqueia e remove vírus
Proteção Antispyware
• Proteção contra programas indesejados
• Programas são identificados e detidos antes que se instalem
Prevenção de Invasão do Host
• Prevenção de invasão de host para monitores de servidor
18
Produtos de Parceiros:
Serviço de Proteção Total
Proteção de Extremidade
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Segurança de defesa em profundidade para antivírus de VM online: Integração com aplicações e infraestrutura Microsoft para proteger ativos físicos/virtuais Produtos de segurança de linha de negócios para proteção de aplicações de clientes e servidores
• Proteção em tempo real contra vírus e spyware
• Simplifique a administração através de integração com o Active Directory® e outras infraestruturas Microsoft
• Relatórios em tempo real de ameaças e vulnerabilidade que afetam o ambiente
• Integração de vários mecanismos de varredura de vírus de firmas de segurança líderes da indústria
• Proteção específica de aplicações abrangente -- mensagem e colaboração
Soluções para Proteção de Máquina Virtual Online (continuação)
19
OS de Cliente e Servidor Aplicações de Servidor
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Mudanças de função do local Implantação do Microsoft® Windows® Distribuição de software Gerenciamento de atualização de software Gerenciamento de configuração desejada Inteligência de ativos Gerenciamento de dispositivos
Atualização/Configuração Base de controles de TI para ofertas de
plataforma Microsoft Suporte a estruturas de conformidade de TI:
o COBITo ISO 17799
Gerenciamento de Sistemas para Máquinas Virtuais Online
Diretiva/Conformidade
Reduza complexidades do monitoramento de mudanças de configuração e reduz os problemas associadas com o desvio de configuração.
20
Microsoft® Windows® Update Manager Pacotes Planejados de Conformidade de Desired Configuration Management (DCM)
GLBA, HIPPA, SOX, EUDPD, FISMA, OUTROS
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Soluções de Segurança para Sistemas VirtuaisSoluções Microsoft + Parceiro
• Gerenciamento de Patch de VM Offline Automatize o patch em VMs offline
• Solução de Proteção para VM Offline• Migração de Diretiva de Máquina Virtual -
TBD• Comunicação entre VMs/Introspecção
Soluções Microsoft + Parceiro para Atenuar Desafios de Segurança
VM Offline
ComunicaçãoEntre VMs
Soluções de Segurança Específicas de Sistemas Virtuais
IntrospecçãoSegurança
Centralizada de Estação de
Trabalho
Desafio 5• Identidade separada do local físico • Diretivas de segurança precisam mover-se
com a máquina virtual
Desafio 4• Esforços adicionais para gerenciar sistemas
offline
• Soluções para proteção offline de máquinas virtuais com atualizações e varreduras de segurança
• Visão, em toda a empresa, de ativos virtuais para planejamento e conformidade
McAfee, Symantec, Altor Networks
21
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
A ferramenta Microsoft Offline Virtual Machine Servicing Tool é uma solução disponível gratuitamente:• Automatiza a atualização de patches em máquinas virtuais offline
• Integrada com o Microsoft® System Center Virtual Machine Manager (VMM) 2008 e Microsoft® Configuration Manager 2007
Offline VMServicing Tool
Rede de Manutenção
Configuration Manager 2007
ou WSUS
VMM 2008
Gerenciamento de Atualização de VM Offline
Automatize a Manutenção de VMs Inativas:
o Aplique patches de manutenção no OSo Aplique patches de manutenção em
Aplicações (futuro)o Configuração de adequação (true-up)
(futuro)
Integre com Produtos System Center:o Virtual Machine Manager 2008o Configuration Manager 2007o Windows Server Update Services
Biblioteca do VMM
22
Hosts de Manutenção
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Soluções de Proteção para VMs OfflineSoluções Microsoft + Parceiro
Soluções Microsoft + Parceiro
Antivírus para VMs Offline
• Proteção antivírus para VMs offline• Imagens offline não precisam ser
colocadas online para proteção
Proteção Antispyware para VMs Offline
• Proteção contra programas indesejados
• Programas são identificados e detidos antes que se instalem
Prevenção de Invasão do Host
para VMs Offline• Prevenção de invasão de host para
monitores de servidor
23
Produtos de Parceiros:
Total Protection Service
Endpoint Protection
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
A Microsoft não dá suporte a comunicação entre VMs
o Ela é um risco potencial de ataque já que o hipervisor é extensivo
o Vulnerável a terceiros que compartilham a interface estendida
Comunicação entre VMs/Introspecção
Comunicação entre VMs
24
Baseada em varredura de instantâneos no formato de arquivo
Implantações de virtualização podem ser protegidas e melhoradas conforme recursos de introspecção emergem em plataformas de virtualização
A Microsoft oferece introspecção fornecendo a ISVs um formato de arquivo para o instantâneo de varredura do Hyper-V™
Introspecção
Opções adicionais de segurança de virtualização
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Microsoft VMWarePlataforma Segura
Arquitetura de hipervisor
Microkernel: superfície de ataque mínima
Bloqueio de raiz (WS08 Server Core)
SDL da arquitetura testada
Monolítico: Aumenta a superfície de ataque
Executa todos códigos – OS personalizado, drivers, código
extensível – na parte mais privilegiada do processador
Facilidade de atualização e
gerenciamento
Hipervisor de microkernel fácil de substituirUsa todas as ferramentas de gerenciamento e
drivers de dispositivo
Monolítico provavelmente requer aplicação de patches
Necessário aprender novas ferramentas. Usa somente drivers
que acompanham o hipervisor
Solução virtual abrangente
SimHardware, apresentação e aplicação
NãoSomente virtualização de hardware
Soluções de Segurança para Sistemas Físicos e Virtuais
Plataforma de identidade comum
SimActive Directory® para TI físico e virtual
NãoRequer armazenamento de
identidades separado
Soluções de infraestrutura
Forefront™, System Center, Identity Lifecycle Manager Somente gerenciamento
Habilita ecossistema de segurança prontamente?
SimSoma contexto de VHD a produtos antivírus
atuais Amplo ecossistema de segurança Windows
Sim, até certo pontoPrimeiro conjunto de APIs
(VMSAfe); requer mais ajustes de software antivírus
Soluções de Segurança Específicas para Virtual
Tecnologias complementares
NAP, Isolamento de Servidor e Domínio (WS08) Kit de Manutenção de VM Offline Comprou o Determina da HIPS
Comparação: Segurança de Virtualização
25
Cliente: Rijksmuseum AmsterdamTamanho da Empresa: Indústria: Educação – MuseusPaís: HolandaPerfil: O Rijksmuseum Amsterdam é um museu na Holanda. Fundado em 1800, a coleção do museu inclui obras de Rembrandt, Vermeer e outros mestres holandeses.
Benefícios:• Reforça a segurança• Melhora o gerenciamento e a flexibilidade• Permite crescimento
Evidência de Solução de Segurança de Virtualização
26
“Implementar o Windows Server® 2008 com Proteção de Acesso à Rede (NAP) aumentará minha paz de espírito. Ficarei mais confiante que somente clientes gerenciados terão acesso a recursos da rede corporativa.”
Paul van KootenGerente de RedeRijksmuseum Amsterdam
Próximos Passos para Melhorar os Negócios com Virtualização Microsoft
Microsoft® Windows Server ® 2008 Hyper-V™ o http://www.microsoft.com/windowsserver2008/en/us/hyperv.aspx
Microsoft® System Centero http://www.microsoft.com/systemcenter/en/us/default.aspx
Calculadora de ROIo https://roianalyst.alinean.com/msft/AutoLogin.do?d=307025591178580657
Ferramenta Microsoft Assessment and Planning (MAP)o http://technet.microsoft.com/en-us/library/bb977556.aspx
Soluções de Virtualização
Microsoft
Produto Recursos
Avaliação e Planejamento de
Virtualização
27
Soluções de Virtualização Microsofto http://www.microsoft.com/virtualization/solutions
Parceiros de Soluções de Virtualização Microsofto http://www.microsoft.com/virtualization/partners
Apêndice
Quando práticas recomendadas são seguidas, o Microsoft® Hyper-V™ proporciona segurança reforçada.
Prática Recomendada para Proteger o Windows Server® Hyper-V™ e Partição-Raiz
29
Permite NX e virtualização no BIOS Serviços de Rede
o Switches Virtuaiso VLANso NIC dedicado para partição-raiz
Conectividadeo BitLocker o Filtragem de CDB de armazenamento
Bloqueio de DispositivoConsiderações de ImplantaçãoAplicação de patches no hipervisor
o Windows UpdateMinimize o risco para a partição-raiz
o Utilize o Núcleo de Servidor Não execute aplicações arbitrárias, não
navegue a Web Execute suas aplicações e serviços em
convidadoso Use o Authorization Manager (AzMan)
para reduzir privilégio administrativoConecte-se à rede back-end de gerenciamento
o Exponha convidados apenas a tráfego de Internet
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização
Aprovisionamento fácil de usuários reduz altos custos e riscos associados com o aprovisionamento manual
Simplifique o gerenciamento de novas iniciativas de segurança
Reduza custos de assistência técnica para tarefas simples como redefinições de senha
O Microsoft® Identity Lifecycle Manager “2” pode ser executado no Hyper-V™ e permite a você gerenciar identidades em ambientes virtuais e físicos
O Identity Lifecycle Manager 2007 oferece uma visão única da identidade de um usuário em empresas heterogêneas e permite a automação de tarefas comuns.
Autenticação. Aprovisionamento Fácil de Usuários
30
Gerenciamento Completo do
Ciclo de Vida de Certificado e de
Cartão Inteligente
Active Directory
Sistemas Mainframe
Sistema de RHSistema de E-mail
Sincronização de Identidades
Plataforma Segura
Soluções de Segurança para
Sistema Físico/Virtual
Segurança Específica de Virtualização