Virtualizáció, adatvédelem, adatbiztonság EMC módra

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Virtualizáció, adatvédelem, adatbiztonság EMC módra"

Lóránd Bogdán
8 évvel ezelőtt
Látták:

1 Virtualizáció, adatvédelem, adatbiztonság EMC módra Suba Attila, CISSP Account Technology Consultant június 19. 1

2 Virtualizáció Szerver virtualizáció VMware Infrastruktúra File virtualizáció EMC Rainfinity Global File Virtualization Block-storage virtualizáció EMC Invista Virtuális volume-ok APP OS APP OS APP OS APP OS APP OS APP OS APP OS APP OS IP network Global Namespace NAS storage pool Invista storage network APP OS APP OS APP OS APP OS File szerver EMC NetApp Fizikai tároló 2

OS APP OS APP OS APP OS APP OS APP OS APP OS APP OS IP network Global Namespace NAS storage

3 A Tiered Storage megközelítés Copyright: szoboszlay marcell 3

4 Adattárolás EMC módon Tier 1 Production Tier 2 Data Tier 3 Archive Data Remote Volumes Clones Snaps Snaps Snaps Snaps Backup Data Osztályzás EMC Classification és bontásservices Symmetrix, CLARiiON, Celerra Inaktív adatok archiválása Centera, Xtender Family, Redundáns Celerra File adatok Archiver, eltávolítása Infoscape Avamar, Single Instance Store Backup-ok EMC Disk Library, NetWorker SNAPek TimeFinder/Snap, használata SnapView, az inkrementális SnapSure változáskezelésére Virtualizált VMware, Rainfinity, szerverek EMC Virtualization Services 4

Redundáns Celerra File adatok Archiver, eltávolítása Infoscape Avamar, Single Instance Store Backup-ok EMC Disk Library, NetWorker SNAPek

5 Peremvédelem: Szükséges, de nem elegendő Az új határvédelem A klasszikus peremvédelem Adat Data center infrastruktúra Szerverek és alkalmazások infrastuktúrája Hálózati peremvédelmi infrastruktúra Gondoljuk újra a peremvédelmet: A határok kevésbé egyértelműek Új határok: A tároló infrastruktúra AZ ADAT 5

infrastuktúrája Hálózati peremvédelmi infrastruktúra Gondoljuk újra a

6 Miért nem elég a klasszikus peremvédelem? Az infomációbiztonsági termékek nem az információt védik Hálózatot, laptopot, szervert védenek Az információ bizalmassága és integritása védelmében keveset tesznek Clients Anti-virus VPN Threat Detection Servers Change/Patch Management LAN SAN Az információ az életciklusa során folytonosan mozgásban van. Nem röghöz köthető Folyton áthaladunk a peremvédelmi eszközökön Authentication Web Filtering Anti-spyware Firewall Anti-virus 6

bizalmassága és integritása védelmében keveset tesznek Clients Anti-virus VPN Threat Detection Servers Change/Patch

7 A peremvédelem a gyakorlatban Tűzfalak Stateful Appl. Proxy IDS-IPS HIPS Antivírus URL/Content filter Spam, phising VPN IPSec SSL MPLS 7

8 Mit akarunk védeni? 1. Egy hacker célja: PÉNZ, PÉNZ, PÉNZ CC Üzleti tervek Szabványok Kiviteli tervek Forráskódok Tervrajzok Okiratok Minősített adatok stb. 8

9 Mit akarunk védeni? 2. Egy hacker célja: PÉNZ, PÉNZ, PÉNZ CC Üzleti tervek Szabványok Kiviteli tervek Forráskódok Tervrajzok Okiratok Minősített adatok stb. 9

10 Információ-centrikus biztonság Vállalti adatok védelme A kritikus adat bárhol is legyen - bizalmasságának és integritásának biztosítása Biztonságos hozzáférés ügyfél partnerek munkatársak biztonságos adat A munkatársak biztonságos hozzáférése Lehetővé tenni a bárhonnan, bármikor történő biztonságos elérést A partnerek biztonságos hozzáférése Belső rendszerek elérhetővé tétele megbízható partnerek számára Biztonsági információk menedzselése Az ügyfelek biztonságos hozzáférése Önkiszolgáló csatornák, melyek biztonságosak, és az ügyfél bizalmát erősítik Biztonsági információk menedzselése Biztonsági szabályzatoknak és előírásoknak, ajánlásoknak való megfelelés 10

hozzáférése Belső rendszerek elérhetővé tétele megbízható partnerek számára Biztonsági információk menedzselése Az ügyfelek biztonságos hozzáférése Önkiszolgáló

11 Adatok biztonsága 11

12 Megközelítések Titkosítás hálózati eszközzel data in transit HOSZT ---cleartext --- DOBOZ --- cyphertext --- STORAGE Gyors Alacsony késleltetés Tömörítés STORAGE STORAGE átvitel titkosítatlan Dupla ki- és betitkosítás titkosítás host 12

STORAGE Gyors Alacsony késleltetés Tömörítés STORAGE

13 Adatok biztonsága Szoftveres titkosítás rest HOSZT --- cyphertext --- STORAGE Lassabb Késleltetés Tömörítés hiánya STORAGE STORAGE átvitel tikosított Nincs szükség FC titkosítóra titkosítás host 13

14 Hol kell a biztonságra figyelni? 1. FC Felhasználó a LANon Szerver Tárolórendszer 14

15 Hol kell a biztonságra figyelni? 2. MGMT Backup site user user IP LAN NAS GW FC-fabric 15

16 Hol kell a biztonságra figyelni? 3. MGMT DNS user IP LAN NAS GW Alk. srv FC-fabric 16

17 Adatok biztonsága Tárolórendszerek menedzsmentje (meg a többié is) NAS (TCP/IP!) iscsi (TCP/IP!) Adat elévülés Titkosítások 17

18 Hol titkosítsunk? Switch-fabric szerver Clear text DR Clear text Clear text Clear text Clear text Clear text Clear text 18

19 Kulcsmenedzsment Kulcsgenerálás Régi kulcsok pl. TAPE titkosítás. A tavalyi szalagot olvasni KELL tudni. Életciklusok Újratitkosítás Megsemmisítés Policy-k Ki? Mit? Meddig? Copyright 19

20 Titkosítási szabványok Titkosítási szabványok Extázisa Advanced Encryption Standard Cipher Block Chaining (AES CBC)» 256-bit AES-CBC keys Advanced Encryption Standard Xor-Encrypt-Xorbased Tweaked CodeBook with CipherText Stealing (AES_XTS)» 256-bit AES-XTS keys. 20

AES-CBC keys Advanced Encryption Standard Xor-Encrypt-Xorbased

21 Nem mindegy mivel titkosítunk LOG O ECB CBC

22 PowerPath titkosítás PowerPath - Data-at-Rest Titkosítás EMC/RSA hoszt alapú titkosítás PowerPath path management RSA Key Manager és kapcsolódó titkosítási technikák CLARiiON és Symmetrix támogatás Volume szintű adattitkosítás Nem-EMC array titkosítás is OS támogatás Solaris és Windows Egyéb platformok Azonnali implementáció Alkalmazás- és hardver módosítás nélkül performancia RSA Key Manager Appliance PowerPath Encryption Primary Storage 22

23 PowerPath titkosítás és replikáció REPLIKÁCIÓ TÁMOGATÁS PPEw/RSA a forrás és cél hoszton A forráson a volume titkosítva Name: XYZ SSN: *&^%$#&%$#$%*!^ Account Status: Gold %#*@(*$%%%%#@ A cél array-re replikáljuk a titkosított volume-ot A cél hoszt hozzáférhet a cél array-hez A cél hoszt visszatitkosítja a volume-ot, hogy az adathoz hozzáférjen Source RSA Key Manager appliance Name: XYZ SSN: Account Status: Gold Target 23

24 RSA Key Manager és az Adattitkosítás PowerPath titkosítás Connectrix titkosítás RSA Key Manager Server Tape backup titkosítás RSA File Security Manager File rendszer titkosítás Application titkosítás 24

25 A Gartner ajánlásai biztonsági kérdésekben Fejlesszünk ki egy használható adat-osztályozási szabályrendszert Alkalmazzunk hozzáférésvezérlést, mint a védelem első vonala Szelektíven alkalmazzuk a titkosítást a megfelelő titkosítási eszközök használatán keresztül Auditáljuk az adatbázisokat és a kulcsfontosságú alkalmazásokat Használjunk tartalom monitorozó és szűrő eszközöket az adatszivárgás elkerülésére. 25

26 Erős authentikáció Valami, amit birtoklunk = TOKEN + Valami, amit tudunk = PIN 26

27 Köszönöm a figyelmet! suba_attila@emc.com 27

Hasonló dokumentumok

Mobil eszközökön tárolt adatok biztonsága

Mobil eszközökön tárolt adatok biztonsága Romics Attila IT biztonsági tanácsadó Compliance Data Systems Kft. 2014. Október 2. Tartalom Tartalom Mobil Trendek IT Felhasználói igények Vállalati Hatások Szabályzatok