Virtualizáció, adatvédelem, adatbiztonság EMC módra

Virtualizáció, adatvédelem, adatbiztonság EMC módra Suba Attila, CISSP Account Technology Consultant suba_attila@emc.com 2008. június 19. 1

Virtualizáció Szerver virtualizáció VMware Infrastruktúra File virtualizáció EMC Rainfinity Global File Virtualization Block-storage virtualizáció EMC Invista Virtuális volume-ok APP OS APP OS APP OS APP OS APP OS APP OS APP OS APP OS IP network Global Namespace NAS storage pool Invista storage network APP OS APP OS APP OS APP OS File szerver EMC NetApp Fizikai tároló 2

A Tiered Storage megközelítés Copyright: szoboszlay marcell 3

Adattárolás EMC módon Tier 1 Production Tier 2 Data Tier 3 Archive Data Remote Volumes Clones Snaps Snaps Snaps Snaps Backup Data Osztályzás EMC Classification és bontásservices Symmetrix, CLARiiON, Celerra Inaktív adatok archiválása Centera, Xtender Family, Redundáns Celerra File adatok Archiver, eltávolítása Infoscape Avamar, Single Instance Store Backup-ok EMC Disk Library, NetWorker SNAPek TimeFinder/Snap, használata SnapView, az inkrementális SnapSure változáskezelésére Virtualizált VMware, Rainfinity, szerverek EMC Virtualization Services 4

Peremvédelem: Szükséges, de nem elegendő Az új határvédelem A klasszikus peremvédelem Adat Data center infrastruktúra Szerverek és alkalmazások infrastuktúrája Hálózati peremvédelmi infrastruktúra Gondoljuk újra a peremvédelmet: A határok kevésbé egyértelműek Új határok: A tároló infrastruktúra AZ ADAT 5

Miért nem elég a klasszikus peremvédelem? Az infomációbiztonsági termékek nem az információt védik Hálózatot, laptopot, szervert védenek Az információ bizalmassága és integritása védelmében keveset tesznek Clients Anti-virus VPN Threat Detection Servers Change/Patch Management LAN SAN Az információ az életciklusa során folytonosan mozgásban van. Nem röghöz köthető Folyton áthaladunk a peremvédelmi eszközökön Authentication Web Filtering Anti-spyware Firewall Anti-virus 6

A peremvédelem a gyakorlatban Tűzfalak Stateful Appl. Proxy IDS-IPS HIPS Antivírus URL/Content filter Spam, phising VPN IPSec SSL MPLS 7

Mit akarunk védeni? 1. Egy hacker célja: PÉNZ, PÉNZ, PÉNZ CC Üzleti tervek Szabványok Kiviteli tervek Forráskódok Tervrajzok Okiratok Minősített adatok stb. 8

Mit akarunk védeni? 2. Egy hacker célja: PÉNZ, PÉNZ, PÉNZ CC Üzleti tervek Szabványok Kiviteli tervek Forráskódok Tervrajzok Okiratok Minősített adatok stb. 9

Információ-centrikus biztonság Vállalti adatok védelme A kritikus adat bárhol is legyen - bizalmasságának és integritásának biztosítása Biztonságos hozzáférés ügyfél partnerek munkatársak biztonságos adat A munkatársak biztonságos hozzáférése Lehetővé tenni a bárhonnan, bármikor történő biztonságos elérést A partnerek biztonságos hozzáférése Belső rendszerek elérhetővé tétele megbízható partnerek számára Biztonsági információk menedzselése Az ügyfelek biztonságos hozzáférése Önkiszolgáló csatornák, melyek biztonságosak, és az ügyfél bizalmát erősítik Biztonsági információk menedzselése Biztonsági szabályzatoknak és előírásoknak, ajánlásoknak való megfelelés 10

Adatok biztonsága 11

Megközelítések Titkosítás hálózati eszközzel data in transit HOSZT ---cleartext --- DOBOZ --- cyphertext --- STORAGE Gyors Alacsony késleltetés Tömörítés STORAGE STORAGE átvitel titkosítatlan Dupla ki- és betitkosítás titkosítás host 12

Adatok biztonsága Szoftveres titkosítás data @ rest HOSZT --- cyphertext --- STORAGE Lassabb Késleltetés Tömörítés hiánya STORAGE STORAGE átvitel tikosított Nincs szükség FC titkosítóra titkosítás host 13

Hol kell a biztonságra figyelni? 1. FC Felhasználó a LANon Szerver Tárolórendszer 14

Hol kell a biztonságra figyelni? 2. MGMT Backup site user user IP LAN NAS GW FC-fabric 15

Hol kell a biztonságra figyelni? 3. MGMT DNS user IP LAN NAS GW Alk. srv FC-fabric 16

Adatok biztonsága Tárolórendszerek menedzsmentje (meg a többié is) NAS (TCP/IP!) iscsi (TCP/IP!) Adat elévülés Titkosítások 17

Hol titkosítsunk? Switch-fabric szerver Clear text DR Clear text Clear text Clear text Clear text Clear text Clear text 18

Kulcsmenedzsment Kulcsgenerálás Régi kulcsok pl. TAPE titkosítás. A tavalyi szalagot olvasni KELL tudni. Életciklusok Újratitkosítás Megsemmisítés Policy-k Ki? Mit? Meddig? Copyright www.pixblog.hu 19

Titkosítási szabványok Titkosítási szabványok Extázisa Advanced Encryption Standard Cipher Block Chaining (AES CBC)» 256-bit AES-CBC keys Advanced Encryption Standard Xor-Encrypt-Xorbased Tweaked CodeBook with CipherText Stealing (AES_XTS)» 256-bit AES-XTS keys. 20

Nem mindegy mivel titkosítunk LOG O ECB CBC http://msdn.microsoft.com/en-us/magazine/cc163522.aspx http://en.wikipedia.org/wiki/block_cipher_modes_of_operation 21

PowerPath titkosítás PowerPath - Data-at-Rest Titkosítás EMC/RSA hoszt alapú titkosítás PowerPath path management RSA Key Manager és kapcsolódó titkosítási technikák CLARiiON és Symmetrix támogatás Volume szintű adattitkosítás Nem-EMC array titkosítás is OS támogatás Solaris és Windows Egyéb platformok Azonnali implementáció Alkalmazás- és hardver módosítás nélkül performancia RSA Key Manager Appliance PowerPath Encryption Primary Storage 22

PowerPath titkosítás és replikáció REPLIKÁCIÓ TÁMOGATÁS PPEw/RSA a forrás és cél hoszton A forráson a volume titkosítva van @!$%!%!%!%%^& Name: XYZ SSN: 1234567890 *&^%$#&%$#$%*!^ Account 808-1287 @*%$*^^^^%$@*) Status: Gold %#*@(*$%%%%#@ A cél array-re replikáljuk a titkosított volume-ot A cél hoszt hozzáférhet a cél array-hez A cél hoszt visszatitkosítja a volume-ot, hogy az adathoz hozzáférjen Source RSA Key Manager appliance Name: XYZ SSN: 1234567890 Account 808-1287 Status: Gold Target 23

RSA Key Manager és az Adattitkosítás PowerPath titkosítás Connectrix titkosítás RSA Key Manager Server Tape backup titkosítás RSA File Security Manager File rendszer titkosítás Application titkosítás 24

A Gartner ajánlásai biztonsági kérdésekben Fejlesszünk ki egy használható adat-osztályozási szabályrendszert Alkalmazzunk hozzáférésvezérlést, mint a védelem első vonala Szelektíven alkalmazzuk a titkosítást a megfelelő titkosítási eszközök használatán keresztül Auditáljuk az adatbázisokat és a kulcsfontosságú alkalmazásokat Használjunk tartalom monitorozó és szűrő eszközöket az adatszivárgás elkerülésére. 25

Erős authentikáció Valami, amit birtoklunk = TOKEN + Valami, amit tudunk = PIN 26

Köszönöm a figyelmet! suba_attila@emc.com 27