IBM Cloud Computing Biztonság a felhőben Köszöntünk minden érdeklődőt az IBM Cloud Computing biztonsági megoldásairól szóló webes minikonferenciánkon. A prezentációk meghallgatásához kérjük, tárcsázza a következő, vezetékes telefonról ingyenesen hívható számot: 0680/016381 majd üsse be a résztvevő kódot : 450795 Kérdéseiket a prezentációk után vagy a chat ablakban folyamatosan tehetik fel.
IBM Smart Business Development and Test on the IBM Cloud Bodroghy Ede Infrastructure Architect 23-Feb-11 2
What is IBM Smart Business Development and Test on the IBM Cloud? Internet Your servers and PCs Your firewall IBM firewall IBM unique security and authentication model IBM delivery centers Enterprise-class IT infrastructure Offering control, reliability, data security and massive scalability in performance and capacity IBM owned and managed Multi-tenant shared infrastructure Highly virtualized Multiple IBM delivery centers Preconfigured software images Enhanced security Secured access through the Internet Virtual private network option Based on IBM security standards Pay-per-use Virtualized IT development and test resources delivered on a usage-based billing model 3
IBM Smart Business Development and Test on the IBM Cloud at a glance The production site is at http://www.ibm.com/cloud/enterprise More information on the offering landing page http://www.ibm.com/cloud/solutions/development 4 Features and functions: Choice of nine virtual (Intel) server configurations Choice of pre-configured software images from which to build private image libraries Linux operating systems; Red Hat and Novell SUSE IBM Lotus, WebSphere, DB2 and Informix stacks IBM Rational Application Lifecycle Management Tivoli Monitoring software Option to add blocks of persistent storage Virtual Private Network (VPN/VLAN) services Premium support options; 24*7 by phone with optional add-on Linux OS support Choice of two sites: RTP(US) & Ehningen (Germany) Payment options: Pay-as-you-go virtual machines, selected software images & static IP addresses per hour Persistent storage per block per month Internet data transfer per GB transferred Reserved capacity package options Reserve a pool of virtual machine resources in units of 64 CPUs for 6 or 12 months for a monthly fee and get preferred (discounted) virtual machine usage rates
Overview of features and benefits: Platform Feature Easy-to-use, self-service Web portal Automated platform Integrated, collaborative development tools Image template libraries Elastic scaling plus reserved capacity pools Usage-based monthly billing Benefit Provides authorized users with request-driven delivery of the required development and test environment infrastructure and associated services including operating system, middleware, storage, network, images and data; saving you time, effort and cost Defined environments can be provisioned from a catalog in minutes, reducing test and development cycle times and effort. Automated deployment of your standard images potentially improves development and test governance and processes. Provides collaborative team-based development and test with IBM Rational toolset A selection of managed images is provided by the service from which you can build private image libraries. Enables process definition and integration with your service management processes including change management and problem management Provides dynamically scalable, virtualized test server resources, to help you lower IT capital and labor expenses. Reserved capacity pools combine assurance that resources will be available when needed with the flexibility to dynamically mix and match configurations. You are charged for test and development resources provisioned plus a monthly charge for reserved capacity (optional, with discounted hourly rates), enabling you to better plan for and manage your expenses 5
Overview of features and benefits: Delivery approach Feature IBM security and authentication model Virtual Private Network (VPN) option Self-service dashboard Service level agreement (SLA) Geographic distribution Back-up and recovery Flexible support options On-boarding service option 6 Benefit Leverages IBM Research-patented Internet Protocol filtering technology and hypervisor isolation to help ensure that login and access is only available to authorized account users Provides customers with a VPN gateway and a private virtual local area network (VLAN) to which they can provision instances to increase network isolation and access control. One VPN service per site. Enables you to monitor and manage your virtual server environment Supports an Internet connection with a committed infrastructure availability SLA of 99.5% percent Leverages IBM global reach, with multiple points around the world to help increase performance, comply with local requirements and spread risk. Two sites, RTP in NC, USA and Ehningen, Germany Self-service ability to copy instance (ephemeral) storage to persistent storage, with an option for off-site storage, helping to serve your business continuity and disaster recovery needs Includes around-the-clock monitoring and management of the cloud infrastructure, self-service access to documentation, forums and Webbased support. Optional premium support 24*7 telephone support with add-on Linux operating system support. Provides a teleconference session to demonstrate how to: use the system, deploy a test environment, create and save images, share instances securely and use application program interfaces (APIs)
Why Security in the Cloud is Different: Key Concerns Today s Data Center Tomorrow s Public Cloud??? We Have Control It s located at X. It s stored in server s Y, Z. We have backups in place. Our admins control access. Our uptime is sufficient. The auditors are happy. Our security team is engaged.??? Who Has Control? Where is it located? Where is it stored? Who backs it up? Who has access? How resilient is it? How do auditors observe? How does our security team engage? 7 7 7
8 One-size does not fit-all: Different cloud workloads have different risk profiles High Need for Security Assurance Analysis & simulation with public data Mission-critical workloads, personal information Tomorrow s high value / high risk workloads need: Quality of protection adapted to risk Direct visibility and control Significant level of assurance Low Training, testing with nonsensitive data Low-risk Mid-risk High-risk Business Risk Today s clouds are primarily here: Lower risk workloads One-size-fits-all approach to data protection No significant assurance Price is key 8 2/24/2011
IBM Responsibilities Physical security of all IBM Cloud components Infrastructure auditing and monitoring of internal privileged users. All users utilize unique identities and credentials. Infrastructure is operated using IBM s internal data center security policy Hardware administration of all IBM Cloud components Storage Network Physical Nodes Software Administration including patching and configuration Web Portal components including SSL encryption, patching Hypervisor Intrusion prevention system/intrusion detection system (IPS/IDS) monitoring of network traffic to IBM Cloud Center to help detect incoming attacks, or malicious behaviors. Weekly vulnerability scanning of the IBM Cloud Center infrastructure and Services Components Enable customer capabilities on guest virtual machines Provision SSH keys on an Instance Configure firewalls on an Instance 99.5% SLA for accessibility of a Guest Virtual machine 9
Customer Responsibilities IBM Cloud Web Portal Creation and deletion of virtual machines User account management Guest Operating system Applying patches and security fixes Installation, configuration and management of any software on the guest operating system Creating and implementing security policies on the guest operating system which include but are not limited to Firewall policies of the guest operating system Protection and distribution of guest operating system SSH keys Encryption of data Choice of implementation of the virtual private network solution Data control Choice of where infrastructure is deployed Movement of data in and out of the Cloud Who has access to data in the Cloud 10
Common Questions Is your Cloud secure? Security is not a yes or no topic Security is also a topic that differs based on the workload. Static web content may have a much different security profile than customer data For a solution to be secure, layers of solutions can be added, including IBM GTS Managed Security Services Will IBM guarantee the security of my data? IBM does not contractually guarantee the protection of the customer data Given the architecture of the solution and price, point IBM has a low limitation of liability ($25,000). When in doubt, refer to the contract How do the security features of the IBM Cloud compare to Amazon Web Services? The IBM Cloud is on par with AWS except for SAS 70 and PCI certifications. IBM is evaluating these in the 2011 plan IBM can offer security services above the base Cloud offering from MSS. Consulting services: Roadmap, Assessment, etc. Managed Services: Vulnerability, Event and Log Management 11
Cloud biztonsági megoldás IBM ISS technológiával Kubicsek Tamás Tivoli Technical Sales 23-Feb-11 12
Tartalom A virtualizációs piac Miért kell virtualizáció mellett másképp gondolkodni? Az IBM válasza: ISS Virtual Server Security 13
A virtualizáció hihetetlen mértékben terjed itthon is! A virtualizáció az IT vezetők kulcsfontosságú eszközévé vált - Forrester Research, Inc A Virtualizáció alapvető technológia lesz...az elkövetkező gazdasági időszak üzleti igényeinek támogatásához - IDC Total Virtualization Revenue ($M) 14
Az IT biztonság az IT költések egyik top prioritása Az IT biztonsági fejlesztések, a konszolidációs projektek és a virtualizáció állnak az IT beruházások élén To secure virtual infrastructure, the usual security principles must be applied: defense in depth, network design and segmentation, and unified security management. -451 Group IT Spending Initiatives [Virtualization security] will grow at a CAGR of 87% through 2013 the most aggressive growth forecast for any sector. -451 Group Source: IBM GTS Market Insights Analysis based on Goldman Sachs, IT Spending Survey: Top of mind-virtualization/pc refresh, September 7, 2009; Bank of America / Merril Lynch, Spending Intentions Still Muted; Slightly Less Cautious, July 20, 2009 15
A virtualizáció új kihívásokkal jár az IT biztonság területén Új kihívások VM-ek dinamikus mozgása A menedzselt és védendő infrastruktúra rétegek száma megnőtt Egy szerveren belül több OS és alkalmazások A rendszerek között eltűntek tényleges fizikai határok Virtualizálás előtt Virtualizálás után 1:1 arány az egy szerveren belüli OS és alkalmazások között 1:Több arány az egy szerveren belüli OS és alkalmazások között Új rétegek menedzsmentje, védelme szükséges 16
A virtualizáció új kihívásai: Új veszélyforrások Menedzsment Sebezhetőségei VM-ek biztonságos tárolása és a menedzsment adatok Virtual sprawl Dinamikus VM állapotok & mozgatás VM-ek illetéktelen másolása, lopása A hardverben előfordulhatnak rejtett rootkitek Virtuális hálózatok & hardverek is célponttá váltak Osztott erőforrások Single point of failure Korlátozottan látjuk ezt a réteget, kisebb kontroll 17
A virtualizáció kihívásai: A hagyományos biztonsági eszközök használata nagyobb költséget és komplexebb menedzsmentet eredményez Hagyományos védelem hatásai virtuális környezetben Network IPS Biztonságosnak tűnhet... Csak a doboz határán lévő támodások és fenyegetettségek ellen véd...de nem eléggé biztonságos A VM-ek közötti adatforgalomra is gondolni kell Server Protection Minden fizikai szervert véd és egyetlen telepített kliens kell hozzá Minden VM-et egyesével védeni, menedzselni plussz, időt, költséget és teljesítményt igényel System Patching Szerverenkénti és hálózatonkénti patchelés Ha egyesével kell kezelni, az nehézkes és sok időbe telik Security Policies A Policy-k a kritikus alkalmazásokra specifikusak minden hálózati szegmensben és szerveren A policy-knak globálisabbnak kell lennie a környezet dinamizmusa miatt (Web, adatbázis, OS) 18
Az IBM válasza a Virtualizáció biztonságra: Virtual Server Security Virtualizáció védelem szintjei: Existing solutions certified for protection of virtual workloads Threat protection delivered in a virtual form-factor Integrated virtual environmentaware threat protection IBM Virtual Server Security for VMware 19
A három fő ok, amiért szükséges a virtualizációs környezetek megkülönböztetett védelme Igény Hogyan segít az IBM VSS for VMware Megfelelő válasz kell a virtualizáció új fenyegetettségeire Dinamikus védelem a virtuális infrastruktúra minden rétegéhez A sztenderdeknek, előírásoknak, policyknek való megfelelést fenn kell tartani A virtuális környezetek védeleme és a specifikus riportok elősegítik az előírásoknak való megfelelést Hatékonyság növelése, a virtualizáció előnyeinek korlátozása nélkül A virtualizált infrastruktúra jobb megtérülését segíti elő 20
IBM Virtual Server Security for VMware Integrált védelem VMware vsphere 4 virtualizációs környezethez Nagyobb biztonság, tartható audit megfelelés, és költséghatékony fenntartás IBM Virtual Server Security for VMware VMsafe API-val integrálódik Tűzfal és behatolás védelem Rootkit Detection/Prevention VM-ek közötti hálózati forgalom figyelése A mozgó (VMotion) VM-ekre is automatizált védelmet nyújt Virtuális hálózati szegmensek védelme Virtuális hálózat-szintű védelem Virtuális Infrastruktúra Auditálás (jogosultságfüggő) Virtuális hálózatok hozzáférés védelme új, még nem minősített VM-ek autom. karanténbe helyezése lehetséges 21
IBM Virtual Server Security for VMware tovább növeli a virtuális infrastruktúra megtérülési mutatóját Automatikus védelem a VM elindulása után 22 Automatikus feltérképezés Automatizált sebezhetőségi vizsgálat IBM Virtual Patch technológia védelme Beavatkozások nélküli védelem Szükségtelen a virtuális hálózat újrakonfigurálása Szükségtelen a VM-en belüli OS változtatása Stabil, egypontú védelem Több memória/ CPU teljesítmény marad a VM-eknek Kevesebb támadási pont OS független a VM-ek védelme!! Egyszerűen használatba vehető és fenntartható biztonság Kisebb terhelés esik a VM-ekre Több CPU teljesítmény / memória marad A kisebb overhed a redundáns processzálási feladatokat eltűnteti Fizikai szerverenként 1 SVM Security Virtual Machine 1 SVM védi az összes VM-et A CPU intenzív processzálás a VM-ekben nincs, az SVM-be konszolidáljuk Központosított menedzsment IBM Proventia Management SiteProtector
Kérdések?
Köszönjük a figyelmüket, várjuk Önöket legközelebb is! Addig is látogassanak el az IBM Magyarország Facebook oldalára: http://www.facebook.com/ibmmagyarorszag 24
25