Soluções de Segurança Marketing de Soluções de Virtualização Microsoft 2009.

Soluções de SegurançaMarketing de Soluções de Virtualização Microsoft

2009

Cenários deSoluçãoPlataforma Central

Cenários deSoluçãoPlataforma Central

Cenários deCapacidade dePlataforma Central

Cenários de Solução de Virtualização Microsoft

Aplicações Críticas

Infraestrutura de Escritório

Remoto

Empresas Pequenas e Médias (SMB)

Continuidade de Negócios

Consolidação de TI

Automação de Laboratório e Gerenciamento de Testes

SegurançaConectividade

Gerenciamento de Sistema Hospedagem/Computação

em Nuvem

Serviços de Rede

Estação de Trabalho Centralizada

3

Contêiner de VHD

Visão Geral de Solução de Segurança

O que é Virtualização de Segurança?Virtualização de segurança se refere aos seguintes mecanismos virtualizados:

Plataforma Segura

VM Offline

ComunicaçãoEntre VMs

Hipervisor Núcleo de Servidor

Soluções de Segurança Específicas de Sistemas Virtuais

Introspecção

Soluções de Segurança para Sistemas Físicos e Virtuais

Gerenciamento de SistemasAtualização/Configuração

Diretiva/Conformidade

Antivírus Online

Autenticação e Autorização

Segurança Centralizada de Estação de Trabalho

1. Componentes de plataforma do stack de virtualização (hipervisor, as partições raiz e filhas) são configuradosde maneira ideal e têm todos os mecanismos em vigor para proativamente detectar e atenuar ameaças de segurança

2. Gerenciamento de autenticação e autorização está em vigor junto com controle de acesso baseado em função3. Soluções de segurança, como antivírus e atualizações de patches estão em vigor em VMs online e offline para reduzir ameaças4. Mecanismos de segurança adicionais, como introspecção, estão disponíveis para análise e auditoria forense

5

Desafios de Segurança em VirtualizaçãoCenários em Virtualização

Economia de custo de capital e operacional

Flexibilidade e economia de custos

Agilidade na resposta do TI

Consolidação de Hardware de Servidor

Contração de Switches e Servidores em Um Dispositivo Desafio 2

Sem separação por padrão da administração e elevado risco de falhas de configuração

Desafio 1Maior impacto de ataques e maior área de superfície para ataque

Apps

OS

Apps

OS

Apps

OS

Desafio 3Falta de planejamento adequado e

conhecimento incompleto do estado atual da infraestrutura

Implantação Mais Rápida

6

Desafios de Segurança Associados

Desafios de Segurança em Virtualização

Cenários em Virtualização

Facilidade de continuidade de negócios e capacidade de impor restrições em sistemas

Níveis de serviço melhorados

Mobilidade

Desafio 5Identidade separada do local físico e

diretivas de segurança precisam mover-se com a máquina virtual

Encapsulamento

Apps

OS

Apps

OS

Apps

OS

Apps

OS

Apps

OS

Apps

OS

Apps

OS

Desafio 4Esforços adicionais para gerenciar

sistemas offline

7

Desafios de Segurança Associados

Estratégia de Atenuação de Riscos em Virtualização

Isolamento, não interferência entre VMs Proteger o Microsoft® Hyper-V™ e a partição

raiz

Desafio 1 Maior impacto de ataque Maior área de superfície para ataque

Usar ferramentas que proporcionem separação de deveres

Controles de alterações fortes e log e monitoramento monitoramento de eventos meticulosos

Gerenciamento de segurança centralizado – gerenciamento de atualizações e configuração, de diretivas e conformidade, varredura antivírus, etc.

8

Desafio de Segurança Solução

Usar ferramentas antivírus e de aplicação de patches que possam atualizar uma máquina offline

Desafio 2 Sem separação por padrão da administração e

elevado risco de falhas de configuração

Desafio 3 Falta de planejamento adequado Conhecimento inadequado do estado atual da

infraestrutura

Desafio 4 Esforços adicionais para gerenciar sistemas

offline

Desafio 5 Identidade separada do local físico Diretivas de segurança precisam mover-se

com a máquina virtual

Migrar diretivas de segurança junto com a máquina virtual

Soluções de segurança devem ser compatíveis com virtualização e devem funcionar após migração

Gerenciamento de Segurança da Virtualização Microsoft

Produtos e Tecnologias Microsoft

Soluções de Virtualização Microsoft Não apenas um produto, mas uma oferta completa

Hardware, Software e Serviços

de Parceiro Microsoft

10

Arquitetura e Recursos de

de Implantação de Referência Conjuntos

A Microsoft oferece uma abordagem totalmente integrada para segurança de virtualização: Protege ambientes físicos e virtuais com ROI otimizado Oferece um ecossistema de parceiros de soluções de segurança para cobertura abrangente

Estratégia e Ecossistema de Segurança de Virtualização Microsoft + Parceiro

Offline Virtual Machine Security Tool

McAfee, Symantec, Altor Networks

McAfee, Symantec

Plataforma Segura

VM Offline




Introspecção


Antivírus Online


Segurança Centralizada de Estação de

Trabalho

11



Plataforma Segura: Soluções Microsoft + Parceiro


Plataforma de computação segura em ambientes físicos e virtuais Arquitetura de última geração: Microsoft® Windows Server® 2008 Hyper-V™ projetado para

segurança

12

Desafio 1 Maior impacto do ataque Maior área de superfície de ataque

• IsolamentoNão interferência entre VMs com arquitetura de microkernel segura

• Defesa com Hyper-VRisco de ataque eliminado com arquitetura segura

Plataforma Segura

Soluções Microsoft + Parceiros para Desafios de Migração com Segurança

Plataforma Segura

Soluções de Segurança para

Sistema Físico/Virtual

Segurança Específica de Virtualização

Hipervisor: Microkernel vs Monolítico

Virtualização: Hypervisor + Drivers + Stack de Software Virtualizado + Interface de Gerenciamento

O Windows Server® 2008 Hyper-V™ usa o microkernel à medida que fornece benefícios de segurança adicionais:

13

Hipervisor de Microkernel

Hardware

Hipervisor

Virtualização Virtualização

DriversDriversDrivers DriversDriversDrivers DriversDriversDrivers

Memória e CP com apenas um particionamento

Aumenta a confiabilidade e minimiza a base de computação confiável

Sem código de terceiros Drivers executados dentro dos convidados

Hipervisor Monolítico

Abarca todos os componentes de virtualização, inclusive drivers

Executa todo o código na parte mais privilegiada do processador

Aplicação de patches mais provável devido ao código incluído

VM 1(Admin) VM 2 VM 3

Hardware

DriversDriversDrivers

VM 1(“Root”)

VM 2(“Guest”)

VM 3(“Guest”)

Hipervisor

Plataforma Segura




Plataforma Segura




Defesa Abrangente Contra Risco de Ataque

1

2

3

4

Principais Alvos de Ataque Soluções Seguras Microsoft® Hyper-V™1 Máquinas virtuais executadas na mesma caixa Isolamento forte entre partições 2 Hipervisor Separação de componentes por privilégio3 VSPs através do caminho de comunicação VSC-

VSPValidação e proteção contra solicitações não confiáveis

4 Processos de trabalho de VM Separação entre processos de trabalho de VM

O Hyper-V™ oferece arquitetura segura: Separação de componentes por

privilégio e processo Hipervisor de microkernel com área de

superfície muito pequena Núcleo de servidor – bloqueia a partição-

raiz e minimiza o tamanho Isolamento convidado a convidado

reduz riscos

malware

14

Plataforma Segura




Soluções de Segurança para Sistemas Físicos e VirtuaisSoluções Microsoft + Parceiro

Desafio 2Sem separação da administração por padrão e elevado risco de falha de configuração



Soluções Microsoft + Parceiro para Atenuar Desafios de Segurança

Desafio 3Falta de planejamento adequadoConhecimento incompleto do estado atual da infraestrutura

Atenuação de risco de acesso não autorizado e falhas de configuração Defesa em profundidade combinando recursos de segurança do Windows Server® 2008

com ferramentas de proteção

McAfeeSymantec

15

• Authenticação Único armazenamento de identidades para autenticar usuários

• Autorização Separação de deveres através de autorização baseada em função

• Contabilidade/AuditoriaRegistro de todas atividades administrativas

• Proteão à VM Proteção antivírus

• Atualização e Configuração, Diretivas e Conformidade



Antivírus Online

Plataforma Segura




Todas as soluções Microsoft para virtualização fornecem um único armazenamento de identidades para autenticar usuários com o Microsoft® Active Directory® em sistemas físicos e virtuais.

Virtualization

Hyper-V™

Hardware Apresentação Aplicação

Proteção de Acesso à Rede

Isolamento de Servidor e Domínio

Soluções de Segurança Forefront™lutions

System Center Virtual Machine Manager

Identity Lifecycle Manager 2007

Activ

e Di

rect

ory

Autenticação de Usuário Integrada

Active Directoryo Único armazenamento de identidades

para autenticar usuários o Suporte em sistemas físicos e virtuais

Microsoft® Identity Lifecycle Manager 2007

o Aprovisionamento fácil de usuários reduz altos custos e riscos associados com o aprovisionamento manual

o Sincronização de identidadeso Gerenciamento simplificado de novas

iniciativas de segurança

16

Serviços de

TerminalMicrosoft App. Virt.

Plataforma Segura




Aumente a segurança concedendo acesso baseado em função a sistemas físicos e virtuais

Melhore a administração através doActive Directory® e Hyper-V™

Elimine o risco de falhas de configuração Poupe tempo delegando autoridade sobre

máquinas virtuais sem que a administração tenha autoridade sobre todo o sistema

O Microsoft Authorization Manager faz parte do Windows Server e permite controle de acesso baseado em função para fornecer separação de deveres para ambientes virtualizados.

AutorizaçãoSeparação de deveres com o Microsoft Authorization Manager

17

Plataforma Segura




Soluções para Proteção à Máquina Virtual Online Soluções Microsoft + Parceiro

Soluções Microsoft + Parceiro

Antivírus Online

• Proteção antivírus para VMs online

• Bloqueia e remove vírus

Proteção Antispyware

• Proteção contra programas indesejados

• Programas são identificados e detidos antes que se instalem

Prevenção de Invasão do Host

• Prevenção de invasão de host para monitores de servidor

18

Produtos de Parceiros:

Serviço de Proteção Total

Proteção de Extremidade

Plataforma Segura




Segurança de defesa em profundidade para antivírus de VM online: Integração com aplicações e infraestrutura Microsoft para proteger ativos físicos/virtuais Produtos de segurança de linha de negócios para proteção de aplicações de clientes e servidores

• Proteção em tempo real contra vírus e spyware

• Simplifique a administração através de integração com o Active Directory® e outras infraestruturas Microsoft

• Relatórios em tempo real de ameaças e vulnerabilidade que afetam o ambiente

• Integração de vários mecanismos de varredura de vírus de firmas de segurança líderes da indústria

• Proteção específica de aplicações abrangente -- mensagem e colaboração

Soluções para Proteção de Máquina Virtual Online (continuação)

19

OS de Cliente e Servidor Aplicações de Servidor

Plataforma Segura




Mudanças de função do local Implantação do Microsoft® Windows® Distribuição de software Gerenciamento de atualização de software Gerenciamento de configuração desejada Inteligência de ativos Gerenciamento de dispositivos

Atualização/Configuração Base de controles de TI para ofertas de

plataforma Microsoft Suporte a estruturas de conformidade de TI:

o COBITo ISO 17799

Gerenciamento de Sistemas para Máquinas Virtuais Online


Reduza complexidades do monitoramento de mudanças de configuração e reduz os problemas associadas com o desvio de configuração.

20

Microsoft® Windows® Update Manager Pacotes Planejados de Conformidade de Desired Configuration Management (DCM)

GLBA, HIPPA, SOX, EUDPD, FISMA, OUTROS

Plataforma Segura




Soluções de Segurança para Sistemas VirtuaisSoluções Microsoft + Parceiro

• Gerenciamento de Patch de VM Offline Automatize o patch em VMs offline

• Solução de Proteção para VM Offline• Migração de Diretiva de Máquina Virtual -

TBD• Comunicação entre VMs/Introspecção

Soluções Microsoft + Parceiro para Atenuar Desafios de Segurança

VM Offline



IntrospecçãoSegurança

Centralizada de Estação de

Trabalho

Desafio 5• Identidade separada do local físico • Diretivas de segurança precisam mover-se

com a máquina virtual

Desafio 4• Esforços adicionais para gerenciar sistemas

offline

• Soluções para proteção offline de máquinas virtuais com atualizações e varreduras de segurança

• Visão, em toda a empresa, de ativos virtuais para planejamento e conformidade

McAfee, Symantec, Altor Networks

21

Plataforma Segura




A ferramenta Microsoft Offline Virtual Machine Servicing Tool é uma solução disponível gratuitamente:• Automatiza a atualização de patches em máquinas virtuais offline

• Integrada com o Microsoft® System Center Virtual Machine Manager (VMM) 2008 e Microsoft® Configuration Manager 2007

Offline VMServicing Tool

Rede de Manutenção

Configuration Manager 2007

ou WSUS

VMM 2008

Gerenciamento de Atualização de VM Offline

Automatize a Manutenção de VMs Inativas:

o Aplique patches de manutenção no OSo Aplique patches de manutenção em

Aplicações (futuro)o Configuração de adequação (true-up)

(futuro)

Integre com Produtos System Center:o Virtual Machine Manager 2008o Configuration Manager 2007o Windows Server Update Services

Biblioteca do VMM

22

Hosts de Manutenção

Plataforma Segura




Soluções de Proteção para VMs OfflineSoluções Microsoft + Parceiro

Soluções Microsoft + Parceiro

Antivírus para VMs Offline

• Proteção antivírus para VMs offline• Imagens offline não precisam ser

colocadas online para proteção

Proteção Antispyware para VMs Offline

• Proteção contra programas indesejados

• Programas são identificados e detidos antes que se instalem

Prevenção de Invasão do Host

para VMs Offline• Prevenção de invasão de host para

monitores de servidor

23

Produtos de Parceiros:

Total Protection Service

Endpoint Protection

Plataforma Segura




A Microsoft não dá suporte a comunicação entre VMs

o Ela é um risco potencial de ataque já que o hipervisor é extensivo

o Vulnerável a terceiros que compartilham a interface estendida

Comunicação entre VMs/Introspecção

Comunicação entre VMs

24

Baseada em varredura de instantâneos no formato de arquivo

Implantações de virtualização podem ser protegidas e melhoradas conforme recursos de introspecção emergem em plataformas de virtualização

A Microsoft oferece introspecção fornecendo a ISVs um formato de arquivo para o instantâneo de varredura do Hyper-V™

Introspecção

Opções adicionais de segurança de virtualização

Plataforma Segura




Microsoft VMWarePlataforma Segura

Arquitetura de hipervisor

Microkernel: superfície de ataque mínima

Bloqueio de raiz (WS08 Server Core)

SDL da arquitetura testada

Monolítico: Aumenta a superfície de ataque

Executa todos códigos – OS personalizado, drivers, código

extensível – na parte mais privilegiada do processador

Facilidade de atualização e

gerenciamento

Hipervisor de microkernel fácil de substituirUsa todas as ferramentas de gerenciamento e

drivers de dispositivo

Monolítico provavelmente requer aplicação de patches

Necessário aprender novas ferramentas. Usa somente drivers

que acompanham o hipervisor

Solução virtual abrangente

SimHardware, apresentação e aplicação

NãoSomente virtualização de hardware


Plataforma de identidade comum

SimActive Directory® para TI físico e virtual

NãoRequer armazenamento de

identidades separado

Soluções de infraestrutura

Forefront™, System Center, Identity Lifecycle Manager Somente gerenciamento

Habilita ecossistema de segurança prontamente?

SimSoma contexto de VHD a produtos antivírus

atuais Amplo ecossistema de segurança Windows

Sim, até certo pontoPrimeiro conjunto de APIs

(VMSAfe); requer mais ajustes de software antivírus

Soluções de Segurança Específicas para Virtual

Tecnologias complementares

NAP, Isolamento de Servidor e Domínio (WS08) Kit de Manutenção de VM Offline Comprou o Determina da HIPS

Comparação: Segurança de Virtualização

25

Cliente: Rijksmuseum AmsterdamTamanho da Empresa: Indústria: Educação – MuseusPaís: HolandaPerfil: O Rijksmuseum Amsterdam é um museu na Holanda. Fundado em 1800, a coleção do museu inclui obras de Rembrandt, Vermeer e outros mestres holandeses.

Benefícios:• Reforça a segurança• Melhora o gerenciamento e a flexibilidade• Permite crescimento

Evidência de Solução de Segurança de Virtualização

26

“Implementar o Windows Server® 2008 com Proteção de Acesso à Rede (NAP) aumentará minha paz de espírito. Ficarei mais confiante que somente clientes gerenciados terão acesso a recursos da rede corporativa.”

Paul van KootenGerente de RedeRijksmuseum Amsterdam

Próximos Passos para Melhorar os Negócios com Virtualização Microsoft

Microsoft® Windows Server ® 2008 Hyper-V™ o http://www.microsoft.com/windowsserver2008/en/us/hyperv.aspx

Microsoft® System Centero http://www.microsoft.com/systemcenter/en/us/default.aspx

Calculadora de ROIo https://roianalyst.alinean.com/msft/AutoLogin.do?d=307025591178580657

Ferramenta Microsoft Assessment and Planning (MAP)o http://technet.microsoft.com/en-us/library/bb977556.aspx

Soluções de Virtualização

Microsoft

Produto Recursos

Avaliação e Planejamento de

Virtualização

27

Soluções de Virtualização Microsofto http://www.microsoft.com/virtualization/solutions

Parceiros de Soluções de Virtualização Microsofto http://www.microsoft.com/virtualization/partners

Apêndice

Quando práticas recomendadas são seguidas, o Microsoft® Hyper-V™ proporciona segurança reforçada.

Prática Recomendada para Proteger o Windows Server® Hyper-V™ e Partição-Raiz

29

Permite NX e virtualização no BIOS Serviços de Rede

o Switches Virtuaiso VLANso NIC dedicado para partição-raiz

Conectividadeo BitLocker o Filtragem de CDB de armazenamento

Bloqueio de DispositivoConsiderações de ImplantaçãoAplicação de patches no hipervisor

o Windows UpdateMinimize o risco para a partição-raiz

o Utilize o Núcleo de Servidor Não execute aplicações arbitrárias, não

navegue a Web Execute suas aplicações e serviços em

convidadoso Use o Authorization Manager (AzMan)

para reduzir privilégio administrativoConecte-se à rede back-end de gerenciamento

o Exponha convidados apenas a tráfego de Internet

Plataforma Segura




Aprovisionamento fácil de usuários reduz altos custos e riscos associados com o aprovisionamento manual

Simplifique o gerenciamento de novas iniciativas de segurança

Reduza custos de assistência técnica para tarefas simples como redefinições de senha

O Microsoft® Identity Lifecycle Manager “2” pode ser executado no Hyper-V™ e permite a você gerenciar identidades em ambientes virtuais e físicos

O Identity Lifecycle Manager 2007 oferece uma visão única da identidade de um usuário em empresas heterogêneas e permite a automação de tarefas comuns.

Autenticação. Aprovisionamento Fácil de Usuários

30

Gerenciamento Completo do

Ciclo de Vida de Certificado e de

Cartão Inteligente

Active Directory

Sistemas Mainframe

Sistema de RHSistema de E-mail

Sincronização de Identidades

Plataforma Segura




Soluções de Segurança Marketing de Soluções de Virtualização Microsoft 2009.

Documents

Transcript of Soluções de Segurança Marketing de Soluções de Virtualização Microsoft 2009.