W wielu firmach zarządzanie regułami polityki bezpieczeństwa nadal odbywa się ręcznie. Działania związane z ochroną infrastruktury zajmują zbyt wiele czasu działom IT, przez co znacząco wpływają na opóźnienia w dostarczaniu biznesowi nowych aplikacji lub usług. W związku z tym istotne staje się zautomatyzowanie procesów oraz zmniejszenie prawdopodobieństwa popełnienia poważnych błędów.

Mikrosegmentacja ułatwia zarządzanie

Przez długi czas zaawansowana ochrona wewnątrz centrum danych wiązała się z ręcznym zarządzaniem dużą liczbą sieci VLAN, utrzymaniem skomplikowanej topologii i konfiguracji sieci. Metoda ta generowała duże koszty i komplikowała procesy zarządzania firmową infrastrukturą.

We współczesnych zwirtualizowanych środowiskach, w których do zarządzania ochroną wykorzystywane jest oprogramowanie, rolę strażnika na brzegu sieci może pełnić nadal rozwiązanie bramowe, chroniące w klasyczny sposób zasoby centrum przetwarzania danych. Pojawia się problem sfery wewnętrznej i ochrony maszyn wirtualnych znajdujących się w tym samym segmencie sieci. Nie można dopuścić do sytuacji, w której działy bezpieczeństwa były powiadomione o zaatakowaniu fragmentu sieci dopiero po fakcie.

Aleksander Łapiński

Security Engineer, Check Point

Przedsiębiorstwa podczas tworzenia polityki bezpieczeństwa bardzo często skupiają się na wzmacnianiu ochrony brzegowej, kładąc mniejszy nacisk na bezpośrednie zabezpieczanie danych. To zwiększa ryzyko, że w sytuacji gdy atakujący naruszy ochronę zewnętrzną centrum przetwarzania danych będzie mógł – praktycznie bez wywoływania zbyt wielu alarmów – w miarę swobodnie poruszać się między aplikacjami lub zakłócać ich działanie.

Odpowiedzią na to wyzwanie jest mikrosegmentacja. Umożliwia zgrupowanie zasobów, do których dobierane są odpowiednie reguły polityki bezpieczeństwa. Dzięki temu ruch jest kierowany do niezależnych od hypervisora zwirtualizowanych bram, znajdujących się w tym samym segmencie sieci, które dokonują inspekcji w celu zatrzymania ataku wewnątrz chronionej infrastruktury. Zatem jeżeli maszyna wirtualna lub serwer są elementem lub źródłem ataku, mogą zostać oznaczone jako niebezpieczne, przeniesione do kwarantanny przez „strażnika” w centrum danych, co powoduje ograniczenie zasięgu ataku do jednego segmentu, bez narażania innych elementów na niebezpieczeństwo. Informacja o zdarzeniu zostanie przekazana do centralnego serwera.

Bezpieczeństwo w wirtualnym środowisku

Firmy mogą zbudować platformę ochronną bazującą na rozwiązaniach Check Point. Zapewniają one analizę ruchu (wychodzącego i przychodzącego) między maszynami wirtualnymi pod kątem występujących zagrożeń – na brzegu sieci oraz w rdzeniu centrum przetwarzania danych. Oferowane przez producenta oprogramowanie umożliwia centralne zarządzanie ochroną środowiska wirtualnego (maszyn wirtualnych i aplikacji w VMware vSphere vApps) zarówno w chmurze prywatnej, jak i publicznej.

Na szczególną uwagę zasługuje rozwiązanie Check Point vSEC. Jest to zintegrowany system oferujący ochronę ruchu wewnątrz centrum danych zarządzanego przez oprogramowanie (Software-Defined Data Center), niezależny od platformy wirtualizacyjnej. Wykorzystane w nim mechanizmy mikrosegmentacji umożliwiają dodanie do wirtualnej infrastruktury takich elementów jak firewalle, logiczne przełączniki i routery w obrębie pojedynczego segmentu sieci, zmniejszając obszar ataku do pojedynczego obiektu. Zapewniają centralne zarządzanie przez połączenie platform wirtualizacyjnych lub chmurowych w jedną, logiczną i spójną całość.

Dodatkowe informacje:

Filip Demianiuk,

Channel Manager, Check Point Software

Technologies, filipd@checkpoint.com

 

Artykuł powstał we współpracy z firmami Check Point Software Technologies i RRC Poland.

Artykuł Check Point zapewnia ochronę wirtualnych środowisk pochodzi z serwisu CRN.