Check Point vSEC сетевая защита облачной и виртуальной инфраструктуры VMware NSX, vCloud Air, OpenStack, Amazon Web Services, Microsoft Azure

Обзор продуктов линейки Check Point vSEC

Обзор продуктов линейки Check Point vSEC

Сетевая защита виртуальных и облачных серверов требует особого подхода, и классические средства малоприменимы в данной области. Компания Check Point предлагает специальную линейку продуктов Check Point vSEC, предназначенных для сетевой защиты облачных и виртуальных инфраструктур.

 

 

 

 

 

1. Введение

2. Линейка продуктов

2.1. vSEC for VMware NSX

2.2. vSEC for VMware vCloud Air

2.3. vSEC for OpenStack

2.4. vSEC for Amazon Web Services

2.5. vSEC for Microsoft Azure

2.6. vSEC Virtual Edition

3. Выводы

 

 

Введение

Отрасль информационной безопасности постоянно трансформируется вслед за изменениями в области информационных технологий: меняются угрозы и методы проникновения, появляются новые техники атак, и вслед за этим также меняются подходы к защите — появляются всё новые средства. Широкое распространение виртуализации и облачных технологий потребовало также пересмотреть подход к защите. Классические методы не обеспечивают контроль новых каналов атак, не учитывают особенности функционирования и вносят трудности при выполнении бизнес-задач пользователей. Встроенных механизмов защиты в средах виртуализации зачастую недостаточно для реализации комплексной политики безопасности, поэтому игроки рынка средств защиты предлагают дополнительные, интегрируемые продукты, повышающие общий уровень защищенности гипервизоров и систем управления.

Основные проблемы в защите виртуализации и облаков — обеспечение безопасности среды виртуализации, гипервизора и сетевая защита потоков данных. Виртуальные машины предоставляют пользователям возможность быстро изменять конфигурацию инфраструктуры — добавлять новые рабочие станции, отключать и переносить существующие, выполнять работу с резервными копиями и снапшотами. Классические межсетевые экраны, UTM-устройства и NGFW-комплексы не могут обеспечить требуемую гибкость при защите виртуальной инфраструктуры. Кроме того, привычные устройства защиты никак не контролируют трафик внутри виртуальных коммутаторов, что ставит под угрозу всю инфраструктуру.

Облачные технологии требуют еще больших изменений в подходах к обеспечению информационной безопасности. При использовании публичных или гибридных облаков полностью теряется периметр инфраструктуры, пропадает возможность размещать аппаратные устройства для защиты сетевого трафика, что приводит к невозможности обеспечить адекватные защитные меры без специализированных средств защиты.

Компания Check Point, известный разработчик аппаратных и программных средств сетевой защиты, одна из первых обратила свое внимание на проблемы защиты виртуальных инфраструктур и облаков, выпустив линейку продуктов с общим названием Check Point vSEC.

 

Линейка продуктов Check Point vSEC

Продукты Check Point vSEC объединяет основное назначение — обеспечение защиты виртуализированных инфраструктур и инфраструктур, построенных на использовании облачных технологий. Большинство продуктов серии vSEC выполняют одинаковую задачу — предоставляют возможность использования технологии программных блейдов в виртуальных и облачных инфраструктурах. Программные блейды Check Point— это программные модули защиты, которые активируются в функционале аппаратных устройств Check Point и продуктов линейки vSEC. Общее описание программных блейдов в целом и подробные обзоры отдельных модулей мы размещали на нашем сайте ранее.

Также в линейке vSEC есть два продукта, заметно отличающихся от остальных и не связанных с программными блейдами — vSEC for VMware NSXи vSEC for VMware vCloudAir. Эти два продукта выполняют специфичные функции защиты, используя различные интерфейсы программного расширения (API), разработанные компанией VMware для сторонних производителей средств защиты.

vSEC for VMware NSX

VMware NSX — платформа виртуализации сетей, функционирующих в виртуальных инфраструктурах под управлением продуктов VMware (ESX, vCloud, vSphere). В рамках данной платформы реализуются виртуальные коммутаторы, маршрутизаторы и другое сетевое оборудование. VMware NSX поддерживает расширение своей функциональности с помощью сторонних подключаемых программных продуктов, выполняющих функции по фильтрации и защите сетевого трафика. Check Pointv SEC for VMware NSX является одним из таких модулей и реализует многоуровневую защиту сетевого трафика виртуальных машин на уровне гипервизора.

Check Point vSEC for VMware NSX объединяет в себе возможности сетевого фильтра и средства обнаружения сетевых атак. vSEC позволяет выполнять сегментацию виртуальных машин в микро-сегменты без использования классических технологий VLAN, ACLи других. Также в продукт входит антивирусный модуль, отслеживающий вирусную активность на виртуальных машинах. В случае обнаружения заражения Check Point vSEC for VMware NSX автоматически изолирует скомпрометированный компьютер.

 

Рисунок 1. Условная схема взаимодействия Check Point vSEC for VMware NSX с инфраструктурой VMware

Условная схема взаимодействия Check Point vSEC for VMware NSX с инфраструктурой VMware 

 

Развертывание системы осуществляется на ESX-серверах с помощью встроенных функций VMware. Управление Check Point vSEC for VMware NSX тесно интегрировано с платформой VMware NSX. Общие политики безопасности могут быть связаны с группами безопасности NSXи объектами из VMware vCenter. Полная интеграция в экосистему NSXпозволяет минимизировать риски случайного отключения защиты и выхода виртуальных машин за пределы контролируемых сетей. Так, например, при миграции виртуальной машины между гипервизорами политики vSEC мигрируют вместе с компьютером.

vSEC for VMware vCloudAir

VMware vCloudAir— технология для объединения вычислительных мощностей дата-центров, позволяющая реализовать гибридные облачные инфраструктуры, в которых одновременно используется аппаратное обеспечение, размещенное на площадке заказчика и в облачном дата-центре. Гибридные облака предоставляют возможность гибко изменять доступные мощности за счет использования публичных облачных дата-центров, но значительно снижают уровень защищенности по сравнению с частным облаком. Отслеживать потоки информации и перемещение виртуальных машин в гибридном облаке — очень сложная задача, упростить которую может следующий продукт в линейке vSEC Check Point vSEC for VMware vCloudAir.

vSEC for VMware vCloudAir предоставляет возможности защиты от сетевых угроз и безопасной передачи трафика между частным и публичным облаком. В состав продукта входят криптографические модули IPSec VPN и SSL, шифрующие трафик между пользователями, в том числе мобильными, и гибридным облаком. Так же, как и в vSEC for VMware NSX, в vSEC for VMware vCloud Air входит антивирусный модуль, позволяющий обнаружить вирусные атаки и предотвратить их распространение по виртуальным машинам.

 

Рисунок 2. Схема контроля миграции виртуальных машин в гибридном облаке с помощью Check Point vSEC for VMware vCloud Air

 Схема контроля миграции виртуальных машин в гибридном облаке с помощью Check Point vSEC for VMware vCloud Air

 

Установка vSEC for VMware vCloudAir производится из магазина VMware vCloudAir Marketplace, через который осуществляется реализация и развертывание различных продуктов, функционирующих на данной платформе. Управление продуктом осуществляется из единой консоли Check Point Smart Console, используемой для работы с большинством продуктов компании. Передача событий безопасности совместима с программным блейдом Next-Generation SmartEvent, что позволяет объединить аудит с другими продуктами Check Point, проводить корреляцию и строить совместные отчеты из единого интерфейса Check Point Smart Event.

vSEC Virtual Edition

Check Point vSEC Virtual Edition — универсальная платформа для запуска программных блейдов в виртуальной инфраструктуре. vSEC Virtual Edition фактически является виртуальным устройством, аналогичным классическим решениям линейки NGFW, в который могут быть установлены любые программные блейды Check Point. В отличие от аппаратных решений, vSEC Virtual Edition может гибко масштабироваться по количеству одновременно работающих блейдов; их число зависит от выделенной мощности для виртуального компьютера, на котором развертывается vSEC. Ниже приведена таблица с ориентировочной мощностью платформы на разных аппаратных конфигурациях. В строке примерного соответствия устройству указан номер модели из линейки Check Point NGFW с похожими параметрами по производительности.

 

Таблица 1. Ориентировочная мощность платформы vSEC Virtual Edition на разных аппаратных конфигурациях

Количество виртуальных ядер (аналогичных ядру процессора Intel E5-2637 v3)

2 4 6

Примерное соответствие устройству

Check Point 4400 Check Point 4800 Check Point 12200

Пропускная способность сетевого фильтра

2700 Мбит/c 4900Мбит/c 5100Мбит/c

Пропускная способность сетевого фильтра и системы предотвращения вторжений

860 Мбит/c 1700Мбит/c 2630Мбит/c

Пропускная способность сетевого фильтра, системы предотвращения вторжений и контроля приложений

820Мбит/c 1300Мбит/c 1900Мбит/c

Пропускная способность сетевого фильтра, системы предотвращения вторжений и антивируса

690Мбит/c 940Мбит/c 1670Мбит/c

Максимальное число одновременных подключений

5.4 млн (12 Гб RAM )1.1 млн ( 2 Гб RAM )

 

Check Point vSEC Virtual Edition разворачивается в виртуальной инфраструктуре как обычная виртуальная машина. Поддерживается работа под управлением систем виртуализации VMware vSphere версий 5, 5.1, 5.5 и 6, Microsoft Hyper-под управлением операционной системы Windows Server 2012 R2 и KVM под управлением дистрибутивов Linux CentOS 7 и RHEL 7. Минимальные аппаратные требования — 2 виртуальных ядра, 2 Гб оперативной памяти и 32 Гб доступного места на жестком диске.

Управление и мониторинг Check Point vSEC Virtual Edition, как и обычных устройств NGFW, осуществляется из общих интерфейсов Check Point Smart Console и SmartEvent. Все программные блейды, развернутые в vSEC, управляются через общие политики безопасности. Установка программных блейдов в vSEC Virtual Edition также осуществляется централизованно.

vSEC for OpenStack

OpenStack— открытая программная платформа для построения частных и публичных облачных инфраструктур. Open Stack реализует различные функции для создания облаков, при этом виртуальные машины могут функционировать под управлением гипервизоров VMware ESX, Microsoft Hyper-V, KVM и CitrixXen. Компания Check Point является одной из организаций, поддерживающих сообщество разработчиков OpenStack.

Check Point vSEC for OpenStack, так же как и vSEC Virtual Edition, является платформой для установки программных блейдов. Особенность vSEC for OpenStack заключается в поддержке данной платформы и наличии инструментов для автоматизации управления безопасностью и внедрением продукта, которые интегрируются в различные решения, разработанные для управления OpenStack.

vSEC for Amazon WebServices

Amazon Web Services (AWS) — публичное облако от компании Amazon, предлагающее свои услуги по модели IaaSи PaaS. vSEC for Amazon Web Services внедряется в облачную платформу Amazon Virtual Private Cloud, с помощью которой заказчики получают в свое распоряжение виртуальное частное облако — изолированную инфраструктуру, физически размещенную в облаке Amazon. vSEC for AWS предоставляет платформу для программных блейдов, с помощью которой можно обеспечить требуемые защитные механизмы в виртуальном частном облаке и защитить виртуальные машины и сетевой трафик.

Доступ к vSEC for AWS осуществляется из магазина AWS Marketplace, в котором объединены функции по развертыванию и лицензированию решения. Лицензирование осуществляется по модели PAYG— оплата по времени использования с лицевого счета в Amazon, либо BYOL— использование существующих лицензий на продукт, купленных через дистрибьюторов Check Point.

 

Рисунок 3. Сохранение политик безопасности при миграции виртуальной машины из частного облака в Amazon Web Servicesс помощью Check Point vSEC

Сохранение политик безопасности при миграции виртуальной машины из частного облака в AmazonWebServicesс помощью Check Point vSEC 

 

При использовании гибридных облачных инфраструктур vSEC поддерживает отслеживание процессов миграции виртуальных машин между облаками и обеспечивает сохранение политик безопасности, при условии, что продукт установлен и в частном, и в публичном облаке.

vSEC for Microsoft Azure

Microsoft Azure — облачная платформа от Microsoft, так же как и AWS работающая по моделям IaaSи PaaS. vSEC for Microsoft Azure полностью аналогично решению vSEC for AWS применительно к платформе от Microsoft. Установка и лицензирование производится через магазин Azure Marketplace, поддерживается быстрое развертывание платформы в один клик.

 

Рисунок 4. Сохранение политик безопасности при миграции виртуальной машины из частного облака в Microsoft Azureс помощью Check Point vSEC

Сохранение политик безопасности при миграции виртуальной машины из частного облака в MicrosoftAzureс помощью Check Point vSEC 

 

Производительно vSEC для публичных облаков в целом аналогична производительности vSEC Virtual Edition и также гибко масштабируется с помощью выделяемых виртуальных аппаратным ресурсов. В таблице ниже приведены значения производительности vSEC for Microsoft Azure.

 

Таблица 2. Производительность платформы vSEC for Microsoft Azure

Тип виртуальной машины для vSEC D2_v2 (2 ядра) D3_v2 (4 ядра) D4_v2 (8 ядер) D5_v2 (16 ядер)
Пропускная способность сетевого фильтра и системы предотвращения вторжений 500 Мбит/с 1.0 Гбит/с 1.5 Гбит/с 2.0 Гбит/с
Пропускная способность сетевого фильтра, системы предотвращения вторжений и антивируса 300 Мбит/с 500 Мбит/с 750 Мбит/с 880 Мбит/с
Блейд Next Generation Firewall 350 Мбит/с 550 Мбит/с 850 Мбит/с 1.0 Гбит/с
Блейд Next Generation Threat Prevention 200 Мбит/с 400 Мбит/с 650 Мбит/с 715 Мбит/с

 

Выводы

Линейка vSEC от компании Check Point позволяет гибко и комплексно обеспечить защиту любых виртуальных и облачных инфраструктур. Набор продуктов vSEC обеспечивает поддержку всех популярных на рынке облачных и виртуальных технологий, что позволяет найти решение для защиты любой инфраструктуры. Дополнительным плюсом поддержки различных технологий и продуктов является возможность реализовать защищенные гибридные облака, в которых используются разные технологии и среды виртуализации. Наличие модулей для публичных частных облачных сервисов позволяет не беспокоиться о безопасности при размещении конфиденциальной информации на сторонних дата-центрах.

Технология программных блейдов Check Point в виртуальном исполнении позволяет быстро развернуть и настроить необходимые защитные механизмы. Поддержка всего разнообразия программных блейдов помогает решить множество задач — от реализации правил сетевой фильтрации и антивирусной защиты до шифрования удаленного доступа, контроля бизнес-приложений и доступа к веб-сайтам. При этом программные блейды в vSEC аналогичны тем, что используются в аппаратных NGFW-устройствах Check Point, что позволяет выстраивать общий контур управления, мониторинга и единых политик безопасности для физической, виртуальной и облачной инфраструктуры.

Мониторинг и работа с событиями безопасности в Check Pointv SEC проводятся из единой точки за счет поддержки платформы SmartEvent. Так как данная платформа является общей для всех продуктов Check Point, это дает возможность проводить корреляцию между различными типами событий и выявлять аномалии и сложные атаки, направленные на разные элементы инфраструктуры.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.

RSS: Новые статьи на Anti-Malware.ru