Giải pháp an ninh của VMWare Vshield

Một phần của tài liệu Nghiên cứu, thử nghiệm các giải pháp an toàn, an ninh điện toán đám mây (Trang 70)

3.2.1 Giới thiệu

3.2.1.1 Bảo vệ đám mây của bạn với Vshield

Hiện nay, nhiều tổ chức đang xem xét cách tiếp cận điện toán đám mây để gia tăng về sự nhanh nhạy và giảm chi phí hơn. Tuy nhiên, gần đây những khách hàng khảo sát về điện toán đám mây đều nhất trí việc xây dựng an ninh, kiểm soát và tuân thủ nhƣ là mối quan tâm hàng đầu về việc ngăn chặn sự tấn công. Do đó, các tổ chức đang tìm cách để giải quyết những các vấn đề để họ có thể tận dụng những lợi ích của điện toán đám mây mà không làm ảnh hƣởng đến cách họ quản lý an ninh, kiểm soát hoặc tuân thủ. VMware vShield ™ là một trong các giải pháp bảo mật cung cấp sự bảo vệ toàn diện cho trung tâm dữ liệu ảo và điện toán đám mây môi trƣờng. vShield cho phép các tổ chức tăng cƣờng ứng dụng và bảo mật dữ liệu bằng cách cung cấp sự bảo vệ chống lại xâm nhập mạng lƣới của virus và phần

mềm độc hại, nâng cao hiệu quả hoạt động của thiết bị đầu cuối, cải thiện khả năng hiển thị và kiểm soát các dữ liệu nhạy cảm, thúc đẩy tuân thủ trên toàn doanh nghiệp.

VMware đang cố gắng giải quyết những vấn đề về an ninh trong điện toán đám mây với VMware vShield, sản phẩm mới cho trung tâm dữ liệu ảo và môi trƣờng đám mây. Chỉ có VMware mới cho phép doanh nghiệp của bạn áp dụng một mô hình điện toán đám mây giải quyết những thách thức kinh doanh của bạn ,để bạn có thể cung cấp 1 mô hình điện toán đám mây quan trọng nhất của bạn -đám mây an toàn. Từ những hạn chế của vấn đề bảo mật, các giải pháp của vShield cung cấp sự bảo mật thích ứng với các máy ảo khi chúng di chuyển từ máy chủ này tới máy chủ khác để các doanh nghiệp có thể hỗ trợ máy ảo của họ một cách an toàn trong một môi trƣờng điện toán đám mây năng động. Cách tiếp cận này cũng giúp đảm bảo rằng các ứng dụng chạy 1 cách hiệu quả trong môi trƣờng đám mây trong khi vẫn đáp ứng sự tin cậy và phân đoạn mạng của ngƣời sử dụng với những dữ liệu nhạy cảm.

Nâng cao và đơn giản hóa quản lý an ninh: Thông qua một khuôn khổ toàn diện duy nhất, trung tâm dữ liệu ảo bảo đảm vShield và môi trƣờng điện toán đám mây ở tất cả các cấp độ máy chủ lƣu trữ, mạng lƣới, ứng dụng, dữ liệu và các thiết bị đầu cuối. Nó giúp đảm bảo rằng các phân đoạn thích hợp đƣợc thi hành cho tất cả các triển khai ứng dụng trên đám mây dựa trên VMware VShield, cùng với khả năng tự xem xét của nền tảng VMware vSphere , cung cấp một bộ đầy đủ các khả năng để bảo vệ máy chủ và máy ảo. Những tính năng này, cùng với các giải pháp đáng tin cậy từ các đối tác của VMware, có nghĩa là VMware đám mây dựa trên cung cấp bảo vệ mạnh nhất có thể cho các ứng dụng và dữ liệu.

Giảm thiểu sự phức tạp và loại bỏ "cơn bão" Anti-Virus: vShield giúp giảm thiểu sự phức tạp an ninh ảo hóa, cho phép các tổ chức củng cố các cơ sở hạ tầng an ninh của họ và loại bỏ sự mở rộng liên kết với các đại lý phần mềm, bảo mật chính sách, thiết bị an ninh chuyên dụng và các giải pháp khoảng cách không

các đại lý bằng cách loại bỏ sự cần thiết phải cài đặt phần mềm diệt virus trên các máy ảo riêng.

Bảo vệ các ứng dụng và đẩy mạnh sự tuân thủ trong cntt: vShield bảo vệ các ứng dụng trong các trung tâm dữ liệu ảo từ các cuộc tấn công dựa trên mạng. Tăng khả năng hiển thị và kiểm soát thông tin liên lạc trên mạng giữa các máy ảo. Chính sách thực thi nhanh nhạy, dựa trên cấu trúc hợp lý bao gồm ổ chứa VMware vCenter ™ và an ninh nhóm vShield, và không chỉ cấu trúc vật lý nhƣ địa chỉ IP. vShield quét cho cả những dữ liệu nhạy cảm, nhƣ số thẻ tín dụng, qua tài nguyên ảo hóa. Vi phạm chính sách đƣợc báo cáo, cho phép các tổ chức CNTT nhanh chóng đánh giá tình trạng tuân theo các quy định trên thế giới.

Giải pháp an ninh: vShield đƣợc thiết kế để làm việc liên tục với các doanh nghiệp hiện có các biện pháp an ninh IT thông qua State Transfer Representational (REST) các API cho phép tích hợp tùy chỉnh khả năng của vShield vào các giải pháp bảo mật của bên thứ ba. Ngoài ra, vShield bao gồm một API bảo mật thiết bị đầu cuối, cho phép tích hợp với các giải pháp chống virus hiện có và chống phần mềm độc hại, cũng nhƣ các giao diện vào các giải pháp an ninh lớn hơn cho an ninh thông tin và sự kiện quản lý, bảo vệ dữ liệu bị rò rỉ, thay đổi,quản lý và kiểm toán.

3.2.1.2 Cách sử dụng VMware vShield

• An toàn ứng dụng kinh doanh quan trọng

Giải pháp vShield làm cho khách hàng thấy dễ dàng trong việc hỗ trợ các ứng dụng thuộc mức độ tin tƣởng khác nhau trên cùng một trung tâm dữ liệu ảo (ví dụ, sản xuất và phát triển, những ứng dụng đã đƣợc phân loại và chƣa chƣa đƣợc phân loại, vv.) Tƣờng lửa cấp trong vShield đảm bảo đúng phân khúc và khu vực tin tƣởng thực thi cho tất cả các triển khai ứng dụng.

Bảo mật việc triển khai trên máy tính ảo

Thông qua hội nhập với VMware View ™, vShield cho phép eicient chống virus và chống phần mềm độc hại bảo vệ cho thiết bị đầu cuối ảo và ứng

dụng. Nó nhƣ vậy bằng oloading chống virus và chống phần mềm độc hại chức năng từ các máy ảo riêng ảo an toàn thiết bị bảo vệ máy chủ và tất cả các máy ảo trên đó. Điều này gần nhƣ viêc hợp lý hóa , sắp xếp quản lý an ninh và cung cấp thêm các phần mềm bảo vệ diệt virus "bão" bị nghẽn và bị tấn công bất ngờ. vShield cũng giúp các tổ chức tạo ra chu vi an ninh hợp lý xung quanh máy tính để bàn ảo ,các cơ sở hạ tầng thông qua mạng lƣới hoàn chỉnh cô lập và một loạt các dịch vụ cổng mạng, chẳng hạn nhƣ tƣờng lửa, mạng ảo riêng (VPN) và giao thức máy chủ năng động (DHCP).

• Giảm rủi ro với việc không tuân thủ với dữ liệu không thể phục hồi nhạy cảm

Tổ chức có thể sử dụng vShield App với bảo mật dữ liệu chính xác phát hiện và báo cáo các dữ liệu nhạy cảm trong phai phi cấu trúc. Với nhiều hơn 80 mẫu Giảm rủi ro không tuân thủ với nhạy cảm dữ liệu Discovery

Tổ chức có thể sử dụng vShield App với bảo mật dữ liệu chính xác phát hiện và báo cáo các dữ liệu nhạy cảm trong phai phi cấu trúc. với nhiều hơn 80 mẫu đƣợc cài sẵn cho ngành công nghiệp quốc gia và những quy định đặc biệt, nó nhanh chóng nhận dạng và báo cáo dữ liệu nhạy cảm tiếp xúc. Ngoài ra, nó cải thiện hiệu suất bằng cách tải các dữ liệu khám phá các chức năng cho một thiết bị ảo.

• Môi trƣờng đa phƣơng tiện an toàn

Giải pháp vShield làm cho các doanh nghiệp và nhà cung cấp dịch vụ đám mây thấy dễ dàng trong việc hỗ trợ các môi trƣờng CNTT cho nhiều ngƣời thuê và chia sẻ một cách an toàn tài nguyên mạng bằng cách tạo ra các khu vực an ninh hợp lý cung cấp hoàn thành cô lập mạng cho trung tâm dữ liệu ảo. vShield cũng cung cấp sự kiểm soát và khả năng hiển thị qua cổng mạng, cùng với các dịch vụ VPN để bảo vệ tính bảo mật và toàn vẹn của thông tin liên lạc giữa trung tâm dữ liệu ảo.

3.2.1.3 Giải pháp vShield

Khung vShield

VShield khung là một giải pháp bảo vệ các cổng mạng của trung tâm dữ liệu ảo với DHCP, dịch địa chỉ mạng (NAT), bảo vệ bằng tƣờng lửa, cân bằng tải, VPN, cảng nhóm cô lập và khả năng khác là các tổ chức giúp đỡ để duy trì phân khúc thích hợp giữa các đơn vị tổ chức khác nữa .

• vShield App với bảo mật dữ liệu

Phần mềm vShield với việc bảo mật dữ liệu bảo vệ các ứng dụng và dữ liệu trong trung tâm dữ liệu ảo từ các mối đe dọa dựa trên mạng. nó cung cấp cho tổ chức khả năng tạo và quản lý liên quan đến kinh doanh chính sách thích ứng với môi trƣờng đám mây năng động. Nó cũng cung cấp 1 tầm nhìn sâu vào mạng lƣới giao thông giữa máy ảo và thực thi dạng hạt thông qua an ninh nhóm. Không những phát hiện ra đƣợc các mã hóa các dữ liệu nhạy cảm, nhƣ số thẻ tín dụng, mà có thể đƣợc lƣu trữ trong file thƣờng trú tại ổ chứa máy ảo. Quản trị viên có thể đáp ứng quy định tuân thủ kiểm toán bằng cách sử dụng nó để quét các trung tâm dữ liệu, các cụm tài nguyên cho sự hiện diện của các dữ liệu nhạy cảm. Quản trị viên có thể sử dụng các API REST của file kiểm dịch bị tấn công.

• Điểm nút cuối vShield

Điểm nút cuối vShield tăng cƣờng an ninh cho các máy ảo trong khi nâng cao hiệu quả để bảo vệ thiết bị đầu cuối theo quy định của độ lớn. vShield Endpoint tải phần mềm diệt virus và chống phần mềm độc hại để một thiết bị chuyên dụng ảo an toàn cung cấp bởi các đối tác của VMware. Giải pháp này đƣợc thiết kế để thúc đẩy đầu tƣ hiện có của tổ chức cho phép để quản lý các chính sách chống virus và chống phần mềm độc hại cho ảo hóa môi trƣờng cùng với các giao diện quản lý rằng họ sử dụng để đảm bảo môi trƣờng lý học .

• vShield Bundle

VShield Bundle bao gồm các sản phẩm sau trong bộ vShield: vShield Edge, vShield App với bảo mật dữ liệu, vShield điểm cuối và vShield Manager.

• vShield Manager

Bao gồm tất cả các sản phẩm vShield, vShield Manager cung cấp một trung tâm kiểm soát để quản lý, triển khai, báo cáo,khai thác gỗ và tích hợp các dịch vụ bảo mật của bên thứ ba. Làm việc trong khi kết hợp với vCenter Server, vShield Manager cho phép vai trò kiểm soát truy cập dựa trên và tách các nhiệm vụ nhƣ là một phần của một khuôn khổ cho quản lý bảo mật ảo hóa.

• vShield Zones

VShield Zones, bao gồm vSphere, cung cấp khả năng bảo vệ cơ bản từ các mối đe dọa trên mạng từ các trung tâm dữ liệu ảo. nó cung cấp ứng dụng bảo vệ tƣờng lửa và quản lý chính sách dựa trên khu quản trị, bằng cách sử dụng thông tin công cộng cơ bản là địa chỉ IP nguồn,đích và nhƣ vậy.

3.2.2 Vshield Edge

VMware vShield ™ Edge, một phần thuộc họ VMware vShield – là sản phẩm ảo hóa bảo mật, cung cấp an ninh mạng toàn diện cho trung tâm dữ liệu ảo. VShield Edge tích hợp hoàn toàn với VMware vSphere và bao gồm các dịch vụ cổng mạng cần thiết mà các tổ chức có thể sử dụng một cách nhanh chóng và quy mô an toàn với các cơ sở hạ tầng điện toán đám mây của họ.

Những lợi ích chính

- Giảm chi phí và độ phức tạp bằng cách loại bỏ nhiều thiết bị chuyên dùng và trích lập dự phòng bằng cách nhanh chóng các dịch vụ cổng mạng.

- Đảm bảo thực thi cơ chế với bảo mật mạng edge và các dịch vụ an ninh mạng.

- Tăng khả năng mở rộng và hiệu suất với một edge trên một tổ chức hoặc ngƣời thuê.

- Tuân thủ đơn giản hóa IT các file log chi tiết.

- Hợp lý hóa quản lý bằng cách sử dụng một giao diện đầy đủ tính năng tích hợp với VMware vCenter Server ™ và giải pháp bảo mật doanh nghiệp hàng

Hình 3.4: Lƣu lƣơng bảo mật vShield Edge giữa trung tâm dữ liệu ảo với bảo mật trong phạm vi xây dựng

3.2.2.1 VShield Edge là gì?

VShield Edge là một giải pháp bảo mật mạng edge cho trung tâm dữ liệu ảo. Nó cung cấp khả năng bảo mật cần thiết nhƣ dịch vụ cổng an ninh mạng và cân bằng tải Web cho hiệu suất và khả năng sẵn sàng. Giải pháp cắm trực tiếp vào vSphere và thúc đẩy xây dựng trong các tính năng nhƣ khả năng chịu lỗi và sẵn sàng cao cho khả năng tự hồi phục

Quản trị viên có thể quản lý tập trung vShield Edge thông qua giao diện điều khiển quản lý bao gồm vShield, tích hợp hoàn toàn với vCenter Server để tạo điều kiện thống nhất việc quản lý an ninh cho trung tâm dữ liệu ảo. vShield Edge cũng làm việc với VMware vCloud™ Director tự động hóa và đẩy nhanh việc cung cấp an toàn của các trung tâm dữ liệu ảo trong cơ sở hạ tầng điện toán đám mây nhiều ngƣời dùng.

3.2.2.2 VShield Edge làm việc nhƣ thế nào?

Đƣợc triển khai nhƣ là một thiết bị ảo, vShield Edge cung cấp tƣờng lửa, VPN, cân bằng tải Web, dịch địa chỉ mạng (NAT) và các dịch vụ DHCP để theo dõi

các tiêu đề gói tin cho các địa chỉ IP nguồn và đích. Tùy theo cơ chế, nó có thể từ chối hoặc cho phép kết nối, bắt đầu và chấm dứt các phiên VPN, thực hiện dịch địa chỉ mạng, hoặc kiểm tra dữ liệu theo nguồn hoặc cổng đích và loại giao thức (TCP hoặc UDP).

3.2.2.3 VShield Edge đƣợc dùng nhƣ thế nào?

- Củng cố phần cứng bảo mật Edge- vShield Edge cung cấp cho phép khách hàng dịch vụ an ninh Edge bằng cách sử dụng các tài nguyên vShere có sẵn, loại bỏ nhu cầu cho phần cứng bảo mật Edge để "air-gap"với máy chủ vSphere.

- Cung cấp nhanh chóng và an toàn phạm vi trung tâm dữ liệu ảo - vShield Edge cho phép các tổ chức dễ dàng tạo sự an toàn, hợp lý, phần cứng phạm vi độc lập ("Edge") xung quanh các môi trƣờng trung tâm dữ liệu ảo,dễ dàng hơn để tận dụng tài nguyên mạng đƣợc chia sẻ với nhiều thuê bao cấu trúc IT

- Mạng chia sẻ thông qua bảo mật dữ liệu - vShield Edge cung cấp VPN site-to-site với mã hóa 256-bit để bảo vệ bí mật của tất cả các dữ liệu đƣợc truyền qua phạm vi trung tâm dữ liệu ảo.

- Đảm bảo hiệu suất và tính sẵn sàng của các dịch vụ Web - vShield Edge quản lý hiệu quả lƣu lƣợng truy cập Web gửi đến qua các cụm máy ảo bao gồm khả năng cân bằng tải Web mà khách hàng có thể đƣợc triển khai với an ninh Edge, hoặc riêng rẽ.

- Hỗ trợ quản lý phù hợp - vShield Edge cung cấp các điều khiển cần thiết, chẳng hạn nhƣ đăng nhập chi tiết sự kiện và số liệu thống kê lƣu lƣợng, doanh nghiệp cần phải chứng minh sự tuân thủ với các cơ chế của công ty, các ngành công nghiệp và chính phủ quy định.

3.2.2.4 Các tính năng chính a. Firewall

-Tƣờng lửa kiểm soát trạng thái, trong và ngoài kiểm soát kết nối các quy tắc dựa trên các thông số sau đây:

- Địa chỉ IP nguồn / địa chỉ IP đích - Port - nguồn / đích đến cảng - Giao thức- loại (TCP hoặc UDP)

b. Dịch địa chỉ mạng

- Dịch địa chỉ IP và từ các môi trƣờng ảo hóa

- Che các IP của trung tâm dữ liệu ảo ở khu vực không đáng tin cậy.

c. Giao thức cấu hình Host động

- Địa chỉ IP tự động tạo dự phòng cho các máy ảo trong môi trƣờng vSphere

- Quản trị viên xác định các thông số (ví dụ nhƣ địa chỉ pool, thời gian, địa chỉ IP chuyên dụng)

d. VPN Site-to-Site

- Bảo mật thông tin liên lạc giữa các trung tâm dữ liệu ảo (hoặc thiết bị bảo mật ảo Edge)

- VPN IPsec với sự hỗ trợ để xác thực chứng nhận, cũng nhƣ khóa chia sẻ, dựa trên giao thức Internet Key Exchange (IKE)

e. Web Load Balancing

- Cân bằng tải trong cho tất cả lƣu lƣợng truy cập bao gồm cả lƣu lƣợng

Một phần của tài liệu Nghiên cứu, thử nghiệm các giải pháp an toàn, an ninh điện toán đám mây (Trang 70)

(104 trang)