Guardicore Россия Казахстан Беларусь

Обзор платформы Guardicore Centra для защиты ЦОДов и облаков

Представляем израильскую компанию Guardicore — нового вендора в портфеле Тайгер Оптикс. Guardicore разрабатывает систему Guardicore Centra, предназначенную для визуализации, микросегментации и защиты современных ЦОДов, гибридных облачных сред и контейнеров.

В этой статье мы рассмотрим проблематику защиты ЦОДов, контейнеров и облаков, и то, как Guardicore Centra позволяет решать эту задачу. Система доступна для тестирования и продажи через авторизованных партнеров Тайгер Оптикс.

Проблематика защиты ЦОДов, гибридных облаков и контейнеров

Инфраструктура современных организаций быстро меняется. Компании переходят от традиционной модели монолитного ЦОДа к облачной или гибридной архитектуре, сочетающей в себе множество платформ, сервисов и моделей развертывания приложений. Эта трансформация помогает повысить гибкость бизнеса и снизить затраты на ИТ, но также создает новую архитектуру, более сложную для защиты и более удобную для осуществления кибератак.

Злоумышленники в ответ на изменения архитектуры ЦОД модифицируют свое поведение и уделяют все больше внимания латеральному движению (east-west) между ресурсами внутри ЦОДов. Эти изменения делают традиционную концепцию сетевого периметра все менее актуальной, потому что каждый отдельный сервер может стать как потенциальной точкой запуска атаки, так и одной из целей на пути злоумышленника.

Платформа безопасности Guardicore Centra Security Platform — это комплексное решение для защиты центров обработки данных и облачных платформ, которое позволяет снижать поверхность атаки организации за счет простой и интуитивной реализации принципов микросегментации и нулевого доверия (Zero Trust). Кроме того, Guardicore Centra также позволяет выявлять, расследовать и реагировать на инциденты безопасности в периметре ЦОДа. 

Guardicore Centra обеспечивает глубокое понимание зависимостей и потоков трафика между приложениями, позволяет описывать политики безопасности на уровне процесса и пользователя, что позволяет изолировать и сегментировать критически важные приложения и инфраструктуру.

Как работает Guardicore Centra

Guardicore Centra собирает подробную информацию об ИТ-инфраструктуре организации с помощью комбинации агентов, сетевых сенсоров и анализа журнальных файлов облачных провайдеров. Затем эта информация обогащается контекстом за счет автоматизированного процесса тегирования, который включает интеграцию с существующими источниками данных, например, системами оркестрации и базами данных управления конфигурациями (CMDB).

  • Виртуальные машины. Агенты Guardicore, работающие на виртуальных машинах, могут быть объединены с дополнительными сборщиками данных уровня гипервизора для сбора подробной информации о виртуализированных средах. Эта информация используется для создания детальных политик безопасности, которые применяются агентами Guardicore.
  • Облака. Агенты Guardicore работают в облачных инстансах, обеспечивая детальный мониторинг и контроль на основе политик. Guardicore предоставляет простой и унифицированный подход для визуализации и защиты приложений в гибридных облачных и мультиоблачных средах, включая поддержку широкого спектра операционных систем.
  • Физические машины. Агенты Guardicore совместимы с широким спектром операционных систем, от последних версий Linux и Windows до устаревших и снятых с поддержки операционных систем, в том числе AIX и HP-UX. Это позволяет легко визуализировать и защищать такие серверы как отдельно, так и вместе с другими моделями развертывания приложений.
  • Контейнеры. Агенты Guardicore, работающие на нодах, обеспечивают видимость всего кластера контейнеров, включая потоки данных между подами и между подом и виртуальной машиной. Политики безопасности могут быть интегрированы с процессами DevOps и единообразно применяться в контейнерах и других моделях развертывания приложений.

Результатом является динамическая визуальная карта всей ИТ-инфраструктуры ЦОДов и гибридных облаков организации, которая позволяет специалистам по информационной безопасности просматривать активности в этих средах вплоть до уровня отдельного процесса как в режиме реального времени, так и в исторической перспективе. Полученные подробные сведения о поведении приложений можно использовать для быстрого создания детализированных политик микросегментации через удобный визуальный интерфейс. 

«Guardicore позволяет нам улучшить общую стратегию защиты ЦОДов и помочь нашей команде по информационной безопасности избегать актуальные угрозы».

Марино Агияр, CIO, Santander Brazil

Возможности микросегментации Centra также дополняются инновационным набором функционала для выявления и реагирования на инциденты безопасности.

Guardicore Centra обеспечивает защиту всей инфраструктуры организации. Платформа защищает вычислительные ресурсы в гибридных средах в любой комбинации legacy-систем, физических серверов, виртуальных машин, контейнеров и инстансов в облаках Amazon AWS, Microsoft Azure и Google Cloud Platform.

 «Deutsche Bank придерживается самых высоких стандартов безопасности, и для нас первоочередной задачей является строгая сегментация сети в наших локальных и облачных средах. Guardicore дает нам эффективный способ защиты наших критически важных активов с помощью сегментации»

Алан Меирзон, Директор, Главное управление информационной безопасности, Deutsche Bank

Рассмотрим подробнее модули и возможности платформы.

Возможности Guardicore Centra

Визуализация

Guardicore Centra объединяет функционал мониторинга приложений и вычислительных ресурсов на уровне процессов и пользователей с возможностями детального определения политик, позволяя специалистам по ИБ находить, визуализировать, контролировать и осуществлять мониторинг происходящего в ЦОДах и облачных средах. Благодаря лучшему пониманию приложений и их взаимозависимостей организации могут применять гранулярные политики ИБ и оперативно выявлять инциденты.

Визуализация приложений и потоков данных в Guardicore

После установки платформа Guardicore Centra автоматически создает подробную визуальную карту активностей во всех используемых средах. Активность на уровне процессов соотносится с сетевыми событиями, что дает администраторам визуальное представление обо всех вычислительных ресурсах. Администраторы имеют подробную информацию о конкретных активах, процессах в те или иные промежутки времени, что позволяет иметь полное представление о связях внутри и между центрами обработки данных и облачными средами. Guardicore Centra также делает создание политик микро- и наносегментации, ориентированных на приложения, простым, быстрым и не требующим изменения или отключения сервисов.

Политики безопасности

После того, как получено понимание об активностях в ЦОДе, необходимо определить и применить корректные правила коммуникаций между приложениями, а также с внешним миром. Guardicore упрощает разработку и управление политиками микросегментации за счет удобного визуального интерфейса. 

Политики микросегментации в Guardicore

Чтобы начать создавать политики, достаточно выбрать один из отображаемых коммуникационный потоков. Система автоматически предложит наиболее подходящее правило, основанное на исторических наблюдениях, и поможет быстро применить соответствующую политику. Механизм анализа изменений и интуитивно понятный процесс модификации политик поддерживают непрерывную подстройку политик и сокращают число ошибок.

Выявление атак и расследование инцидентов

Для быстрого выявления инцидентов Guardicore использует комбинацию из трех различных методов обнаружения: динамические эмуляции, анализ репутации и обнаружение нарушений политик безопасности. Эти методы распределены по всему центру обработки данных, централизованно управляются и выявляют инциденты практически в реальном времени по мере их возникновения.

  • Динамическая эмуляция выявляет злоумышленников и вовлекает их в изолированную среду эмуляции с высоким уровнем интерактивности, отвлекая их от критических активов, и в то же время записывая их действия для дальнейшего анализа. 
  • Обнаружение на основе нарушения политик безопасности предупреждает аналитиков ИБ о нарушении предопределенных политик микросегментации. 
  • Репутационный анализ детектирует угрозы на основе выявления доменных имен, IP-адресов и хэшей файлов, связанных с известной вредоносной активностью. 

При совместном использовании эти методы могут значительно сократить время обнаружения инцидентов и предоставляют организациям детальную контекстную информацию, необходимую для быстрого и эффективного реагирования на угрозы.

Реагирование на угрозы

При выявлении инцидентов Guardicore Centra позволяет одним щелчком мыши изменять политики сегментации для устранения нарушений трафика, а также инициировать действия на виртуальных машинах – ставить на паузу, останавливать, отключать или делать снимки (снэпшоты) машин для предотвращения распространения атаки и минимизации ущерба, в том числе при атаках криптолокерами. 

Карточка инцидента в Guardicore

Система также позволяет автоматически экспортировать индикаторы компрометации в шлюзы безопасности, SIEM-системы и другие СЗИ.

Расследования и форензика

Centra собирает полный набор форензики по атаке, в том числе ее источник, файлы и различные инструменты злоумышленника, а также используемые техники. Основываясь на этих данных, Guardicore проводит автоматическую классификацию атак по типу, а также анализ для выявления методов злоумышленников, тактик распространения и группировки схожих инцидентов.

Экран форензики в Guardicore

Данные об инцидентах представлены в Guardicore в удобочитаемой форме и включают форензику, в том числе индикаторы компрометации, соответствующие артефакты и идентификационные характеристики атакующих злоумышленников и ботов.

Мониторинг целостности файлов (File Integrity Monitoring, FIM)

Многие стандарты и требования ИБ, в том числе PCI DSS и HIPAA, требуют отслеживать целостность файлов в качестве внутреннего контроля, который должен внедрен для защиты критически важных сегментов организации. 

Используя легковесный агентский модуль, Centra выполняет периодические проверки целостности для выявления изменений файлов в облачных средах и средах центров обработки данных. Функционал FIM имеет низкую нагрузку на процессор и не влияет на производительность.

Польза внедрения Guardicore

Внедрение Guardicore Centra позволяет достичь множества преимуществ и помочь со следующими задачами:

  • Предотвращение латерального движения в ЦОДе и облаках
  • Защита наиболее ценных и критических сегментов ЦОДа
  • Быстрое достижения соответствия регуляторным требованиям в новых и гетерогенных средах (физика, виртуальные среды, контейнеры, облака и пр.)
  • Безопасный переход в гибридные облака и использование PaaS
  • Защищенный доступ удаленных сотрудников, подрядчиков и партнеров к критическим приложениям
  • Возможность быстрого и безопасного воплощения инноваций
  • Внедрение методологии Zero Trust

Вы можете заказать индивидуальную демонстрацию или тестирование Guardicore Centra по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/