Soluções de Segurança
Marketing de Soluções de Virtualização Microsoft
2009
Cenários de Solução de Virtualização Microsoft
Aplicações
Críticas
Infraestrutura
de Escritório
Remoto
Empresas Pequenas
e Médias (SMB)
Cenários de
Solução
Plataforma Central
Continuidade de Negócios
Consolidação de TI
Automação de Laboratório e Gerenciamento de Testes
Cenários de
Solução
Plataforma Central
Estação de Trabalho Centralizada
Segurança
Conectividade
Gerenciamento de Sistema
Hospedagem/Computação
em Nuvem
Contêiner
de VHD
Serviços de Rede
Cenários de
Capacidade de
Plataforma
Central
3
Visão Geral de Solução de Segurança
O que é Virtualização de Segurança?
Virtualização de segurança se refere aos seguintes mecanismos virtualizados:
1.
2.
3.
4.
Componentes de plataforma do stack de virtualização (hipervisor, as partições raiz e filhas) são configurados
de maneira ideal e têm todos os mecanismos em vigor para proativamente detectar e atenuar ameaças de segurança
Gerenciamento de autenticação e autorização está em vigor junto com controle de acesso baseado em função
Soluções de segurança, como antivírus e atualizações de patches estão em vigor em VMs online e offline para reduzir ameaças
Mecanismos de segurança adicionais, como introspecção, estão disponíveis para análise e auditoria forense
Soluções de Segurança Específicas de Sistemas Virtuais
Comunicação
Entre VMs
VM
Offline
Introspecção
Segurança Centralizada
de Estação de Trabalho
Soluções de Segurança para Sistemas Físicos e Virtuais
Autenticação e
Autorização
Gerenciamento de Sistemas
Atualização/Configuração
Diretiva/Conformidade
Antivírus
Online
Plataforma Segura
Hipervisor
Núcleo de Servidor
5
Desafios de Segurança em Virtualização
Cenários em Virtualização
Consolidação de
Hardware de Servidor
Economia de custo de
capital e operacional
Contração de Switches e Servidores
em Um Dispositivo
Apps
Apps
Apps
OS
OS
OS
Desafios de Segurança
Associados
Desafio 1
Maior impacto de ataques e maior área
de superfície para ataque
Desafio 2
Flexibilidade e economia
de custos
Implantação Mais Rápida
Sem separação por padrão da
administração e elevado risco de
falhas de configuração
Desafio 3
Agilidade na resposta do TI
Falta de planejamento adequado e
conhecimento incompleto do estado
atual da infraestrutura
6
Desafios de Segurança em Virtualização
Cenários em Virtualização
Desafios de Segurança
Associados
Encapsulamento
Apps
Apps
Apps
Apps
OS
OS
OS
OS
Apps
Apps
Apps
OS
OS
OS
Facilidade de continuidade
de negócios e capacidade
de impor restrições em
sistemas
Desafio 4
Esforços adicionais para gerenciar
sistemas offline
Mobilidade
Níveis de serviço
melhorados
Desafio 5
Identidade separada do local físico e
diretivas de segurança precisam moverse com a máquina virtual
7
Estratégia de Atenuação de Riscos em Virtualização
Desafio de Segurança
Desafio 1


Maior impacto de ataque
Maior área de superfície para ataque
Desafio 2

Sem separação por padrão da administração e
elevado risco de falhas de configuração
Desafio 3


Falta de planejamento adequado
Conhecimento inadequado do estado atual da
infraestrutura
Desafio 4






Identidade separada do local físico
Diretivas de segurança precisam mover-se
com a máquina virtual
Isolamento, não interferência entre VMs
Proteger o Microsoft® Hyper-V™ e a partição
raiz
Usar ferramentas que proporcionem separação de
deveres
Controles de alterações fortes e log e
monitoramento monitoramento de eventos meticulosos

Gerenciamento de segurança centralizado –
gerenciamento de atualizações e configuração,
de diretivas e conformidade, varredura antivírus,
etc.

Usar ferramentas antivírus e de aplicação de
patches que possam atualizar uma máquina
offline

Migrar diretivas de segurança junto com a
máquina virtual
Soluções de segurança devem ser compatíveis
com virtualização e devem funcionar após
migração
Esforços adicionais para gerenciar sistemas
offline
Desafio 5

Solução

8
Gerenciamento de Segurança da Virtualização Microsoft
Soluções de Virtualização Microsoft
Não apenas um produto, mas uma oferta completa
Produtos e Tecnologias
Microsoft
Hardware, Software e
Serviços
de Parceiro Microsoft
Arquitetura e
Recursos de
de Implantação de
Referência Conjuntos
10
Estratégia e Ecossistema de Segurança de Virtualização Microsoft +
Parceiro
A Microsoft oferece uma abordagem totalmente integrada para segurança de virtualização:


Protege ambientes físicos e virtuais com ROI otimizado
Oferece um ecossistema de parceiros de soluções de segurança para cobertura abrangente
Soluções de Segurança Específicas de Sistemas Virtuais
Offline Virtual Machine
Security Tool
VM
McAfee, Symantec,
Altor Networks
Comunicação
Entre VMs
Offline
Segurança
Centralizada
de Estação de
Trabalho
Introspecção
Soluções de Segurança para Sistemas Físicos e Virtuais
McAfee, Symantec
Autenticação e
Autorização
Gerenciamento de Sistemas
Atualização/Configuração
Diretiva/Conformidade
Antivírus
Online
Plataforma Segura
Hipervisor
Núcleo de Servidor
11
Plataforma Segura
Plataforma Segura: Soluções Microsoft + Parceiro
Plataforma de computação segura em ambientes físicos e virtuais

Arquitetura de última geração: Microsoft® Windows Server® 2008 Hyper-V™ projetado para
segurança
Plataforma Segura
Hipervisor
Núcleo de Servidor
Desafio 1
 Maior impacto do ataque
 Maior área de superfície de
ataque
• Isolamento
Não interferência entre VMs com arquitetura de
Segurança Específica de
Virtualização
Soluções Microsoft + Parceiros para Desafios de Migração com Segurança
Soluções de Segurança
para
Sistema Físico/Virtual

microkernel segura
• Defesa com Hyper-V
Risco de ataque eliminado com arquitetura segura
12
Plataforma Segura
Hipervisor: Microkernel vs Monolítico
O Windows Server® 2008 Hyper-V™ usa o microkernel à medida que fornece benefícios
de segurança adicionais:
Hipervisor Monolítico
Memória e CP com apenas um
particionamento

Abarca todos os componentes de virtualização,
inclusive drivers

Aumenta a confiabilidade e minimiza a base de
computação confiável

Executa todo o código na parte mais
privilegiada do processador

Sem código de terceiros


Drivers executados dentro dos convidados
Aplicação de patches mais provável devido ao
código incluído
VM 1
(“Root”)
VM 2
(“Guest”)
VM 3
(“Guest”)
VM 1
(Admin)
VM 2
Virtualização
Virtualização
VM 3
Segurança Específica
Específica de
de
Segurança
Virtualização
Virtualização

Soluções
Soluções de
de Segurança
Segurança
para
para
Sistema
Sistema Físico/Virtual
Físico/Virtual
Hipervisor de Microkernel
Hipervisor
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Drivers
Hipervisor
Hardware
Hardware
13
Plataforma Segura
Defesa Abrangente Contra Risco de Ataque



Hipervisor de microkernel com área de
superfície muito pequena
Núcleo de servidor – bloqueia a partiçãoraiz e minimiza o tamanho
4
malware
1
3
2
Isolamento convidado a convidado
reduz riscos
Principais Alvos de Ataque
Soluções Seguras Microsoft® Hyper-V™
1
Máquinas virtuais executadas na mesma caixa
Isolamento forte entre partições
2
Hipervisor
Separação de componentes por privilégio
3
VSPs através do caminho de comunicação VSCVSP
Validação e proteção contra solicitações não confiáveis
4
Processos de trabalho de VM
Separação entre processos de trabalho de VM
Segurança Específica de
Virtualização

Separação de componentes por
privilégio e processo
Soluções de Segurança
para
Sistema Físico/Virtual
O Hyper-V™ oferece arquitetura
segura:
14
Plataforma Segura
Soluções de Segurança para Sistemas Físicos e Virtuais
Soluções Microsoft + Parceiro
Atenuação de risco de acesso não autorizado e falhas de configuração

Defesa em profundidade combinando recursos de segurança do Windows Server® 2008
com ferramentas de proteção
Soluções de Segurança para Sistemas Físicos e Virtuais
Autenticação e
Autorização
Gerenciamento de Sistemas
Atualização/Configuração
Diretiva/Conformidade
Antivírus
Online
Soluções Microsoft + Parceiro para Atenuar Desafios de Segurança
Desafio 2

Sem separação da administração
por padrão e elevado risco de
falha de configuração
Desafio 3


Falta de planejamento adequado
Conhecimento incompleto do estado
atual da infraestrutura
• Authenticação
Único armazenamento de identidades para autenticar usuários
Segurança Específica de
Virtualização
McAfee
Symantec
Soluções de Segurança
para
Sistema Físico/Virtual

• Autorização
Separação de deveres através de autorização baseada
em função
• Contabilidade/Auditoria
Registro de todas atividades administrativas
• Proteão à VM
Proteção antivírus
• Atualização e Configuração, Diretivas e Conformidade
15
Plataforma Segura
Autenticação de Usuário Integrada
Todas as soluções Microsoft para virtualização fornecem um único armazenamento de identidades para
autenticar usuários com o Microsoft® Active Directory® em sistemas físicos e virtuais.
Único armazenamento de identidades
para autenticar usuários
o
Suporte em sistemas físicos e virtuais

Microsoft® Identity Lifecycle
Manager 2007
o
Aprovisionamento fácil de usuários reduz
altos custos e riscos associados com o
aprovisionamento manual
o
Sincronização de identidades
o
Gerenciamento simplificado de novas
iniciativas de segurança
System Center Virtual
Machine Manager
Identity Lifecycle
Manager 2007
Soluções de Segurança Forefront™
lutions
Virtualization
Hardware
Apresentação
Aplicação
Hyper-V™
Serviços
de
Terminal
Microsoft
App. Virt.
Active Directory
o
Segurança Específica de
Virtualização
Active Directory
Soluções de Segurança
para
Sistema Físico/Virtual

Proteção de Acesso à Rede
Isolamento de Servidor e Domínio
16
Plataforma Segura
Autorização
Separação de deveres com o Microsoft Authorization Manager
Aumente a segurança concedendo acesso
baseado em função a sistemas físicos e
virtuais

Melhore a administração através do
Active Directory® e Hyper-V™

Elimine o risco de falhas de configuração

Poupe tempo delegando autoridade sobre
máquinas virtuais sem que a administração
tenha autoridade sobre todo o sistema
Segurança Específica de
Virtualização

Soluções de Segurança
para
Sistema Físico/Virtual
O Microsoft Authorization Manager faz parte do Windows Server e permite controle de acesso
baseado em função para fornecer separação de deveres para ambientes virtualizados.
17
Plataforma Segura
Soluções para Proteção à Máquina Virtual Online
Soluções Microsoft + Parceiro
Antivírus Online
Microsoft + Parceiro
• Proteção antivírus para
VMs online
• Bloqueia e remove vírus
Proteção Antispyware
Prevenção de Invasão
do Host
Segurança Específica de
Virtualização
• Proteção contra programas
indesejados
Soluções de Segurança
para
Sistema Físico/Virtual
Soluções
• Programas são
identificados e detidos
antes que se instalem
• Prevenção de invasão de
host para monitores de
servidor
Produtos de Parceiros:
Proteção de
Extremidade
Serviço de
Proteção Total
18
Plataforma Segura
Soluções para Proteção de Máquina Virtual Online
(continuação)
Segurança de defesa em profundidade para antivírus de VM online:
Integração com aplicações e infraestrutura Microsoft para proteger ativos físicos/virtuais

Produtos de segurança de linha de negócios para proteção de aplicações de clientes e servidores
OS de Cliente e Servidor
• Integração de vários
mecanismos de varredura
de vírus de firmas de
segurança líderes da
indústria
• Proteção específica de
aplicações abrangente -mensagem e colaboração
Segurança Específica de
Virtualização
• Proteção em tempo real
contra vírus e spyware
• Simplifique a administração
através de integração com o
Active Directory® e outras
infraestruturas Microsoft
• Relatórios em tempo real de
ameaças e vulnerabilidade
que afetam o ambiente
Aplicações de Servidor
Soluções de Segurança
para
Sistema Físico/Virtual

19
Plataforma Segura
Gerenciamento de Sistemas para Máquinas
Virtuais Online
Reduza complexidades do monitoramento de mudanças de configuração e reduz os
problemas associadas com o desvio de configuração.
Diretiva/Conformidade

Base de controles de TI para ofertas de
plataforma Microsoft

Suporte a estruturas de conformidade de TI:
Mudanças de função do local

Implantação do Microsoft® Windows®

Distribuição de software
o
COBIT

Gerenciamento de atualização de software
o
ISO 17799

Gerenciamento de configuração desejada

Inteligência de ativos

Gerenciamento de dispositivos
Microsoft® Windows® Update Manager
Segurança Específica de
Virtualização

Soluções de Segurança
para
Sistema Físico/Virtual
Atualização/Configuração
Pacotes Planejados de Conformidade de
Desired Configuration Management (DCM)
GLBA, HIPPA, SOX, EUDPD, FISMA, OUTROS
20
Plataforma Segura
Soluções de Segurança para Sistemas Virtuais
Soluções Microsoft + Parceiro
Soluções de Segurança Específicas de Sistemas Virtuais
VM
Offline
Comunicação
Entre VMs
Introspecção
Segurança
Centralizada
de Estação de
Trabalho
Soluções Microsoft + Parceiro para Atenuar Desafios de Segurança
Desafio 4
• Esforços adicionais para gerenciar sistemas
offline
Desafio 5
• Identidade separada do local físico
• Diretivas de segurança precisam mover-se
com a máquina virtual
• Gerenciamento de Patch de VM Offline
Automatize o patch em VMs offline
Segurança Específica de
Virtualização
McAfee, Symantec, Altor Networks
Soluções de Segurança
para
Sistema Físico/Virtual
• Soluções para proteção offline de máquinas virtuais com atualizações e varreduras
de segurança
• Visão, em toda a empresa, de ativos virtuais para planejamento e conformidade
• Solução de Proteção para VM Offline
• Migração de Diretiva de Máquina Virtual TBD
• Comunicação entre VMs/Introspecção
21
Plataforma Segura
Gerenciamento de Atualização de VM Offline
A ferramenta Microsoft Offline Virtual Machine Servicing Tool é uma solução disponível
gratuitamente:
Soluções de Segurança
para
Sistema Físico/Virtual
• Automatiza a atualização de patches em máquinas virtuais offline
• Integrada com o Microsoft® System Center Virtual Machine Manager (VMM) 2008 e Microsoft® Configuration
Manager 2007

Automatize a Manutenção de VMs
Inativas:
o
o
Aplique patches de manutenção no OS
Aplique patches de manutenção em
Aplicações (futuro)
Configuração de adequação (true-up)
(futuro)
Segurança Específica de
Virtualização
o

Rede de
Manutenção
Biblioteca do
VMM
2008
VMM
Hosts de
Manutenção
Integre com Produtos System Center:
o
o
o
Virtual Machine Manager 2008
Configuration Manager 2007
Windows Server Update Services
Offline VM
Servicing Tool
Configuration
Manager 2007
ou WSUS
22
Plataforma Segura
Soluções de Proteção para VMs Offline
Soluções Microsoft + Parceiro
Antivírus
para VMs Offline
Prevenção de Invasão
do Host
para VMs Offline
• Proteção antivírus para VMs offline
• Imagens offline não precisam ser
colocadas online para proteção
• Proteção contra programas
indesejados
Segurança Específica de
Virtualização
Proteção Antispyware
para VMs Offline
Microsoft + Parceiro
Soluções de Segurança
para
Sistema Físico/Virtual
Soluções
• Programas são identificados e
detidos antes que se instalem
• Prevenção de invasão de host para
monitores de servidor
Produtos de Parceiros:
Endpoint
Protection
Total Protection
Service
23
Plataforma Segura
Comunicação entre VMs/Introspecção
Opções adicionais de segurança de virtualização

A Microsoft não dá suporte a
comunicação entre VMs
o
Baseada em varredura de instantâneos
no formato de arquivo
 Implantações de virtualização podem
ser protegidas e melhoradas conforme
recursos de introspecção emergem em
plataformas de virtualização
 A Microsoft oferece introspecção
fornecendo a ISVs um formato de
arquivo para o instantâneo de
varredura do Hyper-V™

Segurança Específica de
Virtualização
o
Ela é um risco potencial de ataque
já que o hipervisor é extensivo
Vulnerável a terceiros que
compartilham a interface estendida
Introspecção
Soluções de Segurança
para
Sistema Físico/Virtual
Comunicação entre VMs
24
Comparação: Segurança de Virtualização
Microsoft
VMWare
Microkernel: superfície de ataque mínima
Monolítico: Aumenta a superfície de
ataque
Plataforma Segura
Arquitetura de
hipervisor
Bloqueio de raiz (WS08 Server Core)
SDL da arquitetura testada
Soluções de
Segurança para
Sistemas Físicos e
Virtuais
Soluções de
Segurança
Específicas para
Virtual
Hipervisor de microkernel fácil de substituir
Executa todos códigos – OS
personalizado, drivers, código
extensível – na parte mais
privilegiada do processador
Monolítico provavelmente requer
aplicação de patches
Facilidade de
atualização e
gerenciamento
Usa todas as ferramentas de gerenciamento e
drivers de dispositivo
Necessário aprender novas
ferramentas. Usa somente drivers
que acompanham o hipervisor
Solução virtual
abrangente
Sim
Hardware, apresentação e aplicação
Não
Somente virtualização de hardware
Plataforma de
identidade comum
Sim
Active Directory® para TI físico e virtual
Não
Requer armazenamento de
identidades separado
Soluções de
infraestrutura
Forefront™, System Center,
Identity Lifecycle Manager
Somente gerenciamento
Habilita ecossistema
de segurança
prontamente?
Sim
Soma contexto de VHD a produtos antivírus
atuais Amplo ecossistema de segurança
Windows
Sim, até certo ponto
Primeiro conjunto de APIs
(VMSAfe);
requer
mais ajustes de software antivírus
Tecnologias
complementares
NAP, Isolamento de Servidor e Domínio (WS08)
Kit de Manutenção de VM Offline
Comprou o Determina da HIPS
25
Evidência de Solução de Segurança de
Virtualização
“Implementar o Windows
Server® 2008 com Proteção
de Acesso à Rede (NAP)
aumentará minha paz de
espírito. Ficarei mais
confiante que somente
clientes gerenciados terão
acesso a recursos da rede
corporativa.”
Paul van Kooten
Gerente de Rede
Rijksmuseum Amsterdam
Cliente: Rijksmuseum Amsterdam
Tamanho da Empresa:
Indústria: Educação – Museus
País: Holanda
Perfil: O Rijksmuseum Amsterdam é um museu
na Holanda. Fundado em 1800, a coleção do
museu inclui obras de Rembrandt, Vermeer e
outros mestres holandeses.
Benefícios:
• Reforça a segurança
• Melhora o gerenciamento e a flexibilidade
• Permite crescimento
26
Próximos Passos para Melhorar os Negócios com Virtualização
Microsoft
Soluções de
Virtualização
Microsoft
 Soluções de Virtualização Microsoft
o

Produto
Recursos
Avaliação e
Planejamento de
Virtualização
Parceiros de Soluções de Virtualização Microsoft
o

http://www.microsoft.com/systemcenter/en/us/default.aspx
Calculadora de ROI
o

http://www.microsoft.com/windowsserver2008/en/us/hyperv.aspx
Microsoft® System Center
o

http://www.microsoft.com/virtualization/partners
Microsoft® Windows Server ® 2008 Hyper-V™
o

http://www.microsoft.com/virtualization/solutions
https://roianalyst.alinean.com/msft/AutoLogin.do?d=307025591178580657
Ferramenta Microsoft Assessment and Planning (MAP)
o
http://technet.microsoft.com/en-us/library/bb977556.aspx
27
Apêndice
Plataforma Segura
Prática Recomendada para Proteger o Windows Server® Hyper-V™ e Partição-Raiz
Quando práticas recomendadas são seguidas, o Microsoft® Hyper-V™ proporciona segurança
reforçada.

Aplicação de patches no hipervisor
o

Windows Update
Minimize o risco para a partição-raiz
o
Não execute aplicações arbitrárias, não
navegue a Web
Execute suas aplicações e serviços em
convidados
Use o Authorization Manager (AzMan)
para reduzir privilégio administrativo
Conecte-se à rede back-end de
gerenciamento
o
o
o
o

Switches Virtuais
VLANs
NIC dedicado para partição-raiz
Conectividade
o
o
BitLocker
Filtragem de CDB de armazenamento
Segurança Específica de
Virtualização


Permite NX e virtualização no BIOS
 Serviços de Rede

Utilize o Núcleo de Servidor

o
Bloqueio de Dispositivo
Soluções de Segurança
para
Sistema Físico/Virtual
Considerações de Implantação
Exponha convidados apenas a tráfego de
Internet
29
Plataforma Segura
Autenticação. Aprovisionamento Fácil de Usuários
O Identity Lifecycle Manager 2007 oferece uma visão única da identidade de um usuário
em empresas heterogêneas e permite a automação de tarefas comuns.
Soluções de Segurança
para
Sistema Físico/Virtual
Active Directory
Gerenciamento
Completo do
Ciclo de Vida de
Certificado e de
Cartão Inteligente
Sistemas
Mainframe
Sincronização de
Identidades
Sistema de E-mail
Segurança Específica de
Virtualização
Aprovisionamento fácil de usuários reduz
altos custos e riscos associados com o
aprovisionamento manual
 Simplifique o gerenciamento de novas
iniciativas de segurança
 Reduza custos de assistência técnica para
tarefas simples como redefinições de senha
 O Microsoft® Identity Lifecycle Manager
“2” pode ser executado no Hyper-V™ e
permite a você gerenciar identidades em
ambientes virtuais e físicos

Sistema de RH
30