Deep Security - Trend Micro bảo vệ an toàn trung tâm dữ liệu máy chủ

A. CÁC MODULE VÀ TÍNH NĂNG NỔI BẬT CỦA SẢN PHẨM DEEP SECURITY

1. Anti-Malware:

Deep Security tích hợp các hàm API của VMware vShield Endpoint để cung cấp tính năng anti-malware mà không phải cài đặt agent chống lại virus, spyware, Trojans và các loại malware khác. Được thiết kế để tối ưu các hoạt động bảo mật, module này cũng giúp tránh các cơn bão anti-virus thường thấy khi thực hiện quét toàn hệ thống và update các pattern. Tính năng này cũng có thể triển khai dưới dạng agent để bảo vệ các máy chủ vật lý, các máy chủ ảo Hyper-V và Xen-based, các máy chủ điện toán đám mây công cộng (Cloud Public) cũng như các desktop ảo.

2. Web Reputation:

Bằng việc tích hợp được với VMWare Safe API, Deep Security cung cấp khả năng ngăn chặn người dùng truy cập vào các URL/Website độc hại. Database các URL/Website độc hại được cập nhật từ Cloud Smart Protection Network giúp người dùng được bảo vệ theo thời gian thực. Ngoài ra người quản trị có thể tùy chỉnh các chính sách ngăn chặn URL/Website.

3. Intrusion Detection and Prevention (IDS/IPS):

Bằng cách bảo vệ các lỗ hổng bảo mật trong hệ điều hành và các ứng dụng cho tới khi chúng được vá, tính năng phát hiện và ngăn chặn xâm nhập giúp các doanh nghiệp chống lại các tấn công đã biết hoặc zero-day. Deep Security cung cấp sự bảo vệ các lỗ hổng cho hơn 100 ứng dụng, bao gồm các máy chủ cơ sở dữ liệu, web, mail và FTP. Các chính sách nhằm bảo vệ các lỗ hổng bảo mật mới được phát hiện được tự động cung cấp trong vài giờ, và có thể áp dụng cho hàng ngàn máy chủ trong vài phút mà không phải khởi động lại hệ thống.

4. Web Application Protection (Bao gồm trong module IDS/IPS):

Deep Security giúp tuân thủ yêu cầu PCI 6.6 về việc bảo vệ các ứng dụng web và dữ liệu mà chúng xử lý. Việc bảo vệ ứng dụng web giúp chống lại các tấn công SQL injections, cross-site scripting và các lỗ hổng bảo mật ứng dụng web khác, bảo vệ các lỗ hổng đó cho tới khi bản cập nhật sửa lỗi được phát hành.

5. Kiểm soát ứng dụng (Bao gồm trong module IDS/IPS):

Các chính sách kiểm soát ứng dụng giúp tăng cường khả năng kiểm soát đối với các ứng dụng truy cập mạng. Các chính sách này cũng được sử dụng để xác định phần mềm độc hại truy cập vào mạng, hoặc làm giảm thiểu lỗ hổng bị phơi bày của các máy chủ.

6. Stateful Firewall hai chiều (Firewall):

Tính năng này giúp giảm thiểu các tấn công vào các server trong tất cả các môi trường vật lý, điện toán đám mây và ảo hóa; ngăn chặn các cuộc tấn công như từ chối dịch vụ và phát hiện quét thăm dò và quản trị tập trung chính sách firewall của các máy chủ.

7. Giám sát sự toàn vẹn (Integrity Monitoring):

Module này theo dõi những tập tin quan trọng của hệ điều hành và ứng dụng, chẳng hạn như các thư mục, các khóa registry và các giá trị, để phát hiện mã độc hại và những thay đổi bất thường. Tính năng này cũng bảo vệ hypervisor khỏi các tấn công khai thác bằng cách cung cấp giám sát sự toàn vẹn của hypervisor tận dụng công nghệ TPM/TXT.

8. Phân tích log (Log Inspection):

Module này thu thập và phân tích các log của hệ điều hành và ứng dụng của các sự kiện an ninh. Các sự kiện này được chuyển tiếp đến hệ thống SIEM hoặc máy chủ log tập trung để xem xét, báo cáo, và lưu trữ.

B. CÁC THÀNH PHẦN CHÍNH CỦA GIẢI PHÁP DEEP SECURITY

1. Deep Security Manager: là công cụ quản trị tập trung mạnh mẽ để quản lý các agent hay virtual appliance

2. Deep Security Agent: một phần mềm nhỏ cài đặt lên các máy ảo hay các máy chủ vật lý để bảo vệ chúng

3. Deep Security Virtual Appliance: một máy ảo bảo mật đã được đóng gói giúp bảo vệ tất cả các máy ảo khác trên một máy chủ VMware vSphere, bao gồm khả năng bảo vệ không cần cài đặt agent (agentless)

4. Database: lưu trữ các thông tin của hệ thống như thông tin agent, cấu hình, …

C. CÁC LỢI ÍCH CỤ THỂ DO DEEP SECURITY TREND MICRO MANG LẠI:

1. Tăng tốc ảo hóa, VDI (Virtual Desktop Infrastructure):

- Thuận tiện và dễ dàng quản lý hơn để bảo vệ các VMs với kiến trúc bảo mật không cần agent (agentless) đầu tiên và duy nhất – anti-malware, ngăn chặn xâm nhập, và giám sát sự toàn vẹn – được thiết kế cho môi trường VMware

- Cung cấp tính năng giám sát sự toàn vẹn không phải cài agent

- Tận dụng được tài nguyên hiệu quả hơn đến 11 lần và hỗ trợ gấp 3 lần mật độ các VMs so với các giải pháp anti-malware truyền thống

- Cải thiện việc quản trị bảo mật trong môi trường VMware bằng cách giảm sự cần thiết phải cấu hình thường xuyên, update, và patch các agents

- Bảo vệ các desktops ảo VMware View trong local mode với một agent tùy chọn

- Kết hợp sự bảo vệ giữa virtual appliance và agent để cho phép bảo vệ tối ưu và liên tục các server ảo khi chúng di chuyển từ Data Center lên Public Cloud

2. Ngăn chặn vi phạm Dữ liệu và sự gián đoạn kinh doanh:

- Phát hiện và xóa malware khỏi các virtual servers trong thời gian thực với độ ảnh hưởng đến hiệu năng - performace nhỏ nhất

- Chặn malware tìm cách thoát khỏi sự phát hiện bằng cách gỡ bỏ hay làm gián đoạn các chương trình bảo mật

- Bảo vệ các điểm yếu đã biết và chưa biết trong các ứng dụng và hệ điều hành

- Phát hiện các hành vi đáng ngờ, cho phép chủ động các biện pháp phòng chống

- Tận dụng năng lực về việc đánh giá danh tiếng web của một trong những cơ sở dữ liệu về danh tiếng lớn nhất thế giới để theo dõi độ tin cậy của các websites và bảo vệ người sử dụng khỏi việc truy cập vào các sites bị lây nhiễm đó

- Cung cấp giám sát sự toàn vẹn của hypervisor cho VMware vSphere tận dụng công nghệ TPM/TXT

3. Tuân thủ PCI, các Quy định và tiêu chuẩn khác:

- Tuân theo 06 tiêu chuẩn quan trọng trong tiêu chuẩn bảo mật dữ liệu PCI, và nhiều loại khác

- Cung cấp thông tin chi tiết, báo cáo chỉnh sửa về Tài liệu ngăn ngừa các cuộc tấn công và tình trạng tuân thủ chính sách

4. Giảm chi phí hoạt động:

- Tối ưu hoá việc tiết kiệm chi phí cho môi trường ảo hóa hay điện toán đám mây bằng cách hợp nhất tài nguyên máy chủ

- Đơn giản hóa việc quản trị với việc tích hợp chặt chẽ tới giao diện quản trị của Trend Micro, VMware, và thư mục của doanh nghiệp

- Bảo vệ các lỗ hổng để ưu tiên mã hóa an toàn và chi phí hiệu quả khi bổ sung bản vá đột xuất

- Loại bỏ chi phí triển khai nhiều phần mềm clients bằng một software agent hay virtual appliance đa tính năng và được quản lý tập trung

- Giảm đáng kể sự phức tạp trong việc quản trị giám sát tính toàn vẹn của file với tính năng trusted events và event whitelisting dựa trên đám mây (Cloud).

D. MÔ HÌNH TRIỂN KHAI TỔNG THỂ

Mô hình khuyến nghị triển khai cho Deep Security Manager, bao gồm:

- 2 Deep Security Manager (DSM) trong cùng một network segment

- MS SQL server (khuyến nghị SQL Server Enterprise version) nằm trong cùng network segment với 02 DSM server

- Deep Security Agent được triển khai trên các server cần bảo vệ

- Control Manager để có thể thu thập thông tin tập trung

- Local SPS để cung cấp các dịch vụ Reputation

Đối với hoạt động nội tại của giải pháp Deep Security, mô hình dưới cho chúng ta hình dung về giao tiếp giữa các thành phần:

Deep Security trong quá trình hoạt động sẽ sử dụng các giao tiếp mạng như hình sau:

Lưu ý:

- Các server có cài thành phần Deep Security Agent (DSA) để bảo vệ đều phải được mở port 4118 để giao tiếp với Deep Security server được thông suốt

- Khuyến nghị cài DSA lên để bảo vệ toàn bộ server (bao gồm cả Active Directory, Exchange, SQL…và cả các Trend Micro server như OfficeScan, Control Manager…)