Решение по микросегментации для виртуализованных центров обработки данных Hillstone CloudHive

Hillstone CloudHive обеспечивает микросегментацию для защиты каждой виртуальной машины в облаке. Он обеспечивает полную видимость East-West трафика и полную защиту для предотвращения атак между виртуальными машинами. Кроме того, сервис безопасности CloudHive может легко масштабироваться, для соответствия требованиям без прерывания бизнеса.

Hillstone CloudHive состоит из трех типов виртуальных модулей, которые работают вместе как единое устройство для обеспечения полной безопасности каждой виртуальной машины.

  • Virtual Security Orchestration Module (vSOM), интегрированный и связанный с облачными платформами управления (CMP), управляет жизненным циклом службы CloudHive.
  • Virtual Security Service Module (vSSM) развертывается на каждом физическом сервере для реализации микросегментации и предоставления услуг безопасности на уровнях L2-L7.
  • Virtual Security Control Module (vSCM) – это панель управления, поддерживающая настройку и распространение политик, а также управление жизненным циклом vSSM.

Достижение беспрецедентной видимости трафика в реальном времени

Все точки доступа виртуальных машин могут быть проконтролированы для обеспечения видимости трафика, приложений и угроз, связанных с этой виртуальной машиной, что является краеугольным камнем при обеспечении управления и защиты East-West трафика. Топология виртуальных машин, понимание трафика, идентификация приложений, а также всеобъемлющие функции журналирования позволяют поставщикам облачных услуг (CSP) отвечать требованиям аудитов безопасности и соответствия.

Снижение уровня атак практически до нуля

Каждый Virtual Security Service Module CloudHive (vSSM) развертывается на физическом сервере, обеспечивая микросегментацию при передаче данных между виртуальными машинами. Безопасность East-West трафика обеспечивается службами безопасности на уровнях L2-L7, включая брандмауэрные функции, такие как контроль политик и ограничение сессий, расширенные функции безопасности, такие как система предотвращения вторжений (IPS) и защита от атак (AD), а также точно гранулированный контроль приложений. Подавление в режиме реального времени также блокирует, препятствует или помещает в карантин активные атаки.

Легкая масштабируемость безопасности с помощью активной оркестровки

Службы безопасности по требованию могут быть применены к любой и всем новым нагрузкам и виртуальным машинам через масштабируемость vSSM. Развертывание vSCM включает унифицированные конфигурации политик безопасности для каждой виртуальной машины. CloudHive поддерживает vMotion, чтобы гарантировать, что сервисы безопасности сохраняются в том случае, если виртуальные машины перемещаются, существующие потоки виртуальных машин не будут прерваны vMotion.

Повышение эффективности при снижении затрат

Layer 2 разворачивание CloudHive не влияет на существующую топологию сети. Это минимизирует накладные расходы на развертывание и настройку, не влияя на бизнес процессы и не прерывая работу сети. Кроме того, преимущество простоты управления одним устройством снижает количество эксплуатационных ошибок и повышает общую эффективность. Общая стоимость владения также снижается, поскольку службам безопасности CloudHive не требуется обновление или расширение существующих платформ облачного управления.
Особенности продукта
Контроль приложений
  • Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
  • Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
  • Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
  • Обновление базы данных приложений в режиме реального времени
Видимость
  • Автоматическое обнаружение виртуальных ресурсов: сетей и виртуальных машин
  • Динамический мониторинг виртуальных ресурсов, автоматическое/ручное обновление адресных книг VM/IP/MAC
  • Визуализация топологии виртуальной сети, виртуальных машин и трафика
  • Глубокое понимание и мониторинг всего трафика между виртуальными машинами или группами портов
  • Ранжирование трафика, приложений и угроз, разворачивающиеся виджеты для перехода к соответствующей информации
  • Индивидуальные параметры визуализации: сортировка, запросы, фильтрация, увеличение/уменьшение масштаба
  • Поддержка журналов: журналы сессий, журналы угроз и системные журналы
Межсетевой экран
  • Контроль доступа на уровнях 2-7
  • Контроль доступа виртуальных машин и сети
  • Контроль доступа аккаунтов AD
  • Контроль доступа на основе таблиц времени
  • Шлюз уровня приложений (ALG)
  • Ограничение сессий: новые сессии/одновременные сессии
Защита от атак
  • Защита от атак, использующих анормальные протоколы
  • Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
  • Защита от ARP атак
  • Выявление и защита от сканирования портов
Предотвращение вторжений
  • Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
  • Выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
  • Функция журналирования пакетов
  • Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
  • Исключение IP из специфических IPS сигнатур
  • Режим снифера IDS
  • IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
  • Активный байпас с обходными интерфейсами
  • Предопределенная конфигурация предотвращения
Антивирус
  • Ручное, автоматическое, принудительное или по запросу обновление сигнатур,
  • Потоковый антивирус, включает протоколы: HTTP, SMTP, POP3, IMAP, FTP/SFTP
  • Сканирование на вирусы сжатых файлов
Разворачивание
  • Поддерживаются режимы: зеркальный (TAP) и прозрачный (мост)
  • L2 разворачивание без необходимости внесения изменений в конфигурацию сети
  • Простота развертывания без рутовых полномочий и плагинов, минимизация влияния на виртуальную машину и гипервизор
  • vSSM может масштабироваться без прерывания сервиса безопасности, до 200 vSSM модулей
  • Обеспечение конфигураций политик на основе виртуальных машин посредством автоматического изучения виртуальных ресурсов
  • Обнаружение состояния виртуальной машины (включена или выключена) и автоматическое обновление изменения IP-адреса виртуальной машины
  • Включение или отключение службы безопасности на виртуальной машине или группе портов одним щелчком
  • Поддержка VMware VSS/VDS, vSAN разворачивания
  • Поддержка разворачивания Openstack OVS
Высокая доступность
  • «Отключение виртуальной машины» vSOM не влияет на сервис CloudHive
  • Разделение плоскости обслуживания, управления и контроля обеспечивает стабильность обслуживания
  • vSCM развертываются парами (Активный/Пассивный) для обеспечения высокой доступности
  • Отключение одного vSSM виртуальной машины не влияет на систему; трафик пользователя виртуальной машины может обойти vSSM
  • vSCM может перезагрузить и перезапустить сервис безопасности автоматически после отключения виртуальной машины.
  • Поддержка vMotion: политики безопасности и сеансы потоков автоматически синхронизируются между несколькими сервисными модулями
  • Поддержка обновления программного обеспечения без прерывания сервиса (In Service Software Upgrade – ISSU)
  • Поддержка доверенных хостов сетевых администраторов и контроль над временем попыток входа в систему
Управление
  • Интерфейсы: RESTful API, CLI, WebUI
  • Распределённая архитектура, централизованное и унифицированное управление через единый интерфейс
  • Пересылка журналjd на внешние серверы syslog через vDSM, поддержка массивного и высокоскоростного журналирования.
  • Поддержка Radius/TACACS+ других производителей
  • Поддержка управления на основе IP/Port/App и VM/Port group
  • Поддержка политик самообучения, политик сходимости, удаления дубликатов и подсчет баллов.
  • Rest API для партнеров для дальнейшей автоматизации разработки и интеграции
  • Мониторинг по SNMP и уведомление по SNMP trap, поддержка NTP
  • Многоуровневый режим администрирования для разделения эксплуатации и управления
  • Сбор и загрузка пакетов, диагностика изменения окружения для определения места повреждения
Совместимость
  • VMWARE vSphere 5.0/5.1/5.5/6.0/6.5
  • Платформа VMWARE Horizon VDI
  • Openstack Mitaka (Openstack + KVM + OVS)
Ресурсы