Piszki Lab

Analiza przypadku w języku przodków…

Trend Micro Deep Security

| 0 comments

Od dłuższego czasu nosiłem się z zamiarem opisania tego produktu, w końcu pojawiła się stosowna okazja, zaliczyłem kurs Trend Micro Deep Security 9.0 Support Track, zdałem egzamin i od dzisiaj jestem Trend Micro Certified Security Master Uśmiech

tmds

Deep Security używamy od wersji 8.0 która była instalowana na vSphere 5.0, aktualnie  mamy 9.0 sp1 na vSphere 5.1. W styczniu wyjdzie wersja 9.5 która będzie w pełni zgodna z vSphere 5.5. Aktualnie nasza licencja obejmuje wszystkie moduły, wiemy jednak, że wersja 9.5 będzie rozbudowana o kolejne, w tym takie, które pozwolą na skanowanie pod względem bezpieczeństwa portali internetowych (jako posiadacze takiego portalu, mamy zamiar przetestować wszystkie nowości). Deep Security zapewnia pełną ochronę całego środowiska wirtualnego (i fizycznego), w tym ochronę maszyn wirtualnych w opcji “bez agentowej”. Sama instalacja DSM jest banalnie prosta. Konfiguracja jest intuicyjna, warto zapoznać się też z dokumentem “Best Practis”.

Jestem długoletnim użytkownikiem tego produktu, ze sporym doświadczeniem, chciałbym się tutaj podzielić kilkoma przemyśleniami. Jestem też wielkim fanem tego rozwiązania ale patrzę na nie dość krytycznie z tego względu, że dość długo się “wygrzewało i stabilizowało” i swego czasu dało nam trochę w kość. Ochrony “agentowej” nie trzeba raczej tłumaczyć. W tym wpisie chciałbym się głównie “rozprawić” z ochroną bez agentową (agentless) wokół której narosło trochę mitów. Niestety, jak zawsze, marketing nie przedstawia całej prawdy a pewnych szczegółów (technicznych!) można się dowiedzieć tylko… na szkoleniu.

Mechanika działania całego Deep Security Przedstawia się jak poniżej:

deep2

Ochronę bez agentową zapewnia DSVA, czyli appliance, który musi zostać załadowany na każdy host ESXi. DSVA komunikuje się z vSphere poprzez stosowne API, dlatego wymaga do działania vShield Managera oraz obecności na każdym hoście ESXi załadowanego vShield App. Wirtualna maszyna musi mieć zainstalowane i poprawnie działające VMware Tools (ze sterownikiem vShield Driver który nie jest instalowany domyślnie!). Jeśli którykolwiek z tych komponentów nie działa, ochrona zanika. Dokładnie, zanika. W normalnych warunkach, wszystko to, co jest związane z działaniem wirtualnej maszyny jest dodatkowo filtrowane przez DSVA (dokładnie tak nazywa się sterownik który instalujemy na każdym hoście – filterdriver). Nie działające DSVA (np. po restarcie hosta okazuje się że jest wyrejestrowane z vShield Managera) nie widzi maszyny (offline) i nie ingeruje w jej działanie. Cała reszta komunikacji odbywa się poprawnie, stąd zanikanie ochrony. Ma to dobrą stronę, awaria Deep Security Managera lub Deep Security Virtual Appliance nigdy nie spowoduje, że nasze środowisko przestanie działać. Minusem jest to, że jeśli chcemy UTRZYMAĆ ochronę w przypadku awarii, musimy zainstalować Agenta.

Schemat działania DSVA przedstawia się następująco:

deep1

Czym tak naprawdę jest DSVA? Jest to maszyna Linuksowa (możemy mieć tam pełen wgląd) na której uruchamiane są kolejne instancje Agentów (dla każdej chronionej wirtualnej maszyny). Tak tak, bez agentowa ochrona odbywa się za pomocą… Agentów!

agent1

Tutaj mamy dokładnie rozpisane różnice pomiędzy tym, co zapewnia Agent a DSVA:

deep0

Na pierwszy rzut oka widać różnice pomiędzy systemami Windows a Linuks/Uniks. Zgodnie z wykładnią Trend Micro, nakład pracy jaki musiałby być wykonany przy rozbudowie uniksowej ochrony (bez agentowej) jest nie adekwatny do uzyskanych zysków. Najważniejsze, czyli “wirtualne patchowanie” (w nowej nomenklaturze po prostu IPS) działa doskonale na systemach Linuks/Uniks. Nie działa niestety Integrity Monitoring (odpowiednik HIDS). Bez zainstalowanego Agenta nie będziemy mieć też wglądu w logi systemów, a w logach potrafi się dziać dużo:

log

Istnieje też spora różnica pomiędzy ochroną antywirusową zapewnianą przez DSVA i lokalnego Agenta. DSVA ma “wgląd” w maszynę tylko poprzez API, potrafi zeskanować odczytywane pliki, potrafi przeskanować zawartość dysku, ale nie ma wglądu w to co dzieje się w pamięci maszyny:

deep3

Zainstalowany lokalnie Agent potrafi więcej, korzysta z technologii i doświadczenia wypracowanego przez lata przy produktach takich jak Titanium Security (mam tu na myśli głównie ochronę systemu Windows). Technologia jaka jest wykorzystywana to AMSP, czyli Anti-Malware Solution Platform.

deep4

AMSP to modułowa technologia oparta na wtyczkach (plugin), wykorzystująca silniki Virus Scanning API (VSAPI), Spyware Scanning API (SSAPI) i Damage Cleanup Engine (DCE). I to właśnie DCE jest tym co odróżnia Agenta od DSVA, DCE jest skierowana przeciwko zagrożeniom rezydującym poza systemem plików (w pamięci, w rejestrze i w innych komponentach takich jak Layered Service Providers).

deep5

I tu dochodzimy do wniosków. Czy ochrona bez agentowa to mit? Zdecydowanie nie! Deep Security, poprzez DSVA zapewnia praktycznie natychmiastowe zabezpieczenie całego środowiska wirtualnego. Wdrożenie Deep Security można przeprowadzić w ciągu godziny, wstępne przygotowanie polityki i jej rozesłanie to kilka minut. Dosłownie po chwili mamy włączoną ochronę antywirusową na dziesiątkach maszyn. Zeskanowanie maszyny pod kątem rekomendacji to kilka minut, włączenie rekomendacji (wirtualne patchowanie) i ponowne rozesłanie polityk to minuty. W ciągu 24 godzin możemy przeprowadzić pełne skanowanie maszyn pod kątem anty-malware (zależnie oczywiście od tego ile ich mamy). Nie ma szybszej metody, w rozbudowanych środowiskach nie ma sensu też instalowanie Agenta na każdej maszynie. My przyjęliśmy zasadę, że Agenci są instalowani tylko tam, gdzie zagrożenie jest największe. Maszyny wystawione bezpośrednio do Internetu (portal), maszyny typu back-end, maszyny które muszą spełniać określone warunki, np. PCI Commpliance. I na końcu maszyny typu VDI w pulach typu Full (tak tak, zero zaufania).

Mam nadzieję, że wyjaśniłem w miarę jasno temat bez agentowej ochrony maszyn wirtualnych. Chętnie też odpowiem na każde pytanie dotyczące Deep Security.

Oceń ten artykuł:
[Głosów:0    Średnia:0/5]

Dodaj komentarz

Required fields are marked *.


.

Podobał się wpis? Wesprzyj Piszki Lab, kliknij w reklamę! :-)

.