![\"U\u015bmiech\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2014\/03\/wlEmoticon-smile11.png\")
<\/p>\nOd d\u0142u\u017cszego czasu nosi\u0142em si\u0119 z zamiarem opisania tego produktu, w ko\u0144cu pojawi\u0142a si\u0119 stosowna okazja, zaliczy\u0142em kurs Trend Micro Deep Security 9.0 Support Track, zda\u0142em egzamin i od dzisiaj jestem Trend Micro Certified Security Master <\/p>\n
Deep Security<\/a> u\u017cywamy od wersji 8.0 kt\u00f3ra by\u0142a instalowana na vSphere 5.0, aktualnie mamy 9.0 sp1 na vSphere 5.1. W styczniu wyjdzie wersja 9.5 kt\u00f3ra b\u0119dzie w pe\u0142ni zgodna z vSphere 5.5. Aktualnie nasza licencja obejmuje wszystkie modu\u0142y, wiemy jednak, \u017ce wersja 9.5 b\u0119dzie rozbudowana o kolejne, w tym takie, kt\u00f3re pozwol\u0105 na skanowanie pod wzgl\u0119dem bezpiecze\u0144stwa portali internetowych (jako posiadacze takiego portalu<\/a>, mamy zamiar przetestowa\u0107 wszystkie nowo\u015bci). Deep Security zapewnia pe\u0142n\u0105 ochron\u0119 ca\u0142ego \u015brodowiska wirtualnego (i fizycznego), w tym ochron\u0119 maszyn wirtualnych w opcji \u201cbez agentowej\u201d. Sama instalacja DSM jest banalnie<\/a> prosta<\/a>. Konfiguracja jest intuicyjna<\/a>, warto zapozna\u0107 si\u0119 te\u017c z dokumentem \u201cBest Practis<\/a>\u201d.<\/p>\n <\/p>\n \n Jestem d\u0142ugoletnim u\u017cytkownikiem tego produktu, ze sporym do\u015bwiadczeniem, chcia\u0142bym si\u0119 tutaj podzieli\u0107 kilkoma przemy\u015bleniami. Jestem te\u017c wielkim fanem tego rozwi\u0105zania ale patrz\u0119 na nie do\u015b\u0107 krytycznie z tego wzgl\u0119du, \u017ce do\u015b\u0107 d\u0142ugo si\u0119 \u201cwygrzewa\u0142o i stabilizowa\u0142o\u201d i swego czasu da\u0142o nam troch\u0119 w ko\u015b\u0107. Ochrony \u201cagentowej\u201d nie trzeba raczej t\u0142umaczy\u0107. W tym wpisie chcia\u0142bym si\u0119 g\u0142\u00f3wnie \u201crozprawi\u0107\u201d z ochron\u0105 bez agentow\u0105 (agentless) wok\u00f3\u0142 kt\u00f3rej naros\u0142o troch\u0119 mit\u00f3w. Niestety, jak zawsze, marketing nie przedstawia ca\u0142ej prawdy a pewnych szczeg\u00f3\u0142\u00f3w (technicznych!) mo\u017cna si\u0119 dowiedzie\u0107 tylko\u2026 na szkoleniu.<\/p>\n Mechanika dzia\u0142ania ca\u0142ego Deep Security Przedstawia si\u0119 jak poni\u017cej:<\/p>\n Ochron\u0119 bez agentow\u0105 zapewnia DSVA, czyli appliance, kt\u00f3ry musi zosta\u0107 za\u0142adowany na ka\u017cdy host ESXi. DSVA komunikuje si\u0119 z vSphere poprzez stosowne API, dlatego wymaga do dzia\u0142ania vShield Managera oraz obecno\u015bci na ka\u017cdym ho\u015bcie ESXi za\u0142adowanego vShield App. Wirtualna maszyna musi mie\u0107 zainstalowane i poprawnie dzia\u0142aj\u0105ce VMware Tools (ze sterownikiem vShield Driver kt\u00f3ry nie jest instalowany domy\u015blnie!). Je\u015bli kt\u00f3rykolwiek z tych komponent\u00f3w nie dzia\u0142a, ochrona zanika. Dok\u0142adnie, zanika. W normalnych warunkach, wszystko to, co jest zwi\u0105zane z dzia\u0142aniem wirtualnej maszyny jest dodatkowo filtrowane przez DSVA (dok\u0142adnie tak nazywa si\u0119 sterownik kt\u00f3ry instalujemy na ka\u017cdym ho\u015bcie \u2013 filterdriver). Nie dzia\u0142aj\u0105ce DSVA (np. po restarcie hosta okazuje si\u0119 \u017ce jest wyrejestrowane z vShield Managera) nie widzi maszyny (offline) i nie ingeruje w jej dzia\u0142anie. Ca\u0142a reszta komunikacji odbywa si\u0119 poprawnie, st\u0105d zanikanie ochrony. Ma to dobr\u0105 stron\u0119, awaria Deep Security Managera lub Deep Security Virtual Appliance nigdy nie spowoduje, \u017ce nasze \u015brodowisko przestanie dzia\u0142a\u0107. Minusem jest to, \u017ce je\u015bli chcemy UTRZYMA\u0106 ochron\u0119 w przypadku awarii, musimy zainstalowa\u0107 Agenta.<\/p>\n Schemat dzia\u0142ania DSVA przedstawia si\u0119 nast\u0119puj\u0105co:<\/p>\n Czym tak naprawd\u0119 jest DSVA? Jest to maszyna Linuksowa (mo\u017cemy mie\u0107 tam pe\u0142en wgl\u0105d) na kt\u00f3rej uruchamiane s\u0105 kolejne instancje Agent\u00f3w (dla ka\u017cdej chronionej wirtualnej maszyny). Tak tak, bez agentowa ochrona odbywa si\u0119 za pomoc\u0105\u2026 Agent\u00f3w!<\/p>\n Tutaj mamy dok\u0142adnie rozpisane r\u00f3\u017cnice pomi\u0119dzy tym, co zapewnia Agent a DSVA:<\/p>\n Na pierwszy rzut oka wida\u0107 r\u00f3\u017cnice pomi\u0119dzy systemami Windows a Linuks\/Uniks. Zgodnie z wyk\u0142adni\u0105 Trend Micro, nak\u0142ad pracy jaki musia\u0142by by\u0107 wykonany przy rozbudowie uniksowej ochrony (bez agentowej) jest nie adekwatny do uzyskanych zysk\u00f3w. Najwa\u017cniejsze, czyli \u201cwirtualne patchowanie\u201d (w nowej nomenklaturze po prostu IPS) dzia\u0142a doskonale na systemach Linuks\/Uniks. Nie dzia\u0142a niestety Integrity Monitoring (odpowiednik HIDS). Bez zainstalowanego Agenta nie b\u0119dziemy mie\u0107 te\u017c wgl\u0105du w logi system\u00f3w, a w logach potrafi si\u0119 dzia\u0107 du\u017co:<\/p>\n Istnieje te\u017c spora r\u00f3\u017cnica pomi\u0119dzy ochron\u0105 antywirusow\u0105 zapewnian\u0105 przez DSVA i lokalnego Agenta. DSVA ma \u201cwgl\u0105d\u201d w maszyn\u0119 tylko poprzez API, potrafi zeskanowa\u0107 odczytywane pliki, potrafi przeskanowa\u0107 zawarto\u015b\u0107 dysku, ale nie ma wgl\u0105du w to co dzieje si\u0119 w pami\u0119ci maszyny:<\/p>\n Zainstalowany lokalnie Agent potrafi wi\u0119cej, korzysta z technologii i do\u015bwiadczenia wypracowanego przez lata przy produktach takich jak Titanium Security (mam tu na my\u015bli g\u0142\u00f3wnie ochron\u0119 systemu Windows). Technologia jaka jest wykorzystywana to AMSP, czyli Anti-Malware Solution Platform.<\/p>\n AMSP to modu\u0142owa technologia oparta na wtyczkach (plugin), wykorzystuj\u0105ca silniki Virus Scanning API (VSAPI), Spyware Scanning API (SSAPI) i Damage Cleanup Engine (DCE). I to w\u0142a\u015bnie DCE jest tym co odr\u00f3\u017cnia Agenta od DSVA, DCE jest skierowana przeciwko zagro\u017ceniom rezyduj\u0105cym poza systemem plik\u00f3w (w pami\u0119ci, w rejestrze i w innych komponentach takich jak Layered Service Providers).<\/p>\n I tu dochodzimy do wniosk\u00f3w. Czy ochrona bez agentowa to mit? Zdecydowanie nie! Deep Security, poprzez DSVA zapewnia praktycznie natychmiastowe zabezpieczenie ca\u0142ego \u015brodowiska wirtualnego. Wdro\u017cenie Deep Security mo\u017cna przeprowadzi\u0107 w ci\u0105gu godziny, wst\u0119pne przygotowanie polityki i jej rozes\u0142anie to kilka minut. Dos\u0142ownie po chwili mamy w\u0142\u0105czon\u0105 ochron\u0119 antywirusow\u0105 na dziesi\u0105tkach maszyn. Zeskanowanie maszyny pod k\u0105tem rekomendacji to kilka minut, w\u0142\u0105czenie rekomendacji (wirtualne patchowanie) i ponowne rozes\u0142anie polityk to minuty. W ci\u0105gu 24 godzin mo\u017cemy przeprowadzi\u0107 pe\u0142ne skanowanie maszyn pod k\u0105tem anty-malware (zale\u017cnie oczywi\u015bcie od tego ile ich mamy). Nie ma szybszej metody, w rozbudowanych \u015brodowiskach nie ma sensu te\u017c instalowanie Agenta na ka\u017cdej maszynie. My przyj\u0119li\u015bmy zasad\u0119, \u017ce Agenci s\u0105 instalowani tylko tam, gdzie zagro\u017cenie jest najwi\u0119ksze. Maszyny wystawione bezpo\u015brednio do Internetu (portal), maszyny typu back-end, maszyny kt\u00f3re musz\u0105 spe\u0142nia\u0107 okre\u015blone warunki, np. PCI Commpliance. I na ko\u0144cu maszyny typu VDI w pulach typu Full (tak tak, zero zaufania).<\/p>\n Mam nadziej\u0119, \u017ce wyja\u015bni\u0142em w miar\u0119 jasno temat bez agentowej ochrony maszyn wirtualnych. Ch\u0119tnie te\u017c odpowiem na ka\u017cde pytanie dotycz\u0105ce Deep Security.<\/p>\n Od d\u0142u\u017cszego czasu nosi\u0142em si\u0119 z zamiarem opisania tego produktu, w ko\u0144cu pojawi\u0142a si\u0119 stosowna okazja, zaliczy\u0142em kurs Trend Micro Deep Security 9.0 Support Track, zda\u0142em egzamin i od dzisiaj jestem Trend Micro Certified Security Master Deep Security u\u017cywamy od … Continue reading ![\"tmds\"](\"https:\/\/vm.piszki.pl\/wp-content\/uploads\/2014\/03\/tmds.png\" "\\"tmds\\"")
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"