Agenda • • • • • Breve introduzione Società Nuovo Data Center - Diesel Sicurezza IT Sicurezza "virtualizzata" In futuro Chi siamo? Miriade Spa Cosa facciamo? Data Mining, Sicurezza, DBA, Sviluppo Con chi collaboriamo? Google, Amazon, Vmware, TrendMicro, IBM, Oracle, PaloAlto, ecc. Per chi? Industria (acciaierie Valbruna), Moda (Diesel), Consorzi (Infocert), Sanità (ULSS4), ecc. Dove ci trovate? Thiene, Twitter, Linkedin, Facebook, Google+ • Nel 1985 Renzo Rosso rileva la società. • 19 stabilimenti, 6000 dipendenti • 5000 negozi nel mondo • Nel 2006 nasce "Only The Brave" • 1.350 Milioni di fatturato Coraggio, Innovazione, Agilità. Missione Gruppo IT In Diesel la spinta del business e la filosofia aziendale si esplicita anche nelle scelte dell'organizzazione IT. Quindi: focalizzazione su innovazione ed agilità con il consolidamento dei servizi applicativi su VMware nel nuovo DC di Breganze ed estenzione al Cloud. Network & Server • • • • VMware vSphere Ent+ Cisco Nexus Network Cisco Nexus 1000v Servers IBM 3755 4 CPU, 64GB • IBM Storage 8000 Sicurezza IT • Firewall-Juniper • AV-TrendMicro • Web BrowsingWebsense Virtualizzazione Sicurezza TrendMicro DeepSecurity Installazione 1. Install/Upgrade to Vcetner 4.1, Vshield Manager 4.1, ESX 4.1 2. Install Deep Security Manager and Virtual Appliance 3. Prepare ESX via Deep Security Manager (ESX Reboot) 4. Deploy Vshield Kernel driver via Vshield Manager (ESX Maint. Mode) 5. Deploy Vshield Guest Driver (Reboot or template) Preparazione dell'ambiente virtuale Prerequisiti - Operating System: VMware vCenter 4.1 and ESX 4.1 - Software: VMware vShield Manager, and VMware vShield Endpoint 1.0 (including VMware Endpoint Thin Agents for each virtual machine.) Preparazione - Installare VMware vShield Manager e VMware vShield Endpoint. - Creare un Port-Group per la rete interna tra le componenti vShield - Importare la virtual appliance VMware vShield Manager. vShield Manager è utilizzato per distribuire e licenziare vShield Endpoint Protection. - Configurare la vApp appena importata ed accedere via Web Console - Preparare gli hosts ESX per vShield Endpoint installando vShield Endpoint Host Driver. - Installare vShield Endpoint Thin Agents in tutte le virtual machine windows. Prerequisiti Deep Security Manager System Requirements - Memory: 4G - Disk Space: 1.5GB (5GB recommended) - Operating System: Microsoft Windows Server 2008 (32-bit and 64-bit), Windows Server 2008 R2 (64-bit), Windows 2003 Server SP2 (32-bit and 64-bit) - Database (Recommended but Optional): Oracle 11g, Oracle 10g, Microsoft SQL Server 2008 SP1, Microsoft SQL Server 2005 SP2 Web Browser: Mozilla Firefox 3.x (cookies enabled) , Internet Explorer 7.x (cookies enabled), Internet Explorer 8.x (cookies enabled) Per l'installazione di Deep Security è consigliabile l'attivazione di 2 server un con il DB MSSql 2k8 ed uno con la console, inizialmente possiamo gestire il tutto con una sola VM ed eventualmente dividerle se il carico fosse eccessivo. Network, Firewall Requirements - Port 4119: Used by your browser to connect to Deep Security Manager. - Port 4120-4118: The “heartbeat” port, used by Deep Security Agents and Appliances to communicate with Deep Security Manager. - Port 1433 and 1434: bi-directional Microsoft SQL Server ports. - Port 1521: bi-directional Oracle Database server port. - Port 514 (optional): bi-directional communication with Syslog server. Prerequisiti Deep Security Virtual Appliance System Requirements - Memory: 1GB (Memory requirements can vary depending on the number of VMs being protected. See Appendix C for details.) - Disk Space: 20GB - Operating System: VMware vCenter 4.1.0 and ESX/ESXi 4.1.0 - Additional VMware Utilities: VMware Tools, VMware vShield Manager, VMware vShield Endpoint Security 1.0 - VMware Endpoint Protection supported guest platforms: Windows Vista (32-bit), Windows 7 (32-bit), Windows XP (32-bit), Windows 2003 (32-bit, 64-bit), Windows 2008 (32-bit, 64-bit). (For the latest list of supported guest platforms, see your VMware documentation.) Installazione Per l'installazione dell'intera struttura verranno seguiti i seguenti passaggi - Deploy da template di n° 2 (o 1) VM Windows 2k8r2 - Installazione di MSSql 2k8r2 nella VM DB (o nell'unica VM preparata) - Creato il Database e gli utenti necessari per l'accesso al DB - Installazione di Deep Security Manager - Accedere alla console di DSManager - Associare il vCenter - Importazione di DS Virtual Appliance e DS Filter Drivers in DS Manager - Deploy nella struttura di Staging - Installare DS Filter Drivers sui vari Nodi ESX (richiede che il singolo nodo sia messo in Maintenance Mode e riavviato) - Eseguire il Deploy della DS Virtual Appliance sui vari Nodi ESX (non richiede il riavvio del nodo) - Migrazione di alcune VM di test sul nodo attivato ed installazione del modulo vShield - Deploy in produzione - Installare DS Filter Drivers sui vari Nodi ESX (Richiede che il singolo nodo sia messo in Maintenance Mode e riavviato) - Eseguire il Deploy della DS Virtual Appliance sui vari nodi ESX (non richiede il riavvio del nodo) - Migrazione, configurazione e attivazione delle VMs. Configurazione e aggiustamentei finali Commenti Finali - L'installazione richiede un certo numero di attività che richiedono riavvii degli Hosts e delle VM, tali attività possono e devono essere schedulate. - L'attività iniziale di preparazione dell'ambiente virtuale non crea interruzione dei servizi in quanto sfrutteremo appieno le funzionalità di vMotion di vmware. - Come primo step si dovrà prevedere l'implementazione in produzione delle varie VM e VA di management e di seguito l'attivazione della soluzione antivirus in ambiente di staging, terminato il periodo di osservazione si procederà quindi alla distribuzione della soluzione nei vari cluster di produzione. Vantaggi • • • • Risparmio delle risorse virtuali riducendo o eliminando il peso degli agenti sui singoli server virtuali (ma nache dai clients) Riduzione dei tempi di aggiornamento in quanto va aggiornato solo il sistema centrale e le sonde (una per esx server) Gestione e manutenzione ridotte al minimo, non occorre verificare e mantenere ogni singolo agente. Riduce i tempi di deploy da template dei clients/server che non necessitano più dell’installazione dell’agente. Prossimi Passi - Threat Intelligence Management - Deep Security 8.0