Agenda
•
•
•
•
•
Breve introduzione Società
Nuovo Data Center - Diesel
Sicurezza IT
Sicurezza "virtualizzata"
In futuro
Chi siamo? Miriade Spa
Cosa facciamo? Data Mining, Sicurezza, DBA, Sviluppo
Con chi collaboriamo? Google, Amazon, Vmware, TrendMicro, IBM,
Oracle, PaloAlto, ecc.
Per chi? Industria (acciaierie Valbruna), Moda (Diesel),
Consorzi (Infocert), Sanità (ULSS4), ecc.
Dove ci trovate? Thiene, Twitter, Linkedin, Facebook, Google+
• Nel 1985 Renzo Rosso rileva la
società.
• 19 stabilimenti, 6000 dipendenti
• 5000 negozi nel mondo
• Nel 2006 nasce "Only The Brave"
• 1.350 Milioni di fatturato
Coraggio, Innovazione, Agilità.
Missione Gruppo IT
In Diesel la spinta del business e la filosofia aziendale si esplicita anche nelle scelte
dell'organizzazione IT.
Quindi: focalizzazione su innovazione ed agilità con il consolidamento dei servizi
applicativi su VMware nel nuovo DC di Breganze ed estenzione al Cloud.
Network & Server
•
•
•
•
VMware vSphere Ent+
Cisco Nexus Network
Cisco Nexus 1000v
Servers IBM 3755 4
CPU, 64GB
• IBM Storage 8000
Sicurezza IT
• Firewall-Juniper
• AV-TrendMicro
• Web BrowsingWebsense
Virtualizzazione
Sicurezza
TrendMicro
DeepSecurity
Installazione
1. Install/Upgrade to Vcetner 4.1,
Vshield Manager 4.1, ESX 4.1
2. Install Deep Security Manager and
Virtual Appliance
3. Prepare ESX via Deep Security
Manager (ESX Reboot)
4. Deploy Vshield Kernel driver via
Vshield Manager (ESX Maint. Mode)
5. Deploy Vshield Guest Driver (Reboot
or template)
Preparazione dell'ambiente virtuale
Prerequisiti
- Operating System: VMware vCenter 4.1 and ESX 4.1
- Software: VMware vShield Manager, and VMware vShield Endpoint 1.0
(including VMware Endpoint Thin Agents for each virtual machine.)
Preparazione
- Installare VMware vShield Manager e VMware vShield Endpoint.
- Creare un Port-Group per la rete interna tra le componenti vShield
- Importare la virtual appliance VMware vShield Manager. vShield
Manager è utilizzato per distribuire e licenziare vShield Endpoint
Protection.
- Configurare la vApp appena importata ed accedere via Web Console
- Preparare gli hosts ESX per vShield Endpoint installando vShield
Endpoint Host Driver.
- Installare vShield Endpoint Thin Agents in tutte le virtual machine
windows.
Prerequisiti Deep Security Manager
System Requirements
- Memory: 4G
- Disk Space: 1.5GB (5GB recommended)
- Operating System: Microsoft Windows Server 2008 (32-bit and 64-bit), Windows
Server 2008 R2 (64-bit), Windows 2003 Server SP2 (32-bit and 64-bit)
- Database (Recommended but Optional): Oracle 11g, Oracle 10g, Microsoft SQL
Server 2008 SP1, Microsoft SQL Server 2005 SP2
Web Browser: Mozilla Firefox 3.x (cookies enabled) , Internet Explorer 7.x
(cookies enabled), Internet Explorer 8.x (cookies enabled)
Per l'installazione di Deep Security è consigliabile l'attivazione di 2 server un
con il DB MSSql 2k8 ed uno con la console, inizialmente possiamo gestire il tutto
con una sola VM ed eventualmente dividerle se il carico fosse eccessivo.
Network, Firewall Requirements
- Port 4119: Used by your browser to connect to Deep Security Manager.
- Port 4120-4118: The “heartbeat” port, used by Deep Security Agents and
Appliances to communicate with Deep Security Manager.
- Port 1433 and 1434: bi-directional Microsoft SQL Server ports.
- Port 1521: bi-directional Oracle Database server port.
- Port 514 (optional): bi-directional communication with Syslog server.
Prerequisiti Deep Security Virtual Appliance
System Requirements
- Memory: 1GB (Memory requirements can vary depending on the number of VMs being
protected. See Appendix C for details.)
- Disk Space: 20GB
- Operating System: VMware vCenter 4.1.0 and ESX/ESXi 4.1.0
- Additional VMware Utilities: VMware Tools, VMware vShield Manager, VMware vShield
Endpoint Security 1.0
- VMware Endpoint Protection supported guest platforms: Windows Vista (32-bit), Windows 7
(32-bit), Windows XP (32-bit), Windows 2003 (32-bit, 64-bit), Windows 2008 (32-bit, 64-bit).
(For the latest list of supported guest platforms, see your VMware documentation.)
Installazione
Per l'installazione dell'intera struttura verranno seguiti i seguenti passaggi
- Deploy da template di n° 2 (o 1) VM Windows 2k8r2
- Installazione di MSSql 2k8r2 nella VM DB (o nell'unica VM preparata)
- Creato il Database e gli utenti necessari per l'accesso al DB
- Installazione di Deep Security Manager
- Accedere alla console di DSManager
- Associare il vCenter
- Importazione di DS Virtual Appliance e DS Filter Drivers in DS Manager
- Deploy nella struttura di Staging
- Installare DS Filter Drivers sui vari Nodi ESX (richiede che il singolo nodo
sia messo in Maintenance Mode e riavviato)
- Eseguire il Deploy della DS Virtual Appliance sui vari Nodi ESX (non
richiede il riavvio del nodo)
- Migrazione di alcune VM di test sul nodo attivato ed installazione del
modulo vShield
- Deploy in produzione
- Installare DS Filter Drivers sui vari Nodi ESX (Richiede che il singolo nodo
sia messo in Maintenance Mode e riavviato)
- Eseguire il Deploy della DS Virtual Appliance sui vari nodi ESX (non
richiede il riavvio del nodo)
- Migrazione, configurazione e attivazione delle VMs.
Configurazione e aggiustamentei finali
Commenti Finali
- L'installazione richiede un certo numero di attività che richiedono
riavvii degli Hosts e delle VM, tali attività possono e devono essere
schedulate.
- L'attività iniziale di preparazione dell'ambiente virtuale non crea
interruzione dei servizi in quanto sfrutteremo appieno le funzionalità
di vMotion di vmware.
- Come primo step si dovrà prevedere l'implementazione in produzione
delle varie VM e VA di management e di seguito l'attivazione della
soluzione antivirus in ambiente di staging, terminato il periodo di
osservazione si procederà quindi alla distribuzione della soluzione
nei vari cluster di produzione.
Vantaggi
•
•
•
•
Risparmio delle risorse virtuali riducendo o
eliminando il peso degli agenti sui singoli server
virtuali (ma nache dai clients)
Riduzione dei tempi di aggiornamento in quanto va
aggiornato solo il sistema centrale e le sonde
(una per esx server)
Gestione e manutenzione ridotte al minimo, non
occorre verificare e mantenere ogni singolo
agente.
Riduce i tempi di deploy da template dei
clients/server che non necessitano più
dell’installazione dell’agente.
Prossimi Passi
- Threat
Intelligence
Management
- Deep Security 8.0