Ferdinand Sikora – Channel Account Manager Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora – Channel Account Manager

Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Stage 3 Private > Public Cloud 15% 30% 70% 85% Virtualisierungsrate Server Desktops Herausforderungen auf dem Weg zur Virtualisierung

+ Virtuelle Systeme  spezifischer Schutz Neue Herausforderungen:  Gleiche Bedrohungen für virtuelle und physische Server. +  Neue Herausforderungen: Inter-VM Attacken Instant-on Lücken Ressourcenprobleme Komplexes Management 3

Herausforderung der virtuellen Sicherheit 1 Inter-VM Attacken

2         Herausforderung der virtuellen Sicherheit Instant-on Lücken Reaktiviert mit veralteter Security  Aktiv Ruhend  Neue VMs      

Herausforderung der virtuellen Sicherheit 3 Ressourcen Engpässe 3:00 Uhr Scan Standard AV Konsole

Herausforderung der virtuellen Sicherheit 4 Komplexes Management Patchen der Clients Provisionierung neuer VMs Neukonfiguration der Agenten Pattern verteilen

ESX Server Traditioneller Schutz virtueller Server App AV App App App AV App App AV OS OS OS Netzwerk IDS/IPS ESX Server Antivirus: Lokaler, agenten-basierter Schutz in der virtuellen Maschine IDS / IPS : Netzwerk-basiertes Gerät 8

Deep Security

Architektur PHYSICAL VIRTUAL CLOUD Deep Security Relay Agent Appliance Deep Security Agent Security Updates Alerts Deep Security Manager Security Center Security Updates Reports 10

Deep Packet Inspection Trend Micro Deep Security Agentenlos 5 Sicherheits-Module Deep Packet Inspection Erkennt und blockt bekannte und Zero-Day Angriffe welche Sicherheitslücken adressieren Schützt Sicherheitslücken in Webapplikationen IDS / IPS Web Application Protection Schützt vor schadhaften Webseiten Webreputation Bietet erhöhte Sichtbarkeit auf, und Kontrolle über Applikationen welche auf das Netzwerk zugreifen Application Control Verringert die Angriffsfläche. Verhindert DoS & erkennt Netzwerk-Scans Erkennt und blockt Malware (Viren, Würmer, Trojaner, etc.) Firewall Anti-Malware Optimiert Erkennung von wichtigen Sicherheitsvorfällen in unterschiedlichen Logfiles Erkennt bösartige und unautorisierte Veränderungen von Ordnern, Files, Registry Keys,… Log Inspection Integrity Monitoring Schutz wird über Agent und/oder die Virtual Appliance gewährleistet

Deep Packet Inspection IDS/IPS Vulnerability rules: Schützt bekannte Schwachstellen vor unbekannten Angriffen Exploit rules: Stoppt bekannte Angriffe Smart rules: Zero-day Schutz vor unbekannten Exploits gegen unbekannte Schwachstellen Virtuelles Patching Web Application Protection Unterstützt PCI DSS 6.6 Compliance Sichert Schwachstellen in Webapplikationen Schützt Applikationen die nicht gefixt werden können Verhindert SQL injection, cross-site scripting (XSS) Application Control Erkennt verdächtigen Traffic wie z.B. erlaubte Protokolle über nicht-Standard Ports Begrenzt Netzwerkzugriff für Applikationen Erkennt und blockt den Netzwerkzugriff durch bösartige Software

Recommendation Scan The Recommendation Scan feature is what really makes Deep Security scalable, here how it works … The Deep Security Agent will profile the server it is protecting and based upon what it finds (OS/SP/Patch level, Applications/Version/Patches installed), it will determine the potential vulnerabilities that can be exploited and automatically recommend and apply the appropriate security filters to shield the vulnerabilities from attack As the server changes (new applications installed, patches applied, applications removed) the Agent will automatically tune the protection applied to the server (by adding or removing filters as appropriate) w/o requiring admin intervention. This is a critical capability in any solution being considered as the IT security cannot possibly keep track of all applications that may be installed and running on all servers in the enterprise – this “Auto-Tuning” capability ensures performance of the server is optimized and false positives associated with unnecessary filters are eliminated

Integrity Monitoring Überwacht Files, Systeme und Registry Kritische OS und Applikations Daten (Dateien, Ordner, Registry-keys und -values) On-change, on-demand oder Scheduled Detection Ausführliche Dateieigenschaften - Überprüfung inkl. Attribute Überwacht spezifische Verzeichnisse Ausführliche Reports Hilfreich bei: Einhalten der PCI Compliance Alarmierung bei Fehlern, die einen Angriff signalisieren Alarmierung bei kritischen Änderungen am System

VMware APIs

VMware™ APIs (VMSafe & EPSec) Überprüfung von CPU/Speicher Überprüfung spezifischer Speicherseiten Kenntnis des CPU-Zustands Richtliniendurchsetzung durch Ressourcenzuweisung Vernetzung Anzeige des gesamten IO-Verkehrs auf dem Host IO-Verkehr unterbrechen, anzeigen, verändern und reproduzieren Verfügbarkeit aktiven oder passiven Schutzes Speicherplatz Einbauen und Lesen virtueller Festplatten (VMDK) IO-Lese-/Schreibzugriffe auf die Speichergeräte überwachen Transparent für Geräte und verbunden mit ESX- Speicherstapel 16

Deep Security/EPSec API Components Deep Security Virtual Appliance Security Admin Deep Security Manager Deep Security Super Agent VM APP OS Kernel BIOS VM APP OS Kernel BIOS Guest VM EPsec Interface APPs vShield Endpoint Library On Access Scans REST On Demand Scans OS Status Monitor Remediation Vshield Guest Driver Caching & Filtering VI Admin vShield Manager 4.1 / 5 ESX 4.1 / ESXi 5 vSphere Platform vShield Endpoint ESX Module vCenter Legend Trend Micro Deep Security EPSEC API Components (Within DS) vShield Endpoint Components VMware Platform VMware Internal Interfaces Partner Accessible Interfaces

On Access Scan mit vShield Endpoint Deep Security Virtual Appliance VM Guest VM EPsec Lib Deep Security Agent OS On Access Scans APPs On Demand Scans EPsec Thin Agent Remediation Caching & Filtering file event result cached? result excluded by filter? result file event file event * file data request data cached? * file data request * file data * file data * file data scan result result scan result

Effiziente Ressourcenallokation (RAM) Anti-Virus “B” Anti-Virus “Y” Memory (Gigabytes) Anti-Virus “R” # of Guest VMs

Signatur Update bei 10 Agenten Effiziente Ressourcenallokation (Bandbreite) Signatur Update bei 10 Agenten Anti-Virus “B” Anti-Virus “Y” Gigabytes per Second Anti-Virus “R” Time (Seconds)

Geschützte Plattformen (Agent & VA) Windows 2000 Windows 2003 R2 / 2008 (32 & 64 bit) Windows XP Vista (32 & 64 bit) Windows Server 2008 / R2(32 & 64 bit) Windows 7 (32 & 64 bit) HyperV (Guest VM) 8, 9, 10 on SPARC 10 on x86 (64 bit) Red Hat 4, 5 (32 & 64 bit) SuSE 10, 11 VMware ESX Server (guest OS) VMware Server (host & guest OS) XenServer (Guest VM) HP-UX 11i (11.23 & 11.31) AIX 5.3, 6.1 Minimal RAM Requirements (25MB) – unique ability to protect embedded OS devices Integrity Monitoring & Log Inspection Module 21 21

Vorteile für Kunden Höhere Konsolidierungs-rate: Mehr Leistung Ineffiziente Abläufe entfallen Mehr Leistung Keine Antiviren-Stürme Einfachere Verwaltung Keine Agenten,die konfiguriert, aktualisiert und gepatcht werden müssen Besserer Schutz Manipulationssicherer Sofortschutz Jetzt – mit Deep Security VS Virtuelle Appliance VM VM VM VM Früher VM VM VM

Vielen Dank! ?