Trend Micro Deep Security - Adelanto · 2010. 3. 15. · TREND MICRO DEEP SECURITY 2 Livre blanc |...

Click here to load reader

  • date post

    01-Sep-2020
  • Category

    Documents

  • view

    1
  • download

    0

Embed Size (px)

Transcript of Trend Micro Deep Security - Adelanto · 2010. 3. 15. · TREND MICRO DEEP SECURITY 2 Livre blanc |...

  • Trend MicroDeep Security

    Sécurité des serveurs

    Protection du centre de

    données dynamique

    Livre blanc de Trend Micro | Août 2009

  • TREND MICRO DEEP SECURITY

    1 Livre blanc | Protection du centre de données dynamique

    I. SÉCURITÉ DU CENTRE DE DONNÉES DYNAMIQUE

    L’objectif de la sécurité informatique est de donner de l'élan à vos activités et non de les freiner.

    Cependant, les enjeux et la complexité auxquels vous êtes confronté dans ce domaine s’intensifient

    de jour en jour. Les exigences de conformité imposent des normes de sécurité pour les données et les

    applications des serveurs. Les serveurs physiques sont remplacés par des machines virtuelles dans

    un souci d’économie, d’écologie et d’évolutivité. Le « cloud computing » bouleverse l’infrastructure

    informatique traditionnelle pour doper les économies de coûts tout en améliorant la flexibilité, la capacité

    et le choix. Les serveurs ne sont plus barricadés derrière des défenses de périmètre, et à l’instar des

    ordinateurs portables, ils s’évadent hors du périmètre de sécurité et nécessitent une dernière ligne de

    défense. Dans le cadre de votre stratégie de sécurité en profondeur, il est essentiel de déployer un

    système de protection du serveur et des applications offrant des contrôles de sécurité complets et

    prenant en charge les environnements informatiques actuels et futurs. Trend Micro vous offre des

    solutions pour répondre à ces défis, parmi lesquelles la solution Deep Security.

    LES SERVEURS SONT SOUS PRESSION

    La Risk Team de Verizon Business a révélé dans son rapport intitulé 2008 Data Breach Investigations

    Report que 59 % des violations de données récentes étaient la conséquence de piratage et d’intrusions.

    Les failles survenues chez TJX et Hannaford ont souligné le risque d’impact négatif sur la réputation et

    sur les opérations d’une entreprise de façon significative en cas de compromission du système. Les

    entreprises poursuivent le difficile exercice consistant à trouver un équilibre entre le besoin de protéger

    leurs ressources et le besoin d’étendre l’accès à ces mêmes ressources pour davantage de partenaires

    et de clients.

    La norme actuelle Current Payment Card Industry Data Security Standards (PCI DSS) admet que les

    défenses traditionnelles du périmètre ne suffisent plus pour protéger les données contre les dernières

    menaces et que de multiples couches de protection sont désormais nécessaires au-delà du pare-feu

    d’appliance et des systèmes de détection et de prévention des intrusions (IDS/IPS). Les réseaux sans

    fil, les attaques chiffrées, les ressources mobiles et les applications Web vulnérables sont autant de

    facteurs qui exposent les serveurs d’entreprise à une attaque et à une compromission.

  • TREND MICRO DEEP SECURITY

    2 Livre blanc | Protection du centre de données dynamique

    Au cours des cinq dernières années, les plates-formes informatiques de centres de données,

    jusqu’alors largement basées sur des serveurs physiques, ont connu un bouleversement technologique.

    L’empreinte d’un centre de données traditionnel tend à se réduire et à permettre des économies de

    coûts et une informatique plus « verte » grâce à la consolidation des serveurs. Presque toutes les

    entreprises ont virtualisé tout ou partie des charges de travail de leur centre de données, permettant

    ainsi des utilisations multitenants ou multilocataires de serveurs physiques auparavant destinés à une

    seule entité ou à un seul objectif. Le Gartner Group estime que d’ici à 2011, le nombre de machines

    virtuelles installées se multipliera au moins par 10 et que d’ici à 2012, la majorité des charges de travail

    de serveur x86 seront exécutées sur des machines virtuelles.

    LES SERVEURS CONNAISSENT UNE MULTIPLICATION RAPIDE ET DYNAMIQUE

    Les avantages évidents de la virtualisation informatique ont largement séduit les entreprises. La

    virtualisation augmente les capacités et la réactivité face aux impératifs professionnels. De plus, une

    utilisation plus efficace des licences matérielles et logicielles contribue à une consolidation durable des

    charges de travail du serveur. Dans les environnements virtuels, la frontière entre les dispositifs de

    réseau et les serveurs s’efface peu à peu, ces derniers étant associés au sein de plates-formes de

    virtualisation. Néanmoins, comme les appliances de sécurité réseau ignorent le trafic circulant entre les

    machines virtuelles, l’hébergement de charges de travail différentes ouvre la voie à l’apparition de

    nouvelles attaques. Les outils de déplacement essentiels à la gestion des interruptions programmées,

    à une utilisation efficace des ressources de virtualisation et à la disponibilité des applications

    occasionnent une charge de travail supplémentaire sur le serveur, entraînant ainsi un certain impact

    sur la gestion de l’historique de conformité et sur les appliances de sécurité virtuelles. L’expansion

    inévitable des machines virtuelles accroît le risque d’une exposition au trafic malveillant pour celles

    qui ne disposent pas des derniers correctifs de sécurité. Le personnel informatique doit examiner

    attentivement les méthodes visant à protéger les instances virtuelles des serveurs d’entreprise.

    LES SERVEURS S’OUVRENT À L’INFORMATIQUE « IN THE CLOUD »

    Le cloud computing augmente la capacité d’une entreprise à satisfaire la demande informatique de ses

    opérations quotidiennes. Le nombre croissant des entreprises exploitant le cloud computing et les

    fournisseurs de services créant des clouds publics remettent en question le modèle de sécurité visant

    à héberger de façon efficace ces charges de travail virtualisées. La sécurité est le domaine pour lequel

    les entreprises sont le plus hésitantes lorsqu’il est question de déplacer des charges de travail profes-

    sionnelles sur des clouds publics. IDC a récemment conduit une enquête auprès de 244 responsables

    informatiques, DSI et autres collaborateurs du même secteur d’activité en vue de connaître leur opinion

    sur les services cloud et l’utilisation qu’en fait leur entreprise. Les résultats ont montré que la sécurité

    était bel et bien l’enjeu majeur du cloud computing.

    Lorsqu’un serveur est déplacé vers des ressources de cloud public, le périmètre du centre de données

    n’offre aucune protection puisque ces serveurs virtualisés disposent d’un accès administratif directement

    sur Internet. Les problèmes déjà existants au niveau du centre de données comme la gestion des

    correctifs et les rapports de conformité deviennent éminemment plus complexes. La seule protection

    digne de ce nom pour le cloud est le plus petit dénominateur commun que le distributeur peut fournir au

    niveau du périmètre ou au niveau de l’outil qu’une en treprise choisit pour assurer la défense de sa

  • TREND MICRO DEEP SECURITY

    3 Livre blanc | Protection du centre de données dynamique

    machine virtuelle, comme cette dernière est hébergée sur des serveurs avec les charges de travail

    d’autres entreprises.

    « La principale inquiétude liée aux

    services cloud est, de loin, la

    sécurité. Lorsque les informations

    et les ressources informatiques

    critiques de leur entreprise se

    trouvent hors de portée de leur

    pare-feu, les clients s’inquiètent à

    l’idée d’une éventuelle attaque. »

    – Frank Gens, Vice-président

    directeur et analyste en chef, IDC

    II. PRÉSENTATION : TREND MICRO DEEP SECURITY

    La solution Trend Micro Deep Security est un logiciel de protection de serveur et d’applications qui unifie

    la sécurité à travers les environnements de centres de données virtuels, de cloud computing et

    traditionnels. Elle aide les entreprises à prévenir les violations de données et les interruptions d’activité,

    contribue à la mise en conformité avec les réglementations et normes clés, telles que PCI, et permet de

    réduire les coûts de fonctionnement, un aspect non négligeable compte tenu du climat économique

    actuel. La solution Deep Security permet aux systèmes d’assurer leur propre défense et est optimisée

    pour vous aider à protéger vos données confidentielles et garantir la disponibilité des applications. Elle

    propose une protection complète :

    L’inspection approfondie des paquets permet la détection et la prévention des intrusions(IDS/IPS), la protection des applications Web et le contrôle des applications.

    Pare-feu dynamique

    Surveillance de l’intégrité des fichiers et du système

    Inspection des journaux

  • TREND MICRO DEEP SECURITY

    4 Livre blanc | Protection du centre de données dynamique

    III. SÉCURITÉ COMPLÈTE ET GÉRABLE

    La solution Deep Security utilise des modules ciblant les besoins clés de la protection du serveur et

    des applications :

    Modules Deep Security

    Inspection approfondie des paquets

    Obligations pour les centres de donnéesIDS/IPS

    Protection desapplications

    Web

    Contrôledes

    applications

    Pare-feuSurveillancede l'intégrité

    Inspectiondes

    journaux

    Protection du serveur– Protection contre les attaques connues est les

    attaques de type « zero-day ».– Protection des failles jusqu’à l’application d’un

    correctif

    Protection des applications Web– Protection contre les attaques Internet de type

    injection SQL, cross-site scripting ainsi que lesattaques par force brute

    – Conformité à la norme PCI DSS 6.5 – Pare-feud’application Web

    Sécurité de virtualisation– Protection contre les attaques connues est les

    attaques de type « zero-day ».– Protection des failles jusqu’à l’application

    d’un correctif– Intégration à VMware VCenter pour une meilleure

    visibilité et une meilleure gestion

    Détection des comportements suspects– Protection contre les scans de reconnaissance– Détection des protocoles autorisés sur les ports

    inappropriés– Alerte pour les erreurs du système d’exploitation et

    des applications pouvant indiquer une attaque– Alerte pour les modifications critiques du système

    d’exploitation et des applications

    Sécurité du cloud computing– Utilisation de stratégies de pare-feu pour isoler les

    machines virtuelles– Protection contre les attaques connues et les

    attaques de type « zero-day ».

    – Protection des failles jusqu’à l’applicationd’un correctif

    Rapports de conformité– Visibilité et suivi de tous les changements apportés

    aux serveurs essentiels– Inspection, mise en corrélation et transmission des

    événements de sécurité importants aux serveursde journalisation à des fins de restauration, degénération de rapports et d’archivage

    – Rapports sur les configurations, la détection et laprévention d’activités

    = Essentiel = Avantageux

  • TREND MICRO DEEP SECURITY

    5 Livre blanc | Protection du centre de données dynamique

    IV. AVANTAGES

    Les architectures de sécurité des serveurs de centres de données doivent prendre en compte l'évolution

    des architectures informatiques, notamment la virtualisation et la consolidation, les nouveaux modèles

    de services et le cloud computing. Pour tous les modèles de centres de données, les solutions Deep

    Security aident à :

    Empêcher les violations de données et les interruptions d’activité en :

    – Offrant une ligne de défense au niveau du serveur, qu'il soit physique, virtuel ou en ligne

    – Comblant les failles connues et inconnues des applications Web et professionnelles ainsique des systèmes d’exploitation et en bloquant les attaques de ces systèmes

    – Vous permettant d’identifier les activités et comportements suspects et de prendre desmesures proactives ou préventives

    Contribuer à la mise en conformité en :

    – Répondant à six exigences majeures de la norme PCI, notamment la sécuritéd'applications Web, la surveillance de l'intégrité des fichiers et le recueil des journaux deserveur ainsi qu'à un grand nombre d'autres exigences de conformité

    – Fournissant des rapports détaillés auditables documentant les attaques bloquées et lestatut de mise en conformité aux stratégies, ce qui diminue le temps de préparation requispour les audits

    Encourager les réductions des coûts de fonctionnement en :

    – Offrant une protection contre les failles afin de privilégier la sécurisation de laprogrammation et l’implémentation à bas coût des correctifs de sécurité non prévus

    – Assurant la sécurité dont les entreprises ont besoin pour pouvoir tirer pleinement profit dela virtualisation ou du cloud computing et réaliser les économies de coûts que permettentces approches

    – Assurant une protection complète grâce à un seul agent logiciel à gestion centralisée,éliminant ainsi le besoin et les coûts liés au déploiement de clients logiciels multiples

    V. MODULES ET FONCTIONNALITÉS

    La solution Deep Security vous offre la possibilité de déployer un ou plusieurs modules de protection

    afin d’ajuster cette dernière à vos besoins professionnels changeants. Vous pouvez opter pour la

    création de serveurs et de machines virtuelles qui assurent eux-mêmes leur défense en déployant une

    protection complète, ou commencer par le module de surveillance de l'intégrité pour détecter tout

    comportement suspect. Toutes les fonctionnalités modulaires sont déployées sur le serveur ou sur la

    machine virtuelle par un seul Deep Security Agent, lequel est géré de façon centrale par le logiciel

    Deep Security Manager et unifié à travers les environnements physiques, virtuels et de cloud computing.

    MOTEUR D’INSPECTION APPROFONDIE DES PAQUETS (DPI)

    Détection et prévention des intrusions, protection des applications Web et contrôle

    des applications

    Le moteur hautement performant d'inspection approfondie des paquets de la solution examine

    l’ensemble du trafic entrant et sortant, notamment le trafic SSL, afin de détecter tout détournement de

    protocole ainsi que tout contenu présentant les caractéristiques d'une attaque ou d’une violation des

    stratégies de sécurité. Il peut fonctionner en mode détection ou en mode prévention pour protéger les

  • TREND MICRO DEEP SECURITY

    6 Livre blanc | Protection du centre de données dynamique

    systèmes d’exploitation et corriger les failles de sécurité des applications d’entreprise. Il protège les

    applications Web contre les attaques de la couche d’application, notamment les attaques de type

    injection SQL ou cross-site scripting. La description détaillée des événements fournit de précieuses

    informations sur l’heure et la date de l’attaque, son auteur, ainsi que la cible visée par l’exploit. Les

    administrateurs peuvent être automatiquement notifiés via des alertes lorsqu’un incident se produit.

    L’inspection approfondie des paquets est utilisée dans le cadre de la détection et de la prévention des

    intrusions, de la protection des applications Web et du contrôle des applications.

    DÉTÉCTION ET PRÉVENTION DES INTRUSIONS (IDS/IPS)

    Bloque l’exploitation des failles des systèmes d’exploitation et des applications professionnelles

    jusqu’à l’application d’un correctif, pour une protection rapide contre les attaques inconnues et

    les attaques de type « zero day »

    Les règles de failles permettent la couverture de failles connues, par exemple, celles publiées chaque

    mois par Microsoft lors du « Patch Tuesday », contre un nombre illimité d’exploits. Deep Security

    comprend une protection contre les failles prête à l’emploi pour plus de 100 applications (bases de

    données, web, messagerie, serveurs FTP). Les règles couvrant les dernières failles détectées sont

    automatiquement livrées en quelques heures. Elles peuvent être transmises à des milliers de serveurs

    en quelques minutes et ne nécessitent pas de redémarrage.

    Des règles intelligentes permettent une protection « zero-day » contre les exploits inconnusvisant une faille inconnue, en détectant les données de protocole inhabituelles contenant ducode malicieux

    Les règles d’exploits bloquent les attaques et programmes malveillants connus. Elless’apparentent à un logiciel antivirus conventionnel en ce qu’elles utilisent des signatures pouridentifier et bloquer les exploits individuels connus.

    Étant l’un des premiers membres du Microsoft Active Protections Program (MAPP), la solution Deep

    Security a le privilège de recevoir des informations sur les failles de la part de Microsoft avant la

    parution de son bulletin de sécurité mensuel. Ces informations permettent d’anticiper les menaces

    émergentes et de fournir à leurs clients communs une protection immédiate et efficace grâce aux mises

    à jour de sécurité.

    SÉCURITÉ DES APPLICATIONS WEB

    La solution Deep Security permet la mise en conformité aux exigences PCI 6.6 pour la protection des

    applications Web et des données qui y sont traitées. Les règles de protection des applications Web

    constituent une défense contre les injections SQL, les attaques de type cross-site scripting et autres

    failles de sécurité des applications Web. Les règles couvrent ces failles en attendant que des correctifs

    soient appliqués. La solution utilise des règles intelligentes pour identifier et bloquer les attaques

    d’application Web habituelles. Ainsi, un centre de données SaaS ayant déployé Deep Security a

    été en mesure de bloquer 99 % de toutes les exploitations de failles sérieuses découvertes sur

    ses applications Web et sur ses serveurs grâce à un test de pénétration demandé par un client.

  • TREND MICRO DEEP SECURITY

    7 Livre blanc | Protection du centre de données dynamique

    CONTRÔLE DES APPLICATIONS

    Les règles de contrôle des applications permettent une meilleure visibilité ou un meilleur contrôle des

    applications accédant au réseau. Ces règles peuvent également être utilisées pour identifier les logiciels

    malveillants accédant au réseau ou pour réduire la vulnérabilité de vos serveurs.

    PARE-FEU

    Réduction de la surface d’attaque de vos serveurs physiques et virtuels

    Le logiciel Deep Security Firewall est un module dynamique et bidirectionnel de classe d’entreprise. Il

    peut être utilisé pour activer les communications sur les ports et protocoles nécessaires au bon

    fonctionnement du serveur et pour bloquer tous les autres ports et protocoles, diminuant ainsi le risque

    d'un accès non autorisé au serveur. Ses fonctionnalités sont les suivantes :

    Isolation des machines virtuelles : isolation des machines virtuelles dans des environnementsde cloud computing ou dans des environnements virtuels multilocataires pour une segmentationvirtuelle sans modification des configurations de switch virtuel.

    Filtrage fin : filtrage du trafic avec des règles pare-feu sur les adresses IP, les adresses Mac,les ports, etc. Plusieurs stratégies peuvent être configurées pour chaque interface réseau.

    Couverture de tous les protocoles IP : la prise en charge de la capture d’ensemble de paquetssimplifie le dépannage et livre des informations précieuses pour comprendre l’apparitiond’événements de pare-feu comme TCP, UDP, ICMP, etc.

    Détection de reconnaissance : détection d'activités comme le scan de port. Le trafic non IP telque le trafic ARP peut également être limité.

    Contrôle flexible : le pare-feu dynamique est flexible et permet si nécessaire de contournerentièrement l’inspection de façon contrôlée. Il cible les caractéristiques ambigües de traficpouvant être rencontrées sur n’importe quel réseau, dans le cadre de conditions normales ouà cause d’une attaque.

    Profils de pare-feu prédéfinis : le regroupement de types de serveurs d’entreprise courants(Web, LDAP, DHCP, FTP et base de données) permet de déployer de façon rapide, simpleet cohérente une stratégie de pare-feu, y compris pour de vastes réseaux complexes.

    Génération de rapports décisionnelle : grâce à sa journalisation détaillée, à son systèmed’alertes, à ses tableaux de bord et à sa génération flexible de rapports, le module logicielDeep Security Firewall détecte et suit le fil des modifications apportées à la configuration(quelles modifications de stratégie ont été apportées, qui a effectué ces changements, etc.)pour un suivi d'audit détaillé.

    SURVEILLANCE DE L'INTÉGRITÉ

    Surveillance de changements non autorisés, inattendus ou suspects

    Le module logiciel de surveillance de l’intégrité proposé par Deep Security surveille les fichiers critiques

    du système d’exploitation et des applications, comme les répertoires, les clés et les valeurs de registre,

    afin de détecter tout comportement suspect. Ses fonctionnalités sont les suivantes :

    Détection à la demande ou programmée : les scans d’intégrité peuvent être programmés oueffectués à la demande.

    Vérification étendue des propriétés de fichiers : il est possible de surveiller les fichiers etrépertoires à la recherche de modifications apportées au contenu, aux attributs (propriétaires,permissions et tailles) ainsi qu’au timbre d'heure et de date à l’aide de règles d'intégrité prêtesà l’emploi. Les ajouts, modifications ou suppressions de clés et valeurs de registre Windows,les listes de contrôle d’accès et les fichiers de journaux peuvent également être surveillés etsoumis à une notification. Cette capacité est applicable à l'ensemble de la normePCI DSS 10.5.5.

  • TREND MICRO DEEP SECURITY

    8 Livre blanc | Protection du centre de données dynamique

    Rapports pour audits : le module de surveillance de l’intégrité peut afficher les événementsd’intégrité dans le tableau de bord de Deep Security Manager, émettre des alertes et fournirdes rapports auditables. Il peut également transmettre les événements à un système degestion des informations et des événements de sécurité (SIEM) via Syslog.

    Regroupement des profils de sécurité : les règles de surveillance de l’intégrité peuvent êtreconfigurées en fonction de groupes de serveurs ou de serveurs individuels afin de simplifierle déploiement et la gestion des règles de surveillance.

    Paramétrage de base : les profils de sécurité de base peuvent être mis en place et utilisésà des fins de comparaison de modifications, pour émettre des alertes et pour déterminer lesactions appropriées.

    Surveillance pratique et flexible : le module de surveillance de l’intégrité offre flexibilité etcontrôle afin d’optimiser les activités de surveillance de votre environnement unique. Celacomprend la capacité d’inclure/exclure des fichiers ou des noms de fichiers avec caractèresde remplacement et d'inclure/d'exclure les sous-répertoires dans les paramètres de scan.Vous disposez également de la flexibilité nécessaire pour créer des règles personnaliséesen fonction de vos besoins uniques.

    INSPECTION DES JOURNAUX

    Recherche et exploitation des événements de sécurité importants des fichiers de journalisation

    Le module logiciel d’inspection des journaux proposé par Deep Security offre la possibilité de recueillir

    et d'analyser les journaux de système d'exploitation et d'application pour y étudier les événements de

    sécurité. Les règles d’inspection des journaux optimisent l’identification d’événements de sécurité

    essentiels enfouis dans de multiples entrées de journaux. Ces événements sont transmis à un système

    SIEM ou à un serveur de journalisation centralisé à des fins de mise en corrélation, de génération de

    rapports et d’archivage. Deep Security Agent fera également suivre les informations d’événements à

    Deep Security Manager. Voici quelques-uns des avantages du module d'inspection des journaux :

    Détection des comportements suspects : le module offre une visibilité des comportementssuspects susceptibles de survenir sur vos serveurs.

    Recueil des événements à travers votre environnement : le module d’inspection des journauxde Deep Security est en mesure de recueillir et de mettre en corrélation des événements àtravers les plates-formes Microsoft Windows, Linux et Solaris, des événements d’applicationsde serveurs Web, serveurs de messagerie, SSHD, Samba, Microsoft FTP, etc. ainsi que desévénements de journalisation d’application personnalisés.

    Mise en corrélation de différents événements : recueil et mise en corrélation de diversavertissements, erreurs et événements d’information, y compris les messages systèmes(disque plein, erreurs de communication, événements de service, arrêt du système et mise àjour du système), les événements d’application (connexion/déconnexion/échec/verrouillage ducompte, erreurs d’applications et erreurs de communication) ainsi que les actionsadministratives (connexion/déconnexion/échec/verrouillage administratif, modificationsapportées aux stratégies et modifications apportées au compte).

    Rapports auditables pour une mise en conformité : un suivi d’audit complet des événements desécurité peut être généré afin de contribuer à la mise en conformité avec les normes telles quePCI 10.6.

  • TREND MICRO DEEP SECURITY

    9 Livre blanc | Protection du centre de données dynamique

    VI. ARCHITECTURE DE LA SOLUTION DEEP SECURITY

    L’architecture de la solution Deep Security repose sur trois composants :

    Deep Security Agent, déployé sur le serveur ou la machine virtuelle protégée.

    Deep Security Manager, qui permet une gestion centralisée des stratégies, la distribution desmises à jour de sécurité et la surveillance via des alertes et des rapports.

    Le centre de sécurité, un portail hébergé sur lequel une équipe dédiée de chercheursspécialisés dans les failles de sécurité développe des mises à jour de règles pour les menacesémergentes, ces mises à jour étant régulièrement envoyées à Deep Security Manager.

    FONCTIONNEMENT

    Deep Security Manager envoie une configuration

    de sécurité, généralement un profil de sécurité, à

    Deep Security Agent. Cette configuration de

    sécurité contient les règles d’inspection approfondie

    des paquets, de pare-feu, de surveillance de

    l’intégrité et d’inspection des journaux mises en

    place sur le serveur. Ces règles à attribuer à un

    serveur peuvent être déterminées en effectuant

    simplement un scan de recommandation qui

    scanne le serveur à la recherche de logiciels

    installés et qui propose les règles requises pour la

    protection du serveur. Les événements sont créés

    pour l’ensemble des activités de surveillance de

    règle, puis envoyés à Deep Security Manager et

    éventuellement à un système SIEM. Toutes les

    communications entre les Deep Security Agents et

    Deep Security Manager sont protégées par un

    protocole SSL authentifié des deux côtés.

    Deep Security Manager commence à sonder le centre de sécurité afin de savoir si une nouvelle mise

    à jour de sécurité est disponible. Si c’est le cas, cette nouvelle mise à jour est récupérée par

    Deep Security Manager qui va l’appliquer manuellement ou automatiquement aux serveurs nécessitant

    la protection supplémentaire que cette mise à jour fournit. Les communications entre Deep Security

    Manager et Deep Security sont aussi protégées par un protocole SSL authentifié des deux côtés.

    Deep Security Manager se connecte à d’autres éléments de l’infrastructure informatique pour simplifier

    la gestion. Il peut se connecter à VMware vCenter ainsi qu’à des répertoires comme Microsoft Active

    Directory pour obtenir des informations relatives à la configuration du serveur et au regroupement.

    Deep Security Manager dispose également d’une API de services Web pouvant être utilisée pour

    accéder aux fonctionnalités par la programmation.

    Le centre de sécurité surveille à la fois les sources publiques et privées des informations sur les failles

    afin de protéger les systèmes d’exploitation et applications utilisés par les clients.

  • TREND MICRO DEEP SECURITY

    10 Livre blanc | Protection du centre de données dynamique

    DEEP SECURITY MANAGER

    La solution Deep Security offre des contrôles pratiques et éprouvés ciblant des problèmes de sécurité

    délicats. La sécurité opérationnelle et actionnable renseigne votre entreprise, pas seulement en termes

    d’informations, sur un événement de sécurité. Dans de nombreux cas, il s’agit de répondre aux

    questions « qui, quoi, quand et où » de façon à bien comprendre les événements et à entreprendre les

    actions qui s’imposent au-delà même du centre de sécurité. Le logiciel Deep Security Manager cible à la

    fois les exigences de sécurité et les exigences opérationnelles, grâce aux fonctionnalités suivantes :

    Système d’administration centralisée à interface Web : créez et gérez les stratégies desécurité, effectuez un suivi des menaces et des actions préventives entreprises à partir d'uneinterface utilisateur à l'apparence familière.

    Rapports détaillés : une large sélection de rapports détaillés permet de documenter lestentatives d’attaques et fournit un historique auditable des configurations de sécurité et desmodifications apportées.

    Scan de recommandation : identifie les applications exécutées sur les serveurs et sur lesmachines virtuelles et recommande les filtres à appliquer à ces systèmes, garantissant uneprotection optimale pour un effort minimal.

    Classement des risques : les événements de sécurité peuvent être consultés en fonction de lavaleur de l’actif ainsi qu’en fonction des informations relatives aux failles.

    Accès à base de rôles : plusieurs administrateurs disposant chacun de différents niveaux depermission peuvent gérer différents aspects du système et recevoir des informationspertinentes selon leur niveau d’accès.

    Tableau de bord personnalisable : les administrateurs peuvent naviguer et rechercher desinformations spécifiques mais aussi surveiller les menaces et les actions préventives prises.Plusieurs affichages personnalisés peuvent être créés et enregistrés.

    Tâches programmées : les tâches de routine (par exemple, les rapports, les mises à jour, lessauvegardes et la synchronisation des répertoires) peuvent être programmées pour unfonctionnement automatique.

    DEEP SECURITY AGENT

    Deep Security Agent est un composant logiciel basé sur serveur de la solution Deep Security. Ses

    fonctionnalités comprennent l’IDS/IPS, la protection des applications Web, le contrôle d’application, le

    pare-feu, la surveillance de l’intégrité ainsi que l’inspection des journaux. Il assure la défense du serveur

    ou de la machine virtuelle en surveillant l'ensemble du trafic entrant et sortant pour détecter tout

    détournement de protocole, ainsi que tout contenu présentant les caractéristiques d'une attaque ou

    d’une violation des stratégies. Deep Security Agent intervient si nécessaire pour neutraliser la menace

    en bloquant le trafic malveillant.

  • TREND MICRO DEEP SECURITY

    11 Livre blanc | Protection du centre de données dynamique

    CENTRE DE SÉCURITÉ

    Le centre de sécurité fait partie intégrante de la solution Deep Security. Il est composé d’une équipe

    dynamique d’experts en sécurité aidant les clients à devancer les dernières menaces en apportant une

    réponse immédiate à un vaste éventail de nouvelles failles et de nouvelles menaces au fur et à mesure

    qu'elles sont découvertes, ainsi qu'un portail client permettant d'accéder aux mises à jour et aux

    informations de sécurité. Les experts du centre de sécurité appliquent une procédure de réponse

    rigoureuse et immédiate composée de six étapes, qui s’appuie sur des outils sophistiqués et automatisés :

    Surveiller : plus de 100 sources de données publiques, privées et gouvernementales sontsurveillées systématiquement et en continu afin d'identifier et de mettre en corrélation lesnouvelles menaces et failles significatives. Les chercheurs du centre de sécurité utilisent leursliens avec différentes organisations pour obtenir des informations anticipées sur les failles,parfois avant même leur publication, de façon à pouvoir fournir une protection ciblée etimmédiate aux clients. Ces sources incluent Microsoft, Oracle ainsi que d'autres éditeurs ;SANS, CERT, Bugtraq, VulnWatch, PacketStorm et Securiteam.

    Hiérarchiser : les failles sont ensuite classées par ordre de priorité à des fins d’analyse enfonction d’une évaluation du risque pour les clients par rapport aux accords de niveaude service.

    Analyser : une analyse minutieuse des failles est effectuée afin de déterminer laprotection nécessaire.

    Développer et tester : les filtres logiciels bloquant les failles ainsi que les règles recommandantles filtres sont ensuite développés et testés en détail pour minimiser les faux positifs et pourfaire en sorte que les clients puissent les déployer rapidement et en toute simplicité.

    Fournir : les nouveaux filtres ainsi que les mises à jour de sécurité sont fournis aux clients.Les clients sont immédiatement avertis de la mise à disposition d’une mise à jour de sécuritévia une alerte de Deep Security Manager. Ces filtres peuvent ensuite être appliquésautomatiquement ou manuellement aux serveurs correspondants.

    Communiquer : ces conseils de sécurité donnent lieu à une communication permanente avecles clients par le biais de descriptions détaillées des nouvelles failles de sécurité détectées.

    UNE RECHERCHE PROACTIVE RENFORCE LA PROTECTION

    En outre, l’équipe du centre de sécurité mène en permanence des recherches destinées à améliorer les

    mécanismes généraux de protection. Ce travail dépend largement des résultats et tendances dévoilés

    lors du processus de réponse aux failles et aux menaces. Ces résultats ont également un impact sur la

    création de nouveaux filtres et de nouvelles règles ainsi que sur la qualité des mécanismes de

    protection existants et permettent d’améliorer la protection générale.

    PROTECTION CONTRE UN LARGE ÉVENTAIL DE FAILLES

    Le centre de sécurité développe et fournit des filtres protégeant les applications commerciales « prêtes

    à l’emploi » ainsi que les applications Web personnalisées. Les filtres d’exploitation de failles sont

    réactifs, c’est-à-dire qu'ils sont utilisés en réponse à la découverte d'une faille connue. En revanche,

    les filtres intelligents offrent quant à eux une protection proactive. Les filtres de surveillance d’intégrité

    vérifient différents composants du système et leurs propriétés spécifiques et avertissent l’administrateur

    si des conditions particulières de déclenchement de l’alerte sont réunies. Parmi les composants pouvant

    être surveillés, on retrouve les répertoires et fichiers système, le registre Windows, les comptes

    utilisateurs, les ports et les partages réseau. Les filtres d’inspection des journaux analysent les journaux

    du système d’exploitation et des applications tierces et alertent l’administrateur en cas

    d’événements spécifiques.

  • TREND MICRO DEEP SECURITY

    12 Livre blanc | Protection du centre de données dynamique

    PORTAIL DU CENTRE DE SÉCURITÉ

    Le portail du centre de sécurité offre aux clients un seul point d’accès sécurisé aux informations et à

    l’assistance produit :

    Mises à jour de sécurité

    Informations sur la sécurité

    Informations relatives au score CVSS des failles

    Résumé des alertes du « Patch Tuesday » de Microsoft

    Recherche avancée des failles

    Détection avancée des failles, y compris celles n’étant pas protégées par Third Brigade

    Informations relatives aux correctifs de chaque faille

    Flux RSS

    Rapports d’incidents

    Téléchargement de logiciels

    Documentation produit

    VII. DÉPLOIEMENT ET INTÉGRATION

    La solution Deep Security est conçue pour un déploiement rapide en entreprise. Elle exploite

    l'infrastructure et les investissements existants pour une meilleure efficacité opérationnelle et pour

    minimiser les coûts de fonctionnement.

    Intégration à VMware : l'intégration étroite avec VMware vCenter et VMware ESX Serverpermet l'importation d'informations organisationnelles et opérationnelles des nœuds vCenter etESX vers Deep Security Manager et l'application de la sécurité détaillée sur l'infrastructureVMware de l'entreprise.

    Intégration au SIEM : les événements de sécurité détaillés de niveau serveur sont fournis à unsystème de gestion des informations et des événements de sécurité (SIEM), tel qu'ArcSight,Intellitactics, NetIQ, RSA Envision, Q1Labs, Loglogic et d'autres systèmes grâce à denombreuses options d'intégration.

    Intégration à l’annuaire : intégration aux annuaires de l'entreprise, notamment Microsoft ActiveDirectory.

    Possibilité de configurer la communication relative à la gestion : Deep Security Manager ouDeep Security Agent peuvent se charger de la communication. Cette fonctionnalité minimiseou élimine les modifications de pare-feu généralement nécessaires pour les systèmes àgestion centralisée.

    Distribution logicielle : le logiciel agent peut être déployé facilement grâce à des mécanismesde distribution standard tels que Microsoft SMS, Novel Zenworks et Altiris.

    Filtrage optimisé : capacités avancées de gestion des médias en streaming comme l’offre IPTV(Internet protocol television) pour des performances optimales.

  • TREND MICRO DEEP SECURITY

    13 Livre blanc | Protection du centre de données dynamique

    VIII. L’ATOUT DEEP SECURITY

    La protection de serveurs et d’applications proposée par Trend Micro est capable de relever les défis de

    sécurité d’aujourd’hui et de répondre aux dernières exigences de conformité concernant les centres de

    données dynamiques. Nous offrons une protection complète, une meilleure efficacité opérationnelle, la

    prise en charge de multiples plates-formes et une intégration plus étroite aux investissements existants.

    Nous sommes plus réactifs face aux exigences des clients. Les solutions Deep Security vous

    permettent de bénéficier des avantages suivants :

    Protection plus profonde : pare-feu dynamique, détection et prévention des intrusions, pare-feude couche application, surveillance de l’intégrité des fichiers et du système et inspection desjournaux. Le tout, dans une seule solution.

    Exploitation plus efficace : large déploiement rapide et automatisation de nombreuses tâchesclés (comme la recommandation de la protection adéquate à appliquer à chaque serveur) pourune gestion plus efficace de la solution avec un impact minimal sur les ressourcesinformatiques existantes.

    Prise en charge de multiples plates-formes : le fonctionnement fluide sur plusieurs plates-formes et la prise en charge plus rapide des versions actuelles de ces plates-formes vouspermettent d’adopter les dernières plates-formes de virtualisation et les dernières versionsdes systèmes d’exploitation sans sacrifier la protection.

    Intégration plus étroite : l’intégration plus étroite à l’infrastructure informatique (y compris auxplates-formes de répertoires et de virtualisation) et à d’autres investissements de sécuritéd’avant-garde comme la gestion des informations et des événements de sécurité (SIEM) vousgarantissent un déploiement efficace dans l’entreprise et une flexibilité continue de la partdes fournisseurs.

    Pour de plus amples informations, nous vous invitons à nous contacter par téléphone ou

    à nous rendre visite sur :

    http://fr.trendmicro.com/fr/home/enterprise/

    © 2009 Trend Micro, Incorporated. Tous droits réservés. Trend Micro et le logo t-ball sont des marques commerciales ou déposéesde Trend Micro Incorporated. « Third Brigade », « Deep Security Solutions » et le logo Third Brigade sont des marques commercialesde Third Brigade, Inc. et peuvent être déposées dans certaines juridictions. Tous les autres noms de produit ou de société peuventêtre des marques commerciales ou déposées de leurs propriétaires respectifs. Les informations contenues dans ce documentpeuvent être modifiées sans préavis. WP01TBDS_ProtDynDC_090218