Операции безопасности для программно-определяемого ЦОД (SOSDDC)

Программа курса

Введение

  • Вводная информация и логистика курса.
  • Цели курса.

Концепции ИБ

  • Ключевые принципы защиты программно-определяемого ЦОДа (далее SDDC).
  • Отличия в защите традиционной и виртуальной инфраструктуры.
  • Управление сущностями и контроль доступа в SDDC.
  • Методы защиты компонентов виртуальной инфраструктуры.
  • Риски мобильных вычислений и EUC.
  • Безопасность доступа гостевых ОС.
  • Концепции ужесточения правил работы механизмов защиты применительно к компонентам виртуальной инфраструктуры.

Управление сущностями и доступом в среде vSphere

  • Ролевая модель контроля доступа в vSphere и View.
  • Настройка ролевой модели контроля доступа в ESXi, vCenter Server и View.
  • Настройка Single Sign-On (далее SSO) для административного доступа.
  • Варианты ужесточения политики паролей
  • Настройка локальных пользователей ESXi и интеграция с Active Directory.
  • Профили защиты ESXi и доступ к службам.

Защита vSphere

  • Защита ESXi.
  • Режим Lockdown.
  • Настройка персонального межсетевого экрана ESXi.
  • Защита vCenter Server.
  • Инструментарий для минимизации уязвимостей инфраструктуры.
  • Реализация vSphere Hardening Guide.

Защита данных

  • Технологии шифрования данных.
  • Варианты шифрования данных в процессе хранения на виртуальных серверах и рабочих местах.
  • Защита абонентских устройств View.
  • Варианты защиты Datastore.
  • Шифрование View PCoIP.
  • VMware Operating System Optimization Tool для десктопных и серверных виртуальных машин.
  • Знакомство с VMware AirWatch для защиты десктопов и мобильных устройств.
  • Интеграция VMware AirWatch и NSX.
  • Управление электронными сертификатами vSphere с помощью служб VMware Certification Authority и VMware Endpoint Certificate.
  • Использование Certificate Automation Tool для управления сертификатами vSphere.
  • Настройка и использование IPsec VPN.
  • Использование VMware Endpoint Certificate Store.

Безопасность сетей

  • Управление сетями в SDDC.
  • Политики безопасности и настройка коммутаторов vSphere.
  • Настройка механизмов защиты распределенных коммутаторов vSphere.
  • Использование распределенного межсетевого экрана и маршрутизатора NS для реализации микросегментации.
  • Защита и управление трафиком север-юг с помощью NSX Edge и физических межсетевых экранов.
  • Управление доступом к сети управления vSphere.
  • Использование логических коммутаторов NSX для защиты сети.
  • Проектирование кластеров и стоек для минимизации уязвимостей.
  • Ограничение доступа к сети управления vSphere.
  • Защита компонентов сетевой инфраструктуры.

Защита виртуальных машин, мобильных устройств и приложений

  • Защита гостевых ОС.
  • Защита мобильных устройств с помощью AirWatch.
  • Защита конечных устройств с помощью NSX и Service Composer.
  • Использование распределенного межсетевого экрана и микросегментации для изоляции и защиты виртуальных машин.
  • Использование identity-based межсетевого экрана NSX для контроля за трафиком на основе учетных записей Active Directory.
  • Дополнительный функционал NSX за счет интеграции с решениями партнеров.

Мониторинг датацентра и соответствие требованиям

  • Использование vRealize Log Insight для идентификации и анализа имеющих отношение к безопасности записей в журналах.
  • Внедрение распределенной среды журналирования.
  • Проверка соответствия требованиям с помощью vRealize Configuration Manager.
  • Мониторинг с помощью vRealize Configuration Manager.

Автоматизация защиты

  • Использование функций и инструментов VMware для реализации непрерывной защиты.
  • Автоматизация реакции на инциденты безопасности.
  • Внедрение автоматизированного комплекса мер с помощью групп, политик и тэгов безопасности.
  • Автоматизация применения параметров безопасности к виртуальным машинам с помощью политик NSX.