Security Operations for the Software-Defined Data Center

Введение

• Вводная информация и логистика курса.
• Цели курса.

Концепции ИБ

• Ключевые принципы защиты программно-определяемого ЦОДа (далее SDDC).
• Отличия в защите традиционной и виртуальной инфраструктуры.
• Управление сущностями и контроль доступа в SDDC.
• Методы защиты компонентов виртуальной инфраструктуры.
• Риски мобильных вычислений и EUC.
• Безопасность доступа гостевых ОС.
• Концепции ужесточения правил работы механизмов защиты применительно к компонентам виртуальной инфраструктуры.

Управление сущностями и доступом в среде vSphere

• Ролевая модель контроля доступа в vSphere и View.
• Настройка ролевой модели контроля доступа в ESXi, vCenter Server и View.
• Настройка Single Sign-On (далее SSO) для административного доступа.
• Варианты ужесточения политики паролей
• Настройка локальных пользователей ESXi и интеграция с Active Directory.
• Профили защиты ESXi и доступ к службам.

Защита vSphere

• Защита ESXi.
• Режим Lockdown.
• Настройка персонального межсетевого экрана ESXi.
• Защита vCenter Server.
• Инструментарий для минимизации уязвимостей инфраструктуры.
• Реализация vSphere Hardening Guide.

Защита данных

• Технологии шифрования данных.
• Варианты шифрования данных в процессе хранения на виртуальных серверах и рабочих местах.
• Защита абонентских устройств View.
• Варианты защиты Datastore.
• Шифрование View PCoIP.
• VMware Operating System Optimization Tool для десктопных и серверных виртуальных машин.
• Знакомство с VMware AirWatch для защиты десктопов и мобильных устройств.
• Интеграция VMware AirWatch и NSX.
• Управление электронными сертификатами vSphere с помощью служб VMware Certification Authority и VMware Endpoint Certificate.
• Использование Certificate Automation Tool для управления сертификатами vSphere.
• Настройка и использование IPsec VPN.
• Использование VMware Endpoint Certificate Store.

Безопасность сетей

• Управление сетями в SDDC.
• Политики безопасности и настройка коммутаторов vSphere.
• Настройка механизмов защиты распределенных коммутаторов vSphere.
• Использование распределенного межсетевого экрана и маршрутизатора NS для реализации микросегментации.
• Защита и управление трафиком север-юг с помощью NSX Edge и физических межсетевых экранов.
• Управление доступом к сети управления vSphere.
• Использование логических коммутаторов NSX для защиты сети.
• Проектирование кластеров и стоек для минимизации уязвимостей.
• Ограничение доступа к сети управления vSphere.
• Защита компонентов сетевой инфраструктуры.

Защита виртуальных машин, мобильных устройств и приложений

• Защита гостевых ОС.
• Защита мобильных устройств с помощью AirWatch.
• Защита конечных устройств с помощью NSX и Service Composer.
• Использование распределенного межсетевого экрана и микросегментации для изоляции и защиты виртуальных машин.
• Использование identity-based межсетевого экрана NSX для контроля за трафиком на основе учетных записей Active Directory.
• Дополнительный функционал NSX за счет интеграции с решениями партнеров.

Мониторинг датацентра и соответствие требованиям

• Использование vRealize Log Insight для идентификации и анализа имеющих отношение к безопасности записей в журналах.
• Внедрение распределенной среды журналирования.
• Проверка соответствия требованиям с помощью vRealize Configuration Manager.
• Мониторинг с помощью vRealize Configuration Manager.

Автоматизация защиты

• Использование функций и инструментов VMware для реализации непрерывной защиты.
• Автоматизация реакции на инциденты безопасности.
• Внедрение автоматизированного комплекса мер с помощью групп, политик и тэгов безопасности.
• Автоматизация применения параметров безопасности к виртуальным машинам с помощью политик NSX.