• No se han encontrado resultados

Virtualización segura en la Nube

N/A
N/A
Protected

Academic year: 2021

Share "Virtualización segura en la Nube"

Copied!
15
0
0

Texto completo

(1)

Simón Viñals

Intel Corporation Iberia

Virtualización segura en

la Nube

Seguridad basada en tecnologías de procesador

para infraestructuras Cloud

(2)

Advanced Encryption Standard

New Instructions (AES-NI)

Habilita el uso generalizado de la

encriptación en todos los

elementos

Intel

®

Trusted Execution

Technology (TXT)

Evita la inserción de código

malicioso previo al arranque del

VMM o el OS

en los procesadores Intel

®

Xeon

®

Seguridad de datos y

comunicaciones

Seguridad en virtualización

(3)

Combinación de tecnologías Intel

®

VT, TXT y AES-NI

Los cimientos de los servicios Cloud seguros

Intel

®

AES-NI

Ofrece aceleración por

hardware de la encriptación

para una mejor protección de

datos

Encriptar

Intel

®

TXT

Establece status de“trusted”

para asegurar la migración de

VMs basada en políticas de

seguridad

Asegurar

VMM

VM

1

??

VM

2

VM

1

Intel

®

VT

&

Intel

®

TXT

Aporta aislamiento de VMs y

ofrece un arranque más seguro

Aislar

Intel® TXT ensures

platform launch with

known configuration

VM

1

VM

2

(4)

Ubicuidad en la protección de los datos con las

nuevas instrucciones Intel

®

AES NI

Internet

Intranet

Transacciones seguras en

Internet e Intranet

FDE protege los datos en los

discos y almacenamiento

Encriptación a nivel de aplicación para

mayor automatización y granularidad

Name: J.Doe SS#



Transacciones seguras

(comunmente usadas en pago-e,

ecommerce, banca online, etc.

Las soluciones software FDE (Full disk

encryption) protegen los datos

automáticamente al escribir en el disco

La mayoría de las aplicaciones

empresariales ofrecen opciones para

activar la encriptación y proteger así la

privacidad de los datos

1

2

3

1

2

3

(5)

Intel

®

AES-NI

• Encriptación AES asistida

por hardware

 7 nuevas instrucciones

para mejorar la ejecución del

popular algoritmo de

encriptación

• Soporte al software de

encriptación para ser más

rápido y más seguro

AES-NI soporta las crecientes cargas de trabajo de

encriptación de datos

(6)

IIS

Win server

Uso 1: Más uso de AES en las VMs

• Más uso de SSL/HTTPS en las VM, mayor

velocidad de acceso a discos encriptados

(FDE) o tablespaces encriptados de BBDD

• Resultado: Más VMs por servidor

Apache

Fedora 14

server VMM

(7)

3500

16000

20

Intel

®

Xeon

®

Processor 5600 Series

Comparativas reales de rendimiento con Intel

®

AES-NI

1

System configuration: Windows 2008 R2 x64 Ent. Server. PHP banking sessions /users measured with Intel® Xeon® X5680 (3.33 GHz) vs Intel Xeon® 5160 (3.00

GHz) and Intel Xeon® X5570 (2.93 GHz), 24 SSD RAID 0 arrays, TLS_RSA_with_AES_128_CBC_SHA cipher suite.

2

System configuration: Oracle 11g with TDE, time takes to decrypt a 5.1 million row encrypted table with AES-256 CBC mode on WSM 3.33 GHz optimized with Intel®

Performance Primitives crypto library (IPP) vs NHM 2.8 GHz without IPP. Timing measured is per 4K of data.

3

System configuration: McAfee Endpoint Encryption for PCs (EEPC) 6.0 package with McAfee ePolicy Orchestrator (ePO) 4.5 encrypting a 32GB X25E SSD with WSM

3.33 GHz vs. NHM 2.93 GHz. 24GB of memory.

158

Web Banking Workload

(MS IIS/PHP)

1

Database

Encryption/Decryption

(Oracle 11g)

2

N

um

be

r o

f U

se

rs

D

ecr

yp

tio

n

Ti

m

e(

us

)

4.5x

WDC w/o

encryption

WSM

NHM w/o

Intel® IPP

WSM

-89%

NHM

WSM

12

-42%

pr

ovisio

nin

g

ti

m

e

(se

co

nd

s)

23%

13000

NHM w/o

encryption

Full Disk Encryption

(McAfee Endpoint Encryption)

3

17

Higher is

better

Lower is better

(8)

Servicios de terminación VPN (hoy)

• Típicamente usan HW dedicado basado en

procesadores antiguos y módulos de

encriptación HW propietarios

• Consolidados y automatizados en la

mayoría de los datancenters, sin SLA e2e

ni elasticidad

(9)

Valor de AES-NI para VPN:

• Unifica tecnologías VPN (MPLS, Ethernet,

internet) en la red, permitiendo SLAs e2e

y SLAs de aplicación

Para apps de misión crítica: Garantiza alta

disponibilidad y rendimiento

Refuerza la seguridad de los servicios cloud

Facilita la instalación de nuevas aplicaciones,

servicios y usuarios

Permite un mismo SLA para usuarios móviles,

(10)

Uso 2: Servicios de terminación de VPN

• Acceso a túneles VPN:

• Resultado: Servicios de terminación de

VPN flexibles y optimizados en coste

Apache

OpenVPN

OpenVPN client

app

Client OS

HW

Vyatta

6.1

Fedora 14

VMM

HW w AES-NI

(11)

Usage 3: Transmisión segura

Mover VMs entre servidores:

compute

VM

VMM on HW

VM

VM

compute

VM

VMM on HW

compute

VM

compute

VM

VMM using AES-NI

HW

VMM using AES-NI

HW

AES-NI crea un canal encriptado en el túnel

sin AES-NI

(12)

Resumen AES-NI

Intel

®

AES-NI enables better security and

performance which improves cloud security

Bigger number of more secure VMs per host

Secure bursting through encrypted channel

between hosts

And flexibility

(13)

Intel

®

TXT: ¿Cómo funciona?

Tr

us

t L

ev

el:

M

ea

su

red

Ejemplo de

bloqueo:

El SW

desconocido es

medido,

comprobado,

detectado y

bloqueado

Tr

us

t L

ev

el:

En

for

ced

Arranque del HW

Código del Hypervisor es

medido por TXT y

comparado con el valor

conocido antes de

permitir su ejecución

HW

TXT bloquea el

lanzamiento del falso

Hypervisor (Rootkit)

El FW del sistema es

verificado por TXT

antes del boot

HW

Rootkit

Hypervisor

HYP measure

match?

No

HW

FW/BIOS match?

Yes

TXT

HW

Hypervisor

Arranque del HW

Código del Hypervisor es

medido por TXT y

comparado con el valor

conocido antes de

permitir su ejecución

Lanzar VMs, OS, etc

Ejemplo de

verificación:

El SW puede ser

medido y

verificado contra

un valor conocido

El FW del sistema es

verificado por TXT

antes del boot

HW

TXT

HW

Hypervisor

Hypervisor

HYP measure

match? Yes

OS

App

App

App

OS

App

App

App

HW

TXT

FW/BIOS match?

Yes

(14)

Intel

®

TXT: Modelos de uso

• Afrontar una necesidad crítica en los modelos de uso

virtualizados y basados en el cloud

• Soporta la migración de VMs a otras plataformas seguras

Poderoso complemento para las protecciones en

tiempo de ejecución en entornos virtualizados

Green

designates Intel

®

TXT enabled

Arranque seguro de VMM

Asegura que sólo el SW de confianza sea ejecutado

HW

Hypervisor

OS

App App App

OS

App App App

HW

Hypervisor

OS

App App App

OS

App App App

Tr

ust

L

evel

:

M

eas

ur

ed

Tr

ust

L

evel

:

U

nk

nown

Intel

®

TXT

VM1 … VMn

VM1 … VMn

Pools de confianza

Migración segura dentro de Pools de confianza

HW

Hypervisor

OS

App App App

OS

App App App

HW

Hypervisor

OS

App App App

OS

App App App

HW

Hypervisor

OS

App App App

OS

App App App

(15)

Referencias

Documento similar

Esto significa que algunos distintivos de seguridad estructural garantizan unas prácticas legales de protección de la privacidad del cliente y ofrecen evaluaciones sobre el

Por otra parte, las emociones de cada colaborador en Flor del Cedro son bien estimuladas, debido a que los comportamientos en las áreas de trabajo ayudan a fortalecer un clima

 Tejidos de origen humano o sus derivados que sean inviables o hayan sido transformados en inviables con una función accesoria..  Células de origen humano o sus derivados que

En este sentido, es importante destacar el hecho de que el verdadero objetivo perseguido en el presente capítulo no reside en la dificultad comprendida en cuanto a la

Atendiendo a su definición, el Cloud Computing es un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido de

Este proyecto pretende generar modelos de la carga de trabajo de la plataforma para realizar compra de slots de manera proactiva a partir de las predicciones obtenidas.. Por lo

La siguiente y última ampliación en la Sala de Millones fue a finales de los años sesenta cuando Carlos III habilitó la sexta plaza para las ciudades con voto en Cortes de

El fenómeno del cuidado, emerge como necesidad la simbiosis entre el proceso de enfermería y su transcendencia en la investigación científica a través de la enfermería basada