Høy ytelse i sikker boks

Høy ytelse i sikker boks

HP er klar med sin sikkerhetsportefølje for nettverket, basert på Tippingpoint. Sikring av virtuelle miljø er et hovedpoeng.

Oppkjøpet av 3Com fylte i alle hullene gamle ProCurve hadde i sin portefølje. I en pressebriefing demonstrerte selskapet at deres HP Nettverksdivisjon ikke lenger er ProCruve eller noe annet merke. Nettverksenhetene er produktene som har bidratt til at HP sine 85 kjernedatasentere er redusert til seks. Budskapet formidles med stempelet at HP erklærer seg «Cisco-fritt område».

Gjeldende credo er den konvergerte infrastrukturen, som er sky-versjonen av adaptiv-varianten HP hadde i starten av årtusenet. Resultatene er begynt å bli målbare. HP viser til en rapport fra IDC som viste at kunder som tok i bruk deres løsninger i nettverkene oppnådde en reduksjon i kostnadene med to-tredjedeler. Investeringsreturen var på 466 prosent, og tilbakebetalingstiden var på drøyt åtte måneder.

Tipper inn på banen

Tippingpoint kom inn under HP-paraplyen med oppkjøpet 3Com. Det er ikke fritt for at det har vært etterlyst hvordan HP skulle ta i bruk sikkerhetsteknologien fra selskapet som knapt var blitt husvarmt hos 3Com før oppkjøpet. Svaret er en av de raskeste inntrengingsvern (IPS) og trafikkskannere tilgjengelig.

- At det finnes leverandører som mener det vi gjør ikke er mulig, er bare en omskriving av at vi får ikke det til, og da kan ingen andre heller. Dette slo Stuart Hatto fast under en pressebriefing. Han er løsningsarkitekt hos HP Tippingpoint.

Før nullpunktet

Han har nettopp argumentert for at deres design for hurtig sjekk, teknologi mot falske positiver og raske og hyppige oppdateringer av signaturer. I forhold til nærmeste konkurrent oppdaterer HP sin IPS mer enn dobbelt så ofte.

- Et populært mål for sikkerhetsbransjen er Zero-Day-vern. Vi har som mål at vi skal være pre-zero-day, poengterer Hatto.

Zero-day beskriver dagen når en sårbarhet i en it-løsning blir alminnelig kjent. Da har som regel noen testere, hackere, crackere og sikkerhetsbransjen kjent til sårbarheten en stund. Trusler som bruker denne sårbarheten fra samme dag den er kjent er en zero-day-trussel, og ditto gjelder for vernetiltak.

Ikke virtuell sikring

En voksende utfordring er at den totale belastningen i datasentrene kommer til å kjøres i virtuelle servere. En Gartner-rapport fra 2009 anslo at halvparten av trafikken vil være nådd i 2012. Dette er opp fra 16 prosent på ett år.

- Det er viktig å forstå at dette innebærer økt sikring. Og det må være sikring av fysiske maskinvareenheter. Det er å åpne et sikkerhetsvindu om man lar en virtuell IPS kjøre sammen med andre servere i den samme serveren som skal sikres. Hypervisorene er virksomhetskritiske og må vernes som det, poengterer Hatto

Virtuell strategi

Han er opptatt av at det på den andre siden var temmelig håpløst å rulle ut en fysisk IPS foran hver fysiske server. Ikke bare fordi det fort blir uhåndterlig. Det åpner også et annet sikkerhetsvindu for trusler siden vm-sikkerhet ikke kan oppnås tilstrekkelig med kryssjekk. Dette henger sammen med neste virtuelle trussel. Selv om de virtuelle løsningene i seg selv er forholdsvis sikre, kan en eksponert vm mot internett bli kodet til å bli en trussel for de andre vm-ene.

Svaret fra HP er derfor å sette en av deres raske IPS-er foran kjernesvitsjen og skanne all trafikk inn til nettverket. De hevder at dette ikke vil innebære treigere nettverk, om enheten bare er kraftig nok.

Hatto skisserer opp en sikkerhetsstrategi for virtuelle nettverk hvor denne perimetersikkerheten er starten. Den bør følges av vern av de virtuelle serverne og arbeidsflatene (vm og vdi), administrasjonsverktøyene, øvrig nettverk, applikasjoner og os. Deretter bør en strategi på plass for tilbakerulling av virtuelle servere, for å sikre oppetid og stabilitet både i tilfelle vellykkete, isolerte angrep eller ved oppgraderinger som slår feil.

Til slutt er det viktig å få på plass felles sikkerhetsretningslinjer som gjelder både den fysiske og virtuelle delen av nettverket.

Virtualisering