VMware NSX: новый подход к обеспечению безопасности в области здравоохранения

1.jpg

*- Текст подготовлен с использованием материала VMware

Системы электронного здравоохранения и медицинского страхования содержат миллионы ценных записей, что делает их привлекательной мишенью для злоумышленников, стремящихся заполучить важную информацию. По оценкам ФБР, каждая запись о здоровье пациента стоит от 50 до 200 долларов. Согласно результатам проведенного KPMG опроса, около 80 % сотрудников ИТ в области здравоохранения отмечают, что за последние два года количество кибератак значительно увеличилось. И, несмотря на используемую стратегию безопасности, многие вопросы по-прежнему остаются актуальными. Вот некоторые из них:

  • Как улучшить безопасность при сопоставимом соотношении затраченных усилий?
  • Является ли организация безопасности периметра достаточной, чтобы защитить бизнес от утечки важных данных?
  • Каким образом обеспечить безопасность сетевого трафика внутри дата-центра?
  • Как минимизировать атаки и нарушения работоспособности сети без применения аппаратных средств и дополнительных затрат?

В нашей статье вы найдете ответы на эти и другие вопросы, а также узнаете, как решения VMware помогают минимизировать риски, обеспечивая безопасность, что особенно важно в области здравоохранения.

Здравоохранение и безопасность

Медицинские организации являются объектом массовых нарушений в области безопасности. Фиксируемые атаки стали очень распространенными и сложными. Очередное исследование, проведенное специалистами Ponemon Institute, показало, что каждый следующий год становится годом все более серьезных нарушений в области безопасности и с этим необходимо что-то делать. Только в США за первый квартал 2015 года было поставлено под угрозу 100 миллионов записей пациентов, тогда как непосредственные кражи персонализированных данных составили 33 % от общего числа всех зарегистрированных инцидентов.

2.jpg

Наиболее распространенные проблемы безопасности

Халатность сотрудников, использование небезопасных публичных облачных сервисов, злоумышленники-инсайдеры, сбои процессов – все это можно устранить путем использования надежных средств и проверенных элементов управления пользовательского доступа, включая микросегментацию. А предотвратить кражу данных помогают средства шифрования. Согласно исследованиям Ponemon Institute, в 2005 году только 16 % компаний широко применяли шифрование, в 2015 году этот показатель составил 34 % и вырос до 41 % в 2016 году. По статистике, чаще всего шифрование применяется для БД, каналов связи через интернет, резервных копий и жестких дисков ноутбуков сотрудников.

VMware NSX в медицине

Электронная модель ухода за пациентами требует, чтобы ИТ-системы обладали высокой надежностью, а данные могли быть доступны пациентам, опекунам и плательщикам в любое время и в любом месте. Программно определяемая стратегия в сочетании с глубоко эшелонированной защитой является подходом, при котором виртуализируется вся инфраструктура и поставляется как услуга, обеспечивающая защиту на нескольких уровнях за счет использования механизмов безопасности. 

3.jpg.png

Многоуровневая защита предприятия

Решения VMware поддерживают стратегию «обеспечения защиты в глубину» изнутри организации. Концепция, обеспечивающая многоуровневый контроль безопасности, охватывает все ИТ-системы предприятия и помогает организациям предотвратить уязвимости в случае, если один или несколько элементов системы выходят из строя.

VMware NSX – это платформа виртуализации сети для программного ЦОД, позволяющая решать задачи коммутации, маршрутизации и защиты трафика с помощью брандмауэров, которые распределенно выполняются гипервизором во всей среде. Воспроизводя программным образом полную модель сети, VMware NSX помогает за секунды создавать и инициализировать любые сетевые топологии. Решение включает в себя полный комплект элементов логической сетевой инфраструктуры и служб, в том числе логические коммутаторы, маршрутизаторы, брандмауэры, средства балансировки нагрузки, сети VPN и другое.

С помощью VMware NSX центры обработки данных можно разбить на логические сегменты безопасности вплоть до уровня отдельной рабочей нагрузки и настроить для каждой из них политики безопасности. В результате гарантируется незамедлительная реакция на угрозы, возникающие внутри дата-центра. В отличие от традиционных методов организации сетей, в случае с использованием VMware NSX обеспечивается защита периметра, при этом злоумышленник не сможет горизонтально перемещаться внутри ЦОД. Отметим, что распределенный брандмауэр является одним из основных компонентов NSX, что обеспечивает выполнение сценария по обеспечению безопасности. Решение гарантирует незамедлительную реакцию на угрозы, возникающие внутри ЦОД, и применение политик на всех уровнях, вплоть до отдельно взятой виртуальной машины. Ниже рассмотрим основные особенности NSX в качестве распределенного брандмауэра.

Распределенные межсетевые экраны

4.jpg

Модель безопасности, которую сегодня использует большинство медицинских организаций, в значительной степени зависит от границы, где локальная сеть стыкуется с сетью Интернет. Как обычно, в таких сценариях определяется демилитаризованная зона с пограничным брандмауэром и системами контроля доступа извне. Хотя пограничные файерволы могут обеспечивать безопасность систем, современные атаки все же вынуждают прорабатывать дополнительные механизмы защиты. Распределенные межсетевые экраны в виде VMware NSX представляют собой новый подход, способный обеспечить высокий уровень безопасности ЦОД за счет гибких security-политик, применяемых как к отдельным рабочим нагрузкам, так и к целевым группам.

5.png

Пример политик безопасности

Если появляется угроза внутри сети, VMware NSX блокирует ее на всех узлах. Это существенным образом снижает поверхность атак и риски для бизнеса в целом. Использование распределенных межсетевых экранов решает проблемы, с которыми не справляются традиционные файерволы.

Применение динамических, распределенных политик на уровне виртуальной машины значительно увеличивает сетевую безопасность. С помощью распределенных межсетевых экранов медицинские организации могут ускорить процесс реагирования на проблему и ее незамедлительное решение. Кроме того, распределенные брандмауэры помогают избежать или свести к минимуму расходы, связанные с компрометацией и нарушением целостности данных. Обычно развертывание брандмауэров для управления растущими потоками east-west-трафика внутри дата-центра обходилось для многих предприятий весьма недешево. Более того, огромное количество устройств, которые требуют настройки и управления правилами брандмауэра, сделали этот подход в какой-то степени непосильным. Используя VMware NSX, компании сокращают эксплуатационные расходы и в значительной степени экономят бюджет – порядка 70 % по сравнению с приобретением «железных» брандмауэров, обеспечивающих микросегментацию.

Ниже приведен анализ сбережений для типового предприятия, желающего использовать микросегментацию для улучшения контроля трафика, идущего на серверы внутри центра обработки данных.

Используемые мощности

Количество VM

2500

Количество VM на CPU

5

Количество CPU на сервер

2

Серверы

250

% ВМ, требующих контроль брандмауэром

40%

Гбит/с – средняя пропускная способность приложения для хоста

7

Гбит/с – требуемая пропускная способность брандмауэра для всех ВМ

1750

Гбит/с – эффективная и необходимая пропускная способность брандмауэра

700

Количество брандмауэров (20 Гбит/с каждому х 2 для HA)

70

 Стоимость аппаратного решения

Стоимость отдельно взятого брандмауэра

$135 000

Общая стоимость брандмауэров

$ 9 450 000

 Стоимость VMware NSX

Стоимость отдельно взятой единицы NSX

$5 995

Общая стоимость

$ 2 997 500

Итого экономия составляет

$ 6 452 500 (68 %)

Подводя итоги

VMware NSX, выступая платформой виртуализации сети для программного ЦОД в облаке IaaS, обеспечивает не только безопасность внутри центров обработки данных с помощью автоматизированных детализированных политик, привязанных к виртуальным машинам, но и снижает масштабы горизонтального распространения угроз. Таким образом, решение обеспечивает эксплуатационную целесообразность микросегментации сети и реализует более эффективную модель безопасности предприятия в целом.

Опубликовано 28.12.2016 10:57:29 автором E.Yudina в разделе Безопасность

/* */

Посетите наш сайт!

IaaS облако IT-GRAD

Подпишитесь на блог!

IaaS для бизнеса по кирпичикам