Deep Security est une solution logicielle protégeant les centres de données dynamiques. Il est possible de déployer un ou plusieurs des modules de protection suivants sur le serveur ou la machine virtuelle avec un seul Deep Security Agent. Deep Security Agent est unifié sur plusieurs environnements physiques et virtuels.

• Anti-programmes malveillants sans agent
• Inspection approfondie des paquets
• Pare-feu
• Surveillance de l'intégrité
• Inspection des journaux

Le tableau ci-dessous présente les principales exigences de sécurité des centres de données ainsi que les modules Deep Security respectivement utilisés pour y répondre.

Module anti-programmes malveillants sans agent

L'anti-programmes malveillants sans agent pour environnements VMware intègre les nouvelles API des points finauxVMware vShield pour protéger les machines virtuelles VMware contre les virus, spywares, chevaux de Troie et autres programmes malveillants sans aucune empreinte sur le système hôte. Ce module est conçu pour optimiser les opérations de sécurité afin d'éviter les baisses de tension au niveau de la sécurité, qui sont monnaie courante dans les scans de systèmes complets et les mises à jour de signatures. En isolant les programmes malveillants des anti-programmes malveillants, l’anti-programmes malveillants sans agent rend la sécurité inviolable par des attaques sophistiquées.

Module de protection d’inspection approfondie des paquets (DPI)

Le moteur hautement performant d'inspection approfondie des paquets examine l’ensemble du trafic entrant et sortant, notamment le trafic SSL, pour détecter tout détournement de protocole, ainsi que tout contenu présentant les caractéristiques d'une attaque ou d’une violation des stratégies de sécurité. Il peut fonctionner en mode détection ou en mode prévention pour protéger les systèmes d’opération et corriger les failles de sécurité des applications d’entreprise. Il protège les applications Web contre les attaques de la couche d’application, notamment les attaques de type injection SQL ou cross-site scripting. La description détaillée des événements fournit de précieuses informations sur l’heure et la date de l’attaque, son auteur, ainsi que la cible visée par l’exploit. Les administrateurs peuvent être automatiquement notifiés via des alertes lorsqu’un incident se produit. L’inspection approfondie des paquets est utilisée dans le cadre de la détection et de la prévention des intrusions, de la protection des applications Web et du contrôle des applications.
Détection et prévention des intrusions (IDS/IPS)

La détection et la prévention des intrusions permettent de combler les failles de sécurité des systèmes d'exploitation et des applications d’entreprise en attendant qu’un correctif leur soit appliqué. Les entreprises bénéficient ainsi d’une protection immédiate contre les attaques de type zero-day. Les règles de failles permettent la couverture de failles connues, par exemple, celles publiées chaque mois par Microsoft, contre un nombre illimité d’exploits. Deep Security comprend une protection contre les failles prête à l’emploi pour plus de 100 applications (bases de données, Web, messagerie, serveurs FTP). Les règles couvrant les dernières failles détectées sont automatiquement livrées en quelques heures. Elles peuvent être transmises à des milliers de serveurs en quelques minutes et ne nécessitent pas de redémarrage.
Protection des applications Web

Deep Security permet la mise en conformité aux exigences PCI 6.6 pour la protection des applications Web et des données qui y sont traitées. Les règles de protection des applications Web constituent une défense contre les injections SQL, les attaques de type cross-site scripting et autres failles de sécurité des applications Web. Les règles couvrent ces failles en attendant que des correctifs soient appliqués.
Contrôle des applications

Les règles de contrôle des applications permettent une meilleure visibilité ou un meilleur contrôle des applications accédant au réseau. Ces règles peuvent également être utilisées pour identifier les logiciels malveillants accédant au réseau ou pour réduire le risque de failles susceptibles d'affecter vos serveurs.

Module de protection du pare-feu

Le pare-feu bidirectionnel dynamique permet la gestion centralisée de la stratégie du pare-feu du serveur. Il propose des modèles prédéfinis pour les types de serveurs d’entreprise les plus courants.
Caractéristiques principales et avantages :

• Zonage des machines virtuelles
• Filtrage fin (adresses IP et MAC, ports)
• Prise en charge de tous les protocoles de type IP (TCP, UDP, ICMP, etc.)
• Prise en charge de tous les types de trames (IP, ARP, etc.)
• Prévention des attaques de refus de service (DoS)
• Stratégies de conception pour chaque interface réseau
• Détection des scans de reconnaissance

Module de protection d’inspection des journaux

Ce module collecte et analyse les journaux du système d’exploitation et des applications pour les événements liés à la sécurité. Les règles d’inspection des journaux optimisent l’identification d’événements de sécurité essentiels enfouis dans de multiples entrées de journaux. Ces événements sont transmis à un système de gestion des informations et des événements de sécurité (SIEM) ou à un serveur de journalisation centralisé en vue de réaliser des corrélations, de générer des rapports et de procéder à l’archivage. Ce module exploite et améliore le logiciel Open Source disponible sur OSSEC (en).
Caractéristiques principales et avantages :

• Détection des comportements suspects
• Collecte des opérations d’administration liées à la sécurité
• Collecte optimisée des événements de sécurité sur l’ensemble du centre de données
• Création de règles avancées à l’aide de la syntaxe de règles OSSEC