虛擬化安全解決方案-2

1、1 2010 VMware Inc. All rights reservedOliver Luo 羅海龍北方區(qū)技術(shù)經(jīng)理趨勢護(hù)航安享云端趨勢科技虛擬平臺(tái)解決方案2階段 1服務(wù)器整合階段 2業(yè)戶擴(kuò)張階段 3私有&公共云15%30%70%85%服務(wù)器桌面端物理至虛擬環(huán)境并行保護(hù)平滑升級基于虛擬平臺(tái)管理、部署、防護(hù)提升虛擬資源使用率保護(hù)企業(yè)或公共空間使用客戶的云歷程3虛擬化給安全帶來的挑戰(zhàn)WMware虛擬化后的狀況虛擬化后的狀況所有虛擬機(jī)共享資源所有虛擬機(jī)共享資源虛擬機(jī)和應(yīng)用程序隨時(shí)可能移動(dòng)或變更虛擬機(jī)和應(yīng)用程序隨時(shí)可能移動(dòng)或變更VM1App1OS1VM2App2OS2VM3App3OS3App4OS

2、4VM4傳統(tǒng)安全防護(hù)的模型傳統(tǒng)安全防護(hù)的模型每個(gè)物理環(huán)境相對獨(dú)立每個(gè)物理環(huán)境相對獨(dú)立安全產(chǎn)品保護(hù)服務(wù)器和應(yīng)用程序安全產(chǎn)品保護(hù)服務(wù)器和應(yīng)用程序虛虛擬擬化后的信息安全化后的信息安全問題問題應(yīng)該應(yīng)該重新思考重新思考4 資源爭奪1防病毒風(fēng)暴4傳統(tǒng)安全軟件如何造成“防病毒風(fēng)暴“？ 定期掃描 CPUIO 網(wǎng)絡(luò)硬盤 病毒庫更新 網(wǎng)絡(luò) IO 病毒庫于內(nèi)存所常駐 重復(fù)的內(nèi)存使用傳統(tǒng)安全軟件造成資源沖突降低虛擬機(jī)密度5 資源爭奪1 隨時(shí)啟動(dòng)的防護(hù)間隙2 激活激活 重新激活,安全策略過期 虛虛擬擬機(jī)必機(jī)必須帶須帶有有已配置完整的已配置完整的客客戶戶端端和最新的和最新的病毒病毒庫庫快照、還原的威脅和安全風(fēng)險(xiǎn)5新生成虛

3、擬機(jī)休眠6攻攻擊擊在虛在虛擬擬器之中器之中發(fā)發(fā)生生 虛擬機(jī)之間攻擊防護(hù)盲點(diǎn)3 資源爭奪1 隨時(shí)啟動(dòng)的防護(hù)間隙2每個(gè)虛擬機(jī)都是安全漏洞7 虛擬機(jī)個(gè)別管理復(fù)雜4補(bǔ)補(bǔ)丁丁管理管理病毒病毒庫庫更更新新安裝安裝新新VM配置配置客客戶戶端端管理成本隨著系管理成本隨著系統(tǒng)總統(tǒng)總量上升量上升需要管理的終端數(shù)量增長7 虛擬機(jī)之間攻擊防護(hù)盲點(diǎn)3 資源爭奪1 隨時(shí)啟動(dòng)的防護(hù)間隙28安全虛擬機(jī)安全虛擬機(jī)VMAPPOSKernelBIOSESX 4.1vSphere 平臺(tái)VMAPPOSKernelBIOSGuest VMOS集中管理接口集中管理接口vShield Endpoint LibraryPartner Agen

4、tvShield Endpoint ESX ModulevCenter預(yù)設(shè)掃描接口預(yù)設(shè)掃描接口實(shí)時(shí)掃描接口實(shí)時(shí)掃描接口Guest DrivervShield Manager 4.1圖例安全產(chǎn)品提供安全產(chǎn)品提供商商DSVA組件和組件和API接口接口vShield Endpoint 組件組件Vmware平臺(tái)EPsec InterfaceVI Admin安全管理員VMware內(nèi)部接口安全產(chǎn)品接口清除、修復(fù)接口清除、修復(fù)接口緩存緩存 & 過濾過濾APPsAPPsAPPsREST狀態(tài)監(jiān)控狀態(tài)監(jiān)控應(yīng)在虛擬化系統(tǒng)應(yīng)在虛擬化系統(tǒng)底層底層解決安全問題解決安全問題如何解決虛擬化的安全問題9vShieldEndpo

5、int防病毒防病毒無代理部署無代理部署完整性完整性監(jiān)監(jiān)控控基于代理部署基于代理部署3日志日志審計(jì)審計(jì)4基于代理部署基于代理部署VMsafeAPIsIDS / IPSWeb 應(yīng)用程序防護(hù)應(yīng)用程序控制防火墻2無代理部署無代理部署安全安全虛擬虛擬設(shè)備設(shè)備Security agent on Individual VMsvCenter集成虛虛擬擬化安全化安全vSphere1趨勢科技虛擬環(huán)境的解決方案10vNICvSwitchvNICvNICvNICEPSecVmsafe APIESX 4Hypervisor無代理工作原理11虛擬安全防護(hù)殺殺毒毒模模塊塊系系統(tǒng)統(tǒng)監(jiān)監(jiān)控控入侵入侵防防護(hù)護(hù)防火防火墻墻應(yīng)應(yīng)用用

6、保保護(hù)護(hù)虛虛擬擬補(bǔ)補(bǔ)丁丁和虛擬環(huán)境直和虛擬環(huán)境直接集成接集成實(shí)現(xiàn)方式12 虛擬機(jī)之間攻擊防護(hù)盲點(diǎn)3 虛擬機(jī)個(gè)別管理復(fù)雜4 資源爭奪1 隨時(shí)啟動(dòng)的防護(hù)間隙2解決方案解決方案：無代安全具備虛擬環(huán)境感知：無代安全具備虛擬環(huán)境感知能力，基于虛擬器整體資源所分發(fā)的安能力，基于虛擬器整體資源所分發(fā)的安全任務(wù)有效避免資源爭奪全任務(wù)有效避免資源爭奪解決方解決方案案：基于虛擬器部署的安全虛擬：基于虛擬器部署的安全虛擬機(jī)實(shí)時(shí)使用最新威脅特征庫機(jī)實(shí)時(shí)使用最新威脅特征庫解決方案解決方案：與虛擬化平臺(tái)所集成的虛：與虛擬化平臺(tái)所集成的虛擬環(huán)境感知安全解決方案擬環(huán)境感知安全解決方案解決方解決方案案：與虛擬環(huán)境管理平臺(tái)：與虛

7、擬環(huán)境管理平臺(tái)VMware VMware vCenter vCenter 集成，自動(dòng)偵測安全層級不足集成，自動(dòng)偵測安全層級不足的虛擬器的虛擬器虛擬環(huán)境的解決方案1213物理機(jī)虛擬機(jī)云防護(hù)超過22種平臺(tái)保護(hù)超過56種應(yīng)用/服務(wù)系統(tǒng)靈活適應(yīng)各種環(huán)境Deep SecurityDeep Security特性14Deep Security特性可以實(shí)現(xiàn)底層與虛擬系統(tǒng)所打造的安全軟件，每臺(tái)物理服務(wù)器安裝一次提升硬件服務(wù)器使用率簡化安全管理具備自動(dòng)繼承的保護(hù)性能狀況：有客戶端 VS 無客戶端VM CPU Rate (有客戶端)VM CPU Rate (無客戶端)Security VM15Trend Micro

8、Check PointBlue CoatKasperskySafeNetWebsenseFortinetSophosSonicWALL*Webroot*02004006008001000各界的認(rèn)可15All Others77.1%Trend Micro22.9%Source: Worldwide Endpoint Security2010-2014 Forecast and2009 Vendor Shares, IDCTrend Micro13%AllOthers87%Source: 2011 Technavio Global Virtualization Security Managemen

9、t SolutionsSource: 2011 Quocirca Ltd.: Selected independent IT security vendor revenues ($M, * = estimate) 16政府醫(yī)療SaaS金融教育其他電信成功案例17提供全球提供全球獨(dú)一無二獨(dú)一無二的的“無代理無代理”安全防護(hù)安全防護(hù)最大化最大化虛擬機(jī)密度虛擬機(jī)密度與 VMware 密切合作的解決方案提升安全性提升安全性通過提供最安全的虛擬化基礎(chǔ)設(shè)施，通過提供最安全的虛擬化基礎(chǔ)設(shè)施，與與APIAPI和認(rèn)證計(jì)劃和認(rèn)證計(jì)劃全面提升虛擬化全面提升虛擬化通過基于通過基于VMwareVMware平臺(tái)平臺(tái)提供安

10、全解決方案，提供安全解決方案，以充分發(fā)揮其效率以充分發(fā)揮其效率階段 1服務(wù)器整合階段 2業(yè)戶擴(kuò)張階段 3私有&公共云15%30%70%85%服務(wù)器桌面端物理至虛擬環(huán)境并行保護(hù)平滑升級基于虛擬平臺(tái)管理、部署、防護(hù)提升虛擬資源使用率保護(hù)企業(yè)或公共空間使用客戶的云歷程IDS / IPSWeb 應(yīng)用程序保護(hù)應(yīng)用程序控制防火墻深度包檢測日志審計(jì)保護(hù) Web 應(yīng)用安全漏洞減低攻擊層面. 防止 DoS & 產(chǎn)品瑕疵監(jiān)察掃描從海量數(shù)據(jù)中優(yōu)化以及辨識(shí)重要安全事件完整性監(jiān)控在重要系統(tǒng)目錄，文件，注冊表項(xiàng)中檢測惡意和未經(jīng)授權(quán)的更改病毒查殺測并攔截惡意軟件（網(wǎng)絡(luò)威脅，病毒和蠕蟲，木馬）偵測和阻止透過安全漏洞發(fā)動(dòng)的已知

11、跟零日攻擊在應(yīng)用程序訪問網(wǎng)絡(luò)的過程中提供更高的可視性以及監(jiān)控?zé)o代理解決方案無代理解決方案：Deep Security 7.5桌面端虛擬化解決方案（一）桌面端虛擬化解決方案（二）與與Vmware View整合整合統(tǒng)統(tǒng)一管理一管理不降低系不降低系統(tǒng)統(tǒng)的運(yùn)行效率的運(yùn)行效率容易部署容易部署提高可用性和性能提高可用性和性能快速分配快速分配資資源源實(shí)現(xiàn)實(shí)現(xiàn)白名白名單單不做重復(fù)不做重復(fù)掃掃描描有代理解決方案：有代理解決方案：Office Scan 10 VDIOffice Scan 10 VDI 功能特點(diǎn)功能特點(diǎn)21云安全的獨(dú)特技術(shù)云安全的獨(dú)特技術(shù)CPU性能控制性能控制自我保護(hù)功能自我保護(hù)功能設(shè)備監(jiān)控功能設(shè)

12、備監(jiān)控功能智能反饋功能智能反饋功能行為控制功能行為控制功能強(qiáng)大的爆發(fā)阻止強(qiáng)大的爆發(fā)阻止永遠(yuǎn)值得稱道的管理功能永遠(yuǎn)值得稱道的管理功能豐富詳細(xì)的報(bào)告功能豐富詳細(xì)的報(bào)告功能免費(fèi)的漏洞掃描工具免費(fèi)的漏洞掃描工具附加的虛擬補(bǔ)丁功能附加的虛擬補(bǔ)丁功能階段 1服務(wù)器整合階段 2業(yè)戶擴(kuò)張階段 3私有&公共云15%30%70%85%服務(wù)器桌面端物理至虛擬環(huán)境并行保護(hù)平滑升級基于虛擬平臺(tái)管理、部署、防護(hù)提升虛擬資源使用率保護(hù)企業(yè)或公共空間使用客戶的云歷程云安全趨勢科技云計(jì)算安全解決方案23云終端設(shè)備移動(dòng)、終端設(shè)備數(shù)據(jù)大集中云數(shù)據(jù)網(wǎng)站、軟件即服務(wù)云應(yīng)用云基礎(chǔ)設(shè)施虛擬化邁向云端全程護(hù)航以安全加速云計(jì)算謝謝！Q&AIDS / IPS虛擬補(bǔ)丁防火墻攻擊防護(hù)合規(guī)性檢查日志管理偵測偵測/阻止基于操作系統(tǒng)漏洞的已知阻止基于操作系統(tǒng)漏洞的已知/零日攻