安徽工程大學虛擬化安全解決方案-趨勢科技公司(共20頁)

1、 安徽工程大學虛擬化安全解決方案2013年9月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc323761392 第1章.概述(i sh) PAGEREF _Toc323761392 h 2 HYPERLINK l _Toc323761393 第2章.安徽工程(gngchng)大學虛擬化安全面臨(minlng)威脅分析 PAGEREF _Toc323761393 h 2 HYPERLINK l _Toc323761394 第3章.安徽工程大學虛擬化基礎防護必要性 PAGEREF _Toc323761394 h 3 HYPERLINK l _Toc323761395 第4

2、章.趨勢科技虛擬化安全解決方案 PAGEREF _Toc323761395 h 4 HYPERLINK l _Toc323761396 第5章.安徽工程大學虛擬化安全部署方案 PAGEREF _Toc323761396 h 7 HYPERLINK l _Toc323761397 5.1.VMware平臺部署方案 PAGEREF _Toc323761397 h 7 HYPERLINK l _Toc323761398 5.2.趨勢虛擬安全方案集中管理 PAGEREF _Toc323761398 h 7 HYPERLINK l _Toc323761399 5.3.安徽工程大學虛擬化防護解決方案拓撲

3、PAGEREF _Toc323761399 h 8 HYPERLINK l _Toc323761400 第6章.趨勢科技DeepSecurity介紹 PAGEREF _Toc323761400 h 8 HYPERLINK l _Toc323761401 6.1.DeepSecuirty架構 PAGEREF _Toc323761401 h 8 HYPERLINK l _Toc323761402 6.2.DeepSecuirty部署及整合 PAGEREF _Toc323761402 h 9 HYPERLINK l _Toc323761403 6.3.DeepSecuirty主要優(yōu)勢 PAGEREF

4、 _Toc323761403 h 10 HYPERLINK l _Toc323761404 6.4.DeepSecuirty模塊 PAGEREF _Toc323761404 h 10概述(i sh)安徽工程(gngchng)大學內的大量(dling)服務器承擔著為各個業(yè)務部門提供基礎設施服務的角色。隨著業(yè)務的快速發(fā)展，數據中心空間、能耗、運維管理壓力日趨凸顯。應用系統(tǒng)的部署除了購買服務器費用外，還包括數據中心空間的費用、空調電力的費用、監(jiān)控的費用、人工管理 的費用，相當昂貴。如果這些服務器的利用率不高，對考院來說，無疑是一種巨大的浪費。在安徽工程大學，這些關鍵應用系統(tǒng)將使用服務器虛擬化解決方案

5、。這解決信息化建設目前現有的壓力，同時又能響應國家節(jié)能減排要求。而服務器虛擬化使安徽工程大學能夠獲得在效率、成本方面的顯著收益以及在綜合數據中心更具環(huán)保、增加可擴展性和改善資源實施時間方面的附加利益。但同時，數據中心的虛擬系統(tǒng)面臨許多與物理服務器相同的安全挑戰(zhàn)，從而增加了風險暴露，再加上在保護這些IT資源方面存在大量特殊挑戰(zhàn)，最終將抵消虛擬化的優(yōu)勢。尤其在虛擬化體系結構將從根本上影響如何對于關鍵任務應用進行設計、部署和管理情況下，用戶需要考慮哪種安全機制最適合保護物理服務器和虛擬服務器。趨勢科技提供真正的解決方案以應對這些挑戰(zhàn)。趨勢科技目前已經開發(fā)出了一套靈活的方法用于包括入侵檢測和防護、防火

6、墻、完整性監(jiān)控與日志檢查的服務器防御以及現在可以部署的惡意軟件防護。所用架構主要是利用虛擬化廠商目前在其平臺上增加的附加能力，諸如通過最近發(fā)布的VMware vSphere 5訪問VMware VMsafe API的最新引入的附加能力。趨勢科技提供必需的防護以提高在虛擬化環(huán)境中關鍵任務應用的安全性。安徽工程(gngchng)大學虛擬化安全(nqun)面臨(minlng)威脅分析虛擬服務器基礎架構除了具有傳統(tǒng)物理服務器的風險之外，同時也會帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現自然就需要新方法來處理。通過前期調研，總結了目前安徽工程大學虛擬化環(huán)境內存在的幾點安全隱患。 虛擬機之間的互相攻擊

7、由于目前安徽工程大學仍對虛擬化環(huán)境使用傳統(tǒng)的防護模式，導致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。 隨時啟動的防護間歇由于安徽工程大學即將大量使用Vmware的服務器虛擬化技術，讓安徽工程大學的IT服務具備更高的靈活性和負載均衡。但同時，這些隨時由于資源動態(tài)調整關閉或開啟虛擬機會導致防護間歇問題。如，某臺一直處于關閉狀態(tài)的虛擬機在業(yè)務需要時會自動啟動，成為后臺服務器組的一部分，但在這臺虛擬機啟動時，其包括防病毒在內的所有安全狀態(tài)都較其他一直在線運行的服務器處于滯后和脫節(jié)的地位。 系統(tǒng)安全補丁安裝目前安徽工程大學虛擬化環(huán)境內仍會

8、定期采用傳統(tǒng)方式對階段性發(fā)布的系統(tǒng)補丁進行測試和手工安裝。雖然虛擬化服務器本身有一定狀態(tài)恢復的功能機制。但此種做法仍有一定安全風險。1.無法確保系統(tǒng)在測試后發(fā)生的變化是否會因為安裝補丁導致異常。2.集中的安裝系統(tǒng)補丁，前中后期需要大量人力，物力和技術支撐，部署成本較大。 防病毒軟件對資源的占用沖突(chngt)導致AV（Anti-Virus）風暴傳統(tǒng)(chuntng)殺毒軟件在防護效果(xiogu)上可以達到安全標準，但如從資源占用方面考慮存在一定安全風險。由于每個防病毒客戶端都會在同一個物理主機上產生資源消耗，并且當發(fā)生客戶端同時掃描和同時更新時，資源消耗的問題會愈發(fā)明顯。嚴重時可能導致ES

9、X服務器宕機。通過以上的分析是我們了解到雖然傳統(tǒng)安全設備可以物理網絡層和操作系統(tǒng)提供安全防護，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，病毒通過虛擬交換機傳播問題等，傳統(tǒng)的安全設備無法提供相關的防護，趨勢科技提供創(chuàng)新的安全技術為虛擬環(huán)境提供全面的保護。安徽工程大學虛擬化基礎防護必要性安徽工程大學的虛擬服務器服務器承載著最為重要的數據，因此，很容易引起外來入侵者的窺探，遭入侵、中病毒、搶權限，各種威脅都會抓住一切機會造訪服務器系統(tǒng)。安徽工程大學針以前針對服務器采用集中管理、集中防護的措施，通過傳統(tǒng)安全技術在網絡側建立安全防線，如防火墻技術、防病毒技術、入侵檢測技術各種安全

10、產品開始被一個一個地加入到安全防線中來。目前安徽工程大學為了降低硬件采購成本，提高服務器資源的利用率，引進服務器虛擬化技術對現有應用服務器的計算資源進行整合，使現有建立的安全防線面臨挑戰(zhàn)！服務器虛擬化后不但面臨著傳統(tǒng)物理實機的各種安全問題，同時由于虛擬系統(tǒng)之間的數據交換，以及共享的計算資源池，導致傳統(tǒng)的安全技術手段很難針對虛擬系統(tǒng)提供防護，另外使用傳統(tǒng)安全技術的使用還帶來更大計算資源的消耗和管理運維，導致與引入服務器虛擬化的初衷相違背。通過上一章節(jié)的威脅(wixi)分析發(fā)現，為了降低服務器和虛擬服務器的安全威脅必須采用創(chuàng)新的安全技術手段為服務器提供(tgng)安全加固。因為傳統(tǒng)安全技術應用到虛

11、擬服務器防護存在短板效應：任何(rnh)一點疏忽，都會讓安徽工程大學整個信息系統(tǒng)的安全防線功虧一簣，帶來經濟和企業(yè)名譽的損失。更何況，這些被廣泛傳統(tǒng)安全產品雖然可以在物理網絡層很好地保護服務器系統(tǒng)，但它們終究無法應對虛擬系統(tǒng)面臨新的安全威脅，所以需要采用創(chuàng)新的安全技術才能完善安徽工程大學信息安全防護體系的基礎架構，同時具備對最新安全威脅的抵抗力，降低安全威脅出現到可以真正進行防范的時間差，提高服務器的安全性和抗攻擊能力，從而提供業(yè)務系統(tǒng)應用的可用性。 趨勢科技虛擬化安全解決方案趨勢科技針對虛擬環(huán)境提供全新的信息安全防護方案DeepSecurity，通過病毒防護、訪問控制、入侵檢測/入侵防護、虛

12、擬補丁、主機完整性監(jiān)控、日志審計等功能實現虛擬主機和虛擬系統(tǒng)的全面防護，并滿足信息系統(tǒng)合規(guī)性審計要求,建議采用趨勢科技的虛擬化解決方案，構建虛擬化平臺的基礎架構多層次的綜合防護。病毒防護防護傳統(tǒng)的病毒針防護解決方案都是通過安裝Agent代理程序到虛擬主機的操作系統(tǒng)中，在整合服務器虛擬化后，要實現針對病毒的實時防護，同樣需要在虛擬主機的操作系統(tǒng)中安裝防病毒Agent程序，但是服務器虛擬化的目的是整合資源，最大化的發(fā)揮服務器資源的利用率，而傳統(tǒng)的防病毒技術需要在每個虛擬主機中安裝程序，例如：一臺服務器虛擬6臺主機，傳統(tǒng)方法將Agent需要安裝6套，并且在制定掃描任務就需要消耗虛擬主機的計算資源，這

13、種方式并沒有達到節(jié)約計算資源的效果，反而增加了計算資源的消耗，并且在病毒庫更新是帶來更多的網絡資源消耗。趨勢科技針對(zhndu)虛擬化環(huán)境提供創(chuàng)新的方法解決防病毒程序帶來的資源消耗問題，通過(tnggu)使用虛擬化層相關的API接口實現全面的病毒(bngd)防護。由于安徽工程大學為VMware虛擬化環(huán)境所以將針對這個系統(tǒng)進行描述，具體如下：針對VMware虛擬系統(tǒng)，實現底層無代理病毒防護趨勢科技針對VMware虛擬系統(tǒng)中通過VMshield接口實現針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝Agent程序，即虛擬主機系統(tǒng)無代理方式實現實時的病毒防護，這樣無需消耗分配給

14、虛擬主機的計算資源和更多的網絡資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。訪問控制傳統(tǒng)技術的防火墻技術常常以硬件形式存在，用于通過訪問控制和安全區(qū)域間的劃分，計算資源虛擬化后導致邊界模糊，很多的信息交換在虛擬系統(tǒng)內部就實現了，而傳統(tǒng)防火墻在物理網絡層提供訪問控制，如何在虛擬系統(tǒng)內部實現訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。趨勢科技DeepSecurity 防火墻提供全面基于狀態(tài)檢測細粒度的訪問控制功能，可以實現針對虛擬交換機基于網口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity的防火墻同時支持各種泛洪攻擊的識別和攔截。入侵檢測/防護同時在主機和網

15、絡層面進行入侵監(jiān)測和預防，是當今信息安全基礎設施(j ch sh sh)建設的主要內容。然而，隨著虛擬化技術的出現，許多安全專家意識到，傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運行在虛擬化的網絡或系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網絡系統(tǒng)中所做的那樣。例如，由于虛擬交換機不支持建立SPAN或鏡像端口、禁止將數據流拷貝至IDS傳感器，網絡入侵監(jiān)測可能會變得更加困難。類似地，內聯在傳統(tǒng)物理網區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對虛擬網絡內部流量的時候?；谥鳈C的IDS系統(tǒng)也許(yx)仍能在虛擬機中正常運行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。趨勢(qsh)科技Deep

16、Security在 VMware的VMsafe接口可以對虛擬交換機允許交換機或端口組運行在“混雜模式”，這時虛擬的IDS傳感器能夠感知在同一虛擬段上的網絡流量。DeepSecurity除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策的（policy-based）監(jiān)控和分析工具，使DeepSecurity更精確的流量監(jiān)控、分析和訪問控制，還能分析網絡行為，為虛擬網絡提供更高的安全性。 趨勢科技DeepSecurity同時虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機的硬件能力。虛擬補丁防護隨著新的漏洞不斷出現，許多公司在為系統(tǒng)打補丁上疲于應付，等待安裝重要安全補丁的維護時段可能是一段

17、艱難的時期。另外，操作系統(tǒng)及應用廠商針對一些版本不提供漏洞的補丁，或者發(fā)布補丁的時間嚴重滯后，還有最重要的是，如果IT人員的配備不足，時間又不充裕，那么系統(tǒng)在審查、測試和安裝官方補丁更新期間很容易陷入風險。趨勢科技DeepSecurity通過虛擬補丁技術完全可以解決由于補丁導致的問題，通過在虛擬系統(tǒng)的接口對虛擬主機系統(tǒng)進行評估，并可以自動對每個虛擬主機提供全面的漏洞修補功能，在操作系統(tǒng)在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。趨勢科技DeepSecurity的虛擬補丁功能既不需要停機安裝，也不需要進行廣泛的應用程序測試。雖然此集成包可以為IT人員節(jié)省大量時間。完整性審計(shn j)趨勢

18、(qsh)科技DeepSecurity產品可以針對系統(tǒng)支持依據基線的文件、目錄、注冊表等關鍵文件監(jiān)控和審計功能，當這些關鍵位置為惡意篡改或感染病毒(bngd)時，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性。日志審計和報表功能每發(fā)生一次重大的數據泄密事件（譬如英國零售商TK Maxx和美國農業(yè)部的泄密事件）或者每出臺一部新的法規(guī)，安全重點似乎都要從“阻擋壞人”的傳統(tǒng)辦法轉向全面的安全機制，以進一步分析IT活動。現在，服務器系統(tǒng)日志和應用程序日志正以驚人的速度生成，這就可以詳細記錄下來IT活動。如果某位滿腹牢騷的員工企圖竊取數據，訪問了含有機密信息的數據庫，日志就有可能記錄下他的一舉

19、一動，那樣別人只要檢查日志，就能確定是誰在什么時候從事了什么活動。日志提供了線索，企業(yè)利用這些線索就能追查所有用戶（不管是否不懷好意）的行蹤。由此可見，對日志進行管理會給組織帶來許多好處。它們讓組織意識到面臨的情況，并幫助組織開展行之有效的調查，例行的日志檢查及深入分析保存日志不但可以立即識別出現不久的安全事件、違反政策情況、欺詐活動以及運作問題，還有助于提供有用的信息，從而解決問題。趨勢科技DeepSecurity提供全面的系統(tǒng)日志和詳盡的報告功能，除了記錄自身的各功能日志外，還可以將虛擬主機操作系統(tǒng)日志結合DeepSecurity自身日志進行統(tǒng)一的統(tǒng)計和分析，日志系統(tǒng)還可以生成符合國際相關

20、安全規(guī)范的報表。DeepSecurity通過對日志進行分析可以讓管理員跟蹤IT基礎設施的活動，評估服務器數據泄密事件是否發(fā)生、如何發(fā)生、何時發(fā)生、在何處發(fā)生的有效方法。安徽工程(gngchng)大學虛擬化安全部署(b sh)方案VMware平臺部署(b sh)方案趨勢科技服務器虛擬安全解決方案針對VMware vSphere虛擬平臺提供無代理的安全防護措施，在每臺物理實機的ESX/ESXi中部署趨勢DeepSecurity的virtual Appliance插件，就為每臺虛擬主機的多層次安全防護，包括：防病毒功能、訪問控制功能、虛擬補丁、攻擊防御等。安徽工程大學VMware 平臺下采用物理服務

21、器多臺，需要部署趨勢科技DeepSecurity 后，無需在虛擬主機操作系統(tǒng)中Agent程序就可以實現基礎的多種防護功能。趨勢虛擬安全方案集中管理趨勢科技虛擬化安全解決方案DeepSecurity采用C/S結構，管理員通過瀏覽器就可以實現DeepSecurity的管控，DeepSecurity服務器支持管控不同虛擬平臺或物理實機上的Agent/virtual Appliance代理程序，包括Agent程序的策略下發(fā)，狀態(tài)檢測、風險監(jiān)控等功能，并且支持VMware vCenter的集中控管，在提供最大化的服務器基礎防護的同時大大提高了管理的便捷性。安徽工程(gngchng)大學虛擬化防護(fng

22、h)解決方案拓撲Deep Security防護(fngh)結構具體如下圖：趨勢(qsh)科技DeepSecurity介紹DeepSecuirty架構(ji u)Deep Security Virtual Appliance在VMware vSphere在VMware vSphere虛擬機器上提供無代理的病毒查殺，IDS/IPS、網絡應用程序保護、應用程序控管及防火墻保護，透明化地加強安全策略-如果需要可以與Deep Security Agent協(xié)調合作提供完整性的監(jiān)控及日志(rzh)審計。Deep Security Agent是一個非常輕小的代理軟件組件，部署于服務器及被保護的虛擬機器上，能有

23、效協(xié)助執(zhí)行數據中心的安全政策(IDS/IPS、 網絡應用程序保護、應用程序控管、 防病毒、防火墻、完整性監(jiān)控及審查日志)。Deep Security Manager功能強大的、 集中式管理，是為了使管理員能夠創(chuàng)建安全設定檔與將它們應用于服務器、 顯示器警報和威脅采取的預防措施、 分布服務器，安全更新和生成報告。新事件標注功能簡化了管理的高容量的事件。Security Center我們的安全專家團隊說明您保持領先的最新威脅的快速開發(fā)和提供安全更新該地址新發(fā)現的漏洞?？蛻糸T戶安全更新傳遞到深的安全管理器部署使您可以訪問。DeepSecuirty部署(b sh)及整合趨勢科技部署快速(kui s)運

24、用整合既有IT及信息安全投資。與VMware vCenter和ESX服務器的VMware整合，能夠將組織(zzh)和營運信息匯入Deep Security Manager中，這樣精細的安全將被應用在企業(yè)的VMware 基礎結構上。與VMsafe APIs的整合可以作為一個虛擬應用，能立即在ESX服務器上快速部署和透明化地保護 vSphere 虛擬機器。透過(tu u)多種整合選項，提供詳細的服務器級別的安全事件至SIEM系統(tǒng)，包括ArcSight 、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic 和其它系統(tǒng)。能與企業(yè)的目錄(ml)作整合，包括

25、Microsoft Active Directory?？膳渲玫墓芾頊贤?，能大幅度減少(jinsho)或消除透過Manager及Agent進行通信的防火墻變化。可以透過標準的軟件分發(fā)機制如Microsoft SMS、Zenworks和Altiris 輕松部署代理軟件DeepSecuirty主要優(yōu)勢預防數據破壞及營運受阻提供無論是實體、虛擬及云端運算的服務器防御防堵在應用程序和操作系統(tǒng)上已知及未知的漏洞防止網頁應用程序遭SQL Injection 及Cross-site跨網站程序代碼改寫的攻擊阻擋針對企業(yè)系統(tǒng)的攻擊辨識可疑活動及行為，提供主動和預防措施協(xié)助企業(yè)遵循PCI及其它法規(guī)和準則滿足6大PC

26、I 數據安全準則及一系列廣泛的法規(guī)遵循需求提供詳細的審核報告，包含已防止攻擊和政策符合狀態(tài)減少支持審核所需的準備時間和投入達到(d do)經營成本的降低透過(tu u)服務器資源的合并，讓虛擬化或云端運算的節(jié)約更優(yōu)化透過(tu u)安全事件自動管理機制，使管理更加簡化提供漏洞防護讓安全編碼優(yōu)先化及和弱點修補成本有效化消除了部署多個軟件客戶端與集中管理、多用途的軟件代理或虛擬裝置所產生的成本DeepSecuirty模塊病毒防護集成VMware最新的vShield Endpoint技術接口，使虛擬機無需任何安裝就能對病毒、間諜軟件、木馬等威脅進行查殺優(yōu)化虛擬機上并發(fā)的全盤掃描、病毒庫更新時對虛擬服

27、務器產生大量的資源消耗防病毒模塊能將復雜、高端的攻擊有效隔離深度封包檢查檢查所有未遵照協(xié)議進出的通信，內含可能的攻擊及政策違反在偵測或預防模式下運作，以保護操作系統(tǒng)和企業(yè)應用程序漏洞能夠防御應用層攻擊、SQLSQL Injection 及Cross-site跨網站程序代碼改寫的攻擊提供有價值的信息，包含攻擊來源、攻擊時間及試圖利用什么方式進行攻擊當事件發(fā)生(fshng)時，會立即自動通知管理員入侵(rqn)偵測和防御防堵已知漏洞來抵擋(ddng)已知及零時差攻擊，避免無限制的攻擊每小時自動防堵發(fā)現到的最新漏洞，無須重新開機，即可在幾分鐘內就可將防御部署至成千上萬的服務器上提供數據庫、網頁、電子

28、郵件和FTP服務器等100多個應用程序的漏洞保護智能型防御規(guī)則提供零時差的保護，透過檢測不尋常及內含病毒的通訊協(xié)議數據碼，以確保不受未知的漏洞攻擊完整監(jiān)控監(jiān)視關鍵操作系統(tǒng)和應用程序，如目錄、registry keys及數值，以偵測出惡意和不尋常的更改實時的偵測出現有檔案系統(tǒng)中的修改及新建立的檔案，并提供報告可啟動需求、預定或實時偵測，檢查檔案屬性 (PCI 10.5.5) 和監(jiān)控特定目錄提供靈活且實用的監(jiān)控，提供包含/排除和可審核報告網頁應用程序保護協(xié)助企業(yè)遵循法規(guī)(PCI DSS 6.6)保護網頁應用程序和所有處理的數據防企SQL Injection、Cross-site跨網站程序代碼改寫的攻擊和其它網頁應用程序漏洞在漏洞修補期間，提供完整的防護應用程序管理增加(zngji)對應用程序訪問的網絡的控管及可見度使用(shyng)應用程序控管規(guī)則，可偵測出病毒(bngd)私下訪問網絡的行為降低服務器漏洞雙向狀態(tài)防火墻減少的實體、云端運算及虛擬服務器被攻擊的機會集中管理服務器防火墻政策，包括最常見的服務器類型微粒的篩選特色（IP與MAC地址、通訊