虛擬化安全防護(hù)解決方案

虛擬化平安解決方案趨勢(shì)科技〔中國(guó)〕2014年3月目錄一、重新思考效勞器所面臨的平安問題31.1成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本31.2企業(yè)應(yīng)用改變帶來的挑戰(zhàn)31.3受到不斷變化新威脅攻擊的挑戰(zhàn)31.4虛擬化環(huán)境的面臨的新挑戰(zhàn)31.5法律法規(guī)帶來的要求4二、虛擬化四大平安管理問題5三、傳統(tǒng)方案處理虛擬化平安的問題6四、趨勢(shì)科技無代理虛擬化平安解決方案74.1.趨勢(shì)科技虛擬化平安防護(hù)——DeepSecurity94.1.1.系統(tǒng)架構(gòu)124.1.2.工作原理124.1.3.DeepSecuirty部署及整合134.1.4.集中管理134.1.5.產(chǎn)品價(jià)值14五、對(duì)企業(yè)虛擬化主要平安策略應(yīng)用最正確實(shí)踐15六、結(jié)語20重新思考效勞器所面臨的平安問題成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本隨著信息化和互聯(lián)網(wǎng)的深入，很難想象脫離了網(wǎng)絡(luò)，現(xiàn)代企業(yè)如何才能進(jìn)行正常運(yùn)轉(zhuǎn)。而效勞器所承載的企業(yè)核心數(shù)據(jù)，核心應(yīng)用甚至企業(yè)的核心知識(shí)產(chǎn)權(quán)等等，讓企業(yè)已經(jīng)無法脫離效勞器。企業(yè)應(yīng)用改變帶來的挑戰(zhàn)Web應(yīng)用：80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會(huì)自己的Web網(wǎng)站和基于Web的應(yīng)用。虛擬化應(yīng)用：出于資源利用，系統(tǒng)整合以及綠色I(xiàn)T的需要，虛擬化已經(jīng)在企業(yè)內(nèi)部有了大量的應(yīng)用。私有云計(jì)算的應(yīng)用企業(yè)對(duì)于計(jì)算能力，對(duì)于業(yè)務(wù)應(yīng)用等需求，已經(jīng)在公司網(wǎng)絡(luò)內(nèi)部建立的私有云計(jì)算系統(tǒng)。以上這些應(yīng)用給效勞器的平安帶來了更大的挑戰(zhàn)，傳統(tǒng)的平安措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，效勞器系統(tǒng)的平安要求。受到不斷變化新威脅攻擊的挑戰(zhàn)從2000年至今，互聯(lián)網(wǎng)的開展日新月異，新的引用層出不窮。從Web1.0到Web2.0，從2G網(wǎng)絡(luò)升級(jí)到3G網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接入從笨重的臺(tái)式機(jī)，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和終端。隨著互聯(lián)網(wǎng)的開展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時(shí)，信息技術(shù)的開展也帶來了平安威脅的開展。平安威脅的攻擊，從單純的攻擊單臺(tái)電腦，到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個(gè)互聯(lián)網(wǎng)充滿著各種攻擊威脅。在目前的網(wǎng)絡(luò)平安大環(huán)境下，現(xiàn)有的防病毒平安系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，防止病毒對(duì)企業(yè)的數(shù)據(jù)，應(yīng)用和網(wǎng)絡(luò)帶來威脅，必須對(duì)企業(yè)的平安系統(tǒng)進(jìn)行結(jié)構(gòu)化的完善，尤其在效勞器的平安防護(hù)上，在過去的幾年中，大局部企業(yè)都存在一定的缺乏。虛擬化環(huán)境的面臨的新挑戰(zhàn)虛擬機(jī)內(nèi)部攻擊傳統(tǒng)的網(wǎng)絡(luò)平安設(shè)備無法查看位于同一物理效勞器內(nèi)部各虛擬機(jī)之間的網(wǎng)絡(luò)通信，因此無法檢測(cè)或抑制源于同一主機(jī)上的虛擬機(jī)的攻擊。虛擬機(jī)內(nèi)的網(wǎng)絡(luò)通信有虛擬交換機(jī)進(jìn)行控制。當(dāng)同一主機(jī)上的虛擬機(jī)遭受惡意軟件攻擊時(shí)，網(wǎng)絡(luò)中傳統(tǒng)的IPS/IDS設(shè)備將可能檢測(cè)不到異常情況。資源爭(zhēng)奪病毒掃描或防病毒更新等占用資源較多的操作會(huì)快速導(dǎo)致系統(tǒng)〔CPU、內(nèi)存和磁盤I/O〕負(fù)荷激增。使用不具有虛擬化感知能力的傳統(tǒng)平安解決方案部署虛擬化時(shí)。將導(dǎo)致虛擬機(jī)密度大量降低。在單臺(tái)主機(jī)上僅能運(yùn)行5至15臺(tái)虛擬機(jī)，而不是15至45臺(tái)虛擬機(jī)。這將嚴(yán)重影響任何虛擬化或云計(jì)算工程的投資收益率〔ROI〕管理的復(fù)雜性在虛擬化環(huán)境中，很容易創(chuàng)立、修改、復(fù)制和移動(dòng)虛擬機(jī)。使用云計(jì)算、公共云或私有云之后，新的虛擬機(jī)能自動(dòng)進(jìn)行設(shè)置、重新配置，甚至自動(dòng)移動(dòng)。這使得管理員在追蹤、維護(hù)和實(shí)施一致性的平安策略時(shí)變得異常困難。因此，有必要采取相應(yīng)措施來應(yīng)對(duì)此類動(dòng)態(tài)數(shù)據(jù)中心。即時(shí)啟動(dòng)間隙持之以恒確實(shí)?！凹磿r(shí)啟動(dòng)”虛擬機(jī)的平安并不斷的對(duì)其進(jìn)行更新，這幾乎是無法實(shí)現(xiàn)的。處于休眠狀態(tài)的虛擬機(jī)最終可能會(huì)嚴(yán)重偏離基準(zhǔn)，以至于僅僅啟動(dòng)它們便會(huì)引入大量平安漏洞。為了降低這種風(fēng)險(xiǎn)，必須提供一種解決方案在完全受保護(hù)的狀態(tài)下配置和管理虛擬機(jī)，無論最后一次防病毒特征碼或補(bǔ)丁更新何時(shí)發(fā)生，整個(gè)虛擬機(jī)系統(tǒng)都能一直處于平安狀態(tài)。另外虛擬化系統(tǒng)采用與物理系統(tǒng)相同的操作系統(tǒng)，包括企業(yè)級(jí)應(yīng)用和web應(yīng)用。盡管某些漏洞能夠被系統(tǒng)管理程序檢測(cè)出，但是對(duì)于這些虛擬化系統(tǒng)的主要威脅是惡意軟件對(duì)于這些系統(tǒng)和應(yīng)用中的漏洞進(jìn)行遠(yuǎn)程探測(cè)的能力。虛擬化環(huán)境的動(dòng)態(tài)特性面臨入侵檢測(cè)/防御系統(tǒng)〔IDS/IPS〕的新挑戰(zhàn)。由于虛擬機(jī)能夠迅速地恢復(fù)到之前的狀態(tài)，并且易于在物理效勞器之間移動(dòng)，所以難以獲得并維持整體一致的平安性。為了創(chuàng)立虛擬化平安的有效方法，用戶應(yīng)該采用與不斷演化以保護(hù)物理IT資源相同的平安理論。其中一個(gè)平安理論是“全面防御”，這是企業(yè)用戶對(duì)于在其IT根底設(shè)施中出現(xiàn)的“網(wǎng)絡(luò)邊界去除”進(jìn)行識(shí)別的根底平安需求。行業(yè)最正確實(shí)踐支持這種理論，而且諸如JerichoForum等組織也將其納入其平安建議。因?yàn)榛谠O(shè)備的平安不能夠處理位于同一物理系統(tǒng)上的VM之間的攻擊，所以虛擬化已經(jīng)使“網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，以及對(duì)于領(lǐng)先的平安需求更加迫切。平安的最正確實(shí)踐至關(guān)重要。論壇其它引導(dǎo)理論包括以下規(guī)那么：防護(hù)的范圍和等級(jí)應(yīng)該針對(duì)于并適合出于風(fēng)險(xiǎn)中的資產(chǎn)。商業(yè)需要能夠提高其靈活性和本錢有效性的平安策略盡管邊界防火墻會(huì)不斷地提供根本的網(wǎng)絡(luò)防護(hù)，但是個(gè)人系統(tǒng)和數(shù)據(jù)需要自我防護(hù)。通常，提供的防護(hù)離資產(chǎn)越接近，越容易保護(hù)該資產(chǎn)。應(yīng)用上述這些和其它虛擬化數(shù)據(jù)中心的平安理論，現(xiàn)在可以看到存在對(duì)于虛擬化平安方法的明確需求，即直接將平安機(jī)制部署在物理效勞器上防護(hù)這些虛擬化系統(tǒng)，從而盡可能近地對(duì)資產(chǎn)進(jìn)行防護(hù)。法律法規(guī)帶來的要求中國(guó)信息平安等級(jí)保護(hù)制度和C-SOX，以及國(guó)外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法規(guī)，從法律上也要求了企業(yè)在內(nèi)部信息系統(tǒng)上，到達(dá)一定的平安等級(jí)和應(yīng)用一定的平安策略。虛擬化四大平安管理問題1.虛擬機(jī)溢出導(dǎo)致平安問題蔓延管理程序設(shè)計(jì)過程中的平安隱患會(huì)傳染同臺(tái)物理主機(jī)上的虛擬機(jī)，這種現(xiàn)象被稱作“虛擬機(jī)溢出”。如果虛擬機(jī)能夠從所在管理程序的獨(dú)立環(huán)境中脫離出來，入侵者會(huì)有機(jī)可乘進(jìn)入控制虛擬機(jī)的管理程序，進(jìn)而避開專門針對(duì)保護(hù)虛擬機(jī)而設(shè)計(jì)的平安控制系統(tǒng)。虛擬世界的平安問題正在試圖脫離虛擬機(jī)的控制范圍。盡管沒有那家公司會(huì)允許平安問題通過管理程序技術(shù)的方式在虛擬主機(jī)間相互傳播和蔓延，但這樣的平安隱患還是存在的。因?yàn)槿肭终呋蛘咂桨猜┒磿?huì)在虛擬機(jī)之間來回?fù)v亂，這將成為開發(fā)者在開發(fā)過程中的必須面對(duì)的問題。現(xiàn)在技術(shù)工程師通常采用隔離虛擬機(jī)的方式來保障虛擬環(huán)境的平安性。保障虛擬環(huán)境平安的傳統(tǒng)方式是在數(shù)據(jù)庫和應(yīng)用程序?qū)娱g設(shè)置防火墻。他們從網(wǎng)絡(luò)上脫機(jī)保存虛擬化環(huán)境有助于緩解平安隱憂。這對(duì)于虛擬化環(huán)境來說是比擬好的方法。2.虛擬機(jī)成倍增長(zhǎng)，補(bǔ)丁更新負(fù)擔(dān)加重虛擬機(jī)遇到的另外一個(gè)平安隱患是：虛擬機(jī)修補(bǔ)面臨更大的挑戰(zhàn)，因?yàn)殡S著虛擬機(jī)增長(zhǎng)速度加快，補(bǔ)丁修復(fù)問題也在成倍上升。IT管理人們也認(rèn)同補(bǔ)丁在虛擬化環(huán)境中的關(guān)鍵性，但是在虛擬機(jī)和物理效勞器補(bǔ)丁之間實(shí)質(zhì)的區(qū)別并非在于平安問題，而是量的問題。虛擬化效勞器與物理效勞器一樣也需要補(bǔ)丁管理和日常維護(hù)。目前，世界上有公司采取三種虛擬化環(huán)境--兩個(gè)在網(wǎng)絡(luò)內(nèi)部，一個(gè)在隔離區(qū)(DMZ)上--大約有150臺(tái)虛擬機(jī)。但這樣的布置就意味著管理程序額外增加了層來用于補(bǔ)丁管理。但即便如此，還是無法改變不管物理機(jī)還是虛擬機(jī)上補(bǔ)丁的關(guān)鍵問題。另外當(dāng)效勞器成倍增長(zhǎng)也給技術(shù)工程師及時(shí)增加補(bǔ)丁效勞器的數(shù)量帶來一定的壓力，他們開始越來越關(guān)注實(shí)現(xiàn)這一進(jìn)程的自動(dòng)化的工具的誕生。3.在隔離區(qū)(DMZ)運(yùn)行虛擬機(jī)通常，許多IT管理人都不愿在隔離區(qū)(DMZ)上放置虛擬效勞器。其它的IT管理者們也不會(huì)在隔離區(qū)(DMZ)的虛擬機(jī)上運(yùn)行關(guān)鍵性應(yīng)用程序，甚至是對(duì)那些被公司防火墻保護(hù)的效勞器也敬而遠(yuǎn)之。在多數(shù)情況下，把資源別離出來是比擬平安的方式。這個(gè)時(shí)候，不管是隔離區(qū)還是非隔離區(qū)，都可以建立虛擬化環(huán)境。就是采用在虛擬資源的集群中限制訪問的方法。每個(gè)集群都是自己的資源和入口，因此無法在集群之間來回串聯(lián)，許多IT管理者們致力于將他們的虛擬效勞器分隔開，將他們置于公司防火墻的保護(hù)之下，還有一些做法是將虛擬機(jī)放置在隔離區(qū)內(nèi)-只在上面運(yùn)行非關(guān)鍵性應(yīng)用程序。這樣的虛擬化架構(gòu)無非是考慮到平安的因素，顯然傳統(tǒng)做法已經(jīng)影響了虛擬化架構(gòu)的搭建。4.管理程序技術(shù)的新特性容易受到黑客的攻擊任何新的操作系統(tǒng)都是會(huì)有漏洞和瑕疵的。那這是否意味著黑客就有機(jī)可乘，發(fā)現(xiàn)虛擬操作系統(tǒng)的缺陷進(jìn)而發(fā)動(dòng)攻擊呢?工業(yè)觀察家們建議平安維護(hù)人員要時(shí)刻對(duì)虛擬化操作系統(tǒng)保持警惕，他們存在潛在導(dǎo)致漏洞和平安隱患的可能性，平安維護(hù)人員只靠人工補(bǔ)丁修護(hù)是不夠的。虛擬化從本質(zhì)上來說全新的操作系統(tǒng)，還有許多我們尚不了解的方面。它會(huì)在優(yōu)先硬件和使用環(huán)境之間相互影響，讓情況一團(tuán)糟的情況成為可能。虛擬化管理程序并非是人們自己所想象的那種平安隱患。根據(jù)對(duì)微軟公司銷售旺盛的補(bǔ)丁Windows操作系統(tǒng)的了解，象VMware這樣的虛擬化廠商也在致力于開發(fā)管理程序技術(shù)時(shí)控制平安漏洞的可能性.傳統(tǒng)方案處理虛擬化平安的問題在廣泛應(yīng)用專門為VMwareVMsafeAPI定制的平安解決方案之前，通常采用兩種初始方法和平安軟件一起來保護(hù)虛擬機(jī)：一種是在虛擬化計(jì)算環(huán)境中應(yīng)用虛擬平安設(shè)備以監(jiān)控虛擬交換機(jī)和訪客虛擬機(jī)之間的通信流量。盡管虛擬平安設(shè)備解決方案提供IDS/IPS防護(hù)以防止網(wǎng)絡(luò)中的攻擊，但是也存在較大的局限性：內(nèi)部虛擬機(jī)通信流量必須將虛擬平安設(shè)備放置在虛擬交換機(jī)的前面，即便如此，仍不能防止在同一虛擬交換機(jī)上虛擬機(jī)之間產(chǎn)生攻擊，也無法整合平安設(shè)備來設(shè)置平安域。移動(dòng)性如果采用諸如VMwareVMotion?的控件將虛擬機(jī)從物理效勞器之間進(jìn)行傳輸，那就會(huì)喪失平安上下文。有必要針對(duì)于每一個(gè)潛在目的配置虛擬平安設(shè)備集群，因?yàn)樘摂M機(jī)有可能被重新定位至該目的，從而對(duì)于性能產(chǎn)生相應(yīng)的負(fù)面影響。不透明度因?yàn)楸仨毟淖兲摂M網(wǎng)絡(luò)體系結(jié)構(gòu)以部署虛擬平安設(shè)備，這將對(duì)于現(xiàn)有系統(tǒng)的管理和性能產(chǎn)生不利影響。性能瓶頸虛擬平安設(shè)備必須處理虛擬機(jī)和網(wǎng)絡(luò)之間的全部通信流量，最終會(huì)出現(xiàn)性能瓶頸。采用另一種方法，可以在每一虛擬機(jī)上部署相同的IDS/IPS功能與虛擬平安設(shè)備方法不同的是，以虛擬機(jī)為中心的方法可以防止內(nèi)部虛擬機(jī)通信流量、移動(dòng)性和缺乏可見性等缺點(diǎn)。盡管以虛擬機(jī)為中心的方法同時(shí)會(huì)對(duì)系統(tǒng)性能產(chǎn)生影響，但其分布式地跨接IT根底設(shè)施中虛擬機(jī)上。然而，以虛擬機(jī)為中心的體系結(jié)構(gòu)仍然要面對(duì)的挑戰(zhàn)是在每一虛擬機(jī)上都部署一個(gè)IDS/IPS平安代理。正如在其在線教程中VMware所指出，可以通過采用諸如模板的機(jī)制，即“使用模板”來部署通用的平安代理跨接每一虛擬機(jī)來消除這些不利因素。然而，虛擬化環(huán)境的動(dòng)態(tài)特性在沒有安裝平安代理的情況下，依然能夠?qū)⑻摂M機(jī)引入生產(chǎn)環(huán)境中，同時(shí)會(huì)消耗過多的物理機(jī)資源，降低虛擬機(jī)密度。趨勢(shì)科技無代理虛擬化平安解決方案平安看門狗虛擬機(jī)〔VM〕VMwareVMsafe程序使用戶能夠部署專用平安虛擬機(jī)以及經(jīng)特別授權(quán)訪問管理程序的API。這使得創(chuàng)立獨(dú)特的平安控制、平安看門狗虛擬機(jī)等成為可能，如在Gartner的報(bào)告中所述，在虛擬化的世界中從根本上改變平安和管理概念。這種平安看門狗虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)平安控制的新型方法。平安看門狗功能利用自身API來訪問關(guān)于每一虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。因?yàn)樵诓桓奶摂M網(wǎng)絡(luò)配置的情況下，效勞器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見的，這樣就可以消除用于IDS/IPS過濾的虛擬平安設(shè)備方法在內(nèi)部虛擬機(jī)和非透明方面的局限性。包括防病毒、加密、防火墻、IDS/IPS和系統(tǒng)完整性等在內(nèi)的平安功能均可以應(yīng)用于平安看門狗虛擬機(jī)中。趨勢(shì)科技保護(hù)虛擬化環(huán)境的靈活方法包括可以在單個(gè)虛擬機(jī)上進(jìn)行部署的以虛擬機(jī)為中心的代理，以及用以保護(hù)多個(gè)虛擬機(jī)的平安看門狗虛擬機(jī)。這種體系結(jié)構(gòu)可以確保通過在關(guān)鍵IT資產(chǎn)，即虛擬機(jī)上部署軟件而對(duì)其進(jìn)行防護(hù)，同時(shí)可以由平安看門狗虛擬機(jī)來防護(hù)關(guān)鍵資產(chǎn)。同時(shí)趨勢(shì)科技保護(hù)虛擬化環(huán)境，可以將多個(gè)虛擬機(jī)進(jìn)行分組形成平安域，在平安域內(nèi)部虛擬機(jī)都接受獨(dú)立的防護(hù)，已保護(hù)虛擬機(jī)之間的攻擊。又能形成平安域整體的平安策略，以保護(hù)域與域之間的訪問平安。趨勢(shì)科技虛擬化平安防護(hù)——DeepSecurity趨勢(shì)科技針對(duì)虛擬環(huán)境提供全新的信息平安防護(hù)方案——DeepSecurity，通過訪問控制、病毒防護(hù)、入侵檢測(cè)/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)等功能實(shí)現(xiàn)虛擬主機(jī)和虛擬系統(tǒng)的全面防護(hù)，并滿足信息系統(tǒng)合規(guī)性審計(jì)要求。針對(duì)銀行證券的效勞器虛擬化面臨的風(fēng)險(xiǎn)，建議采用趨勢(shì)科技的虛擬化解決方案，構(gòu)建虛擬化平臺(tái)的根底架構(gòu)多層次的綜合防護(hù)。底層病毒防護(hù)無需安裝客戶端，提供實(shí)時(shí)平安內(nèi)容過濾，提供手動(dòng)平安內(nèi)容過濾，提供方案平安內(nèi)容過濾，給予專用API接口提高運(yùn)行效率。平安區(qū)域訪問控制傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和平安區(qū)域間的劃分，計(jì)算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實(shí)現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最根本平安問題。趨勢(shì)科技DeepSecurity防火墻提供全面基于狀態(tài)檢測(cè)細(xì)粒度的訪問控制功能，可以實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity的防火墻同時(shí)支持各種泛洪攻擊的識(shí)別和攔截。Web應(yīng)用程序防護(hù)趨勢(shì)科技DeepSecurityWeb應(yīng)用程序防護(hù)協(xié)助企業(yè)遵循法規(guī)(PCIDSS6.6)保護(hù)網(wǎng)頁應(yīng)用程序和所有處理的數(shù)據(jù)。防企SQLInjection、Cross-site跨網(wǎng)站程序代碼改寫的攻擊和其它網(wǎng)頁應(yīng)用程序漏洞，在漏洞修補(bǔ)期間，提供完整的防護(hù)。進(jìn)出Web網(wǎng)站的數(shù)據(jù)流量使用高性能、深度數(shù)據(jù)包檢測(cè)引擎進(jìn)行檢測(cè)，該引擎用于監(jiān)視數(shù)據(jù)包和有效載荷數(shù)據(jù)以檢測(cè)惡意代碼和其他異常情況。Gartner4將深度數(shù)據(jù)包檢測(cè)定義為一種轉(zhuǎn)換型平安技術(shù)，因?yàn)樗軌蛑苯訉?duì)主機(jī)上的重要局部提供精密防護(hù)。然后主機(jī)入侵防御系統(tǒng)實(shí)施已定義的規(guī)那么：允許平安數(shù)據(jù)通過，但阻止違反任何規(guī)那么的數(shù)據(jù)。真正有效的系統(tǒng)還能夠修改數(shù)據(jù)流，以預(yù)防潛在的惡意網(wǎng)絡(luò)通信。主機(jī)入侵防御系統(tǒng)可以是雙向的。也就是說，除了針對(duì)入站數(shù)據(jù)檢測(cè)惡意代碼和其他異常情況，還可以檢測(cè)出站數(shù)據(jù)。這可以幫助確保未經(jīng)授權(quán)的用戶無法獲取敏感數(shù)據(jù)，從而支持合規(guī)性要求。它具有以下兩個(gè)優(yōu)點(diǎn)：純軟件解決方案，可以防御Web網(wǎng)站漏洞，以及Web網(wǎng)站所依賴的操作系統(tǒng)和企業(yè)軟件中的漏洞。對(duì)主機(jī)性能影響甚微，無需購(gòu)置或部署額外的硬件即可保護(hù)關(guān)鍵效勞器免受軟件漏洞的侵害。由于在主機(jī)上運(yùn)行，它還可以檢測(cè)加密的網(wǎng)絡(luò)通信而不會(huì)影響所提供的平安價(jià)值。應(yīng)用程序管理增加對(duì)應(yīng)用程序訪問的網(wǎng)絡(luò)的控管及可見度，使用應(yīng)用程序控管規(guī)那么，可偵測(cè)出惡意程序私下訪問網(wǎng)絡(luò)的行為，降低效勞器漏洞。入侵檢測(cè)/防護(hù)同時(shí)在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測(cè)和預(yù)防，是當(dāng)今信息平安根底設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，許多平安專家意識(shí)到，傳統(tǒng)的入侵監(jiān)測(cè)工具可能沒法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它們?cè)趥鹘y(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。例如，由于虛擬交換機(jī)不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測(cè)可能會(huì)變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒方法輕易地集成到虛擬環(huán)境中，尤其是面對(duì)虛擬網(wǎng)絡(luò)內(nèi)部流量的時(shí)候。基于主機(jī)的IDS系統(tǒng)也許仍能在虛擬機(jī)中正常運(yùn)行，但是會(huì)消耗共享的資源，使得安裝平安代理軟件變得不那么理想。趨勢(shì)科技DeepSecurity在VMware的VMsafe接口可以對(duì)虛擬交換機(jī)允許交換機(jī)或端口組運(yùn)行在“混雜模式”，這時(shí)虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。DeepSecurity除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策的〔policy-based〕監(jiān)控和分析工具，使DeepSecurity更精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的平安性。防堵漏洞來抵擋及零時(shí)差攻擊，防止無限制的攻擊；每小時(shí)自動(dòng)防堵發(fā)現(xiàn)到的最新漏洞，無須重新開機(jī)，即可在幾分鐘內(nèi)就可將防御部署至成千上萬的效勞器上提供數(shù)據(jù)庫、網(wǎng)頁、電子郵件和FTP效勞器等100多個(gè)應(yīng)用程序的漏洞保護(hù)；智能型防御規(guī)那么提供零時(shí)差的保護(hù)，透過檢測(cè)不尋常及內(nèi)含病毒的通訊協(xié)議數(shù)據(jù)碼，以確保不受未知的漏洞攻擊。深度封包檢查趨勢(shì)科技DeepSecurity同時(shí)虛擬系統(tǒng)中占用更少的資源，防止過度消耗宿主機(jī)的硬件能力。檢查所有未遵照協(xié)議進(jìn)出的通信，內(nèi)含可能的攻擊及政策違反；在偵測(cè)或預(yù)防模式下運(yùn)作，以保護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序漏洞；能夠防御應(yīng)用層攻擊、SQLSQLInjection及Cross-site跨網(wǎng)站程序代碼改寫的攻擊；提供有價(jià)值的信息，包含攻擊來源、攻擊時(shí)間及試圖利用什么方式進(jìn)行攻擊；當(dāng)事件發(fā)生時(shí)，會(huì)立即自動(dòng)通知管理員。虛擬補(bǔ)丁防護(hù)隨著新的漏洞不斷出現(xiàn)，許多公司在為系統(tǒng)打補(bǔ)丁上疲于應(yīng)付，等待安裝重要平安補(bǔ)丁的維護(hù)時(shí)段可能是一段艱難的時(shí)期。另外，操作系統(tǒng)及應(yīng)用廠商針對(duì)一些版本不提供漏洞的補(bǔ)丁，或者發(fā)布補(bǔ)丁的時(shí)間嚴(yán)重滯后，還有最重要的是，如果IT人員的配備缺乏，時(shí)間又不充裕，那么系統(tǒng)在審查、測(cè)試和安裝官方補(bǔ)丁更新期間很容易陷入風(fēng)險(xiǎn)。趨勢(shì)科技DeepSecurity通過虛擬補(bǔ)丁技術(shù)完全可以解決由于補(bǔ)丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接口對(duì)虛擬主機(jī)系統(tǒng)進(jìn)行評(píng)估，并可以自動(dòng)對(duì)每個(gè)虛擬主機(jī)提供全面的漏洞修補(bǔ)功能，在操作系統(tǒng)在沒有安裝補(bǔ)丁程序之前，提供針對(duì)漏洞攻擊的攔截。趨勢(shì)科技DeepSecurity的虛擬補(bǔ)丁功能既不需要停機(jī)安裝，也不需要進(jìn)行廣泛的應(yīng)用程序測(cè)試。雖然此集成包可以為IT人員節(jié)省大量時(shí)間。系統(tǒng)架構(gòu)DeepSecurity產(chǎn)品由三局部組成，管理控制平臺(tái)〔以下簡(jiǎn)稱DSM〕；平安虛擬機(jī)〔以下簡(jiǎn)稱DSVA〕；平安代理程序〔以下簡(jiǎn)稱DSA〕。趨勢(shì)科技DeepSecurity平安防護(hù)系統(tǒng)管理控制中心〔DSM〕，是管理員用來配置及管理平安策略的集中式管理組件，所有的DSVA及DSA都會(huì)注冊(cè)到DSM，接受統(tǒng)一的管理。趨勢(shì)科技DeepSecurity平安防護(hù)系統(tǒng)平安虛擬機(jī)(DSVA)是針對(duì)VMwarevSphere環(huán)境構(gòu)建的平安虛擬計(jì)算機(jī)，可提供防惡意軟件、IDS/IPS、防火墻、Web應(yīng)用程序防護(hù)和應(yīng)用程序控制防護(hù)，數(shù)據(jù)完整性監(jiān)控等平安功能。趨勢(shì)科技DeepSecurity平安防護(hù)系統(tǒng)平安代理程序(DSA)是平安客戶端，直接部署在操作系統(tǒng)中，可提供IDS/IPS、防火墻、Web應(yīng)用程序防護(hù)、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護(hù)等平安功能。工作原理DeepSecurity通過vshieldendpoint提供的實(shí)時(shí)掃描、預(yù)設(shè)掃描、去除修復(fù)等數(shù)據(jù)接口，對(duì)虛擬機(jī)中的數(shù)據(jù)進(jìn)行病毒代碼的掃描和判斷，并結(jié)合VmsafeAPI接口提供防火墻、IPS/IDS策略實(shí)時(shí)對(duì)進(jìn)出虛擬機(jī)的數(shù)據(jù)進(jìn)行平安過濾；在管理上與vshieldmanager和vcenter結(jié)合；DeepSecuirty部署及整合趨勢(shì)科技部署快速運(yùn)用整合既有IT及信息平安投資。與VMwarevCenter和ESX效勞器的VMware整合，能夠?qū)⒔M織和營(yíng)運(yùn)信息匯入DeepSecurityManager中，這樣精細(xì)的平安將被應(yīng)用在企業(yè)的VMware根底結(jié)構(gòu)上。與VMsafe?APIs的整合可以作為一個(gè)虛擬應(yīng)用，能立即在ESX效勞器上快速部署和透明化地保護(hù)vSphere虛擬機(jī)器。透過多種整合選項(xiàng)，提供詳細(xì)的效勞器級(jí)別的平安事件至SIEM系統(tǒng)，包括ArcSight?、Intellitactics、NetIQ、RSAEnvision、Q1Labs、Loglogic和其它系統(tǒng)。能與企業(yè)的目錄作整合，包括MicrosoftActiveDirectory。可配置的管理溝通，能大幅度減少或消除透過Manager及Agent進(jìn)行通信的防火墻變化?？梢酝高^標(biāo)準(zhǔn)的軟件分發(fā)機(jī)制如Microsoft?SMS、Zenworks和Altiris輕松部署代理軟件集中管理趨勢(shì)科技虛擬化平安解決方案——DeepSecurity采用C/S結(jié)構(gòu)，管理員通過瀏覽器就可以實(shí)現(xiàn)DeepSecurity的管控，DeepSecurity效勞器支持管控不同虛擬平臺(tái)或物理實(shí)機(jī)上的Agent/virtualAppliance代理程序，包括Agent程序的策略下發(fā)，狀態(tài)檢測(cè)、風(fēng)險(xiǎn)監(jiān)控等功能，并且支持VMwarevCenter的集中控管，在提供最大化的效勞器根底防護(hù)的同時(shí)大大提高了管理的便捷性。產(chǎn)品價(jià)值虛擬補(bǔ)丁用戶一般要花費(fèi)數(shù)周或數(shù)月的時(shí)間來充分測(cè)試和部署補(bǔ)丁，有時(shí)系統(tǒng)補(bǔ)丁不能被第三方軟件供給商的產(chǎn)品支持，較老舊的應(yīng)用系統(tǒng)也不能打補(bǔ)??；采用DeepSecurity虛擬補(bǔ)丁功能不但可以在減少補(bǔ)丁更新的頻率，而且可以保護(hù)不能打補(bǔ)丁的遺留程序，使系統(tǒng)免受零日攻擊。保護(hù)IT投資，使用虛擬補(bǔ)丁功能可以降低50%-75%的IT本錢。預(yù)防數(shù)據(jù)破壞及營(yíng)運(yùn)受阻提供無論是實(shí)體、虛擬及云端運(yùn)算的效勞器防御；防堵在應(yīng)用程序和操作系統(tǒng)上及未知的漏洞；防止網(wǎng)頁應(yīng)用程序遭SQLInjection及Cross-site跨網(wǎng)站程序代碼改寫的攻擊；阻擋針對(duì)企業(yè)系統(tǒng)的攻擊；辨識(shí)可疑活動(dòng)及行為，提供主動(dòng)和預(yù)防措施合規(guī)性要求協(xié)助企業(yè)遵循PCI及其它法規(guī)和準(zhǔn)那么DeepSecurity提供的防火墻、DPI、文件完整性檢查、日志審計(jì)等功能符合多項(xiàng)法規(guī):PCI,HIPAA,SAS-70,SOX,GLBA等可以滿足企業(yè)內(nèi)部及外部審計(jì)人員的要求；提供詳細(xì)的審核報(bào)告