《04 Deep Security充分必要性说明-20130628》由会员分享,可在线阅读,更多相关《04 Deep Security充分必要性说明-20130628(10页珍藏版)》请在金锄头文库上搜索。
1、虚拟化平台安全防护方案Deep Security应用充分必要性说明趋势科技(中国)有限公司2013年6月28日文档信息:文档属性内容项目/任务名称项目/任务编号文档名称Deep Security应用充分必要性说明文档版本号1.1文档状态制作人Shunyi Lv保密级别管理人制作日期复审人复审日期扩散范围版本记录:版本编号版本日期创建者/修改者说明1.02013-06-25Shunyi Lv初稿1.12013-06-28Bill Zhao更新部分内容,增加部分客户的反馈文档说明:本文档仅用于提供给客户参考。我行正在使用VMware虚拟化技术,它改善了数据中心耗电开销、提高了数据中心资源利用率,增
2、强了业务管理扩展性、让IT运维更加灵活便捷。数据中心的虚拟系统是一种新的计算平台,在面临许多与物理服务器相同的安全挑战同时,又因为其自身特点,出现了新的安全防护空白点和产生了新的安全挑战。为了实现我行整体安全防御目标,迫切需要将虚拟化环境的安全防护纳入到整个安全防护体系中来。一、针对虚拟化环境的解决方案传统环境下的网络安全拓扑图,在网络出口处部署网关防护设备,如防火墙、防毒墙等各类安全设备,用来隔离网络之间的攻击和病毒扩散问题,部署IDS监控对服务器的非法访问行为,在服务器上部署防病毒软件,保护核心服务器的安全运行。而在虚拟化环境下,一台物理服务器平台上将运行数个甚至数十个业务虚拟机,这些传统
3、的安全防护措施将不再有效。VMware 公司为了解决此问题,专门提供了VMware vShield Endpoint 和VMsafe API两个程序接口供安全厂商在此基础上解决网络攻击和病毒传播等问题。趋势科技的Deep Security是最早可以支持vShield Endpoint的无代理保护方案,它在ESX物理服务器上以一个安全虚拟机方式运行而不需要在其它各个业务虚拟机安装任何代理程序。同时,当业务虚拟机任意启用运行或者从一台物理服务器切换到另一台物理服务器时,都不出现防护空档,这一切是传统解决方案无法完成的。二、全面保护虚拟化平台的安全VMware环境上大量运行Windows操作系统、L
4、inux操作系统,而这些操作系统的漏洞和攻击相比Unix开放平台增加数倍。如果不控制安全风险,虚拟化技术的诸多优势将被安全问题抵消。因此,必须有效降低虚拟化环境下业务系统的安全风险,从主机漏洞防护、病毒防护、应用控制、网络访问控制、日志审计、数据完整性检查等多方面着手,从而让虚拟化技术得以广泛地应用起来。趋势科技Deep Security正是集合了上述所有功能于一体,一站式解决多方面的安全问题。三、与VMware vCenter无缝集成实现便捷管理趋势科技虚拟化安全解决方案Deep Security采用B/S管理架构,管理员通过浏览器就可以实现Deep Security的管控,可以统一管理整个
5、数据中心的服务器资源,包括传统物理服务器、虚拟服务器,以及Windows、Linux、Unix、Solaris各个操作系统平台。实现安全策略统一下发,安全事件集中管理,安全防护状态集中监控等功能。同时,Deep Security与VMware vCenter的紧密集成,可以实时同步业务虚机状态信息,通过Deep Security管理控制台可以直接查看业务虚机的启动、关闭、迁移等状态变化,实现无缝的虚拟机安全防护的管理,这样大大提高了管理的便捷性。四、节约资源开销、大量提升性能传统的防护措施是在每台虚拟机内安装的反病毒客户端程序、主机防护客户端程序等,即有N台虚拟机就要安装N个客户端程序。如在病
6、毒防护时,要将病毒防护引擎、特征库重复加载运行N次。趋势科技Deep Security方案利用vShield Endpoint程序接口将安全防护软件功能安装到一台专用的虚拟安全机上,所需要系统资源节省(N-1)份。在业务虚机上部署传统的病毒防护产品,当业务应用(如OA,数据库等)操作出现I/O峰值时往往导致业务不可用。由于传统防病毒软件的工作机制就是要对I/O操作进行病毒扫描,而它又无法识别ESX物理服务器的资源总体消耗情况,所以,即使在虚拟化低密度环境下,当业务应用I/O操作处于峰值时加上传统防病毒系统的安全检查操作增加大量资源开销,最终导致ESX物理服务器资源抢占风暴,从而影响业务操作的正
7、常使用。当虚拟化密度越高时,Deep Security方案将与传统防病毒方案的性能开销差距越突出,它明显提升服务器的ESX虚拟化比例。对比传统防病毒软件(以趋势科技的传统officescan方案为例)和虚拟化安全解决方案Deep Security两种方案,当同时进行全盘扫描测试时,Deep Security的性能表现明显优于传统防护方案。以1:12的虚拟化密度为例,CPU使用情况节省7.82%(共24 Cores),内存消耗节省6.4GB(共128 GB),磁盘最长滞后时间节省13.1ms,扫描消耗时间节省25min。安全产品CPU使用情况(%)Memory消耗(GB)Disk最长滞后时间(m
8、s)扫描消耗时间(min)officescan10.723100.2113.3560Deep Security2.90593.810.2535五、Deep Security竞争力分析1、与McAfee MOVE比较a)策略应用到安全虚拟设备,而非应用到每个虚拟机McAfee MOVE产品在同一台 ESX 服务器上的每个虚拟机将拥有且必须拥有相同的单一策略。但虚拟化环境需要更高的灵活性,如要实现在同一台ESX服务器上对不同的虚机配置不同的策略,McAfee必须借助代理程序才能实现。如果发生迁移vMotion,虚机策略也不会随虚机一起转移,无法得到应有的保护。b)需要在每台虚机上部署代理程序McA
9、fee MOVE产品要想使虚拟机在控制台中显示为受管理或受到保护状态,必须将代理部署到每个虚拟机上。因此,尽管它们支持“无代理”这一说法是准确的,但是无法在没有代理的情况下进行管理。c)与VMware vCenter一次性静态集成McAfee MOVE产品如果没有代理,管理员将无法了解虚拟机的实时状态和是否受到保护。2、与Symantec Endpoint Protection 12比较Symantec没有实现无代理防护。“尽管 Symantec 可利用某种vShield集成将重要处理从每个虚拟机中剥离,但是仍然无法提供可与趋势科技、Kaspersky Lab 及 McAfee 相媲美的无代理
10、防恶意软件扫描。”(Gartner,Endpoint Protection MQ(端点防护魔力象限),2013 年 1 月)。3、与Kaspersky 比较a)无法单独实现虚拟主机全面防护Deep Security可以实现无代理全面安全防护,Kaspersky有防病毒和IPS功能,其他功能需要其他厂商产品。Kaspersky目前使用2个安全虚拟机,一个虚拟机作用于反病毒,一个虚拟机作用于网络层攻击防御,也就是说不能整合。b)无法与vCenter自动同步Deep Security自动与vCenter同步,Kaspersky需要手动登陆请求与vCenter更新。c)网络层防护限制Kaspersky
11、网络层攻击防御(IPS)只能针对HTTP协议,采取的策略只能是针对某个IP进行拦截,不能针对协议进行拦截,且不能针对某台虚拟机进行主机IPS防护,只能选择开启或关闭的状态,不能定制安全防护的策略。必须要装客户端,才可以进行漏洞扫描,无修复功能,只能通过有代理方式进行管理控制。卡巴网络层防护是通过VMware分布式交换机技术,而不是通过VMsafe API实现,这一功能的使用增加了对VMware版本的要求(VMware的标准版不具备分布式交换机功能)。六、同业案例趋势科技虚拟化防护解决方案Deep Security已在商业银行广泛应用,摘录典型客户如下:银行名称诸暨农村合作银行浙江天台农村合作银行龙湾农村合作银行浙江台州黄岩农村合作银行华融湘江银行桂林银行
