《《虚拟化安全防护解决方案》》由会员分享,可在线阅读,更多相关《《虚拟化安全防护解决方案》(29页珍藏版)》请在金锄头文库上搜索。
1、虚拟化安全防护解决方案虚拟化安全解决方案趋势科技(中国)有限公司目录重新思考服务器所面临的安全问题错误!未定义书签。1.1成为企业生产运行和业务运转的根本错误!未定义书签。1.2企业应用改变带来的挑战错误!未定义书签。1.3受到不断变化新威胁攻击的挑战错误!未定义书签。1.4虚拟化环境的面临的新挑战错误!未定义书签。1.5法律法规带来的要求错误!未定义书签。虚拟化四大安全管理问题错误!未定义书签。三、传统方案处理虚拟化安全的问题错误!未定义书签。四、趋势科技无代理虚拟化安全解决方案错误!未定义书签。4.1.趋势科技虚拟化安全防护DeepSecurity错误!未定义书签。4.1.1.系统架构错误
2、!未定义书签。4.1.2.工作原理错误!未定义书签。4.1.3.DeepSecuirty部署及整合错误!未定义书签。4.1.4.集中管理错误!未定义书签。4.1.5.产品价值错误!未定义书签。五、对企业虚拟化主要安全策略应用最佳实践 错误!未定义书签六、 结语错误一、重新思考服务器所面临的安全问题1.1成为企业生产运行和业务运转的根本随着信息化和互联网的深入,彳艮难想象脱离了网络,现代企业如何才能进行正常运转。而服务器所承载的企业核心数据,核心应用甚至企业的核心知识产权等等,让企业已经无法脱离服务器。1.2企业应用改变带来的挑战Web应用:80%的具有一定规模的行业用户或者企业用户都有会白己的
3、 Web网站和基于Web的应用。虚拟化应用:出于资源利用,系统整合以及绿色IT的需要,虚拟化已经在企业内部有了大量的应用。私有云计算的应用企业对于计算能力,对于业务应用等需求,已经在公 司网络内部建立的私有云计算系统。以上这些应用给服务器的安全带来了更大的挑战,传统的安全措施已经不 能满足现在IT系统,服务器系统的安全要求。1.3受到不断变化新威胁攻击的挑战从 至今,互联网的发展日新月异,新的引用层出不穷。从Web1.0到Web2.0,从2G网络升级到3G网络。互联网接入从笨重的台式机,到轻巧的 笔记本电脑,到现在的上网本和手机终端。随着互联网的发展,人们的工作 和生活已经发生了翻天覆地的变化
4、,与此同时,信息技术的发展也带来了安 全威胁的发展。安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网, 攻击公司网络,到现在整个互联网充斥着各种攻击威胁。在当前的网络安全大环境下,现有的防病毒安全系统已经无法承载日新月 异的威胁攻击。为了确保企业的业务连续性,避免病毒对企业的数据,应用 和网络带来威胁,必须对企业的安全系统进行结构化的完善,特别在服务器 的安全防护上,在过去的几年中,大部分企业都存在一定的不足。1.4虚拟化环境的面临的新挑战虚拟机内部攻击传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的 网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内 的网络通
5、信有虚拟交换机进行控制。当同一主机上的虚拟机遭受恶意软件攻 击时,网络中传统的IPS/IDS设备将可能检测不到异常情况。大量垃圾邮件资源争夺病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统(CPU、内存和磁盘I/O)负荷激增。使用不具有虚拟化感知能力的传统安全解决方案部署虚拟化时。将导致虚拟机密度大量降低。在单台主机上仅能运行5至15台虚拟机,而不是 15至45台虚拟机。这将严重影响任何虚拟化或云计算项目的投资收益率(ROD管理的复杂性在虚拟化环境中,很容易创立、修改、复制和移动虚拟机。使用云计 算、公共云或私有云之后,新的虚拟机能白动进行设置、重新配置,甚至白 动移动。这使得管理员在追
6、踪、维护和实施一致性的安全策略时变得异常困 难。因此,有必要采取相应措施来应对此类动态数据中心。即时启动间隙持之以恒的确保“即时启动”虚拟机的安全并不断的对其进行更新,这 几乎是无法实现的。处于休眠状态的虚拟机最终可能会严重偏离基准,以至 于仅仅启动它们便会引入大量安全漏洞。为了降低这种风险,必须提供一种 解决方案在完全受保护的状态下配置和管理虚拟机,无论最后一次防病毒特 征码或补丁更新何时发生,整个虚拟机系统都能一直处于安全状态。另外虚拟化系统采用与物理系统相同的操作系统,包括企业级应用和 web应用。尽管某些漏洞能够被系统管理程序检测出,可是对于这些虚拟化 系统的主要威胁是恶意软件对于这些
7、系统和应用中的漏洞进行远程探测的能虚拟化环境的动态特性面临入侵检测/防御系统(IDS/IP0的新挑战。由于虚拟机能够迅速地恢复到之前的状态,而且易于在物理服务器之间移动, 因此难以获得并维持整体一致的安全性。为了创立虚拟化安全的有效方法,用户应该采用与不断演化以保护物理IT资源相同的安全理论。其中一个安全理论是“全面防御”,这是企业用户对于在其IT基础设施中出现的“网络边界去除”进行识别的基础安全需求。行业最佳实践支持这种理论,而且诸如Jericho Forum等组织也将其纳入其安全建议。因为基于设备的安全不能够处理位于同一物理系统上的VM之间的攻击,因此虚拟化已经使网络边界去除”的挑战更加明
8、显,以及对于领先的安全需求更加迫切。安全的最佳实践至关重要。论坛其它引导理论包括以下 规则:防护的范围和等级应该针对于并适合出于风险中的资产。商业需要能够提高其灵活性和成本有效性的安全策略尽管边界防火墙会不断地提供基本的网络防护,可是个人系统和数据需要白我防护。一般,提供的防护离资产越接近,越容易保护该资产。应用上述这些和其它虚拟化数据中心的安全理论,现在能够看到存在对于虚拟化安全方法的明确需求,即直接将安全机制部署在物理服务器上防护 这些虚拟化系统,从而尽可能近地对资产进行防护。1.5法律法规带来的要求中国信息安全等级保护制度和C-SOX以及国外的PCI, HIPAA, SAS-70SOX,
9、GLBA等法律法规,从法律上也要求了企业在内部信息系统上,达到一定的安 全等级和应用一定的安全策略。二、虚拟化四大安全管理问题1. 虚拟机溢出导致安全问题蔓延管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作 虚拟机溢出”。如果虚拟机能够从所在管理程序的独立环境中脱离出来,入侵者会有机可乘进入控制虚拟机的管理程序,进而避开专门针对 保护虚拟机而设计的安全控制系统。虚拟世界的安全问题正在试图脱离虚拟 机的控制范围。尽管没有那家公司会允许安全问题经过管理程序技术的方式 在虚拟主机间相互传播和蔓延,但这样的安全隐患还是存在的。因为入侵者 或者安全漏洞会在虚拟机之间来回捣乱,这将
10、成为开发者在开发过程中的必 须面正确问题。现在技术工程师一般米用隔离虚拟机的方式来保障虚拟环境 的安全性。保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防 火墙。她们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。这对于虚拟 化环境来说是比较好的方法。2. 虚拟机成倍增长,补丁更新负担加重虚拟机遇到的另外一个安全隐患是:虚拟机修补面临更大的挑战,因为随着虚拟机增长速度加快,补丁修复问题也在成倍上升。IT管理人们也认同补丁在虚拟化环境中的关键性,可是在虚拟机和物理服务器补丁之间实质的 区别并非在于安全问题,而是量的问题。虚拟化服务器与物理服务器一样也 需要补丁管理和日常维护。当前,世界上有
11、公司采取三种虚拟化环境-两个在网络内部,一个在隔离区(DMZ)上-大约有150台虚拟机。但这样的布置就 意味着管理程序额外增加了层来用于补丁管理。但即便如此,还是无法改变 不论物理机还是虚拟机上补丁的关键问题。另外当服务器成倍增长也给技术 工程师及时增加补丁服务器的数量带来一定的压力,她们开始越来越关注实 现这一进程的白动化的工具的诞生。3. 在隔离区(DMZ)运行虚拟机一般,许多IT管理人都不愿在隔离区(DMZ)上放置虚拟服务器。其它的IT管理者们也不会在隔离区(DMZ)的虚拟机上运行关键性应用程序,甚至是对 那些被公司防火墙保护的服务器也敬而远之。在多数情况下,把资源分离出来是比较安全的方
12、式。这个时候,不论是 隔离区还是非隔离区,都能够建立虚拟化环境。就是采用在虚拟资源的集群 中限制访问的办法。每个集群都是白己的资源和入口,因此无法在集群之间 来回串联,许多IT管理者们致力于将她们的虚拟服务器分隔开,将她们置于 公司防火墙的保护之下,还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。这样的虚拟化架构无非是考虑到安全的因素,显然 传统做法已经影响了虚拟化架构的搭建。4. 管理程序技术的新特性容易受到黑客的攻击任何新的操作系统都是会有漏洞和瑕疵的。那这是否意味着黑客就有机可乘,发现虚拟操作系统的缺陷进而发动攻击呢?工业观察家们建议安全维护人员要时刻对虚拟化操作系统
13、保持警惕,她们存在潜在导致漏洞和安全隐患 的可能性,安全维护人员只靠人工补丁修护是不够的。虚拟化从本质上来说 全新的操作系统,还有许多我们尚不了解的方面。它会在优先硬件和使用环 境之间相互影响,让情况一团糟的情况成为可能。虚拟化管理程序并非是人们白己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解,象 VMware这样的虚拟化厂商也在致力于开发管理程序技术 时控制安全漏洞的可能性.三、传统方案处理虚拟化安全的问题在广泛应用专门为 VMware VMsafe API定制的安全解决方案之前,一般米用两种初始方法和安全软件一起来保护虚拟机:一种是在虚拟化计算环境中应用虚
14、拟安全设备以监控虚拟交换机和访客 虚拟机之间的通信流量。2心Wv4Kh H VDSJlPSQiest GuestVMVMVMMMGusriGin 秘VMVM11IVMVML vstEh 11|L 1L 瞄witchvSwfteh尽管虚拟安全设备解决方案提供IDS/IPS防护以避免网络中的攻击,可是也存在较大的局限性:内部虚拟机通信流量-必须将虚拟安全设备放置在虚拟交换机的前面,即便如此,仍不能避免在同一虚拟交换机上虚拟机之间产生攻击,也无法整合安全设备来设置安全域。移动性-如果采用诸如 VMware VMotion ?的控件将虚拟机从物理服务 器之间进行传输,那就会丢失安全上下文。有必要针对于每一个潜在 目的配置虚拟安全设备集群,因为虚拟机有可能被重新定位至该目 的,从而对于性能产生相应的负面影响。不透明度-因为必须改变虚拟网络体系结构以部署虚拟安全设备,这 将对于现有系统的管理和性能产生不利影响。性能瓶颈-虚拟安全设备必须处理虚拟机和网络之间的全部通信流 量,最终会出现性能瓶颈。采用另一种方法,能够在每一虚拟机上部署相同的IDS/IPS功能与虚拟
