《虚拟化安全管理系统(轻代理)V7.0-产品解决方案-20210330》由会员分享,可在线阅读,更多相关《虚拟化安全管理系统(轻代理)V7.0-产品解决方案-20210330(12页珍藏版)》请在金锄头文库上搜索。
1、虚拟化安全管理系统(轻代理)V7.0-产品解决方案-20210330虚拟化安全管理系统V7.0(轻代理)产品解决方案 地址:北京市西城区西直门外南路26号院1号 邮编:100044 l 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容,除另有特别注明,版权均为奇安信集团(指包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司)所有,受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。修订记录 修订日期 修订内容 修订人 20_.11.05 新建 云安全公司 目 录 1
2、项目概述 4 1.1.项目背景 4 1.2.建设目标 4 1.3.设计原则 5 1.4.客户价值 6 2 需求分析p 6 2.1 安全威胁分析p 6 2.2 安全必要性分析p 7 2.3 项目建设需求 8 3 建设方案 8 3.1 整体安全建设方案 8 3.2 安全能力实现 9 3.2.1 虚拟主机病毒与恶意文件防治 9 3.2.2 虚拟主机网络攻击发现与抵御 10 3.2.3 虚拟主机系统加固 10 3.2.4 虚拟化安全统一安全运维 11 3.3 部署方案 11 4 方案特色与亮点 12 4.1 完善的立体防御体系 12 4.2 未知病毒的查杀能力 13 4.3 降低补丁修复成本 13 4
3、.4 全面防护零日漏洞 13 4.5 混合环境统一管理 14 4.6 安全能力领先性 14 5 服务支持 14 1 项目概述 1.1.项目背景 随着添加客户名称市场业务和内部基础服务的极大拓展,现有的基础设施服务已经无法满足日益增长的业务、管理压力,数据中心空间、能耗、运维管理压力日益凸显。添加客户名称借助添加虚拟化厂商名称虚拟化技术,对基础设施服务进行扩展和优化改造,使原有或者新增资得到更高效的利用,大幅削减设备的资本支出、降低与电力和冷却相关的能成本以及节省物理空间。采用虚拟化技术,解决了企业信息化建设所面临的现有压力,又增强了企业基础设施稳定性和高效性。虚拟化技术在支撑连续高效业务的同时
4、,添加客户名称也面临着比传统基础设施上更严峻的安全挑战。传统的数据中心病毒木马感染在虚拟化数据中心中仍然存在。基于虚拟化的特殊性,这类传统的安全问题在虚拟化环境中更难被治理;与此同时,针对虚拟化环境特有的“防病毒风暴”、“升级风暴”、”启动风暴”等问题,传统的安全设计思想已经无法解决。那么,如何设计和规划新的适应虚拟化环境的安全解决思路成为添加客户名称当前考虑的重点。1.2.建设目标 根据信息系统等级保护安全设计技术要求(GB/T 25070-2021),符合等级保护三级要求的信息系统硬件能够具备如下的安全防护能力:在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织
5、等),拥有较为丰富资(包括人员能力、计算能力等)的威胁发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。根据添加客户名称所在行业添加文件名称要求:此处可添加文件、办法、法规的具体要求,可多罗列 基于上述管理办法及法规要求,本项目将为_客户建立虚拟化中虚拟主机层面的安全防护体系,实现对现有虚拟化环境中的虚拟机、物理机的统一安全管理,实现对虚拟机的安全防护,满足_客户对虚拟主机的安全防护要求。1
6、.3.设计原则 添加项目方案总体设计原则 本方案设计充分考虑到信息安全系统建设的完整性,实现“分离式部署、集中化防护、统一化管理”大原则。通过对添加客户名称全网虚拟化环境部署虚拟化安全系统,保证其虚拟化环境的文件安全、网络安全、系统加固,增强其抵御外界恶意文件、威胁流量的能力。 实用性 本项目虚拟主机安全能力建成后,能够把企业虚拟化环境中IT安全保护办法落到实处。针对企业内部IT系统的安全管理办法,虚拟主机安全能力需要很好的支撑其IT相关运维工作和业务全流程。 先进性 病毒、木马的变种、更新非常快、网络攻防频率日益加快,项目技术选择要具备极高的先进性。病毒、木马的防治核心在于病毒库和病毒引擎的
7、先进性,网络攻击防护核心在于攻防情报的快速生产。建设的虚拟主机安全能力需要应对新型的已知未知恶意文件和网络攻击,同时保证在隔离情况下的自主主动防御能力。 安全性 建设的虚拟主机安全能力需要具备安全性,包括系统建设、运行的安全和系统管理的安全,当前系统的建设及运行对原网络及虚拟化系统不会造成任何安全风险。另外,建设的虚拟主机安全能力自身应具备抗攻击、抗破坏、无漏洞,保证新建系统不成为原有IT结构安全缺失的一环。 可靠性 建设的虚拟主机安全能力需要保证安全能力可靠性,不应该影响整个虚拟化架构运行和业务运行。整个系统需要具备完善的逃逸机制:当系统某组件无法工作时,不会造成整体安全能力坍塌;当系统异常
8、时,不会造成整体虚拟化环境运行中断;当系统异常时,不会造成整体业务的中断;当系统异常时,安全日志及配置数据可以逃逸。 可扩展性 建设的虚拟主机安全能力需考虑后期可拓展性,随着虚拟化平台规划和新增扩展,虚拟主机安全能力需灵活适应,必要时自身能够进行性能和功能扩展。1.4.客户价值 平台分离,与平台自身解耦,强调安全独立运行 整体虚拟化安全解决方案采用自研接口和规范,安全能力独立运行和维护。不管虚拟化平台如何变化,整体安全能力不会受到影响。通过独立接口,可以将更多的奇安信安全能力赋予给客户,实现技术的可演进可迭代。 先进技术,值得依赖的国内首屈一指的杀毒和攻防能力。基于奇安信云端大数据+多引擎结合
9、的方式,拥有全球最大的病毒木马特征库和黑白库和最快云端威胁响应感知系统,本地内置多种专利杀毒引擎和防护模式,全面应对已知病毒、未知病毒威胁、网络攻击,并提供主动防御能力。 灵活扩展,安全能力持续附加 方案采用模块化设计,具备灵活的安全功能扩展能力。客户可根据自身情况,灵活选择安全能力。同时奇安信在云上的安全能力能够通过本方案持续附加给客户,帮助客户在应对应急事件、突发问题时能够进行快速决策和有效响应。2 需求分析p 2.1 安全威胁分析p 数据中心虚拟化后,虚拟化基础架构除具有传统物理服务器的所有风险之外,同时也具备虚拟化新型技术下衍生出的安全问题。通过奇安信在虚拟化、云计算上的丰富安全防治经
10、验,结合目前互联网整体安全态势发展,我们认为目前虚拟化环境中的安全威胁主要有以下几点: 新型具备定向攻击性的病毒木马开始流行爆发 近年爆发的勒索病毒和普通的病毒木马相比更具针对性和攻击性,主要针对内网进行感染破坏。传统的静态防病毒体系无法全面防治勒索病毒,对各大政府、企业、高效造成了大面积的影响。对于新型的病毒木马,需要采用更全、更快、更准的病毒库和更智能化的病毒引擎才能解决应对这类快速攻击型的病毒。随着病毒木马的产业链化,很多病毒木马为了逃脱杀毒系统的拦截,病毒木马自身进行了很强的隐匿和变形,以此混淆杀毒系统。传统基于特征的杀毒引擎和病毒库已经无法应对这种弱特征的病毒木马恶意程序。 虚拟化环
11、境成为病毒木马、网络攻击的重灾区 虚拟化环境相比于传统IT架构,其系统单位呈指数级上升。虚拟机临间隔离措施弱,病毒木马传播和横向攻击难度低,一旦虚拟化环境某台虚拟机感染病毒或者被攻陷植入后门,整个虚拟化环境都极有可能被感染。针对虚拟化这种特殊的IT架构,传统的IT安全解决方案很难做到全面拦截和应对。 安全防护能力的高要求和虚拟化追求性能稳定理念相背离 为了提高安全能力和防护效果,需要系统提供尽可能高的资支撑。在虚拟化环境资利用率成倍增加的前提下,单位虚拟机所拥有的资很有限。目前传统的安全解决方案仍然立足于主机层面,此时杀毒能力的资消耗和虚拟机有限的资形成了矛盾。虚拟化杀毒所引起的性能消耗,很可
12、能导致虚拟化环境的不稳定,更严重导致整个业务中断。总体上讲,在虚拟化环境中上,建设虚拟化安全能力,安全防护能力是首要考虑的指标,另外如何平衡防护能力和资消耗成为衡量虚拟化中安全解决方案的重要指标。 统一集中化部署无法满足租户日益增长的安全需求 传统主机安全产品固定、静态的交付模式无法满足电子政务云下的多租户场景。所有租户共用一套安全模板,由安全运维方统一进行安全管理运维。针对各委办局的不同安全标准及要求,统一集中化的主机安全产品不能够完美契合电子政务云下各租户的主机安全诉求,需要寻求更加灵活、适应多租户环境的主机安全解决方案。2.2 安全必要性分析p 不管是虚拟化服务器还是物理服务器,它们都承
13、载着最重要的数据。因此,这些服务器很容易被内部外部的各种力量进行窥探、破坏、盗用。服务器作为信息数据存储的最终载体,倘若服务器系统被入侵和破坏,整个数据也没有安全可言。那么,防护服务器系统安全成为整个安全防护的最后一环。通常,大部分的安全风险的直接受害者都是主机系统,例如病毒木马感染、网络入侵、数据破坏等。所以,对于虚拟化环境的安全,服务器安全是必须进行防护的重要环节。为了降低硬件的采购成本,提高服务器资的利用率。引入虚拟化技术带来IT基础架构的巨大更新,但并没有改变整个IT安全的防护范围,反而增加了虚拟化下IT基础设施的安全防护难度。虚拟化中虚拟主机的灵活状态性,导致传统基于操作系统的安全防
14、护方案失效。加上,虚拟化的数据交换、内存交换、网络交换的复杂实时性,传统的基于文件和静态主体的防护模式很难针对虚拟化进行有效的防护。因此,针对虚拟化特殊环境,不能采用传统的基于操作系统的安全防护模式,转而需要更贴合虚拟化环境特性的安全方案。虚拟化技术的创新推进了硬件资使用率的革新,资利用率的高效使用是使用虚拟化技术的初衷。通过前面分析p ,虚拟化的安全重要性不言而喻。附加安全能力后,随之带来的是性能的耗损。那么,在虚拟化中建设安全能力,将比传统的安全建设有更高的要求。虚拟化的安全能力首先保证安全能力最大化的同时,不能对虚拟化整体资造成巨大影响。针对虚拟化环境,通过虚拟化技术解决虚拟化安全问题,
15、才是虚拟化安全建设的核心思路。建成基于虚拟化的虚拟化安全防护体系,才是虚拟化安全的必要建设目标。2.3 项目建设需求 添加项目方案总体建设需求 本次_项目主要针对业务系统在虚拟化或云环境中面临的安全问题风险,依据云安全相关标准及行业最佳实践,为虚拟化或者云环境提供安全解决方案,提升整体虚拟化环境的安全防护能力。主要包括防病毒木马防治、恶意文件防护、爆发型威胁主动防御,进一步保障业务系统在虚拟化环境的安全性,整体监控虚拟化环境的文件安全态势,管理和维护虚拟化环境的主机系统安全。3 建设方案 3.1 整体安全建设方案 奇安信虚拟化安全解决方案是针对大型虚拟化架构或者云计算架构的客户提出的一种配套安
16、全解决方案,基于等保三级建设要求规范,旨在解决虚拟化云计算中各类虚拟化安全问题。协同企业、政府客户云化管理,共同维护和运营一个合规、安全、稳定的云环境。虚拟化和云计算虽然同宗同,但经过大量的生产实践和技术积累。虚拟化环境和云环境已经开始进行侧重分化。虚拟化环境主张资的集中高效利用,而云环境提倡快速编排服务化。针对两种不同的应用场景,奇安信虚拟化安全解决方案提供两套安全能力实现的方案。奇安信虚拟化安全解决方案,主要针对虚拟化或者云计算环境中的主机层进行安全防护,提供能够满足云建设所遵循的等保三级中对主机安全的安全要求规范的解决方案。通过平台运营扩展+主机立体防护两种业务运营模式,帮助客户实现更好的运营安全能力,同时保证客户能
