《虚拟化安全防护解决实施方案》由会员分享,可在线阅读,更多相关《虚拟化安全防护解决实施方案(26页珍藏版)》请在金锄头文库上搜索。
1、.WORD.格式 .虚拟化安全解决方案趋势科技(中国)有限公司2014年 3月.专业资料 . 整理分享 .WORD.格式 .目录一、重新思考服务器所面临的安全问题.31.1成为企业生产运行和业务运转的根本.31.2企业应用改变带来的挑战 .31.3受到不断变化新威胁攻击的挑战.31.4虚拟化环境的面临的新挑战 .41.5法律法规带来的要求 .7二、虚拟化四大安全管理问题 .7三、传统方案处理虚拟化安全的问题.9四、趋势科技无代理虚拟化安全解决方案.114.1.趋势科技虚拟化安全防护 DeepSecurity .124.1.1.系统架构 .164.1.2.工作原理 .174.1.3.DeepSe
2、cuirty 部署及整合 .174.1.4.集中管理 .184.1.5.产品价值 .18五、对企业虚拟化主要安全策略应用最佳实践.19六、结语 .25.专业资料 . 整理分享 .WORD.格式 .一、 重新思考服务器所面临的安全问题1.1成为企业生产运行和业务运转的根本随着信息化和互联网的深入,很难想象脱离了网络, 现代企业如何才能进行正常运转。而服务器所承载的企业核心数据,核心应用甚至企业的核心知识产权等等,让企业已经无法脱离服务器。1.2企业应用改变带来的挑战Web应用: 80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。虚拟化应用: 出于资源利用, 系统
3、整合以及绿色IT 的需要,虚拟化已经在企业内部有了大量的应用。私有云计算的应用企业对于计算能力,对于业务应用等需求,已经在公司网络内部建立的私有云计算系统。以上这些应用给服务器的安全带来了更大的挑战,传统的安全措施已经不能满足现在IT系统,服务器系统的安全要求。1.3受到不断变化新威胁攻击的挑战从 2000 年至今,互联网的发展日新月异,新的引用层出不穷。从Web1.0 到 Web2.0,从2G网络升级到 3G网络。互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。随着互联网的发展,人们的工作和生活已经发生了翻天覆地的变化,与此同时,信息技术的发展也带来了安全威胁的发展。
4、安全威胁的攻击, 从单纯的攻击单台电脑, 到攻击局域网,攻击公司网络,到现在整个互联网充斥着各种攻击威胁。.专业资料 . 整理分享 .WORD.格式 .在目前的网络安全大环境下,现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性,避免病毒对企业的数据, 应用和网络带来威胁, 必须对企业的安全系统进行结构化的完善, 尤其在服务器的安全防护上,在过去的几年中, 大部分企业都存在一定的不足。1.4虚拟化环境的面临的新挑战虚拟机内部攻击传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内的网络通信有虚
5、拟交换机进行控制。当同一主机上的虚拟机遭受恶意软件攻击时,网络中传统的 IPS/IDS 设备将可能检测不到异常情况。.专业资料 . 整理分享 .WORD.格式 .资源争夺病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统(CPU、内存和磁盘I/O )负荷激增。使用不具有虚拟化感知能力的传统安全解决方案部署虚拟化时。将导致虚拟机密度大量降低。在单台主机上仅能运行5 至 15 台虚拟机,而不是15 至 45 台虚拟机。这将严重影响任何虚拟化或云计算项目的投资收益率(ROI)管理的复杂性在虚拟化环境中,很容易创建、修改、复制和移动虚拟机。使用云计算、公共云或私有云之后,新的虚拟机能自动进行设置、
6、重新配置,甚至自动移动。这使得管理员在追踪、维护和实施一致性的安全策略时变得异常困难。因此,有必要采取相应措施来应对此类动态数据中心。即时启动间隙持之以恒的确保 “即时启动” 虚拟机的安全并不断的对其进行更新,这几乎是无法实现的。处于休眠状态的虚拟机最终可能会严重偏离基准,以至于仅仅启动它们便会引入大量安全漏洞。为了降低这种风险, 必须提供一种解决方案在完全受保护的状态下配置和管理虚拟机,无论最后一次防病毒特征码或补丁更新何时发生,整个虚拟机系统都能一直处于安全状态。.专业资料 . 整理分享 .WORD.格式 .另外虚拟化系统采用与物理系统相同的操作系统,包括企业级应用和web应用。尽管某些漏
7、洞能够被系统管理程序检测出, 但是对于这些虚拟化系统的主要威胁是恶意软件对于这些系统和应用中的漏洞进行远程探测的能力。虚拟化环境的动态特性面临入侵检测/ 防御系统(IDS/IPS )的新挑战。由于虚拟机能够迅速地恢复到之前的状态, 并且易于在物理服务器之间移动,所以难以获得并维持整体一致的安全性。为了创建虚拟化安全的有效方法,用户应该采用与不断演化以保护物理IT 资源相同的安全理论。其中一个安全理论是“全面防御” ,这是企业用户对于在其IT 基础设施中出现的“网.专业资料 . 整理分享 .WORD.格式 .络边界去除” 进行识别的基础安全需求。 行业最佳实践支持这种理论, 而且诸如 Jeric
8、hoForum等组织也将其纳入其安全建议。因为基于设备的安全不能够处理位于同一物理系统上的VM之间的攻击,所以虚拟化已经使“网络边界去除”的挑战更加明显,以及对于领先的安全需求更加迫切。安全的最佳实践至关重要。论坛其它引导理论包括以下规则:防护的范围和等级应该针对于并适合出于风险中的资产。商业需要能够提高其灵活性和成本有效性的安全策略尽管边界防火墙会不断地提供基本的网络防护,但是个人系统和数据需要自我防护。通常,提供的防护离资产越接近,越容易保护该资产。应用上述这些和其它虚拟化数据中心的安全理论,现在可以看到存在对于虚拟化安全方法的明确需求,即直接将安全机制部署在物理服务器上防护这些虚拟化系统,从而尽可能近地对资产进行防护。1.5法律法规带来的要求中国信息安全等级保护制度和C-SOX,以及国外的PCI, HIPAA, SAS-70, SOX, GLBA 等法律法规,从法律上也要求了企业在内部信息系统上,达到一定的安全等级和应用一定的安全策略。二、 虚拟化四大安全管理问题1. 虚拟机溢出导致安全问题蔓延管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作“虚拟机溢出”。如果虚拟机能够从所在管理程序的独立环境中脱离出来,入侵
