《虚拟化平台安全防护方案》由会员分享,可在线阅读,更多相关《虚拟化平台安全防护方案(11页珍藏版)》请在金锄头文库上搜索。
1、1.虚拟化安全挑战及防护需求虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统 的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的 安全防护及运维管理带来新的风险及问题。总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面:1. 网络及逻辑边界的模糊化,原有的 FW 等网络安全防护技术失去意义虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理 位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的 虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、 网络入侵检测防护等技术都失去
2、了应有的作用。攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的 其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚 拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔 离。2. 系统结构的变化导致新风险虚拟化平台在传统的“网络-系统-应用”系统架构上增加了 “Hypervisor及虚拟 网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使2 台完全 独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如 虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩 散
3、同时, 单台 虚 拟机 的安 全问题, 也 有可 能影 响整个虚 拟 化平 台的 安全; 虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检 测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防 护,防止虚拟平台和虚拟主机被恶意攻击及篡改.3. 资源的共享化,原有安全防护技术面临新挑战针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场 灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描
4、负载,直接影响到整个虚 拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化 技术对虚拟化平台提供更完善、更可靠的保护。2. 安全建设方案2.1 安全建设方案概述虚拟化平台的虚拟网络安全:通过在虚拟机服务器主机上部署基于主机的入侵检 测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系 统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。 满足对虚拟服务器自身防护虚拟化 Guest 服务器安全: 该方案针对虚拟出来的服务器的安全防护同样可以 做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变 化。面对新
5、形势下的安全威胁,无论是网络攻击,内存的缓存溢出攻击,零日威胁, 都可以做到实时的安全防护。虚拟化平台底层架构安全防护:通过对 VMware ESXi 服务器的事件日志的实时收 集和分析,实现实时监控虚拟服务器的文件配置改变,针对 ESXi 服务器的入侵检测 防护能力。通过VMware加固手册,针对vCenter服务器,集成根据该手册定义的安 全加固需求的入侵防御,入侵检测策略。由于vCenter服务器架构与Windows服务器 上,因此同时还应该针对Windows服务器提供足够的服务器级别加固能力,防止通过 入侵 Windows 而间接控制 vCenter 服务器。 通过对 ESXi,vCe
6、nter,Windows 服务器 的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平 台具备全部控制和管理能力的虚拟化平台自身服务器 ESXi 和 vCenter 服务器做到完 整的基础架构安全防护能力。2.2 总体网络部署架构示意病踐扫ta蜃布护业务资业务蜜换池业务谡掠池Nidu 边Ffi火腳入憬詩 护滋量曲ttmit平台建 垒机VMVMVcent ServerHypervisor ESXI ServerHypervisor ESXI Server2.3 虚拟桌面无代理病毒防护2.3.1 需求概述针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机
7、都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化 环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。结合 VMWARE 最新的 NSX 技术架构,赛门铁克数据中心安全防护提供了针对虚拟 化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构 的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。2.3.2 实现方案SDCS 通过提供虚拟安全设备 SVA 并于 VMware 的软件定义网络平台 NSX 集成,提供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策略分配到NSX定义的组,而无须关心策略分配到那个虚拟
8、机。SDCS提供虚拟安全设备SVA为虚拟服务器提供无代理防病毒01 Symantec43tVh/wareNSX Networking 焉 Spcurity5YMCSVAEndpoint Service1.导入汗且工M妄全SVA虚捉机 Z览帅新菇门诜丸仍病寿策晞4兰戍一十新衣全茱昭vceriterj 5应用新安全策略到朋务器组E标订网貉印系统的丈全威肋SDCS提供和NSX的自动化安全策略分配到组2.4 虚拟平台和虚拟服务器安全2.4.1 需求概述在虚拟化环境中,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防 护,例如:-虚拟层的破坏会导致其上所有虚拟桌面主机的破坏-虚拟桌面主机防护薄弱,可
9、直接影响其他租户的虚拟桌面主机-虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主 机间的通信这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必 须加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及 威胁扩散到整个虚拟化服务平台。symantec的DCS-Server Advanced解决方案,针对虚拟化平台的Hypervisor层 及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及加固功能, 防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水 平。2.4.2 实现方案2.4.2.1 虚拟架构保护 监视
10、Hypervisor底层server的方法(支持当前主流的Vmware平台):虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署 DCS 安全监控代理 DCS安全监控代理通过命令行或者API接口访问虚拟平台底层配置文件/日志、VM配 置文件。 DCS管理控制台上启用预定义的虚拟平台IDS策略监视配置/日志/访问操作 针对虚拟平台配置变更可以生成预定义的监控报告 IDS策略概要: 命令行接口(CLI)登录失败和成功事件 命令行接口(CLI)命令操作记录 按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更(谁?时间?操作?变 更?内容?) 按照各厂商安全加固指南监控拟
11、平台管理组件配置文件变更(谁?时间?操作?变更? 内容?) 关键的安全事件日志分析未授权核心模块加载 USB设备事件(发现、连接VM) 其他告警2422虚拟主机(GuestOS )保护安全锁定 -保障系统最小权限的安全运行环境服务器主机的运行环境通常比较简单和固定,且操作是可以预期的,如下: 仅需要安装、运行和访问特定 计算机环境轻易不进行变更 除必要的业务访问和操作外,不允许访问其他任何资源或进行其它额外操 作同时,考虑到服务器主机的特殊性(并不能总是及时更新补丁), 传统的防病 毒技术(依赖于黑名单:病毒特征库)无法解决一些新型未知攻击和零日漏洞攻击的 威胁,因此,针对关键服务器主机,本次
12、建议采用更严格的基于白名单及行为特征的 系统加固及防护技术。本次推荐的解决方案为赛门铁克的数据中心安全防护软件 DCS_SA (SYMC DATA CENTER SECURITY SERVER ADVANCED),DCS_SA是业界领先的基于主机的主机安全保护 和加固的解决方案,为关键服务器主机,关键业务应用提供持续的,全面的,纵深的 安全防御保护。包括 端口/服务管理(网络环境锁定):限制服务器主机上的端口开放和访问情况, 确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的传播和扩散 ,并避免来自于其它设备的恶意攻击及 访问(包括来自于服务器本地和安全
13、域内部其它主机的恶意访问和攻击)进程白名单(应用环境锁定):通过进程白名单技术,确保服务器主机只允许 业务所需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致 的病毒感染、恶意代码执行风险 漏洞攻击及保护(系统加固及锁定):提供针对服务器主机的系统加固锁定和 攻击保护。包括缓冲区溢出、进程注入等零日漏洞攻击行为的检测及保护能 力,在服务器未及时更新补丁时对服务器进行有效保护。 安全监控及告警功能: 通过监控和收集服务器主机操作系统日志和加固及防 护系统日志,及时掌握服务器主机当前面临的威胁及风险状况以及系统任何 细微变化。斂定主机日恥咯旺加皿 悟限制网培通讯*只7t许壬耽4傩匚用=
14、居台1撫服賽語甬讯圧月瀏土互仃环洱. 岸制可运行时进握忑潯思口珀讦世定匹匸用虎逞尺茸调 用的蔡繃磐和资稠蔚讲握间继承关齟智能颐旧别网缰环境“锁宦应用环境“锁宦“ W可1、有代腔制莊童代谄幻传关健服务器可僚丽腔制恶團弋码,m繇 1掛呈的执和它盘咗娓系统运佇环境和资源 幵启磁赍懈保护r冏止 窃沖区嵐出、供程主人 内存汪儿等尺击可V肓寓焊护壬我即升丁敌 -.灼护人冋和誓日代苦/业务终端策畴疑一“菅理网络环境“锁定”DCS_SA 主机防护软件提供了基于主机的防火墙访问控制功能 , 可以通过策略管 理服务器针对终端计算机制定统一的个人主机防火墙规则,并且自动下发到终端进行 执行,且不允许终端用户随意修改
15、。可以通过防火墙策略限定终端用户能不能访问某 些特定资源、或者进行特定网络连接(如基于IP、端口、应用程序等参数)。如下图 所示:网络环境锁定”可以有效控制业务终端恶意代码的传播和感染限定业务终端应用程序与特有的后台服务器IP地址和端口进行通讯,确保网络环境安全基于IP地址 的访问控制基于TCP、基于进出流基于程序路基于用户、UDP端口的量双向访问径和参数的用户组的访访问控制控制访问控制问控制/ Symantec通过该功能,可以限制服务器主机上的端口开放和访问情况,确保服务器上只开 放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的 传播和扩散,并避免来自于其它设备的恶意攻击及访问(包括服务器本地和安全域内 部其它主机的恶意访问和攻击),弥补安全域边界防火墙只能监控阻止来自于安全域 外部攻击的不足。应用环境“锁定”DCS_SA 主机防护软件还提供了基于进程、文件级别的应用程序控制及保护功能, 通过系统的自我学习功能,DCS_SA可以自动收集并识别业务终端上运行的业务进程及
