VMwarevShieldBundle产品手册1图文.docx

资源描述

VMwarevShieldBundle产品手册1图文.docx

《VMwarevShieldBundle产品手册1图文.docx》由会员分享，可在线阅读，更多相关《VMwarevShieldBundle产品手册1图文.docx（11页珍藏版）》请在冰豆网上搜索。

VMwarevShieldBundle产品手册1图文.docx

VMwarevShieldBundle产品手册1图文

产品介绍

VMwarevShieldBundle

可信赖的云计算基础架构的基础

VMwarevShieldBundle功能概述

vShieldBundle可为虚拟化数据中心提供优于物理解决方案的安全性。

它将四种vShield产品的高级功能整合在一起,共同提供集成式、自适应且经济高效的安全服务和管理,以便保护虚拟数据中心和云计算环境的方方面面,涉及网络边缘、应用程序、数据和端点。

网络边缘

通过利用边缘网络安全解决方案来保护虚拟数据中心的外围,

vShieldBundle可提供网络安全网关服务和Web负载平衡等基本安全功能,以提高性能和可用性。

此解决方案直接嵌入到VMwarevSphere中,可利用容错和高可用性等内置功能获得无可比拟的恢复能力。

vShieldBundle也可与VMwarevCloudDirector协同使用,以便在多租户云计算基础架构中自动执行和加快虚拟数据中心的安全调配速度。

安全管理员和虚拟基础架构管理员的职责分离使他们只能访问有限的授权资源。

vShieldBundle作为虚拟设备部署,可提供防火墙、虚拟专用网络（VPN、Web负载平衡器、网络地址转换（NAT和动态主机配置协议（DHCP服务等网络安全网关功能,以监视数据包标头是否包含特定的源和目标IP地址。

根据具体策略,它可拒绝或允许建立连接、启动和终止VPN会话、执行网络地址转换,或者根据源/目标端口和协议类型（传输控制协议[TCP]或用户数据报协议[UDP]检验数据。

应用程序和数据

vShieldBundle为虚拟数据中心提供基于虚拟化管理程序并且可识别应用程序的防火墙解决方案。

它支持动态发现敏感数据,例如可能存储在驻留在虚拟机容器内的非结构化数据文件中的信用卡数据。

管理员可以使用这款产品扫描数据中心、集群或资源池中是否存在敏感数据,以满足法规遵从性审核的要求。

该产品直接嵌入vSphere中,可用于防范内部网络威胁和降低企业安全范围内的策略违规风险。

为实现这一点,该产品使用

可识别应用程序、具有数据包深度检测功能并基于源和目标IP地址进行连接控制的防火墙技术。

它还支持管理员快速创建与业务相关的安全组,从而简化策略控制。

vShieldBundle可基于管理员定义的与业务相关的安全组,而不是物理界限或与应用程序部署相关的静态假设来生成并实施策略。

它利用流量监控来分析虚拟机网络流量,以及动态实施安全组策略。

概览

VMwarevShield™Bundle是可信赖的云计算基础架构的基础。

vShieldBundle可提供集成式、自适应且经济高效的安全服务和管理,以保护虚拟数据中心和云计算环境的方方面面,涉及网络边缘、应用程序、数据和端点。

vShieldBundle可与VMwarevSphere®、VMwarevCenter™Server和VMwarevCloud™Director协同工作。

主要优点

•

为虚拟数据中心和云计算环境提供全方位保护—涉及网络边缘、应用程序和数据及端点•

降低成本和复杂性•

通过无代理部署消除防病毒和防恶意软件“风暴”•

通过发现敏感数据降低违规和声誉受损风险•

自适应的信任区域可形成具有通用安全策略和访问要求的应用程序和数据组

VMwarevShield

通过安全组实现细化策略实施。

vShieldBundle的用途

部署vShieldBundle的目的是提供安全服务和管理,为虚拟数据中心和云计算环境提供全方位的保护。

网络边缘

vShieldBundle包括一整套边缘网络网关安全解决方案,提供可实现以下目的的基本功能

•整合边缘安全硬件—使用现有的vSphere资源来调配边缘安全服务,因此不需要使用专门构建的硬件设备在vSphere主机之间进行物理隔离。

•快速安全地调配虚拟数据中心边界—在虚拟数据中心环境周边轻松创建安全、逻辑、独立于硬件的边界（即“边缘”,从而更为便捷地利用多租户IT基础架构中的共享网络资源。

•保护共享网络中的数据机密性—对站点间VPN提供256位加密,以保护在虚拟数据中心边界内传输的所有数据的机密性。

•确保Web服务的性能和可用性—跨多个虚拟机集群高效管理入站Web流量,并使用可与边缘安全性功能一起部署或独自部署的多种Web负载平衡功能。

•促进遵从性管理—部署事件详细日志记录和流量统计信息等必要的控制措施,以证明遵从公司策略以及行业和政府法规。

应用程序和数据

vShieldBundle包含可识别应用程序的防火墙,可用于•满足虚拟化主机上的数据遵从性审核要求—手动调用或通过RESTAPI以编程方式执行扫描,以验证对所选策略的遵从性。

•提供可识别应用程序的保护—为流经某一虚拟网卡（NIC的所有流量定义和实施细化的策略,从而可以在不再绕经物理防火墙的同时更清楚地了解虚拟数据中心内部的流量情况。

•保持可识别更改的保护—在主机间迁移虚拟机时为这些虚拟机持续提供防火墙保护,从而帮助确保网络拓扑的更改不会影响应用程序的安全性。

•高效管理动态策略—简化策略定义过程并为管理员提供丰富的环境信息,以便随企业发展的需要定义和细化各种内部防火墙策略。

•降低僵尸网络风险—通过为可信应用程序动态分配端口来防范僵尸网络和其他攻击。

vShieldBundle提供管理员控制台以管理敏感数据发现策略。

“策略”可通过选择适用法规来扫描各种目标虚拟机容器（数据中心、集群和资源池创建。

可以按文件扩展名、大小或修改日期进一步过滤要扫描的文件。

扫描输出结果中包含与所选策略不兼容的数据中心、集群、虚拟机和文件名的标识。

管理员可以使用表述性状态转移（RESTAPI来修复违规文件。

端点

端点解决方案使用革命性的体系结构方法来优化防病毒、敏感数据发现和其他端点安全功能,这些功能由VMware合作伙伴提供用于vSphere和VMwareView™环境。

对于防病毒实施,vShieldBundle可通过将防病毒扫描活动卸载到安全虚拟设备来提高性能,该虚拟设备包含扫描引擎,以及存储的防病毒文件特征码。

对于防病毒和防恶意软件功能,这种体系结构可以消除虚拟机中的软件代理,释放系统资源,提高性能,并消除防病毒“风暴”（在进行计划内扫描和特征码更新过程中出现的资源超负荷的风险。

由于安全虚拟设备不会离线,因此它能够持续更新防病毒特征码,从而为主机上的虚拟机提供连续保护。

此外,新虚拟机将立即受到最新防病毒特征码的保护。

借助vShieldBundle,可以大幅减少虚拟基础架构管理员的任务量,因为每个虚拟机上都不存在需要管理的防病毒代理。

相反,管理员使用合作伙伴的管理控制台来管理安全虚拟设备。

这种方法不需要管理每个虚拟机的频繁更新。

vShieldBundle借助经过安全强化且防篡改的安全虚拟设备（由VMware合作伙伴提供,并利用vSphere中强大而安全的虚拟化管理程序自检功能增强了安全性,可减少防病毒和防恶意软件服务本身的漏洞。

vShieldBundle还为VMware合作伙伴公司提供接口来实现文件、内存和进程扫描。

该体系结构可同时支持多个安全解决方案,例如在一个安全虚拟设备中使用敏感数据发现解决方案,同时在另一个安全虚拟设备中使用防病毒解决方案。

组织可以通过防病毒或防恶意软件服务提供的详细活动日志记录,证明遵从性并满足审核要求。

管理

管理员通过随附的管理控制台vShieldManager集中管理vShieldBundle。

它与VMwarevCenterServer无缝集成,以便对虚拟数据中心进行统一的安全管理。

•控制对共享资源的访问—允许安全管理员基于IP地址限制对vSphere主机上的共享服务（例如存储和备份的访问。

•加快IT遵从性的实现—通过提供证明遵从内部政策和外部法规要求所需的日志记录和审核控制机制,增强对虚拟机网络安全性的了解和控制。

端点

vShieldBundle包括端点功能,可以

•简化防病毒和防恶意软件部署流程—将企业防病毒引擎和特征码文件仅部署到单个安全虚拟设备,而不是部署到vSphere主机上的每一台虚拟机。

•提高虚拟机性能—通过将防病毒和防恶意软件代理扫描等活动从各个虚拟机分流到每个vSphere主机上的单个安全虚拟设备中,安全地实现更高的整合率。

•防止防病毒“风暴”和瓶颈—在单个安全虚拟设备上实现防病毒和防恶意软件扫描及更新,以防止防病毒“风暴”和瓶颈。

•保护防病毒安全软件免受攻击的侵扰—在经安全强化的安全虚拟设备中部署和运行防病毒及防恶意软件客户端软件,以防范针对防病毒和防恶意软件解决方案的攻击。

主要功能特性

vShieldBundle包括以下主要功能特性和组件:

针对网络边缘

防火墙

•外围（第3层防火墙,不需要进行网络地址转换（NAT•有状态检测防火墙,采用基于以下参数的入站和出站连接控制规则:

–IP地址—源/目标IP地址

–端口—源/目标端口

–协议—类型（TCP或UDP

网络地址转换

•以虚拟化环境为转换目标和转换源的IP地址转换

•针对不受信任的地址伪装虚拟数据中心的IP地址动态主机配置协议

•自动为vSphere环境中的虚拟机调配IP地址

•管理员自定义的参数（例如,地址池、租期和专用IP地址等站点间VPN

•保护虚拟数据中心（或边缘安全虚拟机之间的通信安全•Internet协议安全性（IPsecVPN,支持证书身份验证,以及基于Internet密钥交换（IKE协议的共享密钥

Web负载平衡

•针对包括Web流量（HTTP在内的所有流量的入站负载平衡•循环算法

•支持“粘性”会话

边缘流量统计信息

•计量虚拟数据中心资源的使用量,并确定各个租户的使用量比重

•这些统计信息可通过RESTAPI进行访问,在服务提供商的计费应用程序中加以使用

策略管理

•通过vShieldManager进行全面的管理;许多功能还可通过vCenterServer界面访问

•界面可自定义,以便使用RESTAPI进行管理

•支持与企业IT安全管理工具集成

日志记录与审核

•基于业界标准的syslog格式

•可通过RESTAPI和vShieldManager用户界面进行访问

•由管理员针对重要的边缘安全事件（错误、警告等指定是启用还是禁用日志记录:

–防火墙:

在规则级别

–NAT:

在规则级别

–VPN:

站点间连接名称

–Web负载平衡器:

在池级别,含URL或文件夹的特定Web请求

–DHCP:

在服务级别,绑定（发布和续购

针对应用程序和数据

敏感数据发现

•管理员使用策略管理控制台可以选择要在遵从性扫描过程中使用的法规

•来自全球各地（北美、EMEA和亚太地区的80多个法规模板,例如PII（个人识别信息、PCI-DSS（PCI数据安全标准信用卡持卡人数据、PHI（保护健康信息等等

•输出报告将标识出哪些扫描资源包含违反选定遵从性法规的数据

•可以使用RESTAPI或操作员控制台对功能进行编程

•通过VMwarevCenterConﬁgurationManager隔离和修复受感染的虚拟机

防火墙

•虚拟化管理程序级防火墙通过虚拟化管理程序检测功能在虚拟网卡级别实施入站/出站连接控制,以支持多主机的虚拟机•第2层防火墙（也称为透明防火墙可防范多种攻击类型,例如密码嗅探、DHCP监听、地址解析协议（ARP欺骗和下毒攻击。

它还提供简单网络管理协议（SNMP流量的完全隔离

•可以根据网络、应用程序端口、协议类型（TCP、UDP或应用程序类型实施保护

•在虚拟机迁移时提供动态保护

•采用基于IP的有状态防火墙和应用层网关,可支持包括Oracle、Sun远程过程调用（RPC、MicrosoftRPC、轻型目录访问协议（LDAP和SMTP在内的众多协议,可通过仅在需要时才打开会话（端口来提高安全性。

要获取受支持协议的完整列表,请参阅《VMwarevShield管理指南》。

流量监控

•管理员可以观察虚拟机之间的网络活动,以帮助定义和优化防火墙策略,识别僵尸网络,并通过详细报告应用程序流量（应用程序、会话和字节数来保护业务流程的安全

安全组

•管理员可以按虚拟机的虚拟网卡定义包含任意虚拟机的业务相关组

策略管理

•vShieldManager提供产品控制功能,其中大量功能也可通过vCenterServer界面访问

•对安全组、vCenterServer组和TCP-5元组（源IP、目标IP、源端口、目标端口和协议实施策略

•RESTAPI提供可编程界面,用于管理和实施策略

•支持与企业级安全管理工具集成IP寻址

•灵活的IP寻址功能,能够在多个租区使用相同的IP地址,从而简化调配

日志记录与审核

•日志记录采用基于行业标准的syslog格式

•通过RESTAPI和vShieldManager可以访问日志记录和审核工具

•管理员可在规则级别指定是启用还是禁用防火墙的日志记录功能

针对端点

卸载防病毒和防恶意软件负载

•通过vShieldBundleESX模块将病毒扫描活动卸载到安全虚拟设备,该虚拟设备包含虚拟扫描引擎以及存储是防病毒特征码

•通过瘦客户端代理和其他合作伙伴ESX模块,将文件、内存和进程扫描及其他任务从虚拟机卸载到安全虚拟设备

•EndpointSecurity（EPsec使用虚拟化管理程序层的自检功能来管理虚拟机与安全虚拟设备之间的通信

•只在安全虚拟设备中更新防病毒引擎和特征码文件,但可对vSphere主机上的所有虚拟机应用策略（由管理员定义的法规集。

由安全虚拟设备触发修复

•保留合作伙伴的防病毒引擎策略,以指定应删除、隔离还是以其他方式处理恶意文件

•对虚拟机内的文件修复活动使用精简代理

合作伙伴集成

•vShieldBundleEPsecAPI用于在虚拟化管理程序层对文件活动进行自检,从而促进与VMware合作伙伴提供的安全虚拟设备解决方案的集成

vShieldManager,策略管理和自动化

•提供功能全面的端点部署配置

•使用RESTAPI可以通过自定义和自动化方式将端点功能集成到解决方案中

–提供监控报告

–vShieldManager可用作vCenter插件

日志记录与审核

•事件日志记录采用基于行业标准的syslog标准

支持的版本

有关受支持的vSphere、ESX和VMwareView环境版本的信息,请访问