Deep Security 白皮书.docx
《Deep Security 白皮书.docx》由会员分享,可在线阅读,更多相关《Deep Security 白皮书.docx(18页珍藏版)》请在冰豆网上搜索。
DeepSecurity白皮书
保护动态数据中心
深层次安全防护系统
你的服务器安全吗?
技术白皮书
趋势科技(中国)有限公司
2009年8月
文档信息
版权声明
本文件所有内容受版权保护并且归趋势科技(中国)有限公司所有。
未经趋势科技(中国)有限公司公司明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。
趋势科技及TrendMicro是趋势科技(中国)有限公司公司的注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标。
趋势科技(中国)有限公司公司不对本文件的内容、使用,或本文件中说明的产品负担任何责任或保证,特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。
另外,趋势科技(中国)有限公司公司保留修改本文件和本文件中所描述产品的权力。
如有修改,恕不另行通知。
信息更新
本产品最新版本信息、升级信息以及相关技术文档将在趋势科技(中国)有限公司公司www.TrendM网站上及时推出,敬请留意。
支持信息
如果希望得到关于趋势科技(中国)有限公司公司产品的报价、产品信息以及技术支持,请查阅公司网站:
www.TrendM。
目录
1动态数据中心的安全4
1.1服务器正处于压力之下4
1.2服务器正迅速增加且飞快发展4
1.3云端服务器开放5
1.4趋势科技的解决方案6
2产品特点7
2.1通过以下方式预防数据泄露和业务中断7
2.2通过以下方式实现合规性7
2.3通过以下方式支持降低运营成本7
2.4全面易管理的安全性7
3产品模块及功能8
3.1深度数据包检查(DPI)引擎8
3.2入侵检测和防御(IDS/IPS)9
3.3WEB应用程序安全9
3.4应用程序控制9
3.5防火墙9
3.6完整性监控10
3.7日志审计11
4产品原理及架构11
4.1工作原理11
4.2DeepSecurity管理器12
4.3DeepSecurity代理12
4.4安全中心13
4.4.1主动研究进一步增强防护13
4.4.2保护各种漏洞13
4.4.3安全中心门户14
5产品部署和集成14
6DeepSecurity的不同之处15
1动态数据中心的安全
IT安全旨在促进业务,而非阻碍业务,但是IT安全所面临的挑战性和复杂性正与日俱增。
合规性要求使得服务器上的数据和应用程序必须遵循一些安全标准。
用虚拟机替代物理服务器,不但经济环保,还能提高可扩展性。
云计算促进了传统IT基础架构的发展,不但节约了成本,还提升了灵活性、容量和选择空间。
服务器不再阻隔在外围防御之后,如同笔记本电脑一样,服务器也在安全外围之外移动,因此需要最后一道防线。
深度防御安全策略的当务之急是部署一个服务器和应用程序防护系统,通过该系统提供全面的安全控制,同时也支持当前及未来的IT环境。
面对这些挑战,趋势科技提出了相应的解答,其中包括DeepSecurity解决方案。
1.1服务器正处于压力之下
根据VerizonBusiness风险小组2008年度的数据泄露调查报告,在最近的数据泄露事件中,59%由黑客攻击和入侵导致。
TJX和Hannaford的数据泄露事件凸显了系统危害对于任何企业的信誉和运营都会产生严重负面影响的潜在可能性。
各组织正不断努力取得一种平衡,希望在保护资源的同时,又能保证更多业务合作伙伴和客户能够访问这些资源。
当前的支付卡行业数据安全标准(PCIDSS)认识到,传统的外围防御已经不足以保护数据使其免受最新威胁,如今需要的是远远超过基于硬件的防火墙以及入侵检测和防御系统(IDS/IPS)的多层保护。
无线网络、加密攻击、移动资源和易受攻击的Web应用程序,所有这些因素加在一起,便促成了企业服务器的脆弱性,使其面临渗透和危害的威胁。
在过去的五年中,一直以来都高度依赖物理服务器的数据中心计算平台经历了一场重大的技术变革。
传统数据中心的空间不断缩减,希望通过整合服务器实现成本节约和“绿色”IT的目的。
几乎每个组织都已经将他们的部分或全部数据中心工作负载虚拟化,实现了物理服务器的多租户使用模式,取代了此前的单租户或单用途模式。
Gartner集团预计,从现在到2011年,虚拟机的安装量将会扩大十倍以上–到2012年,绝大多数x86服务器的工作负载将会在虚拟机内运行。
1.2服务器正迅速增加且飞快发展
IT虚拟化为组织带来的显著优势使其得到广泛采用。
虚拟化提高了容量以及对于企业需求的响应能力,而硬件和软件许可的更有效使用促进了服务器工作负载的继续不断整合。
在虚拟环境中,网络设备和服务器之间不再泾渭分明–如今在虚拟化平台中二者已进行组合。
但是,由于网络安全设备无法看到在虚拟机之间发送的通信流,因此,敏感度各不相同的托管工作负载使得攻击者有了可乘之机。
移动工具(对于管理计划内停机时间、有效利用虚拟化资源以及应用程序可用性而言至关重要)导致服务器上出现额外的工作负载共享,从而影响合规性历史记录管理和虚拟安全设备。
虚拟机不可避免的“蔓延”还增加了未安装最新补丁的虚拟机受到恶意通信流攻击的可能性。
IT人员必须仔细检查保护企业服务器虚拟实例所使用的方法。
1.3云端服务器开放
云计算提高了企业满足日常操作计算需求的能力。
随着越来越多的组织采用云计算以及服务提供商构建公共云,对于能否有效托管这些虚拟化工作负载,安全模式面临着进一步挑战。
在考虑是否将业务工作负载移到公共云中时,安全性往往是组织最为关心甚至因此产生疑虑的一个问题。
IDC最近调查了244位IT主管/CIO及其业务范围(LOB)内的同事,以衡量他们的意见并了解其公司对IT云服务的使用情况,最后结果是,安全性位列第一,成为云计算面临的最大挑战。
当服务器移到公共云资源时,由于这些虚拟化服务器现在直接通过Internet提供管理访问,数据中心外围就无法提供任何防护。
因此,数据中心本来就已经面临的一些问题,如补丁管理和合规性报告,现在也变得更为复杂。
由于一个组织的工作负载靠近另一组织的工作负载一起托管在服务器上,云端唯一的相关防护就只是供应商可以在其外围提供的最低一般水平防护,或者组织为进行自我防御而为其虚拟机部署的任何措施。
问:
请对“云计算”或按需服务所面临的各种问题按重要性进行评价
(1*不重要5*非常重要)
安全性
回答评分为4或5的百分比
“到目前为止,关于云服务我们最为关心的就是安全性。
由于业务信息和关键IT资源都在防火墙之外,客户担心这些信息和资源容易受到攻击。
”
—IDC高级副总裁兼首席分析师FrankGens
性能
可用性
难以与组织内部的IT集成
自定义能力不足
担心按需模式成本更高
带回组织内部可能有困难
法规要求禁止云
主要供应商还不多
资料来源:
IDCEnterprisePanel,2008年8月
1.4趋势科技的解决方案
TrendMicroDeepSecurity解决方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。
它帮助组织预防数据泄露和业务中断,符合包括PCI在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。
DeepSecurity解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。
趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制:
1.基于主机的IDS/IPS
●防护未知漏洞,被未知攻击
●防护已知攻击
●防护零日攻击,确保未知漏洞不会被利用
2.Web应用防护
●防护web应用程序的弱点和漏洞
●防护Web应用程序的历史记录
●支持PCI规范。
3.应用程序控制
●侦测通过非标准端口进行通讯相关协议
●限制和设定哪些应用程序能通过网络被访问
●侦测和阻断恶意软件通过网络进行访问
4.基于主机的防火墙
5.一致性检查和监控
●重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等)
●监控制定的目录
●灵活并且主动实用的监控
●审计日志和报表
6.日志检查和审计
●搜集操作系统和应用程序的日志,便于安全检查和审计
●可疑行为侦测
●搜集安全行为相关的管理员设定
2产品特点
数据中心服务器安全架构必须解决不断变化的IT架构问题,包括虚拟化和整合、新服务交付模式以及云计算。
对于所有这些数据中心模式,DeepSecurity解决方案可帮助:
2.1通过以下方式预防数据泄露和业务中断
⏹在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器
⏹针对Web和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击
⏹帮助您识别可疑活动及行为,并采取主动或预防性的措施
2.2通过以下方式实现合规性
⏹满足六大PCI合规性要求(包括Web应用程序安全、文件完整性监控和服务器日志收集)及其他各类合规性要求
⏹提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间
2.3通过以下方式支持降低运营成本
⏹提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本效益地实施未预定的补丁
⏹为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性
⏹以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客户端的必要性及相关成本
2.4全面易管理的安全性
DeepSecurity解决方案使用不同的模块满足了关键服务器和应用程序的防护要求:
DeepSecurity模块
据中心要求
深度数据包检查
防火墙
完整性监控
日志
审计
IDS/IPS
Web应用程序防护
应用程序控制
服务器防护
–预防已知攻击和零日攻击
–安装补丁之前对漏洞进行防护
●
●
●
〇
Web应用程序防护
–预防SQL注入、跨站点脚本攻击及强力攻击等Internet攻击
–满足PCIDSS6.5要求-Web应用程序防火墙
●
●
〇
●
虚拟化安全
–预防已知攻击和零日攻击
–安装补丁之前对漏洞进行防护
–VMwarevCenter集成增强了可见性和管理
●
〇
●
●
〇
可疑行为检测
–预防侦察扫描
–检测是否在不合适的端口上使用允许的协议
–针对可能发出攻击信号的操作系统及应用程序错误发出警报
–针对关键操作系统及应用程序更改发出警报
〇
●
●
●
●
云计算安全
–使用防火墙策略隔离虚拟机器
–预防已知攻击和零日攻击
–安装补丁之前对漏洞进行防护
●
〇
●
●
●
合规性报告
–有关对关键服务器所做的所有更改的可见性和审计记录
–检查和关联重要安全事件并将其转发到日志记录服务器,以便进行补救、报告和存档
–有关配置、检测到的活动及已阻止的活动的报告
〇
●
〇
〇
●
●
●=基本〇=优势
3产品模块及功能
DeepSecurity解决方案使您能够部署一个或多个防护模块,提供恰好适度的防护以满足不断变化的业务需求。
您可以通过部署全面防护创建自我防御的服务器和虚拟机,也可以从完整性监控模块着手发现可疑行为。
所有模块功能都通过单个DeepSecurity代理部署到服务器或虚拟机,该DeepSecurity代理由DeepSecurity管理器软件集中管理,并在物理、虚拟和云计算环境之间保持一致。
3.1深度数据包检查(DPI)引擎
实现入侵检测和防御、Web应用程序防护以及应用程序控制
该解决方案的高性能深度数据包检查引擎可检查所有出入通信流(包括SSL通信流)中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。
该引擎可在检测或防御模式下运行,以保护操作系统和企业应用程序的漏洞。
它可保护Web应用程序,使其免受应用层攻击,包括SQL注入攻击和跨站点脚本攻击。
详细事件提供了十分有价值的信息,包括攻击者、攻击时间及意图利用的漏洞。
发生事件时,可通过警报自动通知管理员。
DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。
3.2入侵检测和防御(IDS/IPS)
在操作系统和企业应用程序安装补丁之前对其漏洞进行防护,以提供及时保护,使其免受已知攻击和零日攻击
漏洞规则可保护已知漏洞(如Microsoft披露的漏洞),使其免受无数次的漏洞攻击。
DeepSecurity解决方案对超过100种应用程序(包括数据库、Web、电子邮件和FTP服务器)提供开箱即用的漏洞防护。
在数小时内即可提供可对新发现的漏洞进行防护的规则,无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上:
⏹智能规则通过检测包含恶意代码的异常协议数据,针对攻击未知漏洞的漏洞攻击行为提供零日防护。
⏹漏洞攻击规则可停止已知攻击和恶意软件,类似于传统的防病毒软件,都使用签名来识别和阻止已知的单个漏洞攻击。
由于趋势科技是Microsoft主动保护计划(MAPP)的现任成员,DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft收到漏洞信息。
这种提前通知有助于预测新出现的威胁,并通过安全更新为双方客户快速有效地提供更及时的防护。
3.3WEB应用程序安全
DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。
Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击,在代码修复完成之前对这些漏洞提供防护。
该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。
根据客户要求进行的一项渗透测试,我们发现,部署DeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。
3.4应用程序控制
应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。
这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。
3.5防火墙
减小物理和虚拟服务器的受攻击面
DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。
它可用于启用正确的服务器运行所必需的端口和协议上的通信,并阻止其他所有端口和协议,降低对服务器进行未授权访问的风险。
其功能如下:
⏹虚拟机隔离:
使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。
⏹细粒度过滤:
通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。
可为每个网络接口配置不同的策略。
⏹覆盖所有基于IP的协议:
通过支持全数据包捕获简化了故障排除,并且可提供宝贵的分析见解,有助于了解增加的防火墙事件–TCP、UDP、ICMP等。
⏹侦察检测:
检测端口扫描等活动。
还可限制非IP通信流,如ARP通信流。
⏹灵活的控制:
状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。
它可解决任何网络上都会遇到的通信流特征不明确的问题,此问题可能出于正常情况,也可能是攻击的一部分。
⏹预定义的防火墙配置文件:
对常见企业服务器类型(包括Web、LDAP、DHCP、FTP和数据库)进行分组,确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。
⏹可操作的报告:
通过详细的日志记录、警报、仪表板和灵活的报告,DeepSecurity防火墙软件模块可捕获和跟踪配置更改(如策略更改内容及更改者),从而提供详细的审计记录。
3.6完整性监控
监控未授权的、意外的或可疑的更改
DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件(如目录、注册表项和值),以检测可疑行为。
其功能如下:
⏹按需或预定检测:
可预定或按需执行完整性扫描。
⏹广泛的文件属性检查:
使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控,包括:
内容、属性(如所有者、权限和大小)以及日期与时间戳。
还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作,并提供警报。
此功能适用于PCIDSS10.5.5要求。
⏹可审计的报告:
完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。
该模块还可通过Syslog将事件转发到安全信息和事件管理(SIEM)系统。
⏹安全配置文件分组:
可为各组或单个服务器配置完整性监控规则,以简化监控规则集的部署和管理。
⏹基准设置:
可创建基准安全配置文件用于比较更改,以便发出警报并确定相应的操作。
⏹灵活实用的监控:
完整性监控模块提供了灵活性和控制性,可针对您的独特环境优化监控活动。
这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。
此外,还可根据独特的要求灵活创建自定义规则。
3.7日志审计
查找日志文件中隐藏的重要安全事件并了解相关信息
使用DeepSecurity日志审计软件模块可收集并分析操作系统和应用程序日志,以查找安全事件。
日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。
这些事件随后会转发到一个SIEM系统或集中式的日志记录服务器,以便进行关联、报告和存档。
DeepSecurity代理还会将事件信息转发到DeepSecurity管理器。
日志审计模块的部分优势如下:
⏹可疑行为检测:
该模块可检测服务器上可能发生的可疑行为。
⏹收集您的整个环境中的事件:
DeepSecurity日志审计模块能够收集许多事件并将其关联起来,这些事件包括:
MicrosoftWindows、Linux和Solaris平台间的事件;来自Web服务器、邮件服务器、SSHD、Samba、MicrosoftFTP等的应用程序事件;自定义应用程序日志事件。
⏹关联不同事件:
收集各种警告、错误和信息事件并将其关联起来,包括系统消息(如磁盘已满、通信错误、服务事件、关机和系统更新)、应用程序事件(如帐户登录/注销/故障/锁定、应用程序错误和通信错误)、管理员操作(如管理员登录/注销/故障/锁定、策略更改和帐户更改)。
⏹有关合规性的可审计报告:
可生成安全事件的完整审计记录,以帮助满足合规性要求,如PCI10.6。
4产品原理及架构
DeepSecurity解决方案架构包含三个组件:
⏹DeepSecurity代理,部署在受保护的服务器或虚拟机上。
⏹DeepSecurity管理器,提供集中式策略管理、发布安全更新并通过警报和报告进行监控。
⏹
安全中心,是一种托管门户,专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新,然后由DeepSecurity管理器定期发布这些更新。
4.1工作原理
警报
DeepSecurity代理接收来自DeepSecurity管理器的安全配置,通常是一个安全配置文件。
该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。
只需通过执行建议的扫描即可确定对服务器分配哪些规则,此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。
对所有规则监控活动都创建事件,随后这些事件将发送到DeepSecurity管理器,或者同时也发送到SIEM系统。
DeepSecurity代理和DeepSecurity管理器之间的所有通信都受到相互验证的SSL所保护。
DeepSecurity管理器对安全中心发出轮询,以确定是否存在新的安全更新。
存在新的更新时,DeepSecurity管理器将获取该更新,然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。
DeepSecurity管理器和安全中心之间的通信也受到相互验证的SSL所保护。
DeepSecurity管理器还连接到IT基础架构的其他元素,以简化管理。
DeepSecurity管理器可连接到VMwarevCenter,也可连接到MicrosoftActiveDirectory等目录,以获取服务器配置和分组信息。
DeepSecurity管理器还拥有Web服务API,可用于程式化地访问功能。
安全中心对漏洞信息的公共和私有源都进行监控,以保护客户正在使用的操作系统和应用程序。
4.2DeepSecurity管理器
DeepSecurity解决方案提供实用且经过验证的控制,可解决棘手的安全问题。
有关操作且具有可行性的安全不仅让您的组织获知安全事件,还可帮助了解安全事件。
在许多情况下,这种安全就是提供有关事件发起者、内容、时间和位置的信息,以便组织可以正确理解事件然后执行相应操作,而不仅仅是告诉组织安全控制本身执行了什么操作。
DeepSecurity管理器软件满足了安全和操作双重要求,其功能如下:
⏹集中式的、基于Web的管理系统:
通过一种熟悉的、资源管理器风格的用户界面创建和管理安全策略,并跟踪记录威胁以及为响应威胁而采取的预防措施。
⏹详细报告:
内容详尽的详细报告记录了未遂的攻击,并提供有关安全配置和更改的可审计历史记录。
⏹建议扫描:
识别服务器和虚拟机上运行的应用程序,并建议对这些系统应用哪些过滤器,从而确保提供事半功倍的正确防护。
⏹风险排名:
可根据资产价值和漏洞信息查看安全事件。
⏹基于角色的访问:
可使多个管理员(每个管理员具有不同级别的权限)对系统的不同方面进行操作并根据各自的角色接收相应的信息。
⏹可自定义的仪表板:
使管理员能够浏览和追溯至特定信息,并监控威胁及采取的预防措施。
可创建和保存多个个性化视图。
⏹预定任务:
可预定常规任务(如报告、更新、备份和目录同步)以便自动完成。
4.3DeepSecurity代理
DeepSecurity代理是DeepSecurity解决方案中的一个基于服务器的软件组件,实现了IDS/IPS、Web应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。
它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况,对服务器或虚拟机实行防御。
必要时,DeepSecurity代理会通过阻止恶意通信流介入威胁并使之无效。
4.4安全中心
安全中心是DeepSecurity解决方案中不可或缺的一部分。
它包含一支由安全专家组成的动态团队,这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应,从而帮助客户对最新威胁做到防患于未然;同时,安全中心还包含一个用于访问安全更新和信息的客户门户。
安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程:
⏹监控:
对超过100个公共、私有和政府数据源进行系统化的持续监控,以识别新的相关威胁和漏洞,并将其关联起来。
安全中心研究人员利用与不同组织的关系,获取有关漏洞的早期