虚拟化安全防护解决方案.docx

1、虚拟化安全防护解决方案虚拟化安全解决方案趋势科技（中国）有限公司201年月一、重新思考服务器所面临的安全问题 1.1 成为企业生产运行和业务运转的根本 .2 企业应用改变带来的挑战1.受到不断变化新威胁攻击的挑战 1虚拟化环境的面临的新挑战3二、虚拟化四大安全管理问题 三、 传统方案处理虚拟化安全的问题41. 趋势科技虚拟化安全防护epSecuriy 9.1.系统架构 14.1.2 工作原理 124.1.5.产品价值 1五、 对企业虚拟化主要安全策略应用最佳实践1六、结语2一、重新思考服务器所面临的安全问题1.1 成为企业生产运行和业务运转的根本随着信息化和互联网的深入，很难想象脱离了网络,现

2、代企业如何才能进行正常运转。而服务器所承载的企业核心数据,核心应用甚至企业的核心知识产权等等,让企业已经无法脱离服务器。1.2企业应用改变带来的挑战We应用:80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于W的应用。虚拟化应用：出于资源利用，系统整合以及绿色IT的需要，虚拟化已经在企业内部有了大量的应用。私有云计算的应用企业对于计算能力,对于业务应用等需求,已经在公司网络内部建立的私有云计算系统。以上这些应用给服务器的安全带来了更大的挑战，传统的安全措施已经不能满足现在IT系统，服务器系统的安全要求。1.3受到不断变化新威胁攻击的挑战从20年至今,互联网的发展日新月异，新

3、的引用层出不穷。从eb.0到Web2.，从G网络升级到3G网络。互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时,信息技术的发展也带来了安全威胁的发展。安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据,应用和网络带来威胁,必须对企业的安全系统进行结构化的完善，尤其在服务器的安全防护上,在过去的几年中,大部分企业都存在一定的不足。

4、1.4 虚拟化环境的面临的新挑战虚拟机内部攻击传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信，因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内的网络通信有虚拟交换机进行控制。当同一主机上的虚拟机遭受恶意软件攻击时，网络中传统的IPS/IDS设备将可能检测不到异常情况。资源争夺病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统(CPU、内存和磁盘I/）负荷激增。使用不具有虚拟化感知能力的传统安全解决方案部署虚拟化时。将导致虚拟机密度大量降低。在单台主机上仅能运行至5台虚拟机,而不是15至5台虚拟机。这将严重影响任何虚拟化或云计算项目的投资收益率(RO）管理的复

5、杂性 在虚拟化环境中,很容易创建、修改、复制和移动虚拟机。使用云计算、公共云或私有云之后,新的虚拟机能自动进行设置、重新配置,甚至自动移动。这使得管理员在追踪、维护和实施一致性的安全策略时变得异常困难。因此,有必要采取相应措施来应对此类动态数据中心。即时启动间隙持之以恒的确保“即时启动”虚拟机的安全并不断的对其进行更新，这几乎是无法实现的。处于休眠状态的虚拟机最终可能会严重偏离基准,以至于仅仅启动它们便会引入大量安全漏洞。为了降低这种风险，必须提供一种解决方案在完全受保护的状态下配置和管理虚拟机，无论最后一次防病毒特征码或补丁更新何时发生，整个虚拟机系统都能一直处于安全状态。另外虚拟化系统采用

6、与物理系统相同的操作系统，包括企业级应用和we应用。尽管某些漏洞能够被系统管理程序检测出,但是对于这些虚拟化系统的主要威胁是恶意软件对于这些系统和应用中的漏洞进行远程探测的能力。虚拟化环境的动态特性面临入侵检测/防御系统（IDS/IPS)的新挑战。由于虚拟机能够迅速地恢复到之前的状态，并且易于在物理服务器之间移动，所以难以获得并维持整体一致的安全性。为了创建虚拟化安全的有效方法,用户应该采用与不断演化以保护物理T资源相同的安全理论。其中一个安全理论是“全面防御”,这是企业用户对于在其I基础设施中出现的“网络边界去除”进行识别的基础安全需求。行业最佳实践支持这种理论，而且诸如Jecho Foru

7、m等组织也将其纳入其安全建议。因为基于设备的安全不能够处理位于同一物理系统上的VM之间的攻击，所以虚拟化已经使“网络边界去除”的挑战更加明显,以及对于领先的安全需求更加迫切。安全的最佳实践至关重要。论坛其它引导理论包括以下规则：防护的范围和等级应该针对于并适合出于风险中的资产。商业需要能够提高其灵活性和成本有效性的安全策略尽管边界防火墙会不断地提供基本的网络防护,但是个人系统和数据需要自我防护。通常,提供的防护离资产越接近，越容易保护该资产。应用上述这些和其它虚拟化数据中心的安全理论,现在可以看到存在对于虚拟化安全方法的明确需求，即直接将安全机制部署在物理服务器上防护这些虚拟化系统，从而尽可能

8、近地对资产进行防护。1.5 法律法规带来的要求中国信息安全等级保护制度和C-OX，以及国外的PI, HIAA, SAS-70,SO, LBA等法律法规，从法律上也要求了企业在内部信息系统上，达到一定的安全等级和应用一定的安全策略。二、虚拟化四大安全管理问题1.虚拟机溢出导致安全问题蔓延管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作“虚拟机溢出”。如果虚拟机能够从所在管理程序的独立环境中脱离出来,入侵者会有机可乘进入控制虚拟机的管理程序,进而避开专门针对保护虚拟机而设计的安全控制系统。虚拟世界的安全问题正在试图脱离虚拟机的控制范围。尽管没有那家公司会允许安全问题通过管理

9、程序技术的方式在虚拟主机间相互传播和蔓延，但这样的安全隐患还是存在的。因为入侵者或者安全漏洞会在虚拟机之间来回捣乱，这将成为开发者在开发过程中的必须面对的问题。现在技术工程师通常采用隔离虚拟机的方式来保障虚拟环境的安全性。保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防火墙。他们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。这对于虚拟化环境来说是比较好的方法。2.虚拟机成倍增长,补丁更新负担加重虚拟机遇到的另外一个安全隐患是：虚拟机修补面临更大的挑战，因为随着虚拟机增长速度加快,补丁修复问题也在成倍上升。IT管理人们也认同补丁在虚拟化环境中的关键性,但是在虚拟机和物理服务器补丁之间实质

10、的区别并非在于安全问题，而是量的问题。虚拟化服务器与物理服务器一样也需要补丁管理和日常维护。目前，世界上有公司采取三种虚拟化环境-两个在网络内部,一个在隔离区（DMZ)上-大约有50台虚拟机。但这样的布置就意味着管理程序额外增加了层来用于补丁管理。但即便如此,还是无法改变不管物理机还是虚拟机上补丁的关键问题。另外当服务器成倍增长也给技术工程师及时增加补丁服务器的数量带来一定的压力,他们开始越来越关注实现这一进程的自动化的工具的诞生。3.在隔离区(DMZ）运行虚拟机通常,许多T管理人都不愿在隔离区(DM)上放置虚拟服务器。其它的T管理者们也不会在隔离区(DZ）的虚拟机上运行关键性应用程序，甚至是

11、对那些被公司防火墙保护的服务器也敬而远之。在多数情况下，把资源分离出来是比较安全的方式。这个时候,不管是隔离区还是非隔离区，都可以建立虚拟化环境。就是采用在虚拟资源的集群中限制访问的办法。每个集群都是自己的资源和入口,因此无法在集群之间来回串联,许多IT管理者们致力于将他们的虚拟服务器分隔开，将他们置于公司防火墙的保护之下,还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。这样的虚拟化架构无非是考虑到安全的因素,显然传统做法已经影响了虚拟化架构的搭建。4.管理程序技术的新特性容易受到黑客的攻击任何新的操作系统都是会有漏洞和瑕疵的。那这是否意味着黑客就有机可乘,发现虚拟操作系统

12、的缺陷进而发动攻击呢?工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕,他们存在潜在导致漏洞和安全隐患的可能性,安全维护人员只靠人工补丁修护是不够的。虚拟化从本质上来说全新的操作系统,还有许多我们尚不了解的方面。它会在优先硬件和使用环境之间相互影响,让情况一团糟的情况成为可能。虚拟化管理程序并非是人们自己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Winw操作系统的了解,象Vare这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性三、传统方案处理虚拟化安全的问题在广泛应用专门为VMwareVMsaf API定制的安全解决方案之前，通常采用两种初始方法和安全软件一起

13、来保护虚拟机:一种是在虚拟化计算环境中应用虚拟安全设备以监控虚拟交换机和访客虚拟机之间的通信流量。尽管虚拟安全设备解决方案提供IS/IP防护以避免网络中的攻击，但是也存在较大的局限性:内部虚拟机通信流量-必须将虚拟安全设备放置在虚拟交换机的前面,即便如此，仍不能避免在同一虚拟交换机上虚拟机之间产生攻击,也无法整合安全设备来设置安全域。移动性-如果采用诸如MwareVMoton的控件将虚拟机从物理服务器之间进行传输，那就会丢失安全上下文。有必要针对于每一个潜在目的配置虚拟安全设备集群,因为虚拟机有可能被重新定位至该目的,从而对于性能产生相应的负面影响。不透明度-因为必须改变虚拟网络体系结构以部署

14、虚拟安全设备，这将对于现有系统的管理和性能产生不利影响。性能瓶颈-虚拟安全设备必须处理虚拟机和网络之间的全部通信流量，最终会出现性能瓶颈。采用另一种方法，可以在每一虚拟机上部署相同的DSI功能与虚拟安全设备方法不同的是,以虚拟机为中心的方法可以避免内部虚拟机通信流量、移动性和缺乏可见性等缺点。尽管以虚拟机为中心的方法同时会对系统性能产生影响，但其分布式地跨接T基础设施中虚拟机上。然而,以虚拟机为中心的体系结构仍然要面对的挑战是在每一虚拟机上都部署一个IDS/IPS安全代理。正如在其在线教程中VMwae所指出，可以通过采用诸如模板的机制，即 “使用模板”来部署通用的安全代理跨接每一虚拟机来消除这

15、些不利因素。然而,虚拟化环境的动态特性在没有安装安全代理的情况下，依然能够将虚拟机引入生产环境中,同时会消耗过多的物理机资源,降低虚拟机密度。四、趋势科技无代理虚拟化安全解决方案安全看门狗虚拟机（)VMware Msfe程序使用户能够部署专用安全虚拟机以及经特别授权访问管理程序的API。这使得创建独特的安全控制、安全看门狗虚拟机等成为可能，如在Grtr的报告中所述，在虚拟化的世界中从根本上改变安全和管理概念。这种安全看门狗虚拟机是一种在虚拟环境中实现安全控制的新型方法。安全看门狗功能利用自身AP来访问关于每一虚拟机的特权状态信息，包括其内存、状态和网络通信流量等。因为在不更改虚拟网络配置的情况

16、下，服务器内部的全部网络通信流量是可见的，这样就可以消除用于IS/IPS过滤的虚拟安全设备方法在内部虚拟机和非透明方面的局限性。包括防病毒、加密、防火墙、IDIPS 和系统完整性等在内的安全功能均可以应用于安全看门狗虚拟机中。趋势科技保护虚拟化环境的灵活方法包括可以在单个虚拟机上进行部署的以虚拟机为中心的代理,以及用以保护多个虚拟机的安全看门狗虚拟机。这种体系结构可以确保通过在关键T资产,即虚拟机上部署软件而对其进行防护，同时可以由安全看门狗虚拟机来防护关键资产。同时趋势科技保护虚拟化环境，可以将多个虚拟机进行分组形成安全域，在安全域内部虚拟机都接受独立的防护,已保护虚拟机之间的攻击。又能形成

17、安全域整体的安全策略，以保护域与域之间的访问安全。3.4.4.1.趋势科技虚拟化安全防护epecurit趋势科技针对虚拟环境提供全新的信息安全防护方案epcrity，通过访问控制、病毒防护、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,并满足信息系统合规性审计要求。针对银行证券的服务器虚拟化面临的风险，建议采用趋势科技的虚拟化解决方案，构建虚拟化平台的基础架构多层次的综合防护。底层病毒防护无需安装客户端,提供实时安全内容过滤,提供手动安全内容过滤，提供计划安全内容过滤,给予专用P接口提高运行效率。安全区域访问控制传统技术的防火墙技术常常以硬件形式

18、存在,用于通过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。趋势科技Deepcurt 防火墙提供全面基于状态检测细粒度的访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。eeSeurity的防火墙同时支持各种泛洪攻击的识别和拦截。We应用程序防护趋势科技DepScity W应用程序防护协助企业遵循法规(PI S 6.6)保护网页应用程序和所有处理的数据。防企SQL Injeton、Crss-site

19、跨网站程序代码改写的攻击和其它网页应用程序漏洞,在漏洞修补期间,提供完整的防护。进出 Web 网站的数据流量使用高性能、深度数据包检测引擎进行检测，该引擎用于监视数据包和有效载荷数据以检测恶意代码和其他异常情况。artnr4将深度数据包检测定义为一种转换型安全技术,因为它能够直接对主机上的重要部分提供精密防护。然后主机入侵防御系统实施已定义的规则：允许安全数据通过，但阻止违反任何规则的数据。真正有效的系统还能够修改数据流,以预防潜在的恶意网络通信。主机入侵防御系统可以是双向的。也就是说,除了针对入站数据检测恶意代码和其他异常情况,还可以检测出站数据。这可以帮助确保XX的用户无法获取敏感数据，从

20、而支持合规性要求。它具有以下两个优点:纯软件解决方案,可以防御 Wb 网站漏洞，以及 Web网站所依赖的操作系统和企业软件中的漏洞。对主机性能影响甚微,无需购买或部署额外的硬件即可保护关键服务器免受软件漏洞的侵害。由于在主机上运行,它还可以检测加密的网络通信而不会影响所提供的安全价值。应用程序管理增加对应用程序访问的网络的控管及可见度,使用应用程序控管规则，可侦测出恶意程序私下访问网络的行为,降低服务器漏洞。入侵检测/防护同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。然而,随着虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运行在虚拟化的网

21、络或系统中,像它们在传统企业网络系统中所做的那样。例如，由于虚拟交换机不支持建立SN或镜像端口、禁止将数据流拷贝至IDS传感器，网络入侵监测可能会变得更加困难。类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中，尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行，但是会消耗共享的资源，使得安装安全代理软件变得不那么理想。趋势科技DeepSeity在VMware的Vsae接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。DepSecit除了提供传统IIP系统功能外，还提供虚拟环

22、境中基于政策的（poiy-as)监控和分析工具，使DeSeurity更精确的流量监控、分析和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。防堵已知漏洞来抵挡已知及零时差攻击，避免无限制的攻击；每小时自动防堵发现到的最新漏洞,无须重新开机，即可在几分钟内就可将防御部署至成千上万的服务器上提供数据库、网页、电子邮件和FP服务器等100多个应用程序的漏洞保护;智能型防御规则提供零时差的保护,透过检测不寻常及内含病毒的通讯协议数据码,以确保不受未知的漏洞攻击。深度封包检查趋势科技eepSecrty同时虚拟系统中占用更少的资源，避免过度消耗宿主机的硬件能力。检查所有未遵照协议进出的通信,内含可

23、能的攻击及政策违反;在侦测或预防模式下运作，以保护操作系统和企业应用程序漏洞;能够防御应用层攻击、SLSQLIection及Crss-ste跨网站程序代码改写的攻击；提供有价值的信息，包含攻击来源、攻击时间及试图利用什么方式进行攻击;当事件发生时,会立即自动通知管理员。虚拟补丁防护随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外,操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后,还有最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。趋势科技eepS

24、ecuity通过虚拟补丁技术完全可以解决由于补丁导致的问题,通过在虚拟系统的接口对虚拟主机系统进行评估,并可以自动对每个虚拟主机提供全面的漏洞修补功能，在操作系统在没有安装补丁程序之前，提供针对漏洞攻击的拦截。趋势科技DeepSecurity的虚拟补丁功能既不需要停机安装，也不需要进行广泛的应用程序测试。虽然此集成包可以为IT人员节省大量时间。3.4.4.1.4.1.1.系统架构epecurity产品由三部分组成，管理控制平台(以下简称DS）；安全虚拟机(以下简称SVA）；安全代理程序(以下简称DS)。趋势科技Deep Srit安全防护系统管理控制中心(D),是管理员用来配置及管理安全策略的集

25、中式管理组件，所有的SVA及S都会注册到DSM,接受统一的管理。 趋势科技Deep Security安全防护系统安全虚拟机(DSVA)是针对 VMwre vSphre 环境构建的安全虚拟计算机,可提供防恶意软件、IDS/IPS、防火墙、eb应用程序防护和应用程序控制防护,数据完整性监控等安全功能。 趋势科技eepSecuit安全防护系统安全代理程序(DSA）是安全客户端，直接部署在操作系统中,可提供 IDS/PS、防火墙、eb应用程序防护、应用程序控制、完整性监控和日志审查防护等安全功能。4.1.2.工作原理DepSecurit通过vshied edoint提供的实时扫描、预设扫描、清除修复等

26、数据接口,对虚拟机中的数据进行病毒代码的扫描和判断,并结合safeAI接口提供防火墙、IPS/DS策略实时对进出虚拟机的数据进行安全过滤;在管理上与vshid mnge和vcenter结合；4.1.3.DpSecurt部署及整合趋势科技部署快速运用整合既有T及信息安全投资。与VMarevCner和S服务器的VMwar整合，能够将组织和营运信息汇入p Scty Maager中，这样精细的安全将被应用在企业的VMwre 基础结构上。与saf AIs的整合可以作为一个虚拟应用,能立即在X服务器上快速部署和透明化地保护 vSphere 虚拟机器。透过多种整合选项，提供详细的服务器级别的安全事件至EM系

27、统,包括ArcSight 、Inelitics、etIQ、RA Enviion、Q1Lbs、Loloic 和其它系统。能与企业的目录作整合，包括MrosoAciv Directory。可配置的管理沟通,能大幅度减少或消除透过Mng及gent进行通信的防火墙变化。可以透过标准的软件分发机制如Microot MS、enwor和Atii 轻松部署代理软件4.1.4.集中管理趋势科技虚拟化安全解决方案DeepSecrit采用C/S结构，管理员通过浏览器就可以实现eepSecurty的管控，DeepSeurity服务器支持管控不同虚拟平台或物理实机上的gen/irtua Appliae代理程序,包括Ag

28、nt程序的策略下发，状态检测、风险监控等功能，并且支持VMwae vCenter的集中控管,在提供最大化的服务器基础防护的同时大大提高了管理的便捷性。4.1.5.产品价值虚拟补丁用户一般要花费数周或数月的时间来充分测试和部署补丁,有时系统补丁不能被第三方软件供应商的产品支持,较老旧的应用系统也不能打补丁;采用eep Secuity虚拟补丁功能不但可以在减少补丁更新的频率，而且可以保护不能打补丁的遗留程序,使系统免受零日攻击。保护I投资，使用虚拟补丁功能可以降低%-的IT成本。预防数据破坏及营运受阻提供无论是实体、虚拟及云端运算的服务器防御；防堵在应用程序和操作系统上已知及未知的漏洞；防止网页应

29、用程序遭SQ njectn 及Cos-sie跨网站程序代码改写的攻击;阻挡针对企业系统的攻击;辨识可疑活动及行为，提供主动和预防措施合规性要求协助企业遵循PI及其它法规和准则De Suriy提供的防火墙、PI、 文件完整性检查、 日志审计等功能符合多项法规:PCI， HA， SAS-70, SX, GLA等可以满足企业内部及外部审计人员的要求；提供详细的审核报告,包含已防止攻击和政策符合状态，减少支持审核所需的准备时间和投入Web应用防护根据权威机构统计“3%的数据攻击都是和Web应用相关 ” ,“%的攻击都发生在应用层” 传统的外围防护如：防火墙等无法保护，识别和弥补这些Web应用漏洞需要花

30、费时间和资源,Deepeiy 可以在漏洞被修补前防护针对这些漏洞的攻击行为, 避免高昂的遗留程序重写或服务中断费用。达到经营成本的降低透过服务器资源的合并，让虚拟化或云端运算的节约更优化;透过安全事件自动管理机制,使管理更加简化;提供漏洞防护让安全编码优先化及和弱点修补成本有效化；消除了部署多个软件客户端与集中管理、多用途的软件代理或虚拟装置所产生的成本。五、对企业虚拟化主要安全策略应用最佳实践趋势科技建议对企业虚拟化针对如下九大方面进行有针对性的安全防护。在进行所有的策略部署之前，首先,企业可以利用DepSecurity的推荐扫描功能选项对企业内的虚拟化进行分析,得出初步的安全威胁分析报告,以此为基准线来进行进一步的安全配置。1、核心应用进程监控:发现异常立刻通知管理员，进行相应的处理 2、对eb应用防护:部署XSS攻击防护策略 、对数据库应用：部署SQL jectio防护策略 4、对系统服务程序漏洞进行主动防护如下图,选择所有和S08-6相关的DPI条目可以对该漏洞进行主动防护、对各类事件进行实时监控、对虚拟化进行访问控制7、对核心文件和目录进行监控8、对系统操作进行审计 9、对DDOS攻击进行防护六、结语虽然虚拟化T基础设施将与物理服务器环境共同面对相同的安全