虛擬化安全防護(hù)解決方案

1、虛擬化安全解決方案趨勢科技（中國）有限公司2014年3月目錄一、重新思考服務(wù)器所面臨的安全問題31.1成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本31.2企業(yè)應(yīng)用改變帶來的挑戰(zhàn)31.3受到不斷變化新威脅攻擊的挑戰(zhàn)31.4虛擬化環(huán)境的面臨的新挑戰(zhàn)31.5法律法規(guī)帶來的要求4二、虛擬化四大安全管理問題5三、傳統(tǒng)方案處理虛擬化安全的問題6四、趨勢科技無代理虛擬化安全解決方案74.1.趨勢科技虛擬化安全防護(hù)DeepSecurity94.1.1.系統(tǒng)架構(gòu)124.1.2.工作原理124.1.3.DeepSecuirty部署及整合134.1.4.集中管理134.1.5.產(chǎn)品價(jià)值14五、對企業(yè)虛擬化主要安全策略應(yīng)用最佳實(shí)

2、踐15六、結(jié)語20一、 重新思考服務(wù)器所面臨的安全問題1.1 成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本隨著信息化和互聯(lián)網(wǎng)的深入，很難想象脫離了網(wǎng)絡(luò)，現(xiàn)代企業(yè)如何才能進(jìn)行正常運(yùn)轉(zhuǎn)。而服務(wù)器所承載的企業(yè)核心數(shù)據(jù)，核心應(yīng)用甚至企業(yè)的核心知識產(chǎn)權(quán)等等，讓企業(yè)已經(jīng)無法脫離服務(wù)器。1.2 企業(yè)應(yīng)用改變帶來的挑戰(zhàn)l Web應(yīng)用：80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會自己的Web網(wǎng)站和基于Web的應(yīng)用。l 虛擬化應(yīng)用：出于資源利用，系統(tǒng)整合以及綠色I(xiàn)T的需要，虛擬化已經(jīng)在企業(yè)內(nèi)部有了大量的應(yīng)用。l 私有云計(jì)算的應(yīng)用企業(yè)對于計(jì)算能力，對于業(yè)務(wù)應(yīng)用等需求，已經(jīng)在公司網(wǎng)絡(luò)內(nèi)部建立的私有云計(jì)算系統(tǒng)。以上這些應(yīng)用給服

3、務(wù)器的安全帶來了更大的挑戰(zhàn)，傳統(tǒng)的安全措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，服務(wù)器系統(tǒng)的安全要求。1.3 受到不斷變化新威脅攻擊的挑戰(zhàn)從2000年至今，互聯(lián)網(wǎng)的發(fā)展日新月異，新的引用層出不窮。從Web1.0到Web2.0，從2G網(wǎng)絡(luò)升級到3G網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接入從笨重的臺式機(jī)，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和手機(jī)終端。隨著互聯(lián)網(wǎng)的發(fā)展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時(shí)，信息技術(shù)的發(fā)展也帶來了安全威脅的發(fā)展。安全威脅的攻擊，從單純的攻擊單臺電腦，到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個互聯(lián)網(wǎng)充斥著各種攻擊威脅。在目前的網(wǎng)絡(luò)安全大環(huán)境下，現(xiàn)有的防病毒安全系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。

4、為了確保企業(yè)的業(yè)務(wù)連續(xù)性，避免病毒對企業(yè)的數(shù)據(jù)，應(yīng)用和網(wǎng)絡(luò)帶來威脅，必須對企業(yè)的安全系統(tǒng)進(jìn)行結(jié)構(gòu)化的完善，尤其在服務(wù)器的安全防護(hù)上，在過去的幾年中，大部分企業(yè)都存在一定的不足。1.4 虛擬化環(huán)境的面臨的新挑戰(zhàn)l 虛擬機(jī)內(nèi)部攻擊傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看位于同一物理服務(wù)器內(nèi)部各虛擬機(jī)之間的網(wǎng)絡(luò)通信，因此無法檢測或抑制源于同一主機(jī)上的虛擬機(jī)的攻擊。虛擬機(jī)內(nèi)的網(wǎng)絡(luò)通信有虛擬交換機(jī)進(jìn)行控制。當(dāng)同一主機(jī)上的虛擬機(jī)遭受惡意軟件攻擊時(shí)，網(wǎng)絡(luò)中傳統(tǒng)的IPS/IDS設(shè)備將可能檢測不到異常情況。l 資源爭奪病毒掃描或防病毒更新等占用資源較多的操作會快速導(dǎo)致系統(tǒng)（CPU、內(nèi)存和磁盤I/O）負(fù)荷激增。使用不具有虛擬化

5、感知能力的傳統(tǒng)安全解決方案部署虛擬化時(shí)。將導(dǎo)致虛擬機(jī)密度大量降低。在單臺主機(jī)上僅能運(yùn)行5至15臺虛擬機(jī)，而不是15至45臺虛擬機(jī)。這將嚴(yán)重影響任何虛擬化或云計(jì)算項(xiàng)目的投資收益率（ROI）l 管理的復(fù)雜性 在虛擬化環(huán)境中，很容易創(chuàng)建、修改、復(fù)制和移動虛擬機(jī)。使用云計(jì)算、公共云或私有云之后，新的虛擬機(jī)能自動進(jìn)行設(shè)置、重新配置，甚至自動移動。這使得管理員在追蹤、維護(hù)和實(shí)施一致性的安全策略時(shí)變得異常困難。因此，有必要采取相應(yīng)措施來應(yīng)對此類動態(tài)數(shù)據(jù)中心。l 即時(shí)啟動間隙持之以恒的確?！凹磿r(shí)啟動”虛擬機(jī)的安全并不斷的對其進(jìn)行更新，這幾乎是無法實(shí)現(xiàn)的。處于休眠狀態(tài)的虛擬機(jī)最終可能會嚴(yán)重偏離基準(zhǔn)，以至于僅僅啟

6、動它們便會引入大量安全漏洞。為了降低這種風(fēng)險(xiǎn)，必須提供一種解決方案在完全受保護(hù)的狀態(tài)下配置和管理虛擬機(jī)，無論最后一次防病毒特征碼或補(bǔ)丁更新何時(shí)發(fā)生，整個虛擬機(jī)系統(tǒng)都能一直處于安全狀態(tài)。另外虛擬化系統(tǒng)采用與物理系統(tǒng)相同的操作系統(tǒng)，包括企業(yè)級應(yīng)用和web應(yīng)用。盡管某些漏洞能夠被系統(tǒng)管理程序檢測出，但是對于這些虛擬化系統(tǒng)的主要威脅是惡意軟件對于這些系統(tǒng)和應(yīng)用中的漏洞進(jìn)行遠(yuǎn)程探測的能力。虛擬化環(huán)境的動態(tài)特性面臨入侵檢測/防御系統(tǒng)（IDS/IPS）的新挑戰(zhàn)。由于虛擬機(jī)能夠迅速地恢復(fù)到之前的狀態(tài)，并且易于在物理服務(wù)器之間移動，所以難以獲得并維持整體一致的安全性。為了創(chuàng)建虛擬化安全的有效方法，用戶應(yīng)該采用與

7、不斷演化以保護(hù)物理IT資源相同的安全理論。其中一個安全理論是“全面防御”，這是企業(yè)用戶對于在其IT基礎(chǔ)設(shè)施中出現(xiàn)的“網(wǎng)絡(luò)邊界去除”進(jìn)行識別的基礎(chǔ)安全需求。行業(yè)最佳實(shí)踐支持這種理論，而且諸如Jericho Forum等組織也將其納入其安全建議。因?yàn)榛谠O(shè)備的安全不能夠處理位于同一物理系統(tǒng)上的VM之間的攻擊，所以虛擬化已經(jīng)使“網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，以及對于領(lǐng)先的安全需求更加迫切。安全的最佳實(shí)踐至關(guān)重要。論壇其它引導(dǎo)理論包括以下規(guī)則：l 防護(hù)的范圍和等級應(yīng)該針對于并適合出于風(fēng)險(xiǎn)中的資產(chǎn)。l 商業(yè)需要能夠提高其靈活性和成本有效性的安全策略l 盡管邊界防火墻會不斷地提供基本的網(wǎng)絡(luò)防護(hù)，但是個人系

8、統(tǒng)和數(shù)據(jù)需要自我防護(hù)。l 通常，提供的防護(hù)離資產(chǎn)越接近，越容易保護(hù)該資產(chǎn)。應(yīng)用上述這些和其它虛擬化數(shù)據(jù)中心的安全理論，現(xiàn)在可以看到存在對于虛擬化安全方法的明確需求，即直接將安全機(jī)制部署在物理服務(wù)器上防護(hù)這些虛擬化系統(tǒng)，從而盡可能近地對資產(chǎn)進(jìn)行防護(hù)。1.5 法律法規(guī)帶來的要求中國信息安全等級保護(hù)制度和C-SOX，以及國外的PCI, HIPAA, SAS-70, SOX, GLBA等法律法規(guī)，從法律上也要求了企業(yè)在內(nèi)部信息系統(tǒng)上，達(dá)到一定的安全等級和應(yīng)用一定的安全策略。二、 虛擬化四大安全管理問題1.虛擬機(jī)溢出導(dǎo)致安全問題蔓延管理程序設(shè)計(jì)過程中的安全隱患會傳染同臺物理主機(jī)上的虛擬機(jī)，這種現(xiàn)象被稱作

9、“虛擬機(jī)溢出”。如果虛擬機(jī)能夠從所在管理程序的獨(dú)立環(huán)境中脫離出來，入侵者會有機(jī)可乘進(jìn)入控制虛擬機(jī)的管理程序，進(jìn)而避開專門針對保護(hù)虛擬機(jī)而設(shè)計(jì)的安全控制系統(tǒng)。虛擬世界的安全問題正在試圖脫離虛擬機(jī)的控制范圍。盡管沒有那家公司會允許安全問題通過管理程序技術(shù)的方式在虛擬主機(jī)間相互傳播和蔓延，但這樣的安全隱患還是存在的。因?yàn)槿肭终呋蛘甙踩┒磿谔摂M機(jī)之間來回?fù)v亂，這將成為開發(fā)者在開發(fā)過程中的必須面對的問題。現(xiàn)在技術(shù)工程師通常采用隔離虛擬機(jī)的方式來保障虛擬環(huán)境的安全性。保障虛擬環(huán)境安全的傳統(tǒng)方式是在數(shù)據(jù)庫和應(yīng)用程序?qū)娱g設(shè)置防火墻。他們從網(wǎng)絡(luò)上脫機(jī)保存虛擬化環(huán)境有助于緩解安全隱憂。這對于虛擬化環(huán)境來說是比

10、較好的方法。2.虛擬機(jī)成倍增長，補(bǔ)丁更新負(fù)擔(dān)加重虛擬機(jī)遇到的另外一個安全隱患是：虛擬機(jī)修補(bǔ)面臨更大的挑戰(zhàn)，因?yàn)殡S著虛擬機(jī)增長速度加快，補(bǔ)丁修復(fù)問題也在成倍上升。IT管理人們也認(rèn)同補(bǔ)丁在虛擬化環(huán)境中的關(guān)鍵性，但是在虛擬機(jī)和物理服務(wù)器補(bǔ)丁之間實(shí)質(zhì)的區(qū)別并非在于安全問題，而是量的問題。虛擬化服務(wù)器與物理服務(wù)器一樣也需要補(bǔ)丁管理和日常維護(hù)。目前，世界上有公司采取三種虛擬化環(huán)境-兩個在網(wǎng)絡(luò)內(nèi)部，一個在隔離區(qū)(DMZ)上-大約有150臺虛擬機(jī)。但這樣的布置就意味著管理程序額外增加了層來用于補(bǔ)丁管理。但即便如此，還是無法改變不管物理機(jī)還是虛擬機(jī)上補(bǔ)丁的關(guān)鍵問題。另外當(dāng)服務(wù)器成倍增長也給技術(shù)工程師及時(shí)增加補(bǔ)丁

11、服務(wù)器的數(shù)量帶來一定的壓力，他們開始越來越關(guān)注實(shí)現(xiàn)這一進(jìn)程的自動化的工具的誕生。3.在隔離區(qū)(DMZ)運(yùn)行虛擬機(jī)通常，許多IT管理人都不愿在隔離區(qū)(DMZ)上放置虛擬服務(wù)器。其它的IT管理者們也不會在隔離區(qū)(DMZ)的虛擬機(jī)上運(yùn)行關(guān)鍵性應(yīng)用程序，甚至是對那些被公司防火墻保護(hù)的服務(wù)器也敬而遠(yuǎn)之。在多數(shù)情況下，把資源分離出來是比較安全的方式。這個時(shí)候，不管是隔離區(qū)還是非隔離區(qū)，都可以建立虛擬化環(huán)境。就是采用在虛擬資源的集群中限制訪問的辦法。每個集群都是自己的資源和入口，因此無法在集群之間來回串聯(lián)，許多IT管理者們致力于將他們的虛擬服務(wù)器分隔開，將他們置于公司防火墻的保護(hù)之下，還有一些做法是將虛擬機(jī)

12、放置在隔離區(qū)內(nèi)-只在上面運(yùn)行非關(guān)鍵性應(yīng)用程序。這樣的虛擬化架構(gòu)無非是考慮到安全的因素，顯然傳統(tǒng)做法已經(jīng)影響了虛擬化架構(gòu)的搭建。4.管理程序技術(shù)的新特性容易受到黑客的攻擊任何新的操作系統(tǒng)都是會有漏洞和瑕疵的。那這是否意味著黑客就有機(jī)可乘，發(fā)現(xiàn)虛擬操作系統(tǒng)的缺陷進(jìn)而發(fā)動攻擊呢?工業(yè)觀察家們建議安全維護(hù)人員要時(shí)刻對虛擬化操作系統(tǒng)保持警惕，他們存在潛在導(dǎo)致漏洞和安全隱患的可能性，安全維護(hù)人員只靠人工補(bǔ)丁修護(hù)是不夠的。虛擬化從本質(zhì)上來說全新的操作系統(tǒng)，還有許多我們尚不了解的方面。它會在優(yōu)先硬件和使用環(huán)境之間相互影響，讓情況一團(tuán)糟的情況成為可能。虛擬化管理程序并非是人們自己所想象的那種安全隱患。根據(jù)對微軟

13、公司銷售旺盛的補(bǔ)丁Windows操作系統(tǒng)的了解，象VMware這樣的虛擬化廠商也在致力于開發(fā)管理程序技術(shù)時(shí)控制安全漏洞的可能性.三、 傳統(tǒng)方案處理虛擬化安全的問題在廣泛應(yīng)用專門為VMware VMsafe API定制的安全解決方案之前，通常采用兩種初始方法和安全軟件一起來保護(hù)虛擬機(jī)：一種是在虛擬化計(jì)算環(huán)境中應(yīng)用虛擬安全設(shè)備以監(jiān)控虛擬交換機(jī)和訪客虛擬機(jī)之間的通信流量。盡管虛擬安全設(shè)備解決方案提供IDS/IPS防護(hù)以避免網(wǎng)絡(luò)中的攻擊，但是也存在較大的局限性：l 內(nèi)部虛擬機(jī)通信流量-必須將虛擬安全設(shè)備放置在虛擬交換機(jī)的前面，即便如此，仍不能避免在同一虛擬交換機(jī)上虛擬機(jī)之間產(chǎn)生攻擊，也無法整合安全設(shè)備

14、來設(shè)置安全域。l 移動性-如果采用諸如VMware VMotion 的控件將虛擬機(jī)從物理服務(wù)器之間進(jìn)行傳輸，那就會丟失安全上下文。有必要針對于每一個潛在目的配置虛擬安全設(shè)備集群，因?yàn)樘摂M機(jī)有可能被重新定位至該目的，從而對于性能產(chǎn)生相應(yīng)的負(fù)面影響。l 不透明度-因?yàn)楸仨毟淖兲摂M網(wǎng)絡(luò)體系結(jié)構(gòu)以部署虛擬安全設(shè)備，這將對于現(xiàn)有系統(tǒng)的管理和性能產(chǎn)生不利影響。l 性能瓶頸-虛擬安全設(shè)備必須處理虛擬機(jī)和網(wǎng)絡(luò)之間的全部通信流量，最終會出現(xiàn)性能瓶頸。采用另一種方法，可以在每一虛擬機(jī)上部署相同的IDS/IPS功能與虛擬安全設(shè)備方法不同的是，以虛擬機(jī)為中心的方法可以避免內(nèi)部虛擬機(jī)通信流量、移動性和缺乏可見性等缺點(diǎn)。

15、盡管以虛擬機(jī)為中心的方法同時(shí)會對系統(tǒng)性能產(chǎn)生影響，但其分布式地跨接IT基礎(chǔ)設(shè)施中虛擬機(jī)上。然而，以虛擬機(jī)為中心的體系結(jié)構(gòu)仍然要面對的挑戰(zhàn)是在每一虛擬機(jī)上都部署一個IDS/IPS安全代理。正如在其在線教程中VMware所指出，可以通過采用諸如模板的機(jī)制，即 “使用模板”來部署通用的安全代理跨接每一虛擬機(jī)來消除這些不利因素。然而，虛擬化環(huán)境的動態(tài)特性在沒有安裝安全代理的情況下，依然能夠?qū)⑻摂M機(jī)引入生產(chǎn)環(huán)境中，同時(shí)會消耗過多的物理機(jī)資源，降低虛擬機(jī)密度。四、 趨勢科技無代理虛擬化安全解決方案安全看門狗虛擬機(jī)（VM）VMware VMsafe程序使用戶能夠部署專用安全虛擬機(jī)以及經(jīng)特別授權(quán)訪問管理程序的

16、API。這使得創(chuàng)建獨(dú)特的安全控制、安全看門狗虛擬機(jī)等成為可能，如在Gartner的報(bào)告中所述，在虛擬化的世界中從根本上改變安全和管理概念。這種安全看門狗虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新型方法。安全看門狗功能利用自身API來訪問關(guān)于每一虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。因?yàn)樵诓桓奶摂M網(wǎng)絡(luò)配置的情況下，服務(wù)器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見的，這樣就可以消除用于IDS/IPS過濾的虛擬安全設(shè)備方法在內(nèi)部虛擬機(jī)和非透明方面的局限性。包括防病毒、加密、防火墻、IDS/IPS 和系統(tǒng)完整性等在內(nèi)的安全功能均可以應(yīng)用于安全看門狗虛擬機(jī)中。趨勢科技保護(hù)虛擬化環(huán)境的靈活方法包括可以

17、在單個虛擬機(jī)上進(jìn)行部署的以虛擬機(jī)為中心的代理，以及用以保護(hù)多個虛擬機(jī)的安全看門狗虛擬機(jī)。這種體系結(jié)構(gòu)可以確保通過在關(guān)鍵IT資產(chǎn)，即虛擬機(jī)上部署軟件而對其進(jìn)行防護(hù)，同時(shí)可以由安全看門狗虛擬機(jī)來防護(hù)關(guān)鍵資產(chǎn)。同時(shí)趨勢科技保護(hù)虛擬化環(huán)境，可以將多個虛擬機(jī)進(jìn)行分組形成安全域，在安全域內(nèi)部虛擬機(jī)都接受獨(dú)立的防護(hù)，已保護(hù)虛擬機(jī)之間的攻擊。又能形成安全域整體的安全策略，以保護(hù)域與域之間的訪問安全。. 趨勢科技虛擬化安全防護(hù)DeepSecurity趨勢科技針對虛擬環(huán)境提供全新的信息安全防護(hù)方案DeepSecurity，通過訪問控制、病毒防護(hù)、入侵檢測/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)

18、等功能實(shí)現(xiàn)虛擬主機(jī)和虛擬系統(tǒng)的全面防護(hù)，并滿足信息系統(tǒng)合規(guī)性審計(jì)要求。針對銀行證券的服務(wù)器虛擬化面臨的風(fēng)險(xiǎn)，建議采用趨勢科技的虛擬化解決方案，構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護(hù)。Ø 底層病毒防護(hù)無需安裝客戶端，提供實(shí)時(shí)安全內(nèi)容過濾，提供手動安全內(nèi)容過濾，提供計(jì)劃安全內(nèi)容過濾，給予專用API接口提高運(yùn)行效率。Ø 安全區(qū)域訪問控制傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和安全區(qū)域間的劃分，計(jì)算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實(shí)現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基

19、本安全問題。趨勢科技DeepSecurity 防火墻提供全面基于狀態(tài)檢測細(xì)粒度的訪問控制功能，可以實(shí)現(xiàn)針對虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity的防火墻同時(shí)支持各種泛洪攻擊的識別和攔截。Ø Web應(yīng)用程序防護(hù)趨勢科技DeepSecurity Web應(yīng)用程序防護(hù)協(xié)助企業(yè)遵循法規(guī)(PCI DSS 6.6)保護(hù)網(wǎng)頁應(yīng)用程序和所有處理的數(shù)據(jù)。防企SQL Injection、Cross-site跨網(wǎng)站程序代碼改寫的攻擊和其它網(wǎng)頁應(yīng)用程序漏洞，在漏洞修補(bǔ)期間，提供完整的防護(hù)。進(jìn)出 Web 網(wǎng)站的數(shù)據(jù)流量使用高性能、深度數(shù)據(jù)包檢測引擎進(jìn)行檢測，該引擎用于

20、監(jiān)視數(shù)據(jù)包和有效載荷數(shù)據(jù)以檢測惡意代碼和其他異常情況。Gartner4 將深度數(shù)據(jù)包檢測定義為一種轉(zhuǎn)換型安全技術(shù)，因?yàn)樗軌蛑苯訉χ鳈C(jī)上的重要部分提供精密防護(hù)。然后主機(jī)入侵防御系統(tǒng)實(shí)施已定義的規(guī)則：允許安全數(shù)據(jù)通過，但阻止違反任何規(guī)則的數(shù)據(jù)。真正有效的系統(tǒng)還能夠修改數(shù)據(jù)流，以預(yù)防潛在的惡意網(wǎng)絡(luò)通信。主機(jī)入侵防御系統(tǒng)可以是雙向的。也就是說，除了針對入站數(shù)據(jù)檢測惡意代碼和其他異常情況，還可以檢測出站數(shù)據(jù)。這可以幫助確保未經(jīng)授權(quán)的用戶無法獲取敏感數(shù)據(jù)，從而支持合規(guī)性要求。它具有以下兩個優(yōu)點(diǎn)：純軟件解決方案，可以防御 Web 網(wǎng)站漏洞，以及 Web網(wǎng)站所依賴的操作系統(tǒng)和企業(yè)軟件中的漏洞。對主機(jī)性能影響

21、甚微，無需購買或部署額外的硬件即可保護(hù)關(guān)鍵服務(wù)器免受軟件漏洞的侵害。由于在主機(jī)上運(yùn)行，它還可以檢測加密的網(wǎng)絡(luò)通信而不會影響所提供的安全價(jià)值。Ø 應(yīng)用程序管理增加對應(yīng)用程序訪問的網(wǎng)絡(luò)的控管及可見度，使用應(yīng)用程序控管規(guī)則，可偵測出惡意程序私下訪問網(wǎng)絡(luò)的行為，降低服務(wù)器漏洞。Ø 入侵檢測/防護(hù)同時(shí)在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，許多安全專家意識到，傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。例如，由于虛擬交換機(jī)不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至

22、IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測可能會變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對虛擬網(wǎng)絡(luò)內(nèi)部流量的時(shí)候?；谥鳈C(jī)的IDS系統(tǒng)也許仍能在虛擬機(jī)中正常運(yùn)行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。趨勢科技DeepSecurity在 VMware的VMsafe接口可以對虛擬交換機(jī)允許交換機(jī)或端口組運(yùn)行在“混雜模式”，這時(shí)虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。DeepSecurity除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策的（policy-based）監(jiān)控和分析工具，使DeepSecurity更

23、精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。防堵已知漏洞來抵擋已知及零時(shí)差攻擊，避免無限制的攻擊；每小時(shí)自動防堵發(fā)現(xiàn)到的最新漏洞，無須重新開機(jī)，即可在幾分鐘內(nèi)就可將防御部署至成千上萬的服務(wù)器上提供數(shù)據(jù)庫、網(wǎng)頁、電子郵件和FTP服務(wù)器等100多個應(yīng)用程序的漏洞保護(hù)；智能型防御規(guī)則提供零時(shí)差的保護(hù)，透過檢測不尋常及內(nèi)含病毒的通訊協(xié)議數(shù)據(jù)碼，以確保不受未知的漏洞攻擊。Ø 深度封包檢查趨勢科技DeepSecurity同時(shí)虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機(jī)的硬件能力。檢查所有未遵照協(xié)議進(jìn)出的通信，內(nèi)含可能的攻擊及政策違反；在偵測或預(yù)防模式下運(yùn)作，以保

24、護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序漏洞；能夠防御應(yīng)用層攻擊、SQLSQL Injection 及Cross-site跨網(wǎng)站程序代碼改寫的攻擊；提供有價(jià)值的信息，包含攻擊來源、攻擊時(shí)間及試圖利用什么方式進(jìn)行攻擊；當(dāng)事件發(fā)生時(shí)，會立即自動通知管理員。Ø 虛擬補(bǔ)丁防護(hù)隨著新的漏洞不斷出現(xiàn)，許多公司在為系統(tǒng)打補(bǔ)丁上疲于應(yīng)付，等待安裝重要安全補(bǔ)丁的維護(hù)時(shí)段可能是一段艱難的時(shí)期。另外，操作系統(tǒng)及應(yīng)用廠商針對一些版本不提供漏洞的補(bǔ)丁，或者發(fā)布補(bǔ)丁的時(shí)間嚴(yán)重滯后，還有最重要的是，如果IT人員的配備不足，時(shí)間又不充裕，那么系統(tǒng)在審查、測試和安裝官方補(bǔ)丁更新期間很容易陷入風(fēng)險(xiǎn)。趨勢科技DeepSecurity通過

25、虛擬補(bǔ)丁技術(shù)完全可以解決由于補(bǔ)丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接口對虛擬主機(jī)系統(tǒng)進(jìn)行評估，并可以自動對每個虛擬主機(jī)提供全面的漏洞修補(bǔ)功能，在操作系統(tǒng)在沒有安裝補(bǔ)丁程序之前，提供針對漏洞攻擊的攔截。趨勢科技DeepSecurity的虛擬補(bǔ)丁功能既不需要停機(jī)安裝，也不需要進(jìn)行廣泛的應(yīng)用程序測試。雖然此集成包可以為IT人員節(jié)省大量時(shí)間。.4.1.1. 系統(tǒng)架構(gòu)Deep Security產(chǎn)品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機(jī)（以下簡稱DSVA）；安全代理程序（以下簡稱DSA）。趨勢科技Deep Security安全防護(hù)系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理

26、安全策略的集中式管理組件，所有的DSVA及DSA都會注冊到DSM，接受統(tǒng)一的管理。 趨勢科技Deep Security安全防護(hù)系統(tǒng)安全虛擬機(jī)(DSVA)是針對 VMware vSphere 環(huán)境構(gòu)建的安全虛擬計(jì)算機(jī)，可提供防惡意軟件、IDS/IPS、防火墻、Web 應(yīng)用程序防護(hù)和應(yīng)用程序控制防護(hù)，數(shù)據(jù)完整性監(jiān)控等安全功能。 趨勢科技Deep Security安全防護(hù)系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應(yīng)用程序防護(hù)、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護(hù)等安全功能。4.1.2. 工作原理Deep Security通過vshield

27、 endpoint提供的實(shí)時(shí)掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對虛擬機(jī)中的數(shù)據(jù)進(jìn)行病毒代碼的掃描和判斷，并結(jié)合Vmsafe API接口提供防火墻、IPS/IDS策略實(shí)時(shí)對進(jìn)出虛擬機(jī)的數(shù)據(jù)進(jìn)行安全過濾；在管理上與vshield manager和vcenter結(jié)合；4.1.3. DeepSecuirty部署及整合趨勢科技部署快速運(yùn)用整合既有IT及信息安全投資。l 與VMware vCenter和ESX服務(wù)器的VMware整合，能夠?qū)⒔M織和營運(yùn)信息匯入Deep Security Manager中，這樣精細(xì)的安全將被應(yīng)用在企業(yè)的VMware 基礎(chǔ)結(jié)構(gòu)上。l 與VMsafe APIs的整合可以作為一個

28、虛擬應(yīng)用，能立即在ESX服務(wù)器上快速部署和透明化地保護(hù) vSphere 虛擬機(jī)器。l 透過多種整合選項(xiàng)，提供詳細(xì)的服務(wù)器級別的安全事件至SIEM系統(tǒng)，包括ArcSight 、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic 和其它系統(tǒng)。l 能與企業(yè)的目錄作整合，包括Microsoft Active Directory。l 可配置的管理溝通，能大幅度減少或消除透過Manager及Agent進(jìn)行通信的防火墻變化。l 可以透過標(biāo)準(zhǔn)的軟件分發(fā)機(jī)制如Microsoft ® SMS、Zenworks和Altiris 輕松部署代理軟件4.1.4.

29、集中管理趨勢科技虛擬化安全解決方案DeepSecurity采用C/S結(jié)構(gòu)，管理員通過瀏覽器就可以實(shí)現(xiàn)DeepSecurity的管控，DeepSecurity服務(wù)器支持管控不同虛擬平臺或物理實(shí)機(jī)上的Agent/virtual Appliance代理程序，包括Agent程序的策略下發(fā)，狀態(tài)檢測、風(fēng)險(xiǎn)監(jiān)控等功能，并且支持VMware vCenter的集中控管，在提供最大化的服務(wù)器基礎(chǔ)防護(hù)的同時(shí)大大提高了管理的便捷性。4.1.5. 產(chǎn)品價(jià)值l 虛擬補(bǔ)丁用戶一般要花費(fèi)數(shù)周或數(shù)月的時(shí)間來充分測試和部署補(bǔ)丁，有時(shí)系統(tǒng)補(bǔ)丁不能被第三方軟件供應(yīng)商的產(chǎn)品支持，較老舊的應(yīng)用系統(tǒng)也不能打補(bǔ)丁；采用Deep Secur

30、ity虛擬補(bǔ)丁功能不但可以在減少補(bǔ)丁更新的頻率，而且可以保護(hù)不能打補(bǔ)丁的遺留程序，使系統(tǒng)免受零日攻擊。保護(hù)IT投資，使用虛擬補(bǔ)丁功能可以降低50%-75%的IT成本。l 預(yù)防數(shù)據(jù)破壞及營運(yùn)受阻提供無論是實(shí)體、虛擬及云端運(yùn)算的服務(wù)器防御；防堵在應(yīng)用程序和操作系統(tǒng)上已知及未知的漏洞；防止網(wǎng)頁應(yīng)用程序遭SQL Injection 及Cross-site跨網(wǎng)站程序代碼改寫的攻擊；阻擋針對企業(yè)系統(tǒng)的攻擊；辨識可疑活動及行為，提供主動和預(yù)防措施l 合規(guī)性要求協(xié)助企業(yè)遵循PCI及其它法規(guī)和準(zhǔn)則Deep Security提供的防火墻、DPI、 文件完整性檢查、 日志審計(jì)等功能符合多項(xiàng)法規(guī): PCI, HIPAA, SAS-70, SOX, GLBA等可以滿足企業(yè)內(nèi)部及外部審計(jì)人員的要求；提