虛擬化安全防護(hù)解決方案

虛擬化安全解決方案2014年3月1.1成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本………錯誤!未定義書簽。1。2企業(yè)應(yīng)用改變帶來的挑戰(zhàn)……………………錯誤!未定義書簽。三、傳統(tǒng)方案處理虛擬化安全的問題。錯誤!未定義書簽。4.1.1。系統(tǒng)架構(gòu)……………錯誤!未定義書簽。4。1.2.工作原理………………錯誤!未定義書簽。●Web應(yīng)用：80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會自己的Web網(wǎng)站和●虛擬化應(yīng)用：出于資源利用，系統(tǒng)整合以及綠色I(xiàn)T的需要，虛擬化已經(jīng)在企業(yè)內(nèi)部有了大量的應(yīng)用.以上這些應(yīng)用給服務(wù)器的安全帶來了更大的挑戰(zhàn)，傳統(tǒng)的安全措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，服務(wù)器系統(tǒng)的安全要求。從2000年至今，互聯(lián)網(wǎng)的發(fā)展日新月異，新的引用層出不窮。從Web1。0到Web2.0,從2G網(wǎng)絡(luò)升級到3G網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接入從笨重的臺式機(jī)，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和手機(jī)終端.隨著互聯(lián)網(wǎng)的發(fā)展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時，信息技術(shù)的發(fā)展也帶來了安全威脅的發(fā)展。安全威脅的攻擊，從單純的攻擊單臺電腦,到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個互聯(lián)網(wǎng)充斥著各種攻擊威脅。在當(dāng)前的網(wǎng)絡(luò)安全大環(huán)境下，現(xiàn)有的防病毒安全系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，避免病毒對企業(yè)的數(shù)據(jù)，應(yīng)用和網(wǎng)絡(luò)帶來威脅，必須對企業(yè)的安全系統(tǒng)實(shí)行結(jié)構(gòu)化的完善，特別在服務(wù)器的安全防護(hù)上，在過去的幾年中,大部份企業(yè)都存有虛擬機(jī)內(nèi)部攻擊法檢測或者抑制源于同一主機(jī)上的虛擬機(jī)的攻擊.3度大量降低.在單臺主機(jī)上僅能運(yùn)行5至15臺虛擬機(jī)，而不是15至45臺虛擬機(jī)。這將嚴(yán)重影響任何虛擬化或者云計(jì)算項(xiàng)目的投資收益率(ROI)因?yàn)橥瑫r啟動病毒掃描導(dǎo)致網(wǎng)絡(luò)負(fù)擔(dān)過重為了降低這種風(fēng)險，必須提供一種解決方案在徹底受保護(hù)的狀態(tài)下漏洞能夠被系統(tǒng)管理程序檢測出，但是對于這些虛擬化系統(tǒng)的主要威脅是惡意軟件對于這些系統(tǒng)和應(yīng)用中的漏洞實(shí)行遠(yuǎn)程探測的水平。企業(yè)級應(yīng)用管理程序Web應(yīng)用虛擬化環(huán)境的動態(tài)特性面臨入侵檢測/謹(jǐn)防系統(tǒng)(IDS/IPS)的新挑戰(zhàn)。因?yàn)樘摂M機(jī)能夠迅速地恢復(fù)到之前的狀態(tài)，并且易于在物理服務(wù)器之間挪移，所以難以獲得并維持整體一致的安全為了創(chuàng)建虛擬化安全的有效方法，用戶應(yīng)該采用與持續(xù)演化以保護(hù)物理IT資源相同的安全理論。其中一個安全理論是“全面謹(jǐn)防",這是企業(yè)用戶對于在其IT基礎(chǔ)設(shè)施中浮現(xiàn)的“網(wǎng)絡(luò)邊界去除"實(shí)行識別的基礎(chǔ)安全需求。行業(yè)最佳實(shí)踐支持這種理論，而且諸如JerichoForum等組織也將其納入其安全建議。因?yàn)榛谠O(shè)備的安全不能夠處理位于同一物理系統(tǒng)上的更加迫切。安全的最佳實(shí)踐至關(guān)重要。論壇其它引導(dǎo)理論包括以下規(guī)則：●防護(hù)的范圍和等級應(yīng)該針對于并適合出于風(fēng)險中的資產(chǎn).●商業(yè)需要能夠提升其靈便性和成本有效性的安全策略●即使邊界防火墻會持續(xù)地提供基本的網(wǎng)絡(luò)防護(hù)，但是個人系統(tǒng)和數(shù)據(jù)需要自我防護(hù)。應(yīng)用上述這些和其它虛擬化數(shù)據(jù)中心的安全理論，現(xiàn)在能夠看到存有對于虛擬化安全方法與物理服務(wù)器一樣也需要補(bǔ)丁管理和日常維護(hù).當(dāng)前，世界上有公司采取三種虛擬化環(huán)境--兩個在網(wǎng)絡(luò)內(nèi)部，一個在隔離區(qū)(DMZ)上一-大約有150臺虛擬機(jī).但這樣的布置就意味著3。在隔離區(qū)(DMZ)運(yùn)行虛擬機(jī)通常，很多IT管理人都不愿在隔離區(qū)(DMZ)上放置虛擬服務(wù)器。其它的IT管理者們也在多數(shù)情況下，把資源分離出來是比較安全的方式。這個時候,不管任何新的操作系統(tǒng)都是會有漏洞和瑕疵的。那這是否意味著黑客就有作系統(tǒng)的缺陷進(jìn)而發(fā)動攻擊呢?工業(yè)觀察家們建議安全維護(hù)人員要時刻對虛擬化操作系統(tǒng)保在廣泛應(yīng)用專門為VMwareVMsafeAPI定制的安全解決方案之前，通常采用兩種初FoueWruuslsaouityapphaGuestVMVMVMVM行傳輸，那就會丟失安全上下文。有必要針對于每一個潛在目的配置虛擬安全設(shè)備集群，因?yàn)樘摂M機(jī)有可能被重新定位至該目的，從而對于性能產(chǎn)生相對應(yīng)的負(fù)面影響?！癫煌该鞫?——因?yàn)楸仨毟淖兲摂M網(wǎng)絡(luò)體系結(jié)構(gòu)以部署虛擬安全設(shè)備，這將對于現(xiàn)有系統(tǒng)的管理和性能產(chǎn)生不利影響?！裥阅芷款i-———虛擬安全設(shè)備必須處理虛擬機(jī)和網(wǎng)絡(luò)之間的全部通信流量,最終會出采用另一種方法，能夠在每一虛擬機(jī)上部署相同的IDS/IPS功能與虛擬安全設(shè)備方法不同的是，以虛擬機(jī)為中心的方法能夠避免內(nèi)部虛擬機(jī)通信流量、移動性和缺乏可見性等缺點(diǎn).即使以虛擬機(jī)為中心的方法同時會對系統(tǒng)性能產(chǎn)生影響,但其分布式地跨接IT基礎(chǔ)設(shè)施即"使用模板"來部署通用的安全代理跨接每一虛擬機(jī)來消除這些不利因素.不過，虛擬化環(huán)境的動態(tài)特性在沒有安裝安全代理的情況下，依然能夠?qū)⑻摂M機(jī)引入生產(chǎn)環(huán)境中，同時會消耗過多的物理機(jī)資源，降低虛擬機(jī)密度。安全看門狗虛擬機(jī)(VM)VMwareVMsafe程序使用戶能夠部署專用安全虛擬機(jī)以及經(jīng)特殊授權(quán)訪問管理程序的API.這使得創(chuàng)建獨(dú)特的安全控制、安全看門狗虛擬機(jī)等成為可能，如在Gartner的報告中所述，在虛擬化的世界中從根本上改變安全和管理概念。這種安全看門狗虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新型方法。安全看門狗功能利用自身API來訪問關(guān)于每一虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀是可見的，這樣就能夠消除用于IDS/IPS過濾的虛擬安全設(shè)備方法在內(nèi)部虛擬機(jī)和非透明方用于安全看門狗虛擬機(jī)中.趨勢科技保護(hù)虛擬化環(huán)境的靈便方法包括能夠在單個虛擬機(jī)上實(shí)行域與域之間的訪問安全.御爭奪主機(jī)和虛擬系統(tǒng)的全面防護(hù)，并滿足信息系統(tǒng)合規(guī)性審計(jì)要求。針對銀行證券的服務(wù)器虛擬化底層病毒防護(hù)無需安裝客戶端，提供實(shí)時安全內(nèi)容過濾，提供手動安全內(nèi)容過濾，提供計(jì)劃安全內(nèi)容過濾，算資源虛擬化后導(dǎo)致邊界含糊，不少的信息交換在虛擬系統(tǒng)內(nèi)部就實(shí)現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。應(yīng)用程序管理入侵檢測/防護(hù)分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。防堵已知漏洞來御部署至成千上萬的服務(wù)器上提供數(shù)據(jù)庫、網(wǎng)頁、電子郵件和FTP服務(wù)器等100多個應(yīng)用程功能，在操作系統(tǒng)在沒有安裝補(bǔ)丁程序之前，提供針對漏洞攻擊的攔截.趨勢科技DeepSe趨勢科技DeepSecurity安全防護(hù)系統(tǒng)管理控制中心(DSM),是管理員用來配置及管趨勢科技DeepSecurity安全防護(hù)系統(tǒng)安全虛擬機(jī)(DSVA)是針對VMware作系統(tǒng)中，可提供IDS/IPS、防火WebDeepSecurity通過vshieldendpoint提供的實(shí)時掃描、預(yù)設(shè)掃描、清除修復(fù)等Endpon級存&過流趨勢科技部署快速使用整合既有IT及信息安全投資?！衽cVMwarevCenter和ESX服務(wù)器的VMware整合，能夠?qū)⒔M織和營運(yùn)信息匯入DeepSecurityManager中，這樣精細(xì)的安全將被應(yīng)用在企業(yè)的VMware●與VMsafeMAPls的整合能夠作為一個虛擬應(yīng)用，能即將在ESX服務(wù)器上快速部署和透明化地保護(hù)vSphere虛擬機(jī)器。●透過多種整合選項(xiàng)，提供詳細(xì)的服務(wù)器級別的安全事件至SIEM系統(tǒng)，包括ArcSig●能與企業(yè)的目錄作整合，包括MicrosoftActiveDirectory?！窨膳渲玫墓芾頊贤?，能大幅度減少或者消除透過Manager及Agent實(shí)行通信的防火墻變化?！衲軌蛲高^標(biāo)準(zhǔn)的軟件分發(fā)機(jī)制如Microsoft●SMS、Zenworks和Altiris輕松部署代理軟件趨勢科技虛擬化安全解決方案—-DeepSecurity采用C/S結(jié)構(gòu)，管理員通過瀏覽器就能夠4.1.5.產(chǎn)品價值非但能夠在減少補(bǔ)丁更新的頻率，而且能夠保護(hù)不能打補(bǔ)丁的遺留程序,使系統(tǒng)免受零日攻擊。保護(hù)IT投資，使用虛擬補(bǔ)丁功能能夠降低50%-75%的IT成本.根據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)“34%的數(shù)據(jù)攻擊都是和Web應(yīng)用相關(guān)”,“75%的攻擊都發(fā)生在應(yīng)軟件客戶端與集中管理、多用途的軟件代理或者虛擬裝置所產(chǎn)生的成本.趨勢科技建議對企業(yè)虛擬化針對如下九慷慨面實(shí)行有針對性的安全防護(hù).置.DefinbnsWindowsTYLOCAMACHNFSOFTWAREMaosdtMcoepkdionndalonpath5mvkes,MBSQLSRVER,M5SQLoryaADHepe','SQUwser,KTVDA75C?ROOTSQOLD?,HKEYOA55C5R00TI5QOMXGeneralDetailsAssignedToPrewallGenerieCrosssPirewallRulesGoneralvunorsbltyConfStatefulConfuurationsDoepPacetinspecton-Configuratnorirs—xsspattorns.onegroupporlinosoparaodbyY.Thoscoroforthegrouplsattheandoftheineafter'iFo'use\DropThreshoidfthescoresxceedsthiLogThreshold(fthescoreexceedsthisvslue,slogwilbegenerated):FomparanetorswitharondofoultscortheresourcenamgfolowodbytheresourceparamThescoreforsachperameteegindexhtnliuseridpasswdOreperlineNoleThiWebAopkationProtettonppicsonTypesgroupisatheendofthelneafter'.Fa'use{x2candfar"use{x22.554、對系統(tǒng)\服務(wù)\程序漏洞實(shí)行主動防護(hù)如下圖，選擇所有和MSO8-067相關(guān)的DPI條目能夠?qū)υ撀┒磳?shí)行主動防護(hù)nm0ds2-mi0Rm對0E0045、對各類事件實(shí)行實(shí)時監(jiān)控epPacletSourceincemlngPreperiesWindoweInte-GeneranfomaoName:NotNotrleMaskad[P:P()PLstNMcrosotWndbnsTostsfiemoThisruledieitswhenthereisanychangeinfloattrbucesofWindonsHost'filefoundunder%WIHDiR%|system32\drivers\=trMnmumAgmt/AppianceYorslenMnmumManngerVersion:{o.g.CtWINDows\sytemdnversetcDotals-ldenifketion