《亚信安全Deep-Security-for-VMware-产品方案.docx》由会员分享,可在线阅读,更多相关《亚信安全Deep-Security-for-VMware-产品方案.docx(22页珍藏版)》请在课桌文档上搜索。
1、亚 信 平 安Deep-Security-for-VMware- 产 品方案Lt亚信安全Deep Security 9.6 for VMWare产品方案作者日期亚信安全目 录第 1 章.SHL 4第2 *XXX虚拟化安仝面临威分析 5第3章.XXX虚拟化根抵防护必要性7第4章.亚信安全虚拟化安全解决方案 8第 5 T XXX虚拟化专仝R薯方率 14-L- VMlARE平台部署方案 145. 2. 亚信安仝席报专仝方率要中管理 14工X. XXX虚拟化防护解决方案拓扑15第6章. 亚信安仝 DEEPSECURlTY介绍 15DEEPSEanRTY 架构 15-2- DEEPSECUlRTY部署及
2、整合 16A R DFFpFrTTTPTV主 要优势 17DEEPSEcUlRTY 块 18第7章. 国内成功案例23第1章.概述XXX内的大量效劳器承当着为各个业务部门提供根抵 设施效劳的角色。随着业务的快速开展,数据中心空间、 能耗、运维管理压力日益凸显。应用系统的部署除了购 置效劳器费用外,还包括数据中心空间的费用、空调电 力的费用、监控的费用、人工管理的费用,相当昂贵。 如果这些效劳器的利用率不高,对企业来说,无疑是一 种巨大的浪费。在XXX,这些关键应用系统已经被使用VmWare效劳 器虚拟化解决方案。这解决企业信息化建设目前现有的 压力,同时又能满足企业响应国家节能减排要求。而效劳
3、器虚拟化使XXX能够获得在效率、本钱方面的 显著收益以及在综合数据中心更具环保、增加可扩展性 和改善资源实施时间方面的附加利益。但同时,数据中 心的虚拟系统面临许多与物理效劳器相同的安全挑战, 从而增加了风险暴露,再加之在保护这些IT资源方面存 在大量特殊挑战,最终将抵消虚拟化的优势。特别在虚 拟化体系结构将从根本上影响如何对于关键任务应用进 行设计、部署和管理情况下,用户需要考虑哪种安全机 制最适合保护物理效劳器和虚拟效劳器。亚信安全提供真正的解决方案以应对这些挑战。亚信 平安目前已经开发出了一套灵活的方法可以和 Vsphere6.0环境密切结合,用于包括入侵检测和防护、 防火墙、完整性监控
4、与日志检查的效劳器谨防以及现在 可以部署的恶意软件防护。所用架构主要是利用虚拟化 厂商目前在其平台上增加的附加能力,诸如通过最近发 布的 VMware vSphere 6 和 NSX Manager 最新引入 的附加能力。亚信安全提供必需的防护以提高在虚拟化 环境中关键任务应用的安全性。第2章.XXX虚拟化安全面临威胁分析虚拟效劳器根抵架构除了具有传统物理效劳器的风险 之外,同时也会带来其虚拟系统自身的安全问题。新平 安威胁的浮现自然就需要新方法来处理。通过前期调研, 总结了目前XXX虚拟化环境内存在的几点安全隐患。A虚拟机之间的互相攻击一由于目前XXX仍对虚拟 化环境使用传统的防护模式,导致
5、主要的防护边界还 是位于物理主机的边缘,从而无视了同一物理主机上 不同虚拟机之间的互相攻击和互相入侵的安全隐患。A随时启动的防护间歇一由于XXX目前大量使用 Vmware的效劳器虚拟化技术,让XXX的IT效劳具 备更高的灵便性和负载均衡。但同时,这些随时由于 资源动态调整关闭或者开启虚拟时机导致防护间歇 问题。如,某台向来处于关闭状态的虚拟机在业务 需要时会自动启动,成为后台效劳器组的一局部, 但在这台虚拟机启动时,其包括防病毒在内的所有 安全状态都较其他向来在线运行的效劳器处于滞后 和脱节的地位。A系统安全补丁安装一目前XXX虚拟化环境内仍会 定期采用传统方式对阶段性发布的系统补丁进行测 试
6、和手工安装。虽然虚拟化效劳器本身有一定状态恢 复的功能机制。但此种做法仍有一定安全风险。1. 无法确保系统在测试后发生的变化是否会因为安装 补丁导致异常。2.集中的安装系统补丁,前中后期需 要大量人力,物力和技术支撑,部署本钱较大。A防病毒软件对资源的占用冲突导致AV (Anti-Virus) 风暴-.XXX目前在虚拟化环境中对于虚拟化效劳器 仍使用每台虚拟操作系统安装OffieSCan防病毒客 户端的方式进行病毒防护。在防护效果上可以到达平 安标准,但如从资源占用方面考虑存在一定安全风 险。由于每一个防病毒客户端都会在同一个物理主机 上产生资源消耗,并且当发生客户端同时扫描和同 时更新时,资
7、源消耗的问题会愈创造显。严重时可 能导致ESX效劳器宕机。通过以上的分析是我们了解到虽然传统安全设备可以 物理网络层和操作系统提供安全防护,但是虚拟环境中 新的安全威胁,例如:虚拟主机之间通讯的访问控制问 题,病毒通过虚拟交换机传播问题等,传统的安全设备 无法提供相关的防护,亚信安全提供创新的安全技术为 虚拟环境提供全面的保护。第3章.XXX虚拟化根抵防护必要性XXX的虚拟效劳器效劳器向来承载着最为重要的数 据,因此,很容易引起外来入侵者的窥探,遭入侵、中 病毒、抢权限,各种威胁都会抓住一切时机造访效劳器 系统。XXX针以前针对效劳器采用集中管理、集中防护 的措施,通过传统安全技术在网络侧建立
8、安全防线,如 防火墙技术、防病毒技术、入侵检测技术各种安全 产品开始被一个一个地参加到安全防线中来。目前XXX为了降低硬件采购本钱,提高效劳器资源的 利用率,引进效劳器虚拟化技术对现有应用效劳器的计 算资源进行整合,使现有建立的安全防线面临挑战!效 劳器虚拟化后非但面临着传统物理实机的各种安全问 题,同时由于虚拟系统之间的数据交换,以及共享的计 算资源池,导致传统的安全技术手段很难针对虚拟系统 提供防护,此外使用传统安全技术的使用还带来更大计 算资源的消耗和管理运维,导致与引入效劳器虚拟化的 初衷相违背。通过上一章节的威胁分析发现,为了降低效劳器和虚 拟效劳器的安全威胁必须采用创新的安全技术手
9、段为效 劳器提供安全加固。因为传统安全技术应用到虚拟效劳 器防护存在短板效应:任何一点疏忽,都会让XXX整个 信息系统的安全防线功亏一簧,带来经济和企业名誉的 损失。更何况,这些被广泛传统安全产品虽然可以在物 理网络层很好地保护效劳器系统,但它们终究无法应对 虚拟系统面临新的安全威胁,所以需要采用创新的安全 技术才干完善XXX信息安全防护体系的根抵架构,同时 具备对最新安全威胁的反抗力,降低安全威胁浮现到可 以真正进行防范的时间差,提高效劳器的安全性和抗攻 击能力,从而提供业务系统应用的可用性。第4章.亚信安全虚拟化安全解决方案亚信安全针对虚拟环境提供全新的信息安全防护方案 DeepSecur
10、ity,通过病毒防护、访问控制、入侵检 测/入侵防护、虚拟补丁、主机完整性监控、日志审计等 功能实现虚拟主机和虚拟系统的全面防护,并满足信息 系统合规性审计要求。针对银行证券的效劳器虚拟化面 临的风险,建议采用亚信安全的虚拟化解决方案,构建 虚拟化平台的根抵架构多层次的综合防护。A病毒防护防护传统的病毒针防护解决方案都是通过安装Agent代理 程序到虚拟主机的操作系统中,在整合效劳器虚拟化后, 要实现针对病毒的实时防护,同样需要在虚拟主机的操 作系统中安装防病毒Agent程序,但是效劳器虚拟化的 目的是整合资源,最大化的发挥效劳器资源的利用率, 而传统的防病毒技术需要在每一个虚拟主机中安装程序
11、, 例如:一台效劳器虚拟6台主机,传统方法将Agent需 要安装6套,并且在制定扫描任务就需要消耗虚拟主机 的计算资源,这种方式并没有到达节约计算资源的效果, 反而增加了计算资源的消耗,并且在病毒库更新是带来 更多的网络资源消耗。亚信安全针对虚拟化环境提供创新的方法解决防病毒 程序带来的资源消耗问题,通过使用虚拟化层相关的 API接口实现全面的病毒防护。由于XXX为VMware虚 拟化环境所以将针对这个系统进行描述,具体如下:.针对VMware虚拟系统,实现底层无代理病毒防护亚信安全针对VMWare虚拟系统中通过VMShieId接 口实现针对虚拟系统和虚拟主机之间的全面防护,无需 在虚拟主机的
12、操作系统中安装Agent程序,即虚拟主机 系统无代理方式实现实时的病毒防护,这样无需消耗分 配给虚拟主机的计算资源和更多的网络资源消耗,最大 化利用计算资源的同时提供全面病毒的实时防护。A访问传统技术的防火墙技术往往以硬件形式存在,用于通 过访问控制和安全区域间的划分,计算资源虚拟化后导 致边界含糊,不少的信息交换在虚拟系统内部就实现了, 而传统防火墙在物理网络层提供访问控制,如何在虚拟 系统内部实现访问控制和病毒传播抑制是虚拟系统面临 的最根本安全问题。亚信安全DeepSecurity防火墙提供全面基于状态检 测细粒度的访问控制功能,可以实现针对虚拟交换机基 于网口的访问控制和虚拟系统之间的
13、区域逻辑隔离。 DeepSecurity的防火墙同时支持各种泛洪攻击的识别 和拦截。A入侵检狈!防护同时在主机和网络层面进行入侵监测和预防,是当今 信息安全根抵设施建设的主要内容。然而,随着虚拟化 技术的浮现,许多安全专家意识到,传统的入侵监测工 具可能没法融入或者运行在虚拟化的网络或者系统中, 像它们在传统企业网络系统中所做的那样。例如,由于虚拟交换机不支持建立SPAN或者镜像端口、 禁止将数据流拷贝至IDS传感器,网络入侵监测可能会 变得更加艰难。类似地,内联在传统物理网区域中的IPS 系统可能也没方法轻易地集成到虚拟环境中,特别是面 对虚拟网络内部流量的时候。基于主机的IDS系统也许 仍
14、能在虚拟机中正常运行,但是会消耗共享的资源,使 得安装安全代理软件变得不那末理想。亚信安全DeepSecurity VMWare的NSX环境中, 可通过NSX专用接口可以对虚拟交换机允许交换机或 者端口组运行在“混杂模式,这时虚拟的IDS传感器 能够感知在同一虚拟段上的网络流量。DeePSeeUrity 除了提供传统IDS/IPS系统功能外,还提供虚拟环境 中基于政策的(policy-based)监控和分析工具,使 DeePSecUrity更精确的流量监控、分析和访问控制,还 能分析网络行为,为虚拟网络提供更高的安全性。亚信安全DeepSecurity同时虚拟系统中占用更少的 资源,防止过度消
15、耗宿主机的硬件能力。虚拟补丁防护随着新的漏洞不断浮现,许多公司在为系统打补丁上 疲于对付,等待安装重要安全补丁的维护时段可能是一 段艰难的时期。此外,操作系统及应用厂商针对一些版 本不提供漏洞的补丁,或者发布补丁的时间严重滞后, 还有最重要的是,如果IT人员的配备缺乏,时间又不充 裕,那末系统在审查、测试和安装官方补丁更新期间很 容易陷入风险。亚信安全DeePSeCUrity通过虚拟补丁技术彻底可以 解决由于补丁导致的问题,通过在虚拟系统的接口对虚 拟主机系统进行评估,并可以自动对每一个虚拟主机提 供全面的漏洞修补功能,在操作系统在没有安装补丁 程序之前,提供针对漏洞攻击的拦截。亚信 平安De
16、epSecurity的虚拟补丁功能既不需要停机安装, 也不需要进行广泛的应用程序测试。虽然此集成包可 以为IT人员节省大量时间。A完整性审计亚信安全DeePSeCUrity产品可以针对系统支持依据 基线的文件、目录、注册表等关键文件监控和审计功能, 当这些关键位置为恶意篡改或者感染病毒时,可以提供 为管理员提供告警和记录功能,从而提供系统的安全性。A日志审计和报表功能每发生一次重大的数据泄密事件(譬如英国零售商TK MaXX和美国农业部的泄密事件)或者每出台一部新的法 规,安全重点似乎都要从“阻挡坏人的传统方法转向全 面的安全机制,以进一步分析IT活动。现在,效劳器系统日志和应用程序日志正以惊
17、人的速 度生成,这就可以详细记录下来IT活动。如果某位满腹 牢骚的员工企图窃取数据,访问了含有机密信息的数据 库,日志就有可能记录下他的一举一动,那样别人只要 检查日志,就能确定是谁在什么时候从事了什么活动。日志提供了线索,企业利用这些线索就能追查所实用户(不管是否不怀好意)的行踪。由此可见,对日志进行管理会给组织带来许多好处。 它们让组织意识到面临的情况,并匡助组织开展行之有 效的调查,例行的日志检查及深入分析保存日志非但可 以即将识别浮现不久的安全事件、违反政策情况、欺诈 活动以及运作问题,还有助于提供实用的信息,从而解 决问题。亚信安全DeePSeCUrity提供全面的系统日志和详尽 的
18、报告功能,除了记录自身的各功能日志外,还可以将 虚拟主机操作系统日志结合DeepSecurity自身日志进 行统一的统计和分析,日志系统还可以生成符合国际相 关安全标准的报表。DeepSecurity通过对日志进行分析 可以让管理员跟踪IT根抵设施的活动,评估效劳器数据 泄密事件是否发生、如何发生、何时发生、在何处发生 的有效方法。第5章.XXX虚拟化安全部署方案5.1. VMWare平台部署方案亚信安全效劳器虚拟安全解决方案针对 VMware VSphere虚拟平台提供无代理的安全防护措施,在每台 物理实机的ESXZESXi中部署亚信安全DeepSecurity 的VirtUalAPPlia
19、nce插件,就为每台虚拟主机的多层次 安全防护,包括:防病毒功能、访问控制功能、虚拟补 丁、攻击谨防、完整性监控等。XXXVMWare平台下采用物理效劳器多台,需要部署 亚信安全DeePSeCUrity后,无需在虚拟主机操作系统 中Agent程序就可以实现根抵的多种防护功能。5.2. 亚信安全虚拟安全方案集中管理亚信安全虚拟化安全解决方案 一DeepSecurity采 用GS结构,管理员通过浏览器就可以实现 DeepSecurity的管控,DeepSecurity效劳器支持管控 不同虚拟平台或者物理实机上的AgenVvirtuaI APPIianCe代理程序,包括Agent程序的策略下发,状
20、态检测、风险监控等功能,并且支持VMWareVCenter 的集中控管,在提供最大化的效劳器根抵防护的同时大 大提高了管理的便捷性。5.3. XXX虚拟化防护解决方案拓扑目前XXX内有X台ESX主机运行虚拟化环境,Deep SeCUrity对这些ESXSerVer和虚拟机进行统一的安装防 护和管理。Deep SeCUrity防护结构具体如下列图:54第6章.亚信安全DeePSeCUrity介绍6.1. DeepSecuirty 架构Deep Security Virtual Appliance 在 VMware vSphere在VMWare vSphere虚拟机器上提供无代 理的病毒查杀,ID
21、SIPS网络应用程序保护、应用 程序控管、完整性监控及防火墙保护,透明化地加强 安全策略-如果需要可以与Deep Security Agent 协调合作提供日志审计。 Deep Security Agent是一个非常轻小的代理软 件组件,部署于效劳器及被保护的虚拟机器上, 能有效协助执行数据中心的安全政策(WindoWS 及Linux系统防病毒、IDS/IPS、 网络应用程序 保护、应用程序控管、防病毒、防火墙、完整性监控及审查日志)。 Deep Security Manager功能强大的、集中式管理,是为了使管理员能够创立安全设定档与将它 们应用于效劳器、显示器警报和威胁采取的预 防措施、分
22、布效劳器,安全更新和生成报告。 新事件标注功能简化了管理的高容量的事件。6.2. DeepSecuirty 部署及整合亚信安全部署快速运用整合既有IT及信息安全投资。 与VMWare vCenter 和 ESX 效劳器的VMWare 整合,能够将组织和营运信息汇入Deep Security Manager中,这样精细的安全将被应 用在企业的VMWare根抵结构上。 与NSXManager的整合可以作为一个虚拟应 用,能即将在ESX效劳器上快速部署和透明化 地保护VSphere虚拟机器。 透过多种整合选项,提供详细的效劳器级别的 安全事件至SIEM系统,包括ArcSight lntellitac
23、tics NetlQ RSA Envision Q1 Labs LOglogiC 和其它系统。 能与企业的目录作整合,包括MicrosoftActive Directory0 可配置的管理沟通,能大幅度减少或者消除透过 Manager及Agent进行通信的防火墙变化。 可以透过标准的软件分发机制如Microsoft SMS、Zenworks和Altiris轻松部署代理软件6.3. DeepSecuirty 主要优势A预防数据破坏及营运受阻 提供无论是实体、虚拟及云端运算的效劳器防 御 防堵在应用程序和操作系统上及未知的漏洞 防止网页应用程序遭SQL Injection及 Cross-site跨
24、网站程序代码改写的攻击 阻挡针对企业系统的攻击辨识可疑活动及行为,提供主动和预防措施 A协助企业遵循PCI及其它法规和准那末 满足6大PCI数据安全准那末及一系列广泛的法规遵循需求 提供详细的审核报告,包含已防止攻击和政策 符合状态.减少支持审核所需的准备时间和投入A到j经营本钱的降低 透过效劳器资源的合并,让虚拟化或者云端运算 的节约更优化 透过安全事件自动管理机制,使管理更加简化 提供漏洞防护让安全编码优先化及和弱点修补 本钱有效化 消除了部署多个软件客户端与集中管理、多用 途的软件代理或者虚拟装置所产生的本钱6.4. DeepSecuirty 模块A病毒防护集成VMWare最新的VShi
25、eId EndPOint技术接口, 使虚拟机无需任何安装就能对病毒、间谍软件、木 马等威胁进行查杀优化虚拟机上并发的全盘扫描、病毒库更新时对虚 拟效劳器产生大量的资源消耗防病毒模块能将复杂、高端的攻击有效隔离A深度封包检查 检查所有未遵照协议进出的通信,内含可能的 攻击及政策违反 在侦测或者预防模式下运作,以保护操作系统和 企业应用程序漏洞 能够谨防应用层攻击、SQLSQLlnjeCtiOn及 Cross-site跨网站程序代码改写的攻击 提供有价值的信息,包含攻击来源、攻击时间 及试图利用什么方式进行攻击 当事件发生时,会即将自动通知管理员A入侵侦测和谨防 防堵漏洞来抵挡及零时差攻击,防止无
26、限制的 攻击 每小时自动防堵发现到的最新漏洞,无须重新 开机,即可在几分钟内就可将谨防部署至成千 上万的效劳器上 提供数据库、网页、电子邮件和FTP效劳器等 100多个应用程序的漏洞保护 智能型谨防规那末提供零时差的保护,透过检 测不寻常及内含病毒的通讯协议数据码,以确 保不受未知的漏洞攻击A完整啕空 监视关键操作系统和应用程序,如目录、 registry keys及数值,以侦测出恶意和不寻常 的更改 实时的侦测浮现有档案系统中的修改及新建立 的档案,并提供报告 可启动需求、预定或者实时侦测,检查档案属性 (PCI 10.5.5)和监控特定目录 提供灵便且实用的监控,提供包含用F除和可审 核报
27、告A网页应用程序保护 协助企业遵循法规(PCl DSS 6.6)保护网页应 用程序和所有处理的数据 防企SQL Injection Cross-site跨网站程序 代码改写的攻击和其它网页应用程序漏洞 在漏洞修补期间,提供完整的防护A应用程序管理 增加对应用程序访问的网络的控管及可见度 使用应用程序控管规那末,可侦测出病毒私下 访问网络的行为 降低效劳器漏洞A双向状态防火墙 减少的实体、云端运算及虚拟效劳器被攻击的时机 集中管理效劳器防火墙政策,包括最常见的效 劳器类型 微粒的筛选特色(IP与MAC地址、通讯端口), 可针对每一个网络设计不同的接口和位置政策 防止DDos攻击,提供事先弱点扫描
28、侦测可保护所有基于IP通讯协议(TCP、 UDP、 ICMP等)和所有框架类型(IP、ARP等)A日志审查 采集和分析操作系统和应用程序日志中的安全 事件 协助企业遵循法规(PCl DSS 6.6)来优化埋在 多个日志工程的重要安全事件 将事件转至SlEM系统或者集中日志记录的效劳 器,作关联性分析、报告和存盘 可侦测可疑行为、采集数据中心的安全事件和 管理操作,并使用OSSEC语法来建立进阶规 那末A DeePSeCUrityAgent 支持的平台Microsoft Windows.2000 (32位).XP (32 /64位) XP Embedded Windows 7.Windows V
29、ista (32/64位).Windows Server 2003 (32/64位).WindOWSSerVer 2021 (32/64位) Solaris.作业平台:8,9,10 (64位SPARC,x86) LinuxRed Hat Enterprise 3.0 (32位),4.0, 5.0 (32/64位).SUSE Enterprise 9, 10 (32) UNIXAIX 5.3.HP-UX 10, 11iv2, 11iv3 虚拟化VMware : VMware ESX Server (guest OS)Citrix: XenServer Guest VM Microsoft : H
30、yperV Guest VM Sun : Solaris 10 OS PartitionsA DEEPSECURTY主要认证及结盟Common Criteria EAL 3+.PCI Suitability Testing for HIPS (NSS Labs)Virtualization by VMwareMicrosoft Application Protection Program Microsoft Certified Partnership.NovellOracle PartnershipHP Business PartnershipIt is also certified Red Hat Ready第7章.国内成功案例经过5年的耕耘,在国内已经有超过2(X)0数据中心大 于 40,000 颗 CPU 的 vSphere 系统使用 DeeP Security 无代理安全技术来进行防护。
