虛擬化安全防護解決方案

虛擬化安全解決方案2014年3月1.1成為企業(yè)生產(chǎn)運行和業(yè)務運轉的根本………錯誤!未定義書簽。1。2企業(yè)應用改變帶來的挑戰(zhàn)……………………錯誤!未定義書簽。三、傳統(tǒng)方案處理虛擬化安全的問題。錯誤!未定義書簽。4.1.1。系統(tǒng)架構……………錯誤!未定義書簽。4。1.2.工作原理………………錯誤!未定義書簽。●Web應用：80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會自己的Web網(wǎng)站和●虛擬化應用：出于資源利用，系統(tǒng)整合以及綠色IT的需要，虛擬化已經(jīng)在企業(yè)內部有了大量的應用.以上這些應用給服務器的安全帶來了更大的挑戰(zhàn)，傳統(tǒng)的安全措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，服務器系統(tǒng)的安全要求。從2000年至今，互聯(lián)網(wǎng)的發(fā)展日新月異，新的引用層出不窮。從Web1。0到Web2.0,從2G網(wǎng)絡升級到3G網(wǎng)絡?；ヂ?lián)網(wǎng)接入從笨重的臺式機，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和手機終端.隨著互聯(lián)網(wǎng)的發(fā)展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時，信息技術的發(fā)展也帶來了安全威脅的發(fā)展。安全威脅的攻擊，從單純的攻擊單臺電腦,到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡，到現(xiàn)在整個互聯(lián)網(wǎng)充斥著各種攻擊威脅。在當前的網(wǎng)絡安全大環(huán)境下，現(xiàn)有的防病毒安全系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務連續(xù)性，避免病毒對企業(yè)的數(shù)據(jù)，應用和網(wǎng)絡帶來威脅，必須對企業(yè)的安全系統(tǒng)實行結構化的完善，特別在服務器的安全防護上，在過去的幾年中,大部份企業(yè)都存有虛擬機內部攻擊法檢測或者抑制源于同一主機上的虛擬機的攻擊.3度大量降低.在單臺主機上僅能運行5至15臺虛擬機，而不是15至45臺虛擬機。這將嚴重影響任何虛擬化或者云計算項目的投資收益率(ROI)因為同時啟動病毒掃描導致網(wǎng)絡負擔過重為了降低這種風險，必須提供一種解決方案在徹底受保護的狀態(tài)下漏洞能夠被系統(tǒng)管理程序檢測出，但是對于這些虛擬化系統(tǒng)的主要威脅是惡意軟件對于這些系統(tǒng)和應用中的漏洞實行遠程探測的水平。企業(yè)級應用管理程序Web應用虛擬化環(huán)境的動態(tài)特性面臨入侵檢測/謹防系統(tǒng)(IDS/IPS)的新挑戰(zhàn)。因為虛擬機能夠迅速地恢復到之前的狀態(tài)，并且易于在物理服務器之間挪移，所以難以獲得并維持整體一致的安全為了創(chuàng)建虛擬化安全的有效方法，用戶應該采用與持續(xù)演化以保護物理IT資源相同的安全理論。其中一個安全理論是“全面謹防",這是企業(yè)用戶對于在其IT基礎設施中浮現(xiàn)的“網(wǎng)絡邊界去除"實行識別的基礎安全需求。行業(yè)最佳實踐支持這種理論，而且諸如JerichoForum等組織也將其納入其安全建議。因為基于設備的安全不能夠處理位于同一物理系統(tǒng)上的更加迫切。安全的最佳實踐至關重要。論壇其它引導理論包括以下規(guī)則：●防護的范圍和等級應該針對于并適合出于風險中的資產(chǎn).●商業(yè)需要能夠提升其靈便性和成本有效性的安全策略●即使邊界防火墻會持續(xù)地提供基本的網(wǎng)絡防護，但是個人系統(tǒng)和數(shù)據(jù)需要自我防護。應用上述這些和其它虛擬化數(shù)據(jù)中心的安全理論，現(xiàn)在能夠看到存有對于虛擬化安全方法與物理服務器一樣也需要補丁管理和日常維護.當前，世界上有公司采取三種虛擬化環(huán)境--兩個在網(wǎng)絡內部，一個在隔離區(qū)(DMZ)上一-大約有150臺虛擬機.但這樣的布置就意味著3。在隔離區(qū)(DMZ)運行虛擬機通常，很多IT管理人都不愿在隔離區(qū)(DMZ)上放置虛擬服務器。其它的IT管理者們也在多數(shù)情況下，把資源分離出來是比較安全的方式。這個時候,不管任何新的操作系統(tǒng)都是會有漏洞和瑕疵的。那這是否意味著黑客就有作系統(tǒng)的缺陷進而發(fā)動攻擊呢?工業(yè)觀察家們建議安全維護人員要時刻對虛擬化操作系統(tǒng)保在廣泛應用專門為VMwareVMsafeAPI定制的安全解決方案之前，通常采用兩種初FoueWruuslsaouityapphaGuestVMVMVMVM行傳輸，那就會丟失安全上下文。有必要針對于每一個潛在目的配置虛擬安全設備集群，因為虛擬機有可能被重新定位至該目的，從而對于性能產(chǎn)生相對應的負面影響?！癫煌该鞫?——因為必須改變虛擬網(wǎng)絡體系結構以部署虛擬安全設備，這將對于現(xiàn)有系統(tǒng)的管理和性能產(chǎn)生不利影響?！裥阅芷款i-———虛擬安全設備必須處理虛擬機和網(wǎng)絡之間的全部通信流量,最終會出采用另一種方法，能夠在每一虛擬機上部署相同的IDS/IPS功能與虛擬安全設備方法不同的是，以虛擬機為中心的方法能夠避免內部虛擬機通信流量、移動性和缺乏可見性等缺點.即使以虛擬機為中心的方法同時會對系統(tǒng)性能產(chǎn)生影響,但其分布式地跨接IT基礎設施即"使用模板"來部署通用的安全代理跨接每一虛擬機來消除這些不利因素.不過，虛擬化環(huán)境的動態(tài)特性在沒有安裝安全代理的情況下，依然能夠將虛擬機引入生產(chǎn)環(huán)境中，同時會消耗過多的物理機資源，降低虛擬機密度。安全看門狗虛擬機(VM)VMwareVMsafe程序使用戶能夠部署專用安全虛擬機以及經(jīng)特殊授權訪問管理程序的API.這使得創(chuàng)建獨特的安全控制、安全看門狗虛擬機等成為可能，如在Gartner的報告中所述，在虛擬化的世界中從根本上改變安全和管理概念。這種安全看門狗虛擬機是一種在虛擬環(huán)境中實現(xiàn)安全控制的新型方法。安全看門狗功能利用自身API來訪問關于每一虛擬機的特權狀態(tài)信息，包括其內存、狀是可見的，這樣就能夠消除用于IDS/IPS過濾的虛擬安全設備方法在內部虛擬機和非透明方用于安全看門狗虛擬機中.趨勢科技保護虛擬化環(huán)境的靈便方法包括能夠在單個虛擬機上實行域與域之間的訪問安全.御爭奪主機和虛擬系統(tǒng)的全面防護，并滿足信息系統(tǒng)合規(guī)性審計要求。針對銀行證券的服務器虛擬化底層病毒防護無需安裝客戶端，提供實時安全內容過濾，提供手動安全內容過濾，提供計劃安全內容過濾，算資源虛擬化后導致邊界含糊，不少的信息交換在虛擬系統(tǒng)內部就實現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡層提供訪問控制，如何在虛擬系統(tǒng)內部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。應用程序管理入侵檢測/防護分析網(wǎng)絡行為，為虛擬網(wǎng)絡提供更高的安全性。防堵已知漏洞來御部署至成千上萬的服務器上提供數(shù)據(jù)庫、網(wǎng)頁、電子郵件和FTP服務器等100多個應用程功能，在操作系統(tǒng)在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截.趨勢科技DeepSe趨勢科技DeepSecurity安全防護系統(tǒng)管理控制中心(DSM),是管理員用來配置及管趨勢科技DeepSecurity安全防護系統(tǒng)安全虛擬機(DSVA)是針對VMware作系統(tǒng)中，可提供IDS/IPS、防火WebDeepSecurity通過vshieldendpoint提供的實時掃描、預設掃描、清除修復等Endpon級存&過流趨勢科技部署快速使用整合既有IT及信息安全投資?！衽cVMwarevCenter和ESX服務器的VMware整合，能夠將組織和營運信息匯入DeepSecurityManager中，這樣精細的安全將被應用在企業(yè)的VMware●與VMsafeMAPls的整合能夠作為一個虛擬應用，能即將在ESX服務器上快速部署和透明化地保護vSphere虛擬機器。●透過多種整合選項，提供詳細的服務器級別的安全事件至SIEM系統(tǒng)，包括ArcSig●能與企業(yè)的目錄作整合，包括MicrosoftActiveDirectory?！窨膳渲玫墓芾頊贤ǎ艽蠓葴p少或者消除透過Manager及Agent實行通信的防火墻變化。●能夠透過標準的軟件分發(fā)機制如Microsoft●SMS、Zenworks和Altiris輕松部署代理軟件趨勢科技虛擬化安全解決方案—-DeepSecurity采用C/S結構，管理員通過瀏覽器就能夠4.1.5.產(chǎn)品價值非但能夠在減少補丁更新的頻率，而且能夠保護不能打補丁的遺留程序,使系統(tǒng)免受零日攻擊。保護IT投資，使用虛擬補丁功能能夠降低50%-75%的IT成本.根據(jù)權威機構統(tǒng)計“34%的數(shù)據(jù)攻擊都是和Web應用相關”,“75%的攻擊都發(fā)生在應軟件客戶端與集中管理、多用途的軟件代理或者虛擬裝置所產(chǎn)生的成本.趨勢科技建議對企業(yè)虛擬化針對如下九慷慨面實行有針對性的安全防護.置.DefinbnsWindowsTYLOCAMACHNFSOFTWAREMaosdtMcoepkdionndalonpath5mvkes,MBSQLSRVER,M5SQLoryaADHepe','SQUwser,KTVDA75C?ROOTSQOLD?,HKEYOA55C5R00TI5QOMXGeneralDetailsAssignedToPrewallGenerieCrosssPirewallRulesGoneralvunorsbltyConfStatefulConfuurationsDoepPacetinspecton-Configuratnorirs—xsspattorns.onegroupporlinosoparaodbyY.Thoscoroforthegrouplsattheandoftheineafter'iFo'use\DropThreshoidfthescoresxceedsthiLogThreshold(fthescoreexceedsthisvslue,slogwilbegenerated):FomparanetorswitharondofoultscortheresourcenamgfolowodbytheresourceparamThescoreforsachperameteegindexhtnliuseridpasswdOreperlineNoleThiWebAopkationProtettonppicsonTypesgroupisatheendofthelneafter'.Fa'use{x2candfar"use{x22.554、對系統(tǒng)\服務\程序漏洞實行主動防護如下圖，選擇所有和MSO8-067相關的DPI條目能夠對該漏洞實行主動防護nm0ds2-mi0Rm對0E0045、對各類事件實行實時監(jiān)控epPacletSourceincemlngPreperiesWindoweInte-GeneranfomaoName:NotNotrleMaskad[P:P()PLstNMcrosotWndbnsTostsfiemoThisruledieitswhenthereisanychangeinfloattrbucesofWindonsHost'filefoundunder%WIHDiR%|system32\drivers\=trMnmumAgmt/AppianceYorslenMnmumManngerVersion:{o.g.CtWINDows\sytemdnversetcDotals-ldenifketion