虚拟化系统的安全防护

龙源期刊网虚拟化系统的安全防护作者：王建永来源：《电脑知识与技术》2013年第23期摘要：随着肇庆供电局虚拟化系统的逐步扩容，虚拟机的不断增加，虚拟化系统上所承载的业务系统从非主营业务系统逐步向各大主营业务系统发展，虚拟化系统为肇庆供电局带来的显著优势使其应用不断深化。与此同时，对虚拟化系统的安全防护要求也发生相应的变化。在虚拟化平台环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据、应用和网络带来威胁，必须对企业的虚拟化平台安全进行结构化的完善，确保虚拟化应用的持续稳定性。该文通过虚拟化安全防护软件在肇庆供电局的测试案例，说明该技术对降低运营成本，防止数据泄漏和业务中断，提高资源的利用率具有实际意义和作用。关键词：虚拟化；安全中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）23-5253-041测试准备2.1虚拟化防护软件DeepSecurity安装安装过程大约为2-3个小时。安装软件包括安装vShieldManager；安装DSM9.0；在DSM上添加vCenter；部署FilterDriver&DSVA。2.2激活虚拟机安全防护在部署上DeepSecurity之后，对ESXi上的虚拟机进行安全防护。进行激活虚拟机的防护功能，部署策略。2.3对每个功能模块的性能进行测试3软件安装步骤3.1虚拟化防病毒规划3.2.1DSM部署1）将DSM8.0安装程序全部放到同一目录下，再执行DSMManager程序，这样DSM会自动导入”FilterDriver”和”Appliance”程序，无需后续手工导入。龙源期刊网）安装过程中需要选择数据库类型和”ManagerAddress”等信息，如果用户全部是域环境可以使用主机名，否则建议修改”ManagerAddress”为IP地址，这样可以避免很多通讯问题。3）安装完成后可以通过错误！超链接引用无效。来登录控制台。4）进入DSM控制台。5）选择”计算机”→”AddVMwarevCenter”。6）输入vCenter信息。7）输入vShieldManager信息。8）添加完成，显示DSM界面3.2.2VShieldManager部署1）登录vCenter控制台2）文件→部署OVF模板→VMware-vShield-Manager-5.0.0-4737913）部署完后，打开VShieldManager电源即可4）输入错误！超链接引用无效。Managerweb控制台5）配置vCenterServer信息，点击”Save”6）为被保护ESX主机安装EndPoint组件3.2.3DSVA部署1）进入DSM控制台的”Computer”界面，选择vCenter中的ESX，右键选择”Action”→”PreparedESX”20此过程必须保证ESX能够与DSM主机通讯3.2.4更新虚拟桌面上的VmwareTools由于默认版本的VmwareTools未提供vShieldEndpoint驱动，因此需要在各个虚拟机上更新以下版本的VmwareTools并重启系统。1）执行驱动程序，选择安装vShieldDrivers龙源期刊网）重新启动vm3.2.5策略调优根据测试结果和用户需求，进行策略的优化，符合安全及管理需求，同时确保不影响应用运行。4功能测试流程4.1防恶意软件测试方法：通过在虚拟机上下载或者文件共享方式将恶意文件保存到虚拟机上，检查恶意程序是否被隔离。1）进入DSM控制台，进入一个被管理状态的计算机详细信息，在基本策略项选择“防恶意软件”并打开此功能2）单击“保存”保存配置3）在被保护主机上下载eicar测试病毒，或通过文件共享方式拷贝eicar测试病毒到被保护主机上4）观察eicar文件是否被创建5）注：由于此过程需要将文件传递到DSVA，扫描完成后才返回Action，所以文件共享方式处理时间可能较长，但此过程中文件已经被锁定6）进入DSM控制台，右键选择被保护主机“操作”→“获取事件”，通过DSM控制台的“事件和报告”→“防恶意软件事件”中查看日志侦察检测：检测端口扫描等活动。还可限制非IP通信流，如ARP通信流。预定义的防火墙配置文件：对常见企业服务器类型（包括Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。详细的报告：通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity防火墙模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。测试方法：利用Metasploit免费开源模拟攻击测试工具，对windows2008进行模拟攻击，利用微软MS09-050漏洞，该漏洞是MicrosoftSMBV2协议存在远程代码执行漏洞，远程攻击龙源期刊网报文触发该漏洞，导致远程命令执行，成功利用该漏洞的攻击者者可以执行任意代码或导致系统死机；DeepSecurity中对应的入侵防御策略编号是1003712；预期结果：在没有启用DPI策略时，可以攻击成功，DeepSecurity防护的主机无法攻击成功，并有日志记录攻击过程；4.4完整性监控功能描述：任何恶意事件的发生都会伴随着文件或注册表、服务进程的改变，DeepSecurity完整性监控模块可监控关键的操作系统和应用程序文件（如目录、注册表项键值）以及服务进程的变化，用以检测可疑行为。使用预设的完整性检查规则可对文件和目录针对多方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于PCIDSS10.5.5要求。测试方法：对系统hosts文件的监控，确认对应的策略，首先启用策略，建立基准线，修改系统windows＼system32＼driver＼etc＼hosts文件，增加一行IP与域名；1）进入目标主机的详细信息页面2）进入完整性监控规则中，选中“1002773-MicrosoftWindows–“Hosts”filemodified”，保存3）右键进入规则编辑界面4）进入“完整性监控”→“查看基线”检查基线是否存在，如果不存在执行“重新生成基线”5）进入目标计算机修改hosts文件6）运行”获取事件”命令7）在完整性监控事件中检查事件情况4.5日志审计功能描述：对于管理大量服务器的管理员来讲，如何在海量的日志信息中发现威胁，是个费时费力的事情；使用DeepSecurity日志审计模块可收集并分析操作系统和应用程序日志，以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。龙源期刊网收集事件：这些事件包括：MicrosoftWindows、Linux和Solaris平台间的事件；来自Web服务器、邮件服务器、SSHD、Samba、MicrosoftFTP等的应用程序事件；自定义应用程序日志事件。关联不同事件：包括系统消息（如磁盘已满、通信错误、服务事件、关机和系统更新）、应用程序事件（如帐户登录/注销/故障/锁定、应用程序错误和通信错误）、管理员操作（如管理员登录/注销/故障/锁定、策略更改和帐户更改）。关联分析以后，可生成安全事件的完整审计记录，以帮助满足合规性要求，如PCI10.6测试方法：启用windows系统事件日志审计功能，如win2003为例；1.在WindowsServer2003基本策略中修改日志审查规则，选中”MicroftWindowsEvents”；2.部署该策略文件至目标服务器；3.登录目标服务器，清空所有系统日志；4.查看日志审查事件；预期结果：系统中的风险日志信息被汇总到DeepSecurity控制台；5总结经过测试，所有测试项都达到预期的效果。虚拟化系统采用DeepSecurity进行安全防护，以透明方式在VMwarevSphere虚拟机上实施安全策略以提供无代理的防恶意软件、Web信誉、入侵阻止、完整性监控和防火墙保护，不仅提高管理便利与效率，更能尽量降低对IT资源的影响，适合在肇庆供电局进行推广应用。参考文献：[1]葛勤革.虚拟化：技术、应用与挑战[J].通信技术，2011（10）.[2]因特尔开源软件技术中心，复旦大学并行处理研究所，系统虚拟化—原理与实现[M].北京：清华大学出版社，2009.[3]鲁松.计算机虚拟化技术及应用[M].北京：机械工业出版社，2008.