XXX服务器虚拟化安全解决方案

XXX服务器虚拟化安全解决方案XXX趋势科技（中国）有限公司编写者苏鹏(趋势科技销售工程师)成稿时间2011/4/13文档控制仅限于XXX和趋势科技交流使用文档修订记录日日期期修修改改人人版版本本修修改改内内容容概概要要2011/4/13苏鹏V1初稿目录1.环境概述.................................................................................................................42.面临安全威胁.........................................................................................................42.1.针对操作系统漏洞的攻击..........................................................................42.2.针对应用的攻击..........................................................................................42.3.虚拟化带来新的威胁..................................................................................42.4.统一管理和审计..........................................................................................53.安全防护需求.........................................................................................................64.安全防护方案.........................................................................................................64.1.架构设计......................................................................................................74.2.方案部署....................................................................................................104.3.功能模块....................................................................................................105.和传统防护方案的区别.......................................................................................146.方案价值...............................................................................................................151.环境概述XXX目前对部分应用系统进行了虚拟化，情况概述如下：4台物理服务器，每台服务器采用4个6核CPU每一个虚拟服务器采用3核CPU标准配置总共有32台虚拟服务器2.面临安全威胁2.1.针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装WindowsServer操作系统，众所周知，微软操作系统每年都会发现大量的漏洞，利用这些漏洞：大量的蠕虫病毒、木马攻击感染，导致系统异常或者是不能正常运行黑客利用漏洞进行攻击，窃取机密资料或者是导致系统异常由于服务器应用系统的重要性，通常来讲对于发现的漏洞都没有进行及时的修复，补丁的安装都需要经过严格的测试之后才能够进行部署，但是在实际修复的这段时间内，服务器就会面临大量利用漏洞的攻击。2.2.针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务，类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统，这些应用系统都是由大量代码构成的，通常这些服务也都有大量的代码级漏洞，这些漏洞由于被黑客或者是商业间谍等破坏分子利用，窃取应用系统上面的机密数据，或者是导致应用不能正常对外提供服务。2.3.虚拟化带来新的威胁当对物理服务器进行虚拟化之后，除了物理服务器所面临的来自恶意程序、黑客攻击之外，虚拟化之后，在部署使用安全软件的时候，会遇到一些新的问题：硬件资源利用率受到限制当完成服务器虚拟化之后，为了保护虚拟服务器的安全运行，通常都会在每一个虚拟服务器上面安装安全软件，比如防病毒、防火墙、入侵防护等等，运行这些安全软件需要占用相同的CPU、内存等硬件资源，对于做虚拟化的物理服务器来说，其硬件资源的利用率降低，有相当部分的硬件资源要来运行虚拟服务器的安全软件。后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件，会随着虚拟服务器数量增加造成对后端存储的负荷越来越大，最终会影响到虚拟服务器的运行速度。物理边界模糊当服务器虚拟化之后，每台物理服务器上面运行了8个虚拟服务器系统，在虚拟化环境里面，使用靠可用性功能之后，这8个系统并不是固定的，而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候，以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求2.4.统一管理和审计服务器的管理不仅仅是基本的安全防护，同时也需要进行受到攻击后的追溯以及取证，这就需要根据一些法规要求，对系统以及应用的日志进行统一收集，一旦服务器上面的操作触发了事先设定条件，就上传日志，便于事后管理和审计3.安全防护需求通过对XXX服务器虚拟环境的了解，以及面临的威胁分析，目前XXX服务器虚拟化存在的安全需求有几下几点：1、对虚拟化操作系统提供全面的安全防护：防病毒、防火墙、深度数据包检测等2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击3、针对虚拟化的特色，提供无代理安全防护，节省物理服务器硬件资源，提高虚拟服务器的搭载密度4、对Windows服务器进行系统、应用的日志审计4.安全防护方案趋势科技根据XXX服务器虚拟化的安全需求，为其使用趋势科技深度防护系统DeepSecurity进行防护：安全防护需求功能设计趋势科技解决方案针对操作系统漏洞的攻击1、基本病毒防护功能，拦截利用漏洞的病毒攻击感染2、深度数据包检测技术，全面拦截利用系统漏洞的攻击趋势科技深度防护系统DeepSecurity针对应用的攻击1、深度数据包检测技术，拦截利用应用的攻击虚拟化带来新的威胁1、直接构建基于Vmware虚拟化平台的安全防护（包括防病毒、防火墙、深度数据包检测技术）统一管理和审计1、对Windows平台的日志进行收集2、对重要的应用进行日志收集4.1.架构设计DeepSecurity解决方案架构包含三个组件：DeepSecurity代理，部署在受保护的服务器或虚拟机上。DeepSecurity管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控。安全中心，是一种托管门户，专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新，然后由DeepSecurity管理器定期发布这些更新。DeepSecurity代理接收来自DeepSecurity管理器的安全配置，通常是一个安全配置文件。该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。只需通过执行建议的扫描即可确定对服务器分配哪些规则，此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。对所有规则监控活动都创建事件，随后这些事件将发送到DeepSecurity管理器，或者同时也发送到SIEM系统。DeepSecurity代理和DeepSecurity管理器之间的所有通信都受到相互验证的SSL所保护。DeepSecurity管理器对安全中心发出轮询，以确定是否存在新的安全更新。存在新的更新时，DeepSecurity管理器将获取该更新，然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。DeepSecurity管理器和安全中心之间的通信也受到相互验证的SSL所保护。DeepSecurity管理器还连接到IT基础架构的其他元素，以简化管理。DeepSecurity管理器可连接到VMwarevCenter，也可连接到MicrosoftActiveDirectory等目录，以获取服务器配置和分组信息。DeepSecurity管理器还拥有Web服务API，可用于程式化地访问功能。安全中心对漏洞信息的公共和私有源都进行监控，以保护客户正在使用的操作系统和应用程序。DeepSecurity管理器DeepSecurity解决方案提供实用且经过验证的控制，可解决棘手的安全问题。有关操作且具有可行性的安全不仅让您的组织获知安全事件，还可帮助了解安全事件。在许多情况下，这种安全就是提供有关事件发起者、内容、时间和位置的信息，以便组织可以正确理解事件然后执行相应操作，而不仅仅是告诉组织安全控制本身执行了什么操作。DeepSecurity管理器软件满足了安全和操作双重要求，其功能如下：集中式的、基于Web的管理系统：通过一种熟悉的、资源管理器风格的用户界面创建和管理安全策略，并跟踪记录威胁以及为响应威胁而采取的预防措施。详细报告：内容详尽的详细报告记录了未遂的攻击，并提供有关安全配置和更改的可审计历史记录。建议扫描：识别服务器和虚拟机上运行的应用程序，并建议对这些系统应用哪些过滤器，从而确保提供事半功倍的正确防护。风险排名：可根据资产价值和漏洞信息查看安全事件。基于角色的访问：可使多个管理员（每个管理员具有不同级别的权限）对系统的不同方面进行操作并根据各自的角色接收相应的信息。可自定义的仪表板：使管理员能够浏览和追溯至特定信息，并监控威胁及采取的预防措施。可创建和保存多个个性化视图。预定任务：可预定常规任务（如报告、更新、备份和目录同步）以便自动完成DeepSecurity代理DeepSecurity代理是DeepSecurity解决方案中的一个基于服务器的软件组件，实现了IDS/IPS、Web应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况，对服务器或虚拟机实行防御。必要时，DeepSecurity代理会通过阻止恶意通信流介入威胁并使之无效。安全中心安全中心是DeepSecurity解决方案中不可或缺的一部分。它包含一支由安全专家组成的动态团队，这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应，从而帮助客户对最新威胁做到防患于未然；同时，安全中心还包含一个用于访问安全更新和信息的客户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程：监控：对超过100个公共、私有和政府数据源进行系统化的持续监控，以识别新的相关威胁和漏洞，并将其关联起来。安全中心研究人员利用与不同组织的关系，获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以作进一步分析。分析：对漏洞执行深入分析，确定需要采取的必要防护措施。开发和测试：