赛门铁克虚拟化安全解决方案

1、1赛门铁克数据中心安全解决方案 赛门铁克数据中心安全解决方案2数据中心变革与趋势赛门铁克数据中心安全解决方案如何从传统的数据中心发展到软件定义数据中心3评估服务模式和服务内容评估现有基础架构、IT资产、人员和技术整合现有资源的整合人员组织的整合技术的整合虚拟化网络虚拟化服务器虚拟化存储虚拟化桌面虚拟化应用虚拟化应用迁移服务模式和内容详细设计应用架构和功能设计弹性化设计分布式计算能力应用技术和平台的选择安全性自动化和优化资源调配的自动化服务的自动化度量标准优化服务指标和资源消耗的优化基础架构虚拟化阶段（IaaS）应用平台云化阶段（PaaS & SaaS）传统数据中心赛门铁克数据中心安全解

2、决方案软件定义数据中心（SDDC）4所有的基础设施资源都将被虚拟化并以服务的方式提供，数据中心可通过软件实现自动化的管控。赛门铁克数据中心安全解决方案数据中心虚拟化的应用路线安全解决方案实际应用切入点这是安全问题虚拟化应用主要困扰来自于安全与合规5赛门铁克数据中心安全解决方案愿景:为软件定义数据中心提供全面可靠的安全服务驱动力 成本 速度 灵活性抵抗力 安全税 合规要求 复杂性数据中心未来是软件定义，这将会是动态和应用为中心的。数据中心安全计算资源和存储虚拟化网络虚拟化软件定义服务公有云与私有云资源Software-Defined Data Center应用与安全策略自动化与服务管理6赛门铁克

3、数据中心安全解决方案7Symantec Data Center Security|无代理恶意代码防护| 物理或虚拟服务器的安全防护|VMware NSX无缝集成| 基于安全标记的自动化工作流|赛门铁克数据中心安全解决方案赛门铁克数据中心安全解决方案 保护虚拟化基础架构8CCSVSMCCS VMCCS SMSDCSSecurity ZoneSecurity Zone通过NSX集成，提供无代理的恶意软件防护；基于Agen-based的方式为物理或虚拟主机提供安全加固无代理恶意软件防护虚拟或物理主机加固DCS ManagervCenter及云管理平台vCLISecurity Zone通过集中的管理平

4、台管理部署安全策略或收集日志关键系统保护管理服务器l 通过安全虚拟设备提供了针对VMware基础架构的无代理恶意软件防护,并为软件定义的数据提供安全业务流程和自动化工作流程策略 。l 最低性能影响的客户端代理为物理和虚拟服务器提供基于策略服务器安全监控和保护 l 基于安全标记的自动化工作流主要价值SVAVMware NSX赛门铁克数据中心安全解决方案主机安全主机安全加固过的安全基础设施VM最大化虚拟机安全VM最大化虚拟机的安全VM高级安全需求 安全控制需要依赖于特定的操作系统或者网络基础设施 安全部署到每一个节点上，将会增加部署成本和安全消耗 扩展将会持续加大安全消耗 交付一个服务在软件定义数

5、据中心 安全部署作为一个虚拟主机 (靠近工作负责) 动态扩展满足增加的负载需求 (通过增加更多SVAs) 9SVA基本安全传统的安全方式软件定义数据中心安全9赛门铁克数据中心安全解决方案赛门铁克数据中心安全解决方案 赛门铁克Data Center Security 6.0产品架构Symantec Data Center Security SuiteSDCS: Server AdvancedIDS/IPS (Servers)SDCS: ServerAgent-less AVIDS/IPS (vSphere)SCSP Client EditionIDS/IPS(Clients)赛门铁克数据中心安全

6、解决方案赛门铁克Data Center Security产品架构1111赛门铁克数据中心安全解决方案12Scale out ProtectionScale up Protection赛门铁克Data Center Security安全防护架构WindowsVMWindowsVMLinWindows, Linux, UnixSymantecAdvanced AgentWindowsVMVMware vSphere & VMware NSXSymantecSecurity Virtual ApplianceLinuxVMAdvancedAgentAdvancedAgentAdvancedA

7、gentVirtual Servers (VMs)Physical Servers赛门铁克数据中心安全解决方案赛门铁克DCS: Server 6.0可缩放的安全防护 集成到Vmware最新NSX技术 提供无Agent的病毒防护 赛门铁克文件信誉技术 自动化伸缩满足数据中心增长 强化VMware 的网络与服务虚拟化安全 集成安全策略到统一安全管理平台，可用弹性控制安全部署1313赛门铁克数据中心安全解决方案Data Center Security: Server Advanced 6.0可伸缩的安全防护 加大数据中心安全控制能力 新一代的SCSP产品功能 将会服务器加固过程 根据安全策略提供规则

8、向导 保护技术；智能白名单、进程、基本 无需事先了解服务器应用程序 应用程序的发现与信誉机制 选择应用程序和沙箱保护方式 应用程序配置文件 开箱即用的默认沙箱 针对特定复杂应用定制的沙箱技术例如：(domain controller, database, mail and web) 所有已经存在SCSP的功能1414赛门铁克数据中心安全解决方案15Data Center Security: Server Advanced 6.0审计与告警功能系统控制网络保护弱点防护保护应用程序白名单：加强传统的白名单技术提供内置的应用程序与系统级别的应用防护 应用为中心的安全模型：简化服务器加固模型，引入策略

9、向导和保护模式，摆脱原先以技术规则为主设置沙箱与进程访问控制：增加新的进程访问控制的策略提供开箱可用策略保护. 如下关键应用（Web, Email, Database, and Domain Controller servers）赛门铁克数据中心安全解决方案提供实时的可视化管理与控制满足合规要求16提供针对0-day攻击与APT攻击的安全防护让安全满足软件定义数据中心的体系结构16加固过期的系统并且提供化解攻击方案赛门铁克数据中心安全解决方案赛门铁克Data Center Security的价值分析17CCS Virtualization Security Manager |实时监控vCent

10、er账号| 细粒度的基于角色和资源的授权管理|完整的审计记录 | 加强的双因素认证 | 关键操作的二次认证审核|赛门铁克数据中心安全解决方案赛门铁克虚拟安全管理解决方案 提供虚拟化安全集中管理与审计18CCSVSMCCS VMCCS SMSDCS赛门铁克CCS VSM提供对宿主机和vCenter维护配置过程中的用户识别、权限控制、操作审计，还可以提供宿主机的安全配置基线评估与自动修复。实时监控及检测可疑vCenter账号行为基于角色或资源的细粒度授权管理，确保职责分离和最小授权等原则提供完整的操作审计日志，实现对用户行为的审计和追溯。集成双因素认证，强化对虚拟化平台的访问保护对关键操作的二次认

11、证审核，防止误操作或权限滥用等风险主要价值赛门铁克数据中心安全解决方案19数据中心的虚拟化安全管理解决方案之概述赛门铁克CCS VSM虚拟化安全管理控制平台作为虚拟化架构的网关访问设备，有效降低数据中心虚拟化安全风险密度，减少虚拟化数据中心发生潜在灾难性的安全事故的可能性，并提供虚拟化环境下的可见性和全方位控制。赛门铁克数据中心安全解决方案20数据中心的虚拟化安全管理解决方案之界面赛门铁克数据中心安全解决方案21数据中心的虚拟化安全管理解决方案之功能特征赛门铁克CCS VSM为安全及法规遵从管理、策略强制和操作审计提供了集中统一的控制点，并详细记录所有虚拟化基础架构的访问和变更等操作。CCS

12、VSM的管理员可以基于用户角色定义详细的访问控制策略，包括能够访问的个体的虚拟化对象（虚拟机、网络或存储等）或限制仅能访问与工作相关的虚拟化资源。赛门铁克数据中心安全解决方案数据中心的虚拟化安全管理解决方案22赛门铁克CCS Virtualization Security Manager消除下一代数据中心所面临的风险集中化问题，从而促进更广泛的虚拟化应用，更快速的采用私有云平台。赛门铁克数据中心安全解决方案23VSMVSM Virtual Appliance Protects VMware Infrastructure VSM for inspectionZagato Virtual Appl

13、iance赛门铁克数据中心安全解决方案数据中心的虚拟化安全管理解决方案之部署架构颗粒度的访问控制策略 Groups within AD, Used fo authentication and authorization Roles within VSM, Privileges: Power on VM/Create vSwitch Objects within vCenter, Images, Networks, Hosts24赛门铁克数据中心安全解决方案配置安全评估与审计日志25赛门铁克数据中心安全解决方案操作日志详细记录26赛门铁克数据中心安全解决方案27赛门铁克数据中心安全解决方案数据中

14、心的虚拟化安全管理解决方案之二次审批28CCS Standard Manager |实时监控及检测vCenter账号| 细粒度的基于角色和资源的授权管理|完整的审计记录 | 与vCenter紧密集成| 关键操作的二次认证审核|赛门铁克数据中心安全解决方案赛门铁克虚拟安全管理解决方案 提供虚拟化服务器安全管理29CCSVSMCCS VMCCS SMSDCSSecurity ZoneSecurity Zone在关键业务服务器上部署CCS SM的代理，对其进行配置基线检查及合规审计虚拟化关键业务服务器配置检查及合规审计CCS SM管理平台Security Zone管理服务器虚拟化部署管理服务器虚拟化

15、服务器的合规审计虚拟化服务器的安全测量虚拟化服务器的配置检查主要功能赛门铁克数据中心安全解决方案数据中心配置管理管理解决方案301.定义标准3.分析修复2.管理或未管理的资产评估 自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。 预定义且分类打包的安全配置条目，包含例外管理 支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集基础架构数据赛门铁克数据中心安全解决方案31数据中心配置管理管理解决方案赛门铁克数据中心安全解决方案数据中心配置管理管理解决方案32agentSymantec CCSStandardManager虚拟关键服务器的安全测量

16、agentagent支持主流的操作系统和应用的配置评估 虚拟化服务器的合规审计 虚拟化服务器的安全测量 虚拟化服务器的配置检查赛门铁克数据中心安全解决方案33查看结果调度策略运行时间定制模块添加模块创建策略数据中心配置管理管理解决方案CCS SM实现策略遵从，提供虚拟化安全配置最佳实践赛门铁克数据中心安全解决方案自动化评估IT基础架构安全配置341.定义标准3.分析修复2.管理或未管理的资产评估 自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。 预定义且分类打包的安全配置条目，包含例外管理 支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集

17、基础架构数据赛门铁克数据中心安全解决方案35CCS Vulnerability Manager |虚拟化基础架构的漏洞扫描| 虚拟化环境下资产自动识别|基于安全域的动态部署模型 |与vCenter紧密| 动态虚拟资产分组|赛门铁克数据中心安全解决方案赛门铁克虚拟安全管理解决方案 提供虚拟化环境漏洞管理36CCSVSMCCS VMCCS SMSDCSSecurity ZoneSecurity Zone每个安全域内部署一套扫描引擎，扫描各个区域的安全风险虚拟化漏洞扫描引擎Security Zone通过集中的漏洞管理服务器收集每区域的漏洞扫描情况，同时集成vCenter虚拟化漏洞扫描管理服务器VM

18、ManagerlCCSVM支持基于安全域的动态部署lCCSVM支持对虚拟化基础架构漏洞的扫描lCCSVM自动发现虚拟化环境下的虚拟资产主要功能：通过集中的漏洞扫描平台管理整个虚拟化数据中心的安全漏洞的发现与修复管理；CCSVM支持对虚拟化软件漏洞的扫描，包括宿主机及管理平台的漏洞发现等。主要特征赛门铁克数据中心安全解决方案数据中心漏洞评估解决方案构成及部署 控制台：基于 Web 的管理接口，连接到 CCS VM 扫描引擎上，以启动扫描和检索扫描信息。 扫描引擎：查询资产和检测漏洞。扫描引擎可部署在防火墙之外、安全网络边界之内，或 DMZ 之中，以扫描网络上由 IP 地址确定的任何设备，例如计算机、路由器或打印机等。37赛门铁克数据中心安全解决方案数据中心漏洞评估解决方案 预先阻止威胁发生 覆盖Web应用（包含应用扫描）、数据库、操作系统与网络设备，全面覆盖100%的IT资产 支持凭据登录扫描（OS、DB） 6万多个检查项覆盖超过1.5万个漏洞 标准的漏洞评分算法 持续的发现虚拟化资产，创建并管理