数据中心安全解决方案

1、数据中心安全解决方案Making Server Security SimplerSymantec 企业安全策略 集成化的产品满足客户最重要的需求提供一个集成化的产品方案包括能集成第三方的产品(例如, next-gen firewall, virtualization platform)满足最迫切的安全需求鱼叉攻击/ APTs移动云安全软件定义数据中心整合赛门铁克规模、优势与信息资产移动工作环境的防护数据中心安全网关的防护信息安全托管服务2赛门铁克的解决方案的观点数据中心的未来是软件定义的. 他们将会是动态以及以应用为中心.: Server服务器器威胁趋势在改变. 服务器威胁防护的策略是主动响应

2、.: Server Advanced3New3New3Software-Defined Data centerAll infrastructure is virtualized and delivered as a service, and the control of this datacenter is entirely automated by software.sddc What is a Software Defined Data Center1. Abstract.Virtualize compute, network and storage 2. Pool.Aggregate r

3、esources in a pool for on-demand provisioning3. Automate.Automate provisioning through templates WEEKSDAYSHOURS 20082012FUTUREProvisioning Time4数据中心虚拟化的应用路线安全解决方案实际应用切入点这是安全问题虚拟化应用主要困扰来自于安全与合规5发展愿景驱动力 成本 速度 灵活性抵抗力 安全税 合规要求 复杂性数据中心未来是软件定义的. 这将会是动态和应用为中心的. 我们的使命是帮助跟上这个潮流数据中心安全计算资源和存储虚拟化网络虚拟化软件定义服务公有云与

4、私有云资源Software-Defined Data Center应用与安全策略自动化与服务管理6服务器安全演化进程开始变革P-V开始改变. Virtual演化目标Software DefinedVMVMVMVMVMVMVMVMSVASVASVASVAGroup 1Group 2Host-1Host-3Host-2VMVMVMVMVMVMvAppVDC- Group 1VDC- Group 2VMVMvAppvAppvApp7主机安全主机安全加固过的安全基础设施下一代的安全平台式如何的VM最大化虚拟机安全VM最大化虚拟机的安全VM高级安全需求安全控制需要依赖于特定的操作系统或者网络基础设施安全

5、部署到每一个节点上，将会增加部署成本和安全消耗扩展将会持续加大安全消耗交付一个服务在软件定义数据中心安全部署作为一个虚拟主机 (靠近工作负责) 动态扩展满足增加的负载需求 (通过增加更多SVAs) 8BronzeSilverGoldServiceLevelsSVA基本安全传统的安全方式软件定义数据中心安全8Data Center Security v6.0新一代的数据中心安全产品Agent(CSP)过去新一代SEPSymantec Endpoint ProtectionCritical Systems ProtectionAgentless(SVA)9SEPNew高级安全需求基本安全需求提供实

6、时的可视化管理与控制满足合规要求new (DCS): Server & Server Advanced10提供针对0-day攻击与APT攻击的安全防护让安全满足软件定义数据中心的体系结构10加固过期的系统并且提供化解攻击方案Data Center Security: Server 6.0可缩放的安全防护 集成到Vmware最新NSX技术提供无Agent的病毒防护赛门铁克文件信誉技术降低误报率自动化伸缩满足数据中心增长强化VMware 的网络与服务虚拟化安全集成安全策略到统一安全管理平台，可用弹性控制安全部署1111Data Center Security: Server Advanced 6.

7、0可伸缩的安全防护 加大数据中心安全控制能力新一代的SCSP产品功能将会服务器加固过程根据安全策略提供规则向导保护技术；智能白名单、进程、基本无需事先了解服务器应用程序应用程序的发现与信誉机制选择应用程序和沙箱保护方式应用程序配置文件开箱即用的默认沙箱针对特定复杂应用定制的沙箱技术例如：(domain controller, database, mail and web)所有已经存在SCSP的功能1212WindowsVMWindowsVMDCS数据中心安全防护的架构13LinWindows, Linux, UnixSymantecAdvanced AgentWindowsVMVMware v

8、Sphere & VMware NSXVirtual Servers (VMs)Physical ServersServerAdvancedServerSymantecSecurity Virtual ApplianceLinuxVMAdvancedAgentAdvancedAgentAdvancedAgentScale Out ProtectionScale Up Protection与VMware NSX & Service Composer的集成ServicesNSX Service Composer unifies and integrates service insertion &

9、consumption across NSX native and 3rd party services 14Symantec and Vmware的配置流程SymantecManagerVMware NSXNetworking & SecurityVMVMEndpoint Service1. 导入并且注册安全SVA虚拟机112. 发布新赛门铁克防病毒策略23. 部署SVA安全虚拟机到集群SYMC SVA34. 生成一个新安全策略（Vcenter)45. 应用新安全策略到服务器组56. 标记网络和系统的安全威胁6Security Group15自动化的工作流程VMwareInfrastruct

10、ure3rd PartySecuritySystemSymantecAgentless“DCS”注册事件/响应16*Vmware 重新分配 GVM X 到 病毒感染区域*Vmware 回复 GVM X 到正常组中*赛门铁克无代理防病毒(SVA) 安全服务检测到用户虚拟机有病毒on GVM X via 通过AV Detect Only 策略，并且被指派病毒检测组*赛门铁克安全管理器设置标书在该虚拟机上*赛门铁克SVA 响应安全策略, 删除该虚拟机上的病毒，并且将Tag设置成为清除用户的虚拟机开始尝试执行病毒用户的虚拟机本指派到普通组带有病毒检测策略Security Group- NormalSe

11、curity Policy- AV Detect Onlyi =016审计与告警功能Agent base 的高级服务17实时监控 文件完整性，满足合规要求.告警并且提示，作为早期响应锁定系统配置强制安全策略锁定设备访问 关闭后门.限制应用连接限制应用流量防护0-day 攻击应用程序缓冲器溢出, and 最小号应用权（沙箱技术）锁定应用行为.缓冲区溢出检测入侵检测入侵防御功能系统控制网络保护弱点防护 新的保护策略的工作流18更加强大的控制基本加固白名单防护保护应用程序白名单- 加强传统的白名单技术提供内置的应用程序与系统级别的应用防护 应用为中心的安全模型-简化服务器加固模型，引入策略向导和保护

12、模式，摆脱原先以技术规则为主设置沙箱与进程访问控制 增加新的进程访问控制的策略提供开箱可用策略保护. 如下关键应用（Web, Email, Database, and Domain Controller servers）evolve Integrated security, driven by context, enabled by policy. Supporting customers evolution to the SDDC by impacting inhibitors to adoptionSecurity Orchestration PlatformServer Security

13、Unified AssessmentData Store SecuritySecurity Orchestration Security TaxIntegrated Offering ComplexityUnified Assessment Compliance19one Protection Workflow20Inspect SystemRate ApplicationsManage ChangeInspect system to identify installed applicationsProvides visibility into applications running on

14、serversAllows users to choose a blend of white-listing and sandboxing protection mechanismsDetermine application reputationIdentifies overall risk by validating application checksums and integrating with reputation serviceIdentifies “known good” applications via Trusted PublishersSpecify how to mana

15、ge change on the System, i.e., Trusted UpdatersReduces administration overheadIncorporates internal change processes into security policy123two Protection Workflow 21Sandbox Common ApplicationsSpecify Whitelist & BlacklistReview and Enable ProtectionProvide out-of-box security for common application

16、sAdmins can select sandboxing controls for web servers, database servers, domain controllers, mail serversEnables sandboxing protection for known server workloadsSelect Whitelisted and Blacklisted ApplicationsProvides a Default Deny security posture for generic serversProvides override mechanisms th

17、rough Trusted User/Group and Trusted DirectoriesView Security Summary and Overall Risk ProfileIdentifies gaps based on the controls selected and server profileProvides feedback on efficacy of security controls after deployment456Data Center Security: Server Advancednew Introducing Data Center Securi

18、ty Making Server Security Simpler22Critical System ProtectionData Center Security: ServerProtected Application White ListingAgentless Malware Protection via VMware NSXCSP EoL to DCS upgradesCSP productEnd of LifeEnd of Limited SupportEnd of Support LifeTo DCS upgrade path(however maintenance costs will adjust at contract renewal)Critical System Protection Server Edition 5.23/3/143/3/163/3/17Data Center Security: Server Advanced 6.0Critical System Protec