虚拟化安全课件

1、虚拟化安全交流内容大纲 虚拟化发展 虚拟化面临的安全威胁 虚拟化安全解决思路虚拟化发展虚拟化发展20世纪50年代充分利用硬件资源IBM 7044计算机 虚拟化雏形虚拟化的价值降低管理成本提高资源利用率提高稳定性更大的灵活性服务器整合更多的人们对虚拟化的担心“人们对虚拟化最担心的问题是 安全.”Frank Gens, IDC, Senior VP & Chief Analyst虚拟化面临最大的挑战虚拟化面临的安全威胁 物理主机、系统故障1如何保障物理主机、系统可用性一个篮子多个鸡蛋，提高了效率如何确保篮子的安全呢？Hypervisor新出现的软件层，肯定具有安全漏洞，需要打补丁和配置VMGuse

2、t OSAppAppHypervisor自身完整性Hypervisor安全漏洞可用性安全配置不当Dom0Driverinterface虚拟化底层自身安全问题 虚拟化底层安全2虚拟机逃逸打破了Sandbox危机到大厦逃逸的影响信息泄露服务中断后门，Hypervisor、VM（1）（3）（2）VMM自身安全问题VMwareXenHyper-VVMM自身安全问题漏洞 数据安全3虚拟服务器的数据安全一个虚拟机就是一个文件夹VMGuset OSAppHypervisorVMGuset OSAppVMGuset OSAppHypervisorVM动态迁移传统安全策略不能感知、跟随和调整动态迁移数据明文传输

3、内存中信息泄露vMotionStorage vMotion虚拟服务器的数据安全当虚拟机共享或者重新分配硬件资源时会造成很多的安全风险。信息可能会在虚拟机之间被泄露。例如，如果虚拟机占用了额外的内存，然而在释放的时候没有重置这些区域，分配在这块内存上的新的虚拟机就可以读取到敏感信息。HypervisorCPUMemoryNICGhost OSGhostOSGhostOSDom0伪物理地址到机器地址映射表虚拟服务器的数据安全VMGuset OSAppHypervisorVMGuset OSAppVMGuset OSAppHypervisorVMGuset OSAppvSwitch在vSwitch中

4、的网络流量不可见传统安全防护措施失效，无法进行流量监测、过滤打破了以前的区域边界，无法进行隔离VM之间的攻击不能防范虚拟机网络流量不可见 虚拟机之间攻击/流量不可见4NetworkFW/ IDS / IPS虚拟机网络流量不可见攻击在虚拟机之中发生 激活重新激活,安全策略过期 虚拟机必须带有已配置完整的客户端和最新的病毒库快照、还原的威胁和漏洞风险新生成虚拟机休眠 启动防护间隙5防病毒风暴 资源争夺6传统安全软件如何造成“防病毒风暴“？定期扫描CPUIO网络硬盘病毒库更新网络IO病毒库于内存所常驻重复的内存使用安全管理成本增加 虚拟机安全管理复杂7补丁管理病毒库更新安裝新VM配置客户端传统安全管

5、理方式来管理新架构已经落后如何在新环境中建立安全架构、机制和防护措施传统IT威胁、弱点新威胁、新弱点流量不可见边界消失离线VM数据泄露恶意代码、DDoS后门、Rootkit传统的安全问题依旧存在新技术引入新问题FWAnti - DDoSPatch 管理传统的防护手段不能适应新环境新型防护体系如何构建风险依然存在虚拟化安全解决思路虚拟化安全解决方案解决方案高可用、备份Hypervisor自身安全加固安全区域划分针对于虚拟化的新型防护架构访问控制、分级管理针对虚拟化的管理工具目标面向虚拟和物理环境的一致安全策略享受虚拟化的所有经济优势物理主机、系统故障硬件容错FT未受保护自动重新启动连续0%10%

6、100%使用 HA 物理主机、系统故障1虚拟主机虚拟主机备份服务器虚拟机虚拟机 物理主机、系统故障1物理主机、系统故障一次性备份虚拟访客系统1运行应用程序服务器的 虚拟主机 备份服务器 几秒钟内即可全面恢复 Exchange、SQL、SharePoint 和 Active Directory 数据：单个邮箱/电子邮件/私有或公共文件夹/日历项目/任务/用户帐户或属性/SQL 数据库备份存储 数据安全3一次性备份，满足各种恢复选择要求虚拟机完整恢复应用程序恢复应用程序全面恢复文件/文件夹全面恢复重定向恢复使用代理不使用代理几乎没有或无 I/O 影响恢复整个访客计算机全面恢复数据全面恢复应用程序数

7、据管理视图与 vStorage API 进行了集成提高虚拟性能恢复整个访客虚拟机 管理视图与 vStorage API 进行了集成及时漏洞修补三网分离，锁定管理层网络访问设置和执行针对底层的严格访问控制策略定期的日志审计Hypervisor自身安全Hypervisor应用程序操作系统虚拟机应用程序操作系统虚拟机应用程序操作系统虚拟机 虚拟化底层安全2安全区域划分 网络INTERNETDMZApp数据库基础架构 服务器、网络 存储VMMVMMVMMVMM虚拟基础架构- Hypervisor 虚拟交换机区域边界 内部安全措施 边缘安全措施vApp DMZ 内部分区 虚拟机之间攻击/流量不可见4基于

8、虚拟化的新型防护架构Hypervisor应用程序操作系统虚拟机应用程序操作系统虚拟机非法访问黑客攻击木马程序病毒/蠕虫DDoS漏洞应用程序操作系统虚拟机“虚拟防火墙”IPSIDS主机保护病毒扫描补丁管理配置与变更审查 资源争夺6 虚拟机安全管理复杂7 启动防护间隙5 虚拟机之间攻击/流量不可见4 数据安全3 虚拟化底层安全2Windows 系统解决虚拟化安全问题的架构思路应在虚拟化系统底层解决安全问题QQWord游戏浏览器Windows底层安全防护vNICvSwitchvNICvNICvNICVMsafe APIvShield Endpoint API虚拟化层 针对虚拟化层的防护安全虚拟机基于

9、虚拟化的底层防护示意1. 使用存取控制( access control)2. 使用加密技术3. 禁用不需要或不使用的virtual devices4. 使用网络分段和访问控制列表，阻止其他所有接入.OVF.OVF.OVF 数据安全3虚拟机文件安全强制实施职责分离和最小权限的能力安全原则在 VI 中的实施最低特权角色只具有必需的特权职责分离角色只适用于必需的对象管理员操作员用户AnneHarryJoe管理访问控制 虚拟化底层安全2 虚拟机安全管理复杂7利用虚拟化相关的管理工具快速查看计算机安全状态每个热图条目都可单击，以指标图的形式显示更详细的视图每台计算机的安全事件总数以安全事件类型排序以安全事件类型排