5-服务器安全加固软件Deep Security

服务器安全加软件DeepSecurity动态数据中心的安全IT安全旨在促进业务，而非阻碍业务，但是IT安全所面临的挑战性和复杂性正与日俱增。合规性要求使得服务器上的数据和应用程序必须遵循一些安全标准。用虚拟机替代物理服务器，不但经济环保，还能提高可扩展性。云计算促进了传统IT基础架构的发展，不但节约了成本，还提升了灵活性、容量和选择空间。服务器不再阻隔在外围防御之后，如同笔记本电脑一样，服务器也在安全外围之外移动，因此需要最后一道防线。深度防御安全策略的当务之急是部署一个服务器和应用程序防护系统，通过该系统提供全面的安全控制，同时也支持当前及未来的IT环境。面对这些挑战，趋势科技提出了相应的解答，其中包括DeepSecurity解决方案务器虚拟服务器云计算PHYSICALgVE育£VIRTUALIZEDSERVERSCLOUDCOMPVTlMG■■■月艮务器正处于压力之下根据VerizonBusiness风险小组2008年度的数据泄露调查报告，在最近的数据泄露事件中，59%由黑客攻击和入侵导致。TJX和Hannaford的数据泄露事件凸显了系统危害对于任何企业的信誉和运营都会产生严重负面影响的潜在可能性。各组织正不断努力取得一种平衡，希望在保护资源的同时，又能保证更多业务合作伙伴和客户能够访问这些资源。当前的支付卡行业数据安全标准(PCIDSS)认识到，传统的外围防御已经不足以保护数据使其免受最新威胁，如今需要的是远远超过基于硬件的防火墙以及入侵检测和防御系统(IDS/IPS)的多层保护。无线网络、加密攻击、移动资源和易受攻击的Web应用程序，所有这些因素加在一起，便促成了企业服务器的脆弱性，使其面临渗透和危害的威胁。在过去的五年中，一直以来都高度依赖物理服务器的数据中心计算平台经历了一场重大的技术变革。传统数据中心的空间不断缩减，希望通过整合服务器实现成本节约和“绿色”IT的目的。几乎每个组织都已经将他们的部分或全部数据中心工作负载虚拟化，实现了物理服务器的多租户使用模式，取代了此前的单租户或单用途模式。Gartner集团预计，从现在到2011年，虚拟机的安装量将会扩大十倍以上-到2012年，绝大多数x86服务器的工作负载将会在虚拟机内运行。

服务器正迅速增加且飞快发展IT虚拟化为组织带来的显著优势使其得到广泛采用。虚拟化提高了容量以及对于企业需求的响应能力，而硬件和软件许可的更有效使用促进了服务器工作负载的继续不断整合。在虚拟环境中，网络设备和服务器之间不再泾渭分明-如今在虚拟化平台中二者已进行组合。但是，由于网络安全设备无法看到在虚拟机之间发送的通信流，因此，敏感度各不相同的托管工作负载使得攻击者有了可乘之机。移动工具（对于管理计划内停机时间、有效利用虚拟化资源以及应用程序可用性而言至关重要）导致服务器上出现额外的工作负载共享，从而影响合规性历史记录管理和虚拟安全设备。虚拟机不可避免的“蔓延”还增加了未安装最新补丁的虚拟机受到恶意通信流攻击的可能性。IT人员必须仔细检查保护企业服务器虚拟实例所使用的方法。1.3.云端服务器开放云计算提高了企业满足日常操作计算需求的能力。随着越来越多的组织采用云计算以及服务提供商构建公共云，对于能否有效托管这些虚拟化工作负载，安全模式面临着进一步挑战。在考虑是否将业务工作负载移到公共云中时，安全性往往是组织最为关心甚至因此产生疑虑的一个问题。IDC最近调查了244位IT主管/CIO及其业务范围（LOB）内的同事，以衡量他们的意见并了解其公司对IT云服务的使用情况，最后结果是，安全性位列第一，成为云计算面临的最大挑战。当服务器移到公共云资源时，由于这些虚拟化服务器现在直接通过Internet提供管理访问，数据中心外围就无法提供任何防护。因此，数据中心本来就已经面临的一些问题，如补丁管理和合规性报告，现在也变得更为复杂。由于一个组织的工作负载靠近另一组织的工作负载一起托管在服务器上，云端唯一的相关防护就只是供应商可以在其外围提供的最低一般水平防护，或者组织为进行自我防御而为其虚拟机部署的任何措施。问：请对“云计算”或按需服务所面临的各种问题按重要性进行评价（1*不重要5*非常重要）回答评分为4或5的百分比“到目前为止，关于云服务我们最为关心的就是安全性。由于业务信息和关键IT资源都在防火墙之外，客户担心这些信息和资源容易受到攻击。”-IDC高级副总裁兼首席分析师FrankGens安全性性能可用性难以与组织内部的IT集成自定义能力不足担心按需模式成本更高带回组织内部可能有困难法规要求禁止云回答评分为4或5的百分比“到目前为止，关于云服务我们最为关心的就是安全性。由于业务信息和关键IT资源都在防火墙之外，客户担心这些信息和资源容易受到攻击。”-IDC高级副总裁兼首席分析师FrankGens1.4.趋势科技的解决方案TrendMicroDeepSecurity解决方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断，符合包括PCI在内的关键法规和标准，并有助于应当今经济形势之要求降低运营成本。DeepSecurity解决方案使系统能够自我防御，并经过优化，能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制：基于主机的IDS/IPS防护未知漏洞，被未知攻击防护已知攻击防护零日攻击，确保未知漏洞不会被利用Web应用防护防护web应用程序的弱点和漏洞防护Web应用程序的历史记录支持PCI规范。应用程序控制侦测通过非标准端口进行通讯相关协议限制和设定哪些应用程序能通过网络被访问侦测和阻断恶意软件通过网络进行访问基于主机的防火墙一致性检查和监控重要的操作系统和应用程序文件控制（文件，目录，注册表以及键值等等）监控制定的目录灵活并且主动实用的监控审计日志和报表日志检查和审计搜集操作系统和应用程序的日志，便于安全检查和审计可疑行为侦测搜集安全行为相关的管理员设定

产品特点数据中心服务器安全架构必须解决不断变化的IT架构问题，包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式，DeepSecurity解决方案可帮助:通过以下方式预防数据泄露和业务中断2.1.通过以下方式预防数据泄露和业务中断在服务器自身位置提供一道防线-无论是物理服务器、虚拟服务器还是云服务器针对Web和企业应用程序以及操作系统中的已知和未知漏洞进行防护，并阻止对这些系统的攻击帮助您识别可疑活动及行为，并采取主动或预防性的措施通过以下方式实现合规性■满足六大PCI合规性要求（包括Web应用程序安全、文件完整性监控和服务器日志收集）及其他各类合规性要求■提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所需的准备时间通过以下方式支持降低运营成本■提供漏洞防护，以便能够对安全编码措施排定优先级，并且可以更具成本效益地实施未预定的补丁■为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性■以单个集中管理的软件代理提供全面的防护-消除了部署多个软件客户端的必要性及相关成本全面易管理的安全性DeepSecurity解决方案使用不同的模块满足了关键服务器和应用程序的防护要求:DeepSecurity模块据中心要求服务器防护-预防已知攻击和零日攻击-安装补丁之前对漏洞进行防护Web应用程序防护-预防SQL注入、跨站点脚本攻击及强力攻击等深度数据包检查防火墙完整性监控日志审计IDS/IPSWeb应用程序防护应用程序控制•••O••O•Internet攻击-满足PCIDSS6.5要求-Web应用程序防火墙虚拟化安全-预防已知攻击和零日攻击-安装补丁之前对漏洞进行防护-VMwarevCenter集成增强了可见性和管理•o••o可疑行为检测-预防侦察扫描-检测是否在不合适的端口上使用允许的协议-针对可能发出攻击信号的操作系统及应用程序错误发出警报-针对关键操作系统及应用程序更改发出警报o••••云计算安全-使用防火墙策略隔离虚拟机器-预防已知攻击和零日攻击-安装补丁之前对漏洞进行防护•o•••合规性报告-有关对关键服务器所做的所有更改的可见性和审计记录-检查和关联重要安全事件并将其转发到日志记录服务器，以便进行补救、报告和存档-有关配置、检测到的活动及已阻止的活动的报告o•oo•••=基本o=优势产品模块及功能DeepSecurity解决方案使您能够部署一个或多个防护模块，提供恰好适度的防护以满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机，也可以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个DeepSecurity代理部署到服务器或虚拟机，该DeepSecurity代理由DeepSecurity管理器软件集中管理，并在物理、虚拟和云计算环境之间保持一致。3.1.深度数据包检查(DPI)引擎实现入侵检测和防御、Web应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流(包括SSL通信流)中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的漏洞。它可保护Web应用程序，使其免受应用层攻击，包括SQL注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息，包括攻击者、攻击时间及意图利用的漏洞。发生事件时，可通过警报自动通知管理员°DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。入侵检测和防御(IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞(如Microsoft披露的漏洞)，使其免受无数次的漏洞攻击。DeepSecurity解决方案对超过100种应用程序(包括数据库、Web、电子邮件和FTP服务器)提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则，无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上：智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是Microsoft主动保护计划(MAPP)的现任成员，DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft收到漏洞信息。这种提前通知有助于预测新出现的威胁，并通过安全更新为双方客户快速有效地提供更及时的防护。WEB应用程序安全DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。根据客户要求进行的一项渗透测试，我们发现，部署DeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。防火墙减小物理和虚拟服务器的受攻击面DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下：■虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。■细粒度过滤：通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。■覆盖所有基于IP的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件-TCP、UDP、ICMP等。■侦察检测：检测端口扫描等活动。还可限制非IP通信流，如ARP通信流。■灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分。■预定义的防火墙配置文件：对常见企业服务器类型（包括Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。■可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。3.6.完整性监控监控未授权的、意外的或可疑的更改DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件（如目录、注册表项和值），以检测可疑行为。其功能如下：■按需或预定检测：可预定或按需执行完整性扫描。■广泛的文件属性检查：使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于PCIDSS10.5.5要求。■可审计的报告：完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog将事件转发到安全信息和事件管理（SIEM）系统。■安全配置文件分组：可为各组或单个服务器配置完整性监控规则，以简化监控规则集的部署和管理。■基准设置：可创建基准安全配置文件用于比较更改，以便发出警报并确定相应的操作。■灵活实用的监控：完整性监控模块提供了灵活性和控制性，可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外，还可根据独特的要求灵活创建自定义规则。3.7.日志审计查找日志文件中隐藏的重要安全事件并了解相关信息使用DeepSecurity日志审计软件模块可收集并分析操作系统和应用程序日志，以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。这些事件随后会转发到一个SIEM系统或集中式的日志记录服务器，以便进行关联、报告和存档。DeepSecurity代理还会将事件信息转发到DeepSecurity管理器。日志审计模块的部分优势如下：■可疑行为检测：该模块可检测服务器上可能发生的可疑行为。■收集您的整个环境中的事件：DeepSecurity日志审计模块能够收集许多事件并将其关联起来，这些事件包括：MicrosoftWindows>Linux和Solaris平台间的事件；来自Web服务器、邮件服务器、SSHD、Samba、MicrosoftFTP等的应用程序事件；自定义应用程序日志事件。■关联不同事件：收集各种警告、错误和信息事件并将其关联起来，包括系统消息（如磁盘已满、通信错误、服务事件、关机和系统更新）、应用程序事件（如帐户登录/注销/故障/锁定、应用程序错误和通信错误）、管理员操作（如管理员登录/注销/故障/锁定、策略更改和帐户更改）。■有关合规性的可审计报告：可生成安全事件的完整审计记录，以帮助满足合规性要求，如PCI10.6。产品原理及架构DeepSecurity解决方案架构包含三个组件：DeepSecurity代理，部署在受保护的服务器或虚拟机上。DeepSecurity管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控。可确定对服务器分配哪些规则，此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。对所有规则监控活动都创建事件，随后这些事件将发送到DeepSecurity管理器，或者同时也发送到SIEM系统。DeepSecurity代理和DeepSecurity管理器之间的所有通信都受到相互验证的SSL所保护。DeepSecurity管理器对安全中心发出轮询，以确定是否存在新的安全更新。存在新的更新时，DeepSecurity管理器将获取该更新，然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。DeepSecurity管理器和安全中心之间的通信也受到相互验证的SSL所保护。DeepSecurity管理器还连接到IT基础架构的其他元素，以简化管理。DeepSecurity管理器可连接到VMwarevCenter，也可连接到MicrosoftActiveDirectory等目录，以获取服务器配置和分组信息。DeepSecurity管理器还拥有Web服务API，可用于程式化地访问功能。安全中心对漏洞信息的公共和私有源都进行监控，以保护客户正在使用的操作系统和应用程序。DeepSecurity管理器DeepSecurity解决方案提供实用且经过验证的控制，可解决棘手的安全问题。有关操作且具有可行性的安全不仅让您的组织获知安全事件，还可帮助了解安全事件。在许多情况下，这种安全就是提供有关事件发起者、内容、时间和位置的信息，以便组织可以正确理解事件然后执行相应操作，而不仅仅是告诉组织安全控制本身执行了什么操作。DeepSecurity管理器软件满足了安全和操作双重要求，其功能如下：集中式的、基于Web的管理系统：通过一种熟悉的、资源管理器风格的用户界面创建和管理安全策略，并跟踪记录威胁以及为响应威胁而采取的预防措施。详细报告：内容详尽的详细报告记录了未遂的攻击，并提供有关安全配置和更改的可审计历史记录。建议扫描：识别服务器和虚拟机上运行的应用程序，并建议对这些系统应用哪些过滤器，从而确保提供事半功倍的正确防护。风险排名：可根据资产价值和漏洞信息查看安全事件。基于角色的访问：可使多个管理员（每个管理员具有不同级别的权限）对系统的不同方面进行操作并根据各自的角色接收相应的信息。可自定义的仪表板：使管理员能够浏览和追溯至特定信息，并监控威胁及采取的预防措施。可创建和保存多个个性化视图。预定任务：可预定常规任务（如报告、更新、备份和目录同步）以便自动完成。DeepSecurity代理DeepSecurity代理是DeepSecurity解决方案中的一个基于服务器的软件组件，实现了IDS/IPS、Web应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况，对服务器或虚拟机实行防御。必要时，DeepSecurity代理会通过阻止恶意通信流介入威胁并使之无效。安全中心安全中心是DeepSecurity解决方案中不可或缺的一部分。它包含一支由安全专家组成的动态团队，这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应，从而帮助客户对最新威胁做到防患于未然；同时，安全中心还包含一个用于访问安全更新和信息的客户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程：监控：对超过100个公共、私有和政府数据源进行系统化的持续监控，以识别新的相关威胁和漏洞，并将其关联起来。安全中心研究人员利用与不同组织的关系，获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以作进一步分析。分析：对漏洞执行深入分析，确定需要采取的必要防护措施。开发和测试：然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器的规则，并进行广泛的测试，以便最大限度地降低误测率，并确保客户能够快速、顺利地部署这些过滤器和规则。交付：将新过滤器作为安全更新交付给客户。当新的安全更新发布时，客户将通过DeepSecurity管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手动应用于相应的服务器。通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问，可实现与客户之间的持续通信。主动研究进一步增强防护此外，安全中心团队还执行持续不断的研究，以改进总体防护机制。该项工作受到漏洞和威胁响应过程中发现的结果和趋势的强烈影响。这些结果还影响新过滤器和规则的创建方式，以及现有防护机制的质量，最终改进总体防护。4.6.保护各种漏洞安全中心开发并提供可保护商业现成应用程序和自定义Web应用程序的过滤器。漏洞攻击和漏洞过滤器是被动式的，因为它们用于在发现已知漏洞时做出响应。相反，智能过滤器提供主动式的防护。完整性监控过滤器检查各种系统组件及其特定属性，并在达到特定触发条件时向管理员发出警报。可监控的部分组件包括系统目录、文件、Windows注册表、用户帐户、端口和网络共享。日志审计过滤器解析来自操作系统和第三方应用程序的日志，并在发生了特定事件时向管理员发出警报。4.7.安全中心门户安全中心门户向客户提供对产品相关信息和支持的单个安全访问点，这些信息和支持包括：安全更新安全顾问漏洞中的CVSS评分信息MicrosoftTuesday的警报摘要漏洞高级搜索漏洞（包括那些未受ThirdBrigade保护的漏洞）的完全披露每个漏洞的补丁信息RSS提要故障票据软件下载产品文档产品部署和集成DeepSecurity解决方案专为快速的企业部署而设计。它利用现有基础架构并与之集成，以帮助实现更高的操作效率，并支持降低运营成本。VMware集成：与VMwarevCenter和ESXServer的紧密集成，使得组织和操作信息可以从vCenter和ESX节点导入到DeepSecurity管理器，并将详细完备的安全应用于企业的VMware基础架构。SIEM集成：通过多个集成选项向SIEM提供详细的服务器级安全事件，这些选项包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系统。目录集成：与企业目录集成，包括MicrosoftActiveDirectory