服务器整体安全防护 roosal For Engineer V

趋势科技服务器整体安全防护1、重新思考服务器整体安全防护2、服务器安全整体安全防护三阶段4、服务器安全应用的最佳实践3、安全防护三阶段的实现5、防护虚拟化服务器的安全数据威胁59%来源于黑客与入侵应用/服务层面39%系统/平台23%利用已知漏洞18%利用未知漏洞5%利用后门15%3传统技术环境下的安全威胁漏洞带来的威胁漏洞被公布但是厂家还没提供补丁Zero-day攻击服务器的重新启动会造成业务中断E.g.SQLinjection漏洞平均需要28天才能修复OS或应用厂家已经停止提供补丁微软在2010/7/13停止支持Windows200041、重新思考服务器整体安全防护2、服务器安全整体安全防护三阶段4、服务器安全应用的最佳实践3、安全防护三阶段的实现5、防护虚拟化服务器的安全2、服务器安全整体安全防护三阶段保障业务和生产的连续性和不间断主动实时监控或防御服务器漏洞被攻击及内容被篡改等安全事件和对服务器进行必要的访问控制确保安全事件可管理和可控制提供服务器安全审计及攻击事件报告实现设定的安全目标和安全KPI提升建立服务器安全事件管理流程1、重新思考服务器整体安全防护2、服务器安全整体安全防护三阶段4、服务器安全应用的最佳实践3、安全防护三阶段的实现5、防护虚拟化服务器的安全3、安全防护三阶段的实现保障业务和生产的连续性和不间断控制访问监控及主动防御攻击检测系统和应用程序运行状态及恢复被恶意修改的组件确保安全事件可管理和可控制审计系统事件和应用程序事件专业整合和分类的安全事件报告实现设定的安全目标和安全KPI提升建立服务器安全事件管理流程3、安全防护三阶段的实现保障业务和生产的连续性和不间断控制访问监控及主动防御攻击检测系统和应用程序运行状态及恢复被恶意修改的组件业务分类及重要性分析进行安全扫描并设立安全基准线设计安全策略模板并分类应用管理安全状态和监控异常阶段一3、安全全防护护三阶阶段的的实现现确保安全事件可管理和可控制审计系统事件和应用程序事件专业整合和分类的安全事件报告阶段二二延续阶段一实时处理重要安全事件每天/周/月审查整合和分类安全报告根据安全事件审查结果进行策略优化日常运运营3、安全全防护护三阶阶段的的实现现实现设定的安全目标和安全KPI提升建立服务器安全事件管理流程阶段三三设定安全目标和安全KPI建立流程并配套资源Review结果和目标的落差协调资源弥补落差3、安全全防护护三阶阶段侧侧重点点阶段三：侧重实现KPI目标阶段一：侧重技术部署和策略定制阶段二：侧重管理安全业务不不中断断性整体安安全性性高高阶段三阶段二阶段一3、服务器安安全整体安安全防护的的技术实现现通过TrendMicro服务器整体体安全防护护解决方案案DeepSecurity的四大安全全模块提供供【firewall模块】：提供控制制访问【DPI深度包检测测模块】：提供监控控及主动防防御攻击【IntegrityMonitor模块】：提供检测测系统和应应用程序运运行状态及及恢复被恶恶意修改的的组件【LogInspection模块】：审计系统统事件和应应用程序事事件攻击DDOS跨站脚本攻攻击SQL注入数据篡改漏洞服务器操作作系统漏洞洞服务应用漏漏洞程序设计漏漏洞恶意代码网站挂马间谍软件恶意程序病毒双向状态防火墙减少服务器被攻击的机会集中管理服务器防火墙政策，包括最常见的服务器类型微粒的筛选特色（IP与MAC地址、通讯端口），可针对每个网络设计不同的接口和位置政策防止DDos攻击，提供事先弱点扫描侦测保护所有基于IP通讯协议（TCP、UDP、ICMP等）和所有框架类型（IP、ARP等)深度数据包过滤入侵侦测和防御、Web应用保护,应用程序保护应用程序管理与控制针对进出的数据包:协议偏差基于内容的攻击违规策略升级前的虚拟补丁，抵挡零时差攻击，避免无限制的攻击完整性监控监控文件，系统和注册表的变化文件，目录，端口，注册表键值等实时的侦测出现有档案系统中的修改及新建立的档案，并提供报告日志审计收集和分析操作系统和应用程序安全日志

在海量日志信息中通过最优的策略筛选出安全事件

趋势科技DeepSecurity核心安全防防护模块管理弱点账户权限合规性实时监控\进程监控日志分析审审计DeepSecurity产品组件DeepSecurityManagerSecurityCenterAlertsSecurityProfilesSecurityUpdatesReportsITInfrastructureIntegrationvCenterSIEMActiveDirectoryLogcorrelationWebservices15DeepSecurityAgentDeepSecurityVirtualApplianceDeepSecurityAgentDeepSecurity架构TODODeepSecurity“对运行关键业务和其他服务器器平台提供针对性的，基于主主机的保护护”操作系统Windows(2000,XP,2003,Vista),SunSolaris(8,9,10),RedHatEL(4,5),SuSELinux(9)数据库Oracle,MySQL,MicrosoftSQLServer,IngresWeb服务器MicrosoftIIS,Apache,ApacheTomcat,MicrosoftSharepoint邮件服务器MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessionalFTP服务器Ipswitch,WarFTPDaemon,AlliedTelesis备份服务器ComputerAssociates,Symantec,EMC存储服务器Symantec,VeritasDHCP服务器ISCDHCPD邮件客户端OutlookExpress,MSOutlook,WindowsVistaMail,IBMLotusNotes,IpswitchIMailClient其他应用Samba,IBMWebsphere,IBMLotusDominoWebAccess,X.Org,XFontServerprior,Rsync,OpenSSL,NovellClient保护:171、重新思考服务器整体安全防护2、服务器安全整体安全防护三阶段4、服务器安全应用的最佳实践3、安全防护三阶段的实现5、防护虚拟拟化服务器器的安全4、服务器安安全应用的的最佳实践践【服务器分类类】按照应用分分类WebServer/DBServer/邮件服务器器/OA应用服务器器/文件服务器器/生产服务器器等等按照重要性性分类不可停机，，可短暂停停机或可停停机。【正式式上上线线前前的的小小范范围围测测试试环环节节】【正式式上上线线步步骤骤】针对对服服务务器器主主要要安安全全策策略略应应用用1、核核心心应应用用进进程程监监控控：：发发现现异异常常立立刻刻通通知知管管理理员员，，进进行行相相应应的的处处理理。。2、对Web应用：部署XSS攻击防护策略略3、对数数据库库应用用：部部署SQLInjection防护策策略4、对系系统\服务\程序漏漏洞进进行主主动防防护5、对各各类事事件进进行实实时监监控6、对服服务器器进行行访问问控制制7、对核核心文文件和和目录录进行行监控控8、对对系系统统操操作作进进行行审审计计9、对对DDOS攻击击进进行行防防护护推荐荐扫扫描描对被被保保护护的的服服务务器器进进行行分分析析，，以以确确定定：：操作作系系统统，，补补丁丁情情况况等等安装装的的应应用用程程序序和和版版本本深度度数数据据包包过过滤滤规规则则，，免免受受未未打打补补丁丁的的漏漏洞洞攻攻击击作为为补补丁丁，，修修补补程程序序和和更更新新建建议议扫扫描描：：推荐荐分分配配的的新新规规则则建议议规规则则取取消消不不再再需需要要的的系系统统补补丁丁支持持预预定定义义的的DPI，完完整整性性检检查查，，日日志志审审计计规规则则Classification1/5/2023231、核心应应用进程程监控：发现异常常立刻通通知管理理员，进进行相应应的处理理2、对Web应用：部部署XSS攻击防护护策略3、对数据据库应用用：部署SQLInjection防护策略略4、对系统统\服务\程序漏洞洞进行主主动防护护如下图，，选择所所有和MS08-067相关的DPI条目可以以对该漏漏洞进行行主动防防护5、对各类类事件进进行实时时监控6、对服务务器进行行访问控控制7、对核心心文件和和目录进进行监控控8、对系统统操作进进行审计计9、对DDOS攻击进行行防护建立服务务器安全全事件管管理流程程从服务器器安全事事件角度度出发从管理员员监控角角度出发发设定服务务器安全全管理KPI为整个服服务器安安全管理理设定不不同目标标的KPI，分阶段段实施，，不断提提高服务务器安全全等级KPI评估方式第三阶段第二阶段第一阶段操作系统漏洞更新时间间隔

应用系统漏洞更新时间间隔

服务器停机时间时间间隔

非授权访问次数

非授权修改次数

操作系统漏洞更新（天）第三阶段第二阶段第一阶段Critical漏洞KPI=1KPI=3KPI=7Medium漏洞KPI=7KPI=21KPI=30Low漏洞KPI=30KPI=60KPI=90例如：1、重新思考服务器整体安全防护2、服务器安全整体安全防护三阶段4、服务器安全应用的最佳实践3、安全防护三阶段的实现5、防护虚虚拟化服服务器的的安全Hypervisor新的模型型所有虚拟拟机共享享资源虚拟机和和应用程程序随时时可能移移动或变变更VM1App1OS1VM2App2OS2VM3App3OS3App4OS4VM4虚拟环境面临临新的威威胁旧的模型型每个物理理环境相相对独立立安全产品品保护服服务器和和应用程程序虚拟服务务器需要要专业的的防护虚拟技术术给服务务器带来来新的威威胁攻击击方式新的挑战战:未激活的的虚拟机机资源冲突突虚拟系统统扩展虚拟系统统间的通通讯vMotion虚拟机迁迁移38+问题1:未激活的的VMs没有保护护39未激活的的VMs包括VM模板和备备份:不能运行行扫描客客户端过时的AV签名AppOSESXServerAppOSAppOSAppAVAppAVAppAVAppOSAppOSAppAVAppAV未激活的的VMs活动的VMs问题2:所有的系系统扫描描40ESXServerOSAppAVTypicalAVConsole3:00amScan资源冲突突现有的AV解决方案案不支持持VMwareAV扫描在同一台台主机同一时时刻进行问题服务器的的性能降低没有隔离恶意意软件问题3:VM扩展41ESXServer管理VM扩展安全弱点复制制得很快安全设置配置置的瓶颈缺乏的可见度度,或结合起来,虚拟主机增加加管理的复杂杂性未激活激活New问题4:内部VM通讯42Inter-VMtrafficNIDS/NIPS发现不了VM内部的信息交交互新一代的VMs的安全需要防防止对虚拟交交换机的改变变OSAppAVOSAppAVOSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitchDormantActive问题5:VM迁移43vMotion&vCloud:重新配置:繁琐在同一台服务务器上的VM有不同的安全全需求VMs在云计算(IaaS)中没有被保护护OSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitchDormantOSAppAVActive44VMwarevSphere4VMwarevCenterDeepSecurityVirtualAppliance*虚拟机的安安全防护CoordinatedSecurityApproach客户端不显显示Agent图标(可以卸载恢恢复到之前前的状态)自动保护虚虚拟机*VMwarevSphere4VMsafeAPIbasedsolution针对虚拟化化层的增强强型防护vNICvSwitchvNICvNICvNICVmsafeAPIESX4Hypervisor针对虚拟化化层的防护护成功案例:©ThirdBrigade,Inc.政府卫生SaaS金融教育其他469、静夜四无无邻，荒居居旧业贫。。。1月-231月-23Thursday,January5,202310、雨中黄叶树树，灯下白头头人。。20:56:2320:56:2320:561/5/20238:56:23PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。1月月-2320:56:2320:56Jan-2305-Jan-2312、故人江江海别，，几度隔隔山川。。。20:56:2320:56:2320:56Thursday,January5,202313、乍见翻疑疑梦，相悲悲各问年。。。1月-231月-2320:56:2320:56:23January5,202314、他乡生白发发，旧国见青青山。。05一月20238:56:23下午20:56:231月-2315、比不了了得就不不比，得得不到的的就不要要。。。一月238:56下午午1月-2320:56January5,202316、行动出成成果，工作作出财富。。。2023/1/520:56:2320:56:2305January202317、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。8:56:23下下午8:56下下午午20:56:231月-239、没有失失败，只只有暂时时停止成成功！。。1月-231月-23Thursday,January5,202310、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。20:56:2320:56:2320:561/5/20238:56:23PM11、成功功就是是日复复一日日那一一点点点小小小努力力的积积累。。。1月-2320:56:2320:56Jan-2305-Jan-2312、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。20:56:2320:56:2320:56Thursday,January5,202313、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。1月月-231月月-2320:56:2320:56:23January5,202314、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。。05一一月月20238:56:23下下午20:56:231月-2315、楚塞三湘接接，荆门九派派通。。。一月238:56下下午1月-2320:56January5,202316、少少年年十十五五二二十十时时，，步步行行夺夺得得胡胡马马骑骑。。。。2023/1/520:56:2320:56:2305January202317、空山新雨雨后，天气气晚来秋。。。8:56:23下下午8:56下下午20:56:231月-239、杨柳柳散和和风，，青山山澹吾吾虑。。。1月-231月-23Thursday,January5,202310、阅阅读读一一切切好好