XXX服务器虚拟化安全解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！XXX服务器虚拟化安全解决方案趋势科技（中国）有限公司编写者苏鹏趋势科技销售工程师)2011/4/13成稿时间文档控制仅限于XXX和趋势科技交流使用文档修订记录目录1.环境概述.................................................................................................................42.面临安全威胁.........................................................................................................42.1.针对操作系统漏洞的攻击..........................................................................42.2.针对应用的攻击..........................................................................................42.3.虚拟化带来新的威胁..................................................................................42.4.统一管理和审计..........................................................................................53.安全防护需求.........................................................................................................64.安全防护方案.........................................................................................................64.1.架构设计......................................................................................................74.2.方案部署....................................................................................................104.3.功能模块....................................................................................................105.和传统防护方案的区别.......................................................................................146.方案价值...............................................................................................................151.环境概述XXX目前对部分应用系统进行了虚拟化，情况概述如下：4台物理服务器，每台服务器采用4个6核CPU每一个虚拟服务器采用3核CPU标准配置总共有32台虚拟服务器2.面临安全威胁2.1.针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装WindowsServer操作系统，众所周知，微软操作系统每年都会发现大量的漏洞，利用这些漏洞：大量的蠕虫病毒、木马攻击感染，导致系统异常或者是不能正常运行黑客利用漏洞进行攻击，窃取机密资料或者是导致系统异常的这段时间内，服务器就会面临大量利用漏洞的攻击。2.2.针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务，类似Web服务、邮正常对外提供服务。2.3.虚拟化带来新的威胁当对物理服务器进行虚拟化之后，除了物理服务器所面临的来自恶意程序、硬件资源利用率受到限制这些安全软件需要占用相同的CPU的安全软件。后台资源冲突加造成对后端存储的负荷越来越大，最终会影响到虚拟服务器的运行速度。物理边界模糊88要求2.4.统一管理和审计以及取证，这就需要根据一些法规要求，对系统以及应用的日志进行统一收集，3.安全防护需求通过对XXX服务器虚拟环境的了解，以及面临的威胁分析，目前XXX服务器虚拟化存在的安全需求有几下几点：1、对虚拟化操作系统提供全面的安全防护：防病毒、防火墙、深度数据包检测等2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击3、针对虚拟化的特色，提供无代理安全防护，节省物理服务器硬件资源，提高虚拟服务器的搭载密度4、对Windows服务器进行系统、应用的日志审计4.安全防护方案趋势科技根据XXX服务器虚拟化的安全需求，为其使用趋势科技深度防护系统DeepSecurity进行防护：针对操作系统漏洞1、趋势科技深度防护系统虚拟化带来新的威1Vmware虚拟化平台的安全防护（包括防病毒、防火墙、深度数据包检测技术）2、对重要的应用进行日志收集4.1.架构设计DeepSecurity解决方案架构包含三个组件：DeepSecurity代理，部署在受保护的服务器或虚拟机上。DeepSecurity告进行监控。安全中心，是一种托管门户，专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新，然后由DeepSecurity管理器定期发布这些更新。DeepSecurity代理接收来自DeepSecurity安全配置文件。该安全配置包含对服务器强制执行的深度数据包检查、防火墙、器。对所有规则监控活动都创建事件，随后这些事件将发送到DeepSecurity管理器，或者同时也发送到SIEM系统。DeepSecurity代理和DeepSecurity管理器之间的所有通信都受到相互验证的SSL所保护。DeepSecurity管理器对安全中心发出轮询，以确定是否存在新的安全更新。存在新的更新时，DeepSecurity管理器将获取该更新，然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。DeepSecurity管理器和安全中心之间的通信也受到相互验证的SSL所保护。DeepSecurity管理器还连接到ITDeepSecurity管理器可连接到VMwareMicrosoftActiveDirectory组信息。DeepSecurity管理器还拥有Web服务API，可用于程式化地访问功能。作系统和应用程序。DeepSecurity管理器DeepSecurity安全控制本身执行了什么操作。DeepSecurity管理器软件满足了安全和操作双重要求，其功能如下：Web用户界面创建和管理安全策略，并跟踪记录威胁以及为响应威胁而采取的预防措施。详细报告：内容详尽的详细报告记录了未遂的攻击，并提供有关安全配置和更改的可审计历史记录。建议扫描：识别服务器和虚拟机上运行的应用程序，并建议对这些系统应用哪些过滤器，从而确保提供事半功倍的正确防护。风险排名：可根据资产价值和漏洞信息查看安全事件。基于角色的访问：可使多个管理员（每个管理员具有不同级别的权限）对系统的不同方面进行操作并根据各自的角色接收相应的信息。可自定义的仪表板：使管理员能够浏览和追溯至特定信息，并监控威胁及采取的预防措施。可创建和保存多个个性化视图。预定任务：可预定常规任务（如报告、更新、备份和目录同步）以便自动完成DeepSecurity代理DeepSecurity代理是DeepSecurity解决方案中的一个基于服务器的软件组件，实现了Web应用程序防护、应用程序控制、防火墙、完整性监控DeepSecurity代理会通过阻止恶意通信流介入威胁并使之无效。安全中心安全中心是DeepSecurity解决方案中不可或缺的一部分。它包含一支由安具所支持的严格的六步快速响应流程：监控：对超过100个公共、私有和政府数据源进行系统化的持续监控，以识别新的相关威胁和漏洞，并将其关联起来。安全中心研究人员利用与不同组织的关系，获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以作进一步分析。分析：对漏洞执行深入分析，确定需要采取的必要防护措施。的规则，并进行广泛的测试，以便最大限度地降低误测率，并确保客户能够快速、顺利地部署这些过滤器和规则。交付：将新过滤器作为安全更新交付给客户。当新的安全更新发布时，客户将通过DeepSecurity管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手动应用于相应的服务器。通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问，可实现与客户之间的持续通信。4.2.方案部署安装1个DeepSecurity控制管理台在4台物理服务器上面分别安装DSVA（针对VMwareEsx的安全虚拟系统）4.3.功能模块DeepSecurity解决方案使您能够部署一个或多个防护模块，提供恰好适度过单个DeepSecurity代理部署到服务器或虚拟机，该DeepSecurity代理由DeepSecurity管理器软件集中管理，并在物理、虚拟和云计算环境之间保持一致。防病毒1)对病毒、蠕虫、木马、间谍软件等各种各样的恶意程序进行检测和清除2)基于传统的物理服务器进行有代理的病毒防护3)在虚拟平台上面，实现底层的无代理的病毒防护深度数据包检查(DPI)引擎实现入侵检测和防御、Web应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括SSL通信流）中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。可保护Web应用程序，使其免受应用层攻击，包括SQL注入攻击和跨站点脚的漏洞。发生事件时，可通过警报自动通知管理员。DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。、虚拟补丁功能护，使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞（如Microsoft漏洞攻击。DeepSecurity解决方案对超过100Web、电子邮件和FTP服务器）提供开箱即用的漏洞防护。在数小时内即可提供可对用到数以千计的服务器上：攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是Microsoft主动保护计划(MAPP)的现任成员，DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft供更及时的防护。B、WEB应用程序安全DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6Web应用程序防护规则可防御SQL他Web方案使用智能规则识别并阻止常见的WebDeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。、应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。防火墙减小物理和虚拟服务器的受攻击面DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。它可用协议，降低对服务器进行未授权访问的风险。其功能如下：虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关IPMac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于IP的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件–、UDP、ICMP等。IPARP通信流。灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括Web、、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity从而提供详细的审计记录。完整性监控监控未授权的、意外的或可疑的更改DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件按需或预定检测：可预定或按需执行完整性扫描。面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于PCIDSS10.5.5要求。可审计的报告：完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog将事件转发到安全信息和事件管理(SIEM)系统。安全配置文件分组：可为各组或单个服务器配置完整性监控规则，以简化监控规则集的部署和管理。基准设置：可创建基准安全配置文件用于比较更改，以便发出警报并确定相应的操作。灵活实用的监控：完整性监控模块提供了灵活性和控制性，可针对您的独特环境优化监控活动。这包括在扫描参数中包含排除文件或通配符文件名以及包含排除子目录的功能。此外，还可根据独特的要求灵活创建自定义规则。日志审计查找日志文件中隐