亚信安全DeepSecurityforVMware产品专项方案

亚信安全DeepSecurity9.6forV亚信安全DeepSecurity9.6forVMware产品方案作者日期目录第1章. 概述 3第2章. XXX虚拟化安全方面临威胁分析 3第3章. XXX虚拟化基础防护必需性 4第4章. 亚信安全虚拟化安全处理方案 5第5章. XXX虚拟化安全布署方案 75.1. VMware平台布署方案 75.2. 亚信安全虚拟安全方案集中管理 85.3. XXX虚拟化防护处理方案拓扑 8第6章. 亚信安全DeepSecurity介绍 86.1. DeepSecuirty架构 86.2. DeepSecuirty布署及整合 96.3. DeepSecuirty关键优势 96.4. DeepSecuirty模块 10第7章. 中国成功案例 12

概述XXX内大量服务器负担着为各个业务部门提供基础设施服务角色。伴随业务快速发展，数据中心空间、能耗、运维管理压力日趋凸显。应用系统布署除了购置服务器费用外，还包含数据中心空间费用、空调电力费用、监控费用、人工管理费用，相当昂贵。假如这些服务器利用率不高，对企业来说，无疑是一个巨大浪费。在XXX，这些关键应用系统已经被使用Vmware服务器虚拟化处理方案。这处理企业信息化建设现在现有压力，同时又能满足企业响应国家节能减排要求。而服务器虚拟化使XXX能够取得在效率、成本方面显著收益和在综合数据中心更具环境保护、增加可扩展性和改善资源实施时间方面附加利益。但同时，数据中心虚拟系统面临很多和物理服务器相同安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化优势。尤其在虚拟化体系结构将从根本上影响怎样对于关键任务应用进行设计、布署和管理情况下，用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。亚信安全提供真正处理方案以应对这些挑战。亚信安全现在已经开发出了一套灵活方法能够和Vsphere6.0环境紧密结合，用于包含入侵检测和防护、防火墙、完整性监控和日志检验服务器防御和现在能够布署恶意软件防护。所用架构关键是利用虚拟化厂商现在在其平台上增加附加能力，诸如经过最近公布VMwarevSphere™6和NSXManager最新引入附加能力。亚信安全提供必需防护以提升在虚拟化环境中关键任务应用安全性。XXX虚拟化安全方面临威胁分析虚拟服务器基础架构除了含有传统物理服务器风险之外，同时也会带来其虚拟系统本身安全问题。新安全威胁出现自然就需要新方法来处理。经过前期调研，总结了现在XXX虚拟化环境内存在几点安全隐患。虚拟机之间相互攻击因为现在XXX仍对虚拟化环境使用传统防护模式，造成关键防护边界还是在物理主机边缘，从而忽略了同一物理主机上不一样虚拟机之间相互攻击和相互入侵安全隐患。随时开启防护间歇因为XXX现在大量使用Vmware服务器虚拟化技术，让XXXIT服务含有更高灵活性和负载均衡。但同时，这些随时因为资源动态调整关闭或开启虚拟机会造成防护间歇问题。如，某台一直处于关闭状态虚拟机在业务需要时会自动开启，成为后台服务器组一部分，但在这台虚拟机开启时，其包含防病毒在内全部安全状态全部较其它一直在线运行服务器处于滞后和脱节地位。系统安全补丁安装现在XXX虚拟化环境内仍会定时采取传统方法对阶段性公布系统补丁进行测试和手工安装。即使虚拟化服务器本身有一定状态恢复功效机制。但此种做法仍有一定安全风险。1.无法确保系统在测试后发生改变是否会因为安装补丁造成异常。2.集中安装系统补丁，前中后期需要大量人力，物力和技术支撑，布署成本较大。防病毒软件对资源占用冲突造成AV（Anti-Virus）风暴XXX现在在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装Offiescan防病毒用户端方法进行病毒防护。在防护效果上能够达成安全标准，但如从资源占用方面考虑存在一定安全风险。因为每个防病毒用户端全部会在同一个物理主机上产生资源消耗，而且当发生用户端同时扫描和同时更新时，资源消耗问题会愈发显著。严重时可能造成ESX服务器宕机。经过以上分析是我们了解到即使传统安全设备能够物理网络层和操作系统提供安全防护，不过虚拟环境中新安全威胁，比如：虚拟主机之间通讯访问控制问题，病毒经过虚拟交换机传输问题等，传统安全设备无法提供相关防护，亚信安全提供创新安全技术为虚拟环境提供全方面保护。XXX虚拟化基础防护必需性XXX虚拟服务器服务器一直承载着最为关键数据，所以，很轻易引发外来入侵者窥探，遭入侵、中病毒、抢权限，多种威胁全部会抓住一切机会造访服务器系统。XXX针以前针对服务器采取集中管理、集中防护方法，经过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术……多种安全产品开始被一个一个地加入到安全防线中来。现在XXX为了降低硬件采购成本，提升服务器资源利用率，引进服务器虚拟化技术对现有应用服务器计算资源进行整合，使现有建立安全防线面临挑战！服务器虚拟化后不仅面临着传统物理实机多种安全问题，同时因为虚拟系统之间数据交换，和共享计算资源池，造成传统安全技术手段极难针对虚拟系统提供防护，另外使用传统安全技术使用还带来更大计算资源消耗和管理运维，造成和引入服务器虚拟化初衷相违反。经过上一章节威胁分析发觉，为了降低服务器和虚拟服务器安全威胁必需采取创新安全技术手段为服务器提供安全加固。因为传统安全技术应用到虚拟服务器防护存在短板效应：任何一点疏忽，全部会让XXX整个信息系统安全防线功亏一篑，带来经济和企业声誉损失。更何况，这些被广泛传统安全产品即使能够在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新安全威胁，所以需要采取创新安全技术才能完善XXX信息安全防护体系基础架构，同时含有对最新安全威胁抵御力，降低安全威胁出现到能够真正进行防范时间差，提升服务器安全性和抗攻击能力，从而提供业务系统应用可用性。亚信安全虚拟化安全处理方案亚信安全针对虚拟环境提供全新信息安全防护方案——DeepSecurity，经过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功效实现虚拟主机和虚拟系统全方面防护，并满足信息系统合规性审计要求。针对银行证券服务器虚拟化面临风险，提议采取亚信安全虚拟化处理方案，构建虚拟化平台基础架构多层次综合防护。病毒防护防护传统病毒针防护处理方案全部是经过安装Agent代理程序到虚拟主机操作系统中，在整合服务器虚拟化后，要实现针对病毒实时防护，一样需要在虚拟主机操作系统中安装防病毒Agent程序，不过服务器虚拟化目标是整合资源，最大化发挥服务器资源利用率，而传统防病毒技术需要在每个虚拟主机中安装程序，比如：一台服务器虚拟6台主机，传统方法将Agent需要安装6套，而且在制订扫描任务就需要消耗虚拟主机计算资源，这种方法并没有达成节省计算资源效果，反而增加了计算资源消耗，而且在病毒库更新是带来更多网络资源消耗。亚信安全针对虚拟化环境提供创新方法处理防病毒程序带来资源消耗问题，经过使用虚拟化层相关API接口实现全方面病毒防护。因为XXX为VMware虚拟化环境所以将针对这个系统进行描述，具体以下：针对VMware虚拟系统，实现底层无代理病毒防护亚信安全针对VMware虚拟系统中经过VMshield接口实现针对虚拟系统和虚拟主机之间全方面防护，无需在虚拟主机操作系统中安装Agent程序，即虚拟主机系统无代理方法实现实时病毒防护，这么无需消耗分配给虚拟主机计算资源和更多网络资源消耗，最大化利用计算资源同时提供全方面病毒实时防护。访问控制传统技术防火墙技术常常以硬件形式存在，用于经过访问控制和安全区域间划分，计算资源虚拟化后造成边界模糊，很多信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，怎样在虚拟系统内部实现访问控制和病毒传输抑制是虚拟系统面临最基础安全问题。亚信安全DeepSecurity防火墙提供全方面基于状态检测细粒度访问控制功效，能够实现针对虚拟交换机基于网口访问控制和虚拟系统之间区域逻辑隔离。DeepSecurity防火墙同时支持多种泛洪攻击识别和拦截。入侵检测/防护同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设关键内容。然而，伴随虚拟化技术出现，很多安全教授意识到，传统入侵监测工具可能没法融入或运行在虚拟化网络或系统中，像它们在传统企业网络系统中所做那样。比如，因为虚拟交换机不支持建立SPAN或镜像端口、严禁将数据流拷贝至IDS传感器，网络入侵监测可能会变得愈加困难。类似地，内联在传统物理网区域中IPS系统可能也没措施轻易地集成到虚拟环境中，尤其是面对虚拟网络内部流量时候。基于主机IDS系统可能仍能在虚拟机中正常运行，不过会消耗共享资源，使得安装安全代理软件变得不那么理想。亚信安全DeepSecurity在VMwareNSX环境中，可经过NSX专用接口能够对虚拟交换机许可交换机或端口组运行在“混杂模式”，这时虚拟IDS传感器能够感知在同一虚拟段上网络流量。DeepSecurity除了提供传统IDS/IPS系统功效外，还提供虚拟环境中基于政策（policy-based）监控和分析工具，使DeepSecurity更正确流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高安全性。亚信安全DeepSecurity同时虚拟系统中占用更少资源，避免过分消耗宿主机硬件能力。虚拟补丁防护伴随新漏洞不停出现，很多企业在为系统打补丁上疲于应付，等候安装关键安全补丁维护时段可能是一段艰苦时期。另外，操作系统及应用厂商针对部分版本不提供漏洞补丁，或公布补丁时间严重滞后，还有最关键是，假如IT人员配置不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很轻易陷入风险。亚信安全DeepSecurity经过虚拟补丁技术完全能够处理因为补丁造成问题，经过在虚拟系统接口对虚拟主机系统进行评定，并能够自动对每个虚拟主机提供全方面漏洞修补功效，在操作系统在没有安装补丁程序之前，提供针对漏洞攻击拦截。亚信安全DeepSecurity虚拟补丁功效既不需要停机安装，也不需要进行广泛应用程序测试。即使此集成包能够为IT人员节省大量时间。完整性审计亚信安全DeepSecurity产品能够针对系统支持依据基线文件、目录、注册表等关键文件监控和审计功效，当这些关键位置为恶意篡改或感染病毒时，能够提供为管理员提供告警和统计功效，从而提供系统安全性。日志审计和报表功效每发生一次重大数据泄密事件（譬如英国零售商TKMaxx和美国农业部泄密事件）或每出台一部新法规，安全关键似乎全部要从“阻挡坏人”传统措施转向全方面安全机制，以深入分析IT活动。现在，服务器系统日志和应用程序日志正以惊人速度生成，这就能够具体统计下来IT活动。假如某位满腹怨言职员企图窃取数据，访问了含有机密信息数据库，日志就有可能统计下她一举一动，那样她人只要检验日志，就能确定是谁在什么时候从事了什么活动。日志提供了线索，企业利用这些线索就能追查全部用户（不管是否不怀好意）行踪。由此可见，对日志进行管理会给组织带来很多好处。它们让组织意识到面临情况，并帮助组织开展行之有效调查，例行日志检验及深入分析保留日志不仅能够立即识别出现很快安全事件、违反政策情况、欺诈活动和运作问题，还有利于提供有用信息，从而处理问题。亚信安全DeepSecurity提供全方面系统日志和详尽汇报功效，除了统计本身各功效日志外，还能够将虚拟主机操作系统日志结合DeepSecurity本身日志进行统一统计和分析，日志系统还能够生成符合国际相关安全规范报表。DeepSecurity经过对日志进行分析能够让管理员跟踪IT基础设施活动，评定服务器数据泄密事件是否发生、怎样发生、何时发生、在何处发生有效方法。XXX虚拟化安全布署方案VMware平台布署方案亚信安全服务器虚拟安全处理方案针对VMwarevSphere虚拟平台提供无代理安全防护方法，在每台物理实机ESX/ESXi中布署亚信安全DeepSecurityvirtualAppliance插件，就为每台虚拟主机多层次安全防护，包含：防病毒功效、访问控制功效、虚拟补丁、攻击防御、完整性监控等。XXXVMware平台下采取物理服务器多台，需要布署亚信安全DeepSecurity后，无需在虚拟主机操作系统中Agent程序就能够实现基础多个防护功效。亚信安全虚拟安全方案集中管理亚信安全虚拟化安全处理方案——DeepSecurity采取C/S结构，管理员经过浏览器就能够实现DeepSecurity管控，DeepSecurity服务器支持管控不一样虚拟平台或物理实机上Agent/virtualAppliance代理程序，包含Agent程序策略下发，状态检测、风险监控等功效，而且支持VMwarevCenter集中控管，在提供最大化服务器基础防护同时大大提升了管理便捷性。XXX虚拟化防护处理方案拓扑现在XXX内有X台ESX主机运行虚拟化环境，DeepSecurity对这些ESXServer和虚拟机进行统一安装防护和管理。DeepSecurity防护结构具体以下图：亚信安全DeepSecurity介绍DeepSecuirty架构DeepSecurityVirtualAppliance在VMwarevSphere在VMwarevSphere虚拟机器上提供无代理病毒查杀，IDS/IPS、网络应用程序保护、应用程序控管、完整性监控及防火墙保护，透明化地加强安全策略--假如需要能够和DeepSecurityAgent协调合作提供日志审计。DeepSecurityAgent是一个很轻小代理软件组件，布署于服务器及被保护虚拟机器上，能有效帮助实施数据中心安全政策(Windows及Linux系统防病毒、IDS/IPS、网络应用程序保护、应用程序控管、防病毒、防火墙、完整性监控及审查日志)。DeepSecurityManager功效强大、集中式管理，是为了使管理员能够创建安全设定档和将它们应用于服务器、显示器警报和威胁采取预防方法、分布服务器，安全更新和生成汇报。新事件标注功效简化了管理高容量事件。DeepSecuirty布署及整合亚信安全布署快速利用整合现有IT及信息安全投资。和VMwarevCenter和ESX服务器VMware整合，能够将组织和营运信息汇入DeepSecurityManager中，这么精细安全将被应用在企业VMware基础结构上。和NSXManager整合能够作为一个虚拟应用，能立即在ESX服务器上快速布署和透明化地保护vSphere虚拟机器。透过多个整合选项，提供具体服务器等级安全事件至SIEM系统，包含ArcSight™、Intellitactics、NetIQ、RSAEnvision、Q1Labs、Loglogic和其它系统。能和企业目录作整合，包含MicrosoftActiveDirectory。可配置管理沟通，能大幅度降低或消除透过Manager及Agent进行通信防火墙改变。能够透过标准软件分发机制如Microsoft®SMS、Zenworks和Altiris轻松布署代理软件DeepSecuirty关键优势预防数据破坏及营运受阻提供不管是实体、虚拟及云端运算服务器防御防堵在应用程序和操作系统上已知及未知漏洞预防网页应用程序遭SQLInjection及Cross-site跨网站程序代码改写攻击阻挡针对企业系统攻击辨识可疑活动及行为，提供主动和预防方法帮助企业遵照PCI及其它法规和准则满足6大PCI数据安全准则及一系列广泛法规遵照需求提供具体审核汇报，包含已预防攻击和政策符合状态降低支持审核所需准备时间和投入达成经营成本降低透过服务器资源合并，让虚拟化或云端运算节省更优化透过安全事件自动管理机制，使管理愈加简化提供漏洞防护让安全编码优先化及和弱点修补成本有效化消除了布署多个软件用户端和集中管理、多用途软件代理或虚拟装置所产生成本DeepSecuirty模块病毒防护集成VMware最新vShieldEndpoint技术接口，使虚拟机无需任何安装就能对病毒、间谍软件、木马等威胁进行查杀优化虚拟机上并发全盘扫描、病毒库更新时对虚拟服务器产生大量资源消耗防病毒模块能将复杂、高端攻击有效隔离深度封包检验检验全部未遵照协议进出通信，内含可能攻击及政策违反在侦测或预防模式下运作，以保护操作系统和企业应用程序漏洞能够防御应用层攻击、SQLSQLInjection及Cross-site跨网站程序代码改写攻击提供有价值信息，包含攻击起源、攻击时间及试图利用什么方法进行攻击当事件发生时，会立即自动通知管理员入侵侦测和防御防堵已知漏洞来抵挡已知及零时差攻击，避免无限制攻击每小时自动防堵发觉到最新漏洞，无须重新开机，即可在几分钟内就可将防御布署至成千上万服务器上提供数据库、网页、电子邮件和FTP服务器等100多个应用程序漏洞保护智能型防御规则提供零时差保护，透过检测不平常及内含病毒通讯协议数据码，以确保不受未知漏洞攻击完整监控监视关键操作系统和应用程序，如目录、registrykeys及数值，以侦测出恶意和不平常更改实时侦测出现有档案系统中修改及新建立档案，并提供汇报可开启需求、预定或实时侦测，检验档案属性(PCI10.5.5)和监控特定目录提供灵活且实用监控，提供包含/排除和可审核汇报网页应用程序保护帮助企业遵照法规(PCIDSS6.6)保护网页应用程序和全部处理数据防企SQLInjection、Cross-site跨网站程序代码改写攻击和其它网页应用程序漏洞在漏洞修补期间，提供完整防护应用程序管理增加对应用程序访问网络控管及可见度使用应用程序控管规则，可侦测出病毒私下访问网络行为降低服务器漏洞双向状态防火墙降低实体、云端运算及虚拟服务器被攻击机会集中管理服务器防火墙政策，包含最常见服务器类型微粒筛选特色（IP和MAC地址、通讯端口），可针对每个网络设计不一样接口和位置政策预防DDos攻击，提供事先弱点扫描侦测可保护全部基于IP通讯协议（TCP、UDP、ICMP等）和全部框架类型（IP、ARP等)日志审查搜集和分析操作系统和应用程序日志中安全事件帮助企业遵照法规(PCIDSS6.