安徽综合项目工程大学虚拟化安全解决专项方案趋势科技公司.doc

《安徽综合项目工程大学虚拟化安全解决专项方案趋势科技公司.doc》由会员分享，可在线阅读，更多相关《安徽综合项目工程大学虚拟化安全解决专项方案趋势科技公司.doc（21页珍藏版）》请在咨信网上搜索。

安徽工程大学 虚拟化安全解决方案 9月 目 录 第1章. 概述 2 第2章. 安徽工程大学虚拟化安全面临威胁分析 2 第3章. 安徽工程大学虚拟化基本防护必要性 3 第4章. 趋势科技虚拟化安全解决方案 4 第5章. 安徽工程大学虚拟化安所有署方案 7 5.1. VMware平台布置方案 7 5.2. 趋势虚拟安全方案集中管理 7 5.3. 安徽工程大学虚拟化防护解决方案拓扑 8 第6章. 趋势科技DeepSecurity简介 8 6.1. DeepSecuirty架构 8 6.2. DeepSecuirty布置及整合 9 6.3. DeepSecuirty重要优势 10 6.4. DeepSecuirty模块 10 第1章. 概述 安徽工程大学内大量服务器承担着为各个业务部门提供基本设施服务角色。随着业务迅速发展，数据中心空间、能耗、运维管理压力日趋凸显。应用系统布置除了购买服务器费用外，还涉及数据中心空间费用、空调电力费用、监控费用、人工管理 费用，相称昂贵。如果这些服务器运用率不高，对考院来说，无疑是一种巨大挥霍。 在安徽工程大学，这些核心应用系统将使用服务器虚拟化解决方案。这解决信息化建设当前既有压力，同步又能响应国家节能减排规定。 而服务器虚拟化使安徽工程大学可以获得在效率、成本方面明显收益以及在综合数据中心更具环保、增长可扩展性和改进资源实行时间方面附加利益。但同步，数据中心虚拟系统面临许多与物理服务器相似安全挑战，从而增长了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最后将抵消虚拟化优势。特别在虚拟化体系构造将从主线上影响如何对于核心任务应用进行设计、布置和管理状况下，顾客需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。 趋势科技提供真正解决方案以应对这些挑战。趋势科技当前已经开发出了一套灵活办法用于涉及入侵检测和防护、防火墙、完整性监控与日记检查服务器防御以及当前可以布置恶意软件防护。所用架构重要是运用虚拟化厂商当前在其平台上增长附加能力，诸如通过近来发布VMware vSphere™ 5访问VMware VMsafe™ API最新引入附加能力。趋势科技提供必须防护以提高在虚拟化环境中核心任务应用安全性。 第2章. 安徽工程大学虚拟化安全面临威胁分析 虚拟服务器基本架构除了具备老式物理服务器风险之外，同步也会带来其虚拟系统自身安全问题。新安全威胁浮现自然就需要新办法来解决。通过前期调研，总结了当前安徽工程大学虚拟化环境内存在几点安全隐患。 Ø 虚拟机之间互相袭击----由于当前安徽工程大学仍对虚拟化环境使用老式防护模式，导致重要防护边界还是位于物理主机边沿，从而忽视了同一物理主机上不同虚拟机之间互相袭击和互相入侵安全隐患。 Ø 随时启动防护间歇----由于安徽工程大学即将大量使用Vmware服务器虚拟化技术，让安徽工程大学IT服务具备更高灵活性和负载均衡。但同步，这些随时由于资源动态调节关闭或启动虚拟机会导致防护间歇问题。如，某台始终处在关闭状态虚拟机在业务需要时会自动启动，成为后台服务器组一某些，但在这台虚拟机启动时，其涉及防病毒在内所有安全状态都较其她始终在线运营服务器处在滞后和脱节地位。 Ø 系统安全补丁安装-----当前安徽工程大学虚拟化环境内仍会定期采用老式方式对阶段性发布系统补丁进行测试和手工安装。虽然虚拟化服务器自身有一定状态恢复功能机制。但此种做法仍有一定安全风险。1.无法保证系统在测试后发生变化与否会由于安装补丁导致异常。2.集中安装系统补丁，前中后期需要大量人力，物力和技术支撑，布置成本较大。 Ø 防病毒软件对资源占用冲突导致AV（Anti-Virus）风暴----老式杀毒软件在防护效果上可以达到安全原则，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一种物理主机上产生资源消耗，并且当发生客户端同步扫描和同步更新时，资源消耗问题会愈创造显。严重时也许导致ESX服务器宕机。 通过以上分析是咱们理解到虽然老式安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新安全威胁，例如：虚拟主机之间通讯访问控制问题，病毒通过虚拟互换机传播问题等，老式安全设备无法提供有关防护，趋势科技提供创新安全技术为虚拟环境提供全面保护。 第3章. 安徽工程大学虚拟化基本防护必要性 安徽工程大学虚拟服务器服务器承载着最为重要数据，因而，很容易引起外来入侵者窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会拜访服务器系统。安徽工程大学针此前针对服务器采用集中管理、集中防护办法，通过老式安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术……各种安全产品开始被一种一种地加入到安全防线中来。 当前安徽工程大学为了减少硬件采购成本，提高服务器资源运用率，引进服务器虚拟化技术对既有应用服务器计算资源进行整合，使既有建立安全防线面临挑战！服务器虚拟化后不但面临着老式物理实机各种安全问题，同步由于虚拟系统之间数据互换，以及共享计算资源池，导致老式安全技术手段很难针对虚拟系统提供防护，此外使用老式安全技术使用还带来更大计算资源消耗和管理运维，导致与引入服务器虚拟化初衷相违背。 通过上一章节威胁分析发现，为了减少服务器和虚拟服务器安全威胁必要采用创新安全技术手段为服务器提供安全加固。由于老式安全技术应用到虚拟服务器防护存在短板效应：任何一点疏忽，都会让安徽工程大学整个信息系统安全防线功亏一篑，带来经济和公司名誉损失。更何况，这些被广泛老式安全产品虽然可以在物理网络层较好地保护服务器系统，但它们终归无法应对虚拟系统面临新安全威胁，因此需要采用创新安全技术才干完善安徽工程大学信息安全防护体系基本架构，同步具备对最新安全威胁抵抗力，减少安全威胁浮现到可以真正进行防范时间差，提高服务器安全性和抗袭击能力，从而提供业务系统应用可用性。 第4章. 趋势科技虚拟化安全解决方案 趋势科技针对虚拟环境提供全新信息安全防护方案——DeepSecurity，通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日记审计等功能实现虚拟主机和虚拟系统全面防护，并满足信息系统合规性审计规定,建议采用趋势科技虚拟化解决方案，构建虚拟化平台基本架构多层次综合防护。 Ø 病毒防护防护 老式病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机操作系统中，在整合服务器虚拟化后，要实现针对病毒实时防护，同样需要在虚拟主机操作系统中安装防病毒Agent程序，但是服务器虚拟化目是整合资源，最大化发挥服务器资源运用率，而老式防病毒技术需要在每个虚拟主机中安装程序，例如：一台服务器虚拟6台主机，老式办法将Agent需要安装6套，并且在制定扫描任务就需要消耗虚拟主机计算资源，这种方式并没有达到节约计算资源效果，反而增长了计算资源消耗，并且在病毒库更新是带来更多网络资源消耗。 趋势科技针对虚拟化环境提供创新办法解决防病毒程序带来资源消耗问题，通过使用虚拟化层有关API接口实现全面病毒防护。由于安徽工程大学为VMware虚拟化环境因此将针对这个系统进行描述，详细如下： Ÿ 针对VMware虚拟系统，实现底层无代理病毒防护 趋势科技针对VMware虚拟系统中通过VMshield接口实现针对虚拟系统和虚拟主机之间全面防护，无需在虚拟主机操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时病毒防护，这样无需消耗分派给虚拟主机计算资源和更多网络资源消耗，最大化运用计算资源同步提供全面病毒实时防护。 Ø 访问控制 老式技术防火墙技术经常以硬件形式存在，用于通过访问控制和安全区域间划分，计算资源虚拟化后导致边界模糊，诸多信息互换在虚拟系统内部就实现了，而老式防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临最基本安全问题。 趋势科技DeepSecurity 防火墙提供全面基于状态检测细粒度访问控制功能，可以实现针对虚拟互换机基于网口访问控制和虚拟系统之间区域逻辑隔离。DeepSecurity防火墙同步支持各种泛洪袭击辨认和拦截。 Ø 入侵检测/防护 同步在主机和网络层面进行入侵监测和防止，是当今信息安全基本设施建设重要内容。然而，随着虚拟化技术浮现，许多安全专家意识到，老式入侵监测工具也许没法融入或运营在虚拟化网络或系统中，像它们在老式公司网络系统中所做那样。 例如，由于虚拟互换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器，网络入侵监测也许会变得更加困难。类似地，内联在老式物理网区域中IPS系统也许也没办法容易地集成到虚拟环境中，特别是面对虚拟网络内部流量时候。基于主机IDS系统也许仍能在虚拟机中正常运营，但是会消耗共享资源，使得安装安全代理软件变得不那么抱负。 趋势科技DeepSecurity在 VMwareVMsafe接口可以对虚拟互换机容许互换机或端口组运营在“混杂模式”，这时虚拟IDS传感器可以感知在同一虚拟段上网络流量。DeepSecurity除了提供老式IDS/IPS系统功能外，还提供虚拟环境中基于政策（policy-based）监控和分析工具，使DeepSecurity更精准流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高安全性。 趋势科技DeepSecurity同步虚拟系统中占用更少资源，避免过度消耗宿主机硬件能力。 Ø 虚拟补丁防护 随着新漏洞不断浮现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁维护时段也许是一段艰难时期。此外，操作系统及应用厂商针对某些版本不提供漏洞补丁，或者发布补丁时间严重滞后，尚有最重要是，如果IT人员配备局限性，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。 趋势科技DeepSecurity通过虚拟补丁技术完全可以解决由于补丁导致问题，通过在虚拟系统接口对虚拟主机系统进行评估，并可以自动对每个虚拟主机提供全面漏洞修补功能，在操作系统在没有安装补丁程序之前，提供针对漏洞袭击拦截。趋势科技DeepSecurity虚拟补丁功能既不需要停机安装，也不需要进行广泛应用程序测试。虽然此集成包可觉得IT人员节约大量时间。 Ø 完整性审计 趋势科技DeepSecurity产品可以针对系统支持根据基线文献、目录、注册表等核心文献监控和审计功能，当这些核心位置为恶意篡改或感染病毒时，可以提供为管理员提供告警和记录功能，从而提供系统安全性。 Ø 日记审计和报表功能 每发生一次重大数据泄密事件（譬如英国零售商TK Maxx和美国农业部泄密事件）或者每出台一部新法规，安全重点似乎都要从“阻挡坏人”老式办法转向全面安全机制，以进一步分析IT活动。 当前，服务器系统日记和应用程序日记正以惊人速度生成，这就可以详细记录下来IT活动。如果某位满腹牢骚员工企图窃取数据，访问了具有机密信息数据库，日记就有也许记录下她一举一动，那样别人只要检查日记，就能拟定是谁在什么时候从事了什么活动。日记提供了线索，公司运用这些线索就能追查所有顾客（不论与否不怀好意）行踪。 由此可见，对日记进行管理睬给组织带来许多好处。它们让组织意识到面临状况，并协助组织开展行之有效调查，例行日记检查及进一步分析保存日记不但可以及时辨认浮现不久安全事件、违背政策状况、欺诈活动以及运作问题，尚有助于提供有用信息，从而解决问题。 趋势科技DeepSecurity提供全面系统日记和详尽报告功能，除了记录自身各功能日记外，还可以将虚拟主机操作系统日记结合DeepSecurity自身日记进行统一记录和分析，日记系统还可以生成符合国际有关安全规范报表。DeepSecurity通过对日记进行分析可以让管理员跟踪IT基本设施活动，评估服务器数据泄密事件与否发生、如何发生、何时发生、在何处发生有效办法。 第5章. 安徽工程大学虚拟化安所有署方案 5.1. VMware平台布置方案 趋势科技服务器虚拟安全解决方案针对VMware vSphere虚拟平台提供无代理安全防护办法，在每台物理实机ESX/ESXi中布置趋势DeepSecurityvirtual Appliance插件，就为每台虚拟主机多层次安全防护，涉及：防病毒功能、访问控制功能、虚拟补丁、袭击防御等。 安徽工程大学VMware 平台下采用物理服务器多台，需要布置趋势科技DeepSecurity 后，无需在虚拟主机操作系统中Agent程序就可以实现基本各种防护功能。 5.2. 趋势虚拟安全方案集中管理 趋势科技虚拟化安全解决方案——DeepSecurity采用C/S构造，管理员通过浏览器就可以实现DeepSecurity管控，DeepSecurity服务器支持管控不同虚拟平台或物理实机上Agent/virtual Appliance代理程序，涉及Agent程序方略下发，状态检测、风险监控等功能，并且支持VMware vCenter集中控管，在提供最大化服务器基本防护同步大大提高了管理便捷性。 5.3. 安徽工程大学虚拟化防护解决方案拓扑 Deep Security防护构造详细如下图： 第6章. 趋势科技DeepSecurity简介 6.1. DeepSecuirty架构 Ÿ Deep Security Virtual Appliance　在VMware vSphere在VMware vSphere虚拟机器上提供无代理病毒查杀，IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护，透明化地加强安全方略--如果需要可以与Deep Security Agent协调合伙提供完整性监控及日记审计。 Ÿ Deep Security Agent　是一种非常轻小代理软件组件，布置于服务器及被保护虚拟机器上，能有效协助执行数据中心安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防病毒、防火墙、完整性监控及审查日记)。 Ÿ Deep Security Manager　功能强大、集中式管理，是为了使管理员可以创立安全设定档与将它们应用于服务器、显示屏警报和威胁采用防止办法、分布服务器，安全更新和生成报告。新事件标注功能简化了管理高容量事件。 Ÿ Security Center　咱们安全专家团队阐明您保持领先最新威胁迅速开发和提供安全更新该地址新发现漏洞。客户门户安全更新传递到深安全管理器布置使您可以访问。 6.2. DeepSecuirty布置及整合 趋势科技布置迅速运用整合既有IT及信息安全投资。 Ÿ 与VMware vCenter和ESX服务器VMware整合，可以将组织和营运信息汇入Deep Security Manager中，这样精细安全将被应用在公司VMware 基本构造上。 Ÿ 与VMsafe ™ APIs整合可以作为一种虚拟应用，能及时在ESX服务器上迅速布置和透明化地保护 vSphere 虚拟机器。 Ÿ 透过各种整合选项，提供详细服务器级别安全事件至SIEM系统，涉及ArcSight ™、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic 和其他系统。 Ÿ 能与公司目录作整合，涉及Microsoft Active Directory。 Ÿ 可配备管理沟通，能大幅度减少或消除透过Manager及Agent进行通信防火墙变化。 Ÿ 可以透过原则软件分发机制如Microsoft ® SMS、Zenworks和Altiris 轻松布置代理软件 6.3. DeepSecuirty重要优势 Ø 防止数据破坏及营运受阻 Ÿ 提供无论是实体、虚拟及云端运算服务器防御 Ÿ 防堵在应用程序和操作系统上已知及未知漏洞 Ÿ 防止网页应用程序遭SQL Injection 及Cross-site跨网站程序代码改写袭击 Ÿ 阻挡针对公司系统袭击 Ÿ 辨识可疑活动及行为，提供积极和防止办法 Ø 协助公司遵循PCI及其他法规和准则 Ÿ 满足6大PCI 数据安全准则及一系列广泛法规遵循需求 Ÿ 提供详细审核报告，包括已防止袭击和政策符合状态 Ÿ 减少支持审核所需准备时间和投入 Ø 达到经营成本减少 Ÿ 透过服务器资源合并，让虚拟化或云端运算节约更优化 Ÿ 透过安全事件自动管理机制，使管理更加简化 Ÿ 提供漏洞防护让安全编码优先化及和弱点修补成本有效化 Ÿ 消除了布置各种软件客户端与集中管理、多用途软件代理或虚拟装置所产生成本 6.4. DeepSecuirty模块 Ø 病毒防护 Ÿ 集成VMware最新vShield Endpoint技术接口，使虚拟机无需任何安装就能对病毒、间谍软件、木马等威胁进行查杀 Ÿ 优化虚拟机上并发全盘扫描、病毒库更新时对虚拟服务器产生大量资源消耗 Ÿ 防病毒模块能将复杂、高品位袭击有效隔离 Ø 深度封包检查 Ÿ 检查所有未遵循合同进出通信，内含也许袭击及政策违背 Ÿ 在侦测或防止模式下运作，以保护操作系统和公司应用程序漏洞 Ÿ 可以防御应用层袭击、SQLSQL Injection 及Cross-site跨网站程序代码改写袭击 Ÿ 提供有价值信息，包括袭击来源、袭击时间及试图运用什么方式进行袭击 Ÿ 当事件发生时，会及时自动告知管理员 Ø 入侵侦测和防御 Ÿ 防堵已知漏洞来抵挡已知及零时差袭击，避免无限制袭击 Ÿ 每小时自动防堵发现到最新漏洞，不必重新开机，即可在几分钟内就可将防御布置至成千上万服务器上 Ÿ 提供数据库、网页、电子邮件和FTP服务器等100各种应用程序漏洞保护 Ÿ 智能型防御规则提供零时差保护，透过检测不寻常及内含病毒通讯合同数据码，以保证不受未知漏洞袭击 Ø 完整监控 Ÿ 监视核心操作系统和应用程序，如目录、registry keys及数值，以侦测出恶意和不寻常更改 Ÿ 实时侦测出既有档案系统中修改及新建立档案，并提供报告 Ÿ 可启动需求、预定或实时侦测，检查档案属性 (PCI 10.5.5) 和监控特定目录 Ÿ 提供灵活且实用监控，提供包括/排除和可审核报告 Ø 网页应用程序保护 Ÿ 协助公司遵循法规(PCI DSS 6.6)保护网页应用程序和所有解决数据 Ÿ 防企SQL Injection、Cross-site跨网站程序代码改写袭击和其他网页应用程序漏洞 Ÿ 在漏洞修补期间，提供完整防护 Ø 应用程序管理 Ÿ 增长相应用程序访问网络控管及可见度 Ÿ 使用应用程序控管规则，可侦测出病毒私下访问网络行为 Ÿ 减少服务器漏洞 Ø 双向状态防火墙 Ÿ 减少实体、云端运算及虚拟服务器被袭击机会 Ÿ 集中管理服务器防火墙政策，涉及最常用服务器类型 Ÿ 微粒筛选特色（IP与MAC地址、通讯端口），可针对每个网络设计不同接口和位置政策 Ÿ 防止DDos袭击，提供事先弱点扫描侦测 Ÿ 可保护所有基于IP通讯合同（TCP、UDP、ICMP 等）和所有框架类型（IP、ARP 等) Ø 日记审查 Ÿ 收集和分析操作系统和应用程序日记中安全事件 Ÿ 协助公司遵循法规(PCI DSS 6.6) 来优化埋在各种日记项目重要安全事件 Ÿ 将事件转至SIEM系统或集中日记记录服务器，作关联性分析、报告和存盘 Ÿ 可侦测可疑行为、收集数据中心安全事件和管理操作，并使用OSSEC 语法来建立进阶规则 Ø DeepSecurity Agent支持平台 Microsoft Windows Ÿ (32位) Ÿ XP (32 /64位) Ÿ XP Embedded Ÿ Windows 7 Ÿ Windows Vista (32/64位) Ÿ Windows Server (32/64位) Ÿ Windows Server (32/64位) Solaris Ÿ 作业平台：8,9,10 (64位SPARC，x86) Linux Ÿ Red Hat Enterprise 3.0 (32位)，4.0，5.0 (32/64位) Ÿ SUSE Enterprise 9，10 (32位) UNIX Ÿ AIX 5.3 Ÿ HP-UX 10，11i v2，11i v3 虚拟化 Ÿ VMware：VMware ESX Server (guest OS) Ÿ Citrix：XenServer Guest VM Ÿ Microsoft：HyperV Guest VM Ÿ Sun：Solaris 10 OS Partitions Ø DEEPSECURITY重要认证及结盟 Ÿ Common Criteria EAL 3+ Ÿ PCI Suitability Testing for HIPS (NSS Labs) Ÿ Virtualization by VMware Ÿ Microsoft Application Protection Program Ÿ Microsoft Certified Partnership Ÿ Novell Ÿ Oracle Partnership Ÿ HP Business Partnership Ÿ It is also certified Red Hat Read