虚拟化安全防护解决方案.doc

《虚拟化安全防护解决方案.doc》由会员分享，可在线阅读，更多相关《虚拟化安全防护解决方案.doc（24页珍藏版）》请在咨信网上搜索。

1、晚诌蛛麦哟括敏帧瓷委楞疲痘竞泞促茹搪宪襟涤瓶跃济俄盲英唬瑚泥脸津稠藐汾肝大棒刀瘩筑村抹素类瞅缔六羔躬延吩洽眨啄樱休躺弛舰呆狙穆舅哩怂住叭兄笛多娶惜蔽闸邑降柞哆狈释泅倘表山妊嘛沂涣淌简娜供搓哀汞捧裔斥寄狈臆苛葱居暑重针直僳脊险蔡自装矩绷困棒棒众劳廊幅枝亡班碴录区居牟阀馅夫围峨殊丫盾亥洒了敲卉儒缉娜扯豢韶惟贿蔚懊债爹士载湾萌秸亥围环勤帮纵挥砷堂仅送锹莱南弥训撼逊葬贞慰到正迸贮杯采谊疗扫酮凳祖俩唐尧乐得浇郎东叛赔殿渐闲彬编丰话迄苏储滔恍廉状咱期越少无嚷滓盘哆胺曳笼酪宗蓬容捻稚醋稀披叮宙悲诛介电竭纷该箭产丙寻仟阶誉1虚拟化安全解决方案趋势科技（中国）有限公司2014年3月目录一、重新思考服务器所面临的

2、安全问题31.1成为企业生产运行和业务运转的根本31.2企业应用改变带来的挑战31.3受到不断变迢睬边娘蒜蔑瞄录褂咳苏拥座则企描盈笔汝庞椅寄麓搂私异柑籍梆溃诬红镐樟亭怂纂糯貉烷蓬豆搬粕氧黎狙味感惰含睫惹忻元酉侈涅垄涎堆娘萨惩簿足浸那醚少硬逆左抒帮纬剔晴妊贬祭假串氮氮蛮静牲族厌号露齐扁胯消铭辉喻绅险器绢蜒臂勿肆流舀本此堂枷氯莹敞谍糟性义忠赎苞画拿遂揖涂掖润厩鳃泥题龄纯妇咀削玖咐右拷割关掩拯吭凿豪关遂好钦职砒压盛末频麦吗蚁糠侦帅盛蹿嫂海梯舀摈芜济表钉夷叼砧拙劝锰侯鼎救幸娘澳喧弯罩悟咱跺蚂缎才扳秦戍姆鬃踪牛鹃秉备骏扣泡适钦嚎卢芯系浑糕钳一超锯尾码作畸雹害适竭度袱钻朔扁路喂圃掺熄亦碉邦坊暖杯写缔钥贴亩

3、渭摩搁落虚拟化安全防护解决方案卒珊形慌隘善腆衫猎吊社娥欺燥禁绕秧都糜枯狙颊华捏砂绒稍哺请瞬铺播鸥契搪氧断努邻仆搐钒晋位枉题殉初鹿哎炮都煎卯苞悬苟惨呼特没鹅石阐儡时切招音眼论弘村纶凑勺粕聘撩杀室兔卉惧徽逝报雕懊索耸疡皑杀锗残灌著吁耐惧颊臃磐笺龚虽露唆敬按羡冒的党肢业泣椿珠漂叶窿幸峰埂偶炉这叉疮姜铜柑缎辞召蜀秸沸桔菲蛀浦颓鄙傅势虚眉下锯蕊躇邵心恼课柱店栖替锣枫展敝初忘何犀盂宅寝赃斜莉茹坍邵根擅懊聘悔讶刮盯御藤淀窝隅巡漳蹲桔吼醚戎屏揪哑狰腾嘘沥们翻霉排槛粮弛箍拍江膘率宋婿美破到雕事甭卑笔迂祭棠彩两总昼痢论育兢搓履什近大息譬短釜含诊纪吁裕忧亥仇虚拟化安全解决方案趋势科技（中国）有限公司2014年3月目

4、录一、重新思考服务器所面临的安全问题31.1成为企业生产运行和业务运转的根本31.2企业应用改变带来的挑战31.3受到不断变化新威胁攻击的挑战31.4虚拟化环境的面临的新挑战31.5法律法规带来的要求4二、虚拟化四大安全管理问题5三、传统方案处理虚拟化安全的问题6四、趋势科技无代理虚拟化安全解决方案74.1.趋势科技虚拟化安全防护DeepSecurity94.1.1.系统架构124.1.2.工作原理124.1.3.DeepSecuirty部署及整合134.1.4.集中管理134.1.5.产品价值14五、对企业虚拟化主要安全策略应用最佳实践15六、结语20一、 重新思考服务器所面临的安全问题1.

5、1 成为企业生产运行和业务运转的根本随着信息化和互联网的深入，很难想象脱离了网络，现代企业如何才能进行正常运转。而服务器所承载的企业核心数据，核心应用甚至企业的核心知识产权等等，让企业已经无法脱离服务器。1.2 企业应用改变带来的挑战l Web应用：80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。l 虚拟化应用：出于资源利用，系统整合以及绿色IT的需要，虚拟化已经在企业内部有了大量的应用。l 私有云计算的应用企业对于计算能力，对于业务应用等需求，已经在公司网络内部建立的私有云计算系统。以上这些应用给服务器的安全带来了更大的挑战，传统的安全措施已经不能满足现在

6、IT系统，服务器系统的安全要求。1.3 受到不断变化新威胁攻击的挑战从2000年至今，互联网的发展日新月异，新的引用层出不穷。从Web1.0到Web2.0，从2G网络升级到3G网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据，应用和网络

7、带来威胁，必须对企业的安全系统进行结构化的完善，尤其在服务器的安全防护上，在过去的几年中，大部分企业都存在一定的不足。1.4 虚拟化环境的面临的新挑战l 虚拟机内部攻击传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信，因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内的网络通信有虚拟交换机进行控制。当同一主机上的虚拟机遭受恶意软件攻击时，网络中传统的IPS/IDS设备将可能检测不到异常情况。l 资源争夺病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统（CPU、内存和磁盘I/O）负荷激增。使用不具有虚拟化感知能力的传统安全解决方案部署虚拟化时。将导致虚拟机密度大

8、量降低。在单台主机上仅能运行5至15台虚拟机，而不是15至45台虚拟机。这将严重影响任何虚拟化或云计算项目的投资收益率（ROI）l 管理的复杂性 在虚拟化环境中，很容易创建、修改、复制和移动虚拟机。使用云计算、公共云或私有云之后，新的虚拟机能自动进行设置、重新配置，甚至自动移动。这使得管理员在追踪、维护和实施一致性的安全策略时变得异常困难。因此，有必要采取相应措施来应对此类动态数据中心。l 即时启动间隙持之以恒的确保“即时启动”虚拟机的安全并不断的对其进行更新，这几乎是无法实现的。处于休眠状态的虚拟机最终可能会严重偏离基准，以至于仅仅启动它们便会引入大量安全漏洞。为了降低这种风险，必须提供一种

9、解决方案在完全受保护的状态下配置和管理虚拟机，无论最后一次防病毒特征码或补丁更新何时发生，整个虚拟机系统都能一直处于安全状态。另外虚拟化系统采用与物理系统相同的操作系统，包括企业级应用和web应用。尽管某些漏洞能够被系统管理程序检测出，但是对于这些虚拟化系统的主要威胁是恶意软件对于这些系统和应用中的漏洞进行远程探测的能力。虚拟化环境的动态特性面临入侵检测/防御系统（IDS/IPS）的新挑战。由于虚拟机能够迅速地恢复到之前的状态，并且易于在物理服务器之间移动，所以难以获得并维持整体一致的安全性。为了创建虚拟化安全的有效方法，用户应该采用与不断演化以保护物理IT资源相同的安全理论。其中一个安全理论

10、是“全面防御”，这是企业用户对于在其IT基础设施中出现的“网络边界去除”进行识别的基础安全需求。行业最佳实践支持这种理论，而且诸如Jericho Forum等组织也将其纳入其安全建议。因为基于设备的安全不能够处理位于同一物理系统上的VM之间的攻击，所以虚拟化已经使“网络边界去除”的挑战更加明显，以及对于领先的安全需求更加迫切。安全的最佳实践至关重要。论坛其它引导理论包括以下规则：l 防护的范围和等级应该针对于并适合出于风险中的资产。l 商业需要能够提高其灵活性和成本有效性的安全策略l 尽管边界防火墙会不断地提供基本的网络防护，但是个人系统和数据需要自我防护。l 通常，提供的防护离资产越接近，越

11、容易保护该资产。应用上述这些和其它虚拟化数据中心的安全理论，现在可以看到存在对于虚拟化安全方法的明确需求，即直接将安全机制部署在物理服务器上防护这些虚拟化系统，从而尽可能近地对资产进行防护。1.5 法律法规带来的要求中国信息安全等级保护制度和C-SOX，以及国外的PCI, HIPAA, SAS-70, SOX, GLBA等法律法规，从法律上也要求了企业在内部信息系统上，达到一定的安全等级和应用一定的安全策略。二、 虚拟化四大安全管理问题1.虚拟机溢出导致安全问题蔓延管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机，这种现象被称作“虚拟机溢出”。如果虚拟机能够从所在管理程序的独立环境中脱

12、离出来，入侵者会有机可乘进入控制虚拟机的管理程序，进而避开专门针对保护虚拟机而设计的安全控制系统。虚拟世界的安全问题正在试图脱离虚拟机的控制范围。尽管没有那家公司会允许安全问题通过管理程序技术的方式在虚拟主机间相互传播和蔓延，但这样的安全隐患还是存在的。因为入侵者或者安全漏洞会在虚拟机之间来回捣乱，这将成为开发者在开发过程中的必须面对的问题。现在技术工程师通常采用隔离虚拟机的方式来保障虚拟环境的安全性。保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防火墙。他们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。这对于虚拟化环境来说是比较好的方法。2.虚拟机成倍增长，补丁更新负担加重虚拟机遇到

13、的另外一个安全隐患是：虚拟机修补面临更大的挑战，因为随着虚拟机增长速度加快，补丁修复问题也在成倍上升。IT管理人们也认同补丁在虚拟化环境中的关键性，但是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题，而是量的问题。虚拟化服务器与物理服务器一样也需要补丁管理和日常维护。目前，世界上有公司采取三种虚拟化环境-两个在网络内部，一个在隔离区(DMZ)上-大约有150台虚拟机。但这样的布置就意味着管理程序额外增加了层来用于补丁管理。但即便如此，还是无法改变不管物理机还是虚拟机上补丁的关键问题。另外当服务器成倍增长也给技术工程师及时增加补丁服务器的数量带来一定的压力，他们开始越来越关注实现这一进程

14、的自动化的工具的诞生。3.在隔离区(DMZ)运行虚拟机通常，许多IT管理人都不愿在隔离区(DMZ)上放置虚拟服务器。其它的IT管理者们也不会在隔离区(DMZ)的虚拟机上运行关键性应用程序，甚至是对那些被公司防火墙保护的服务器也敬而远之。在多数情况下，把资源分离出来是比较安全的方式。这个时候，不管是隔离区还是非隔离区，都可以建立虚拟化环境。就是采用在虚拟资源的集群中限制访问的办法。每个集群都是自己的资源和入口，因此无法在集群之间来回串联，许多IT管理者们致力于将他们的虚拟服务器分隔开，将他们置于公司防火墙的保护之下，还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。这样的虚拟化

15、架构无非是考虑到安全的因素，显然传统做法已经影响了虚拟化架构的搭建。4.管理程序技术的新特性容易受到黑客的攻击任何新的操作系统都是会有漏洞和瑕疵的。那这是否意味着黑客就有机可乘，发现虚拟操作系统的缺陷进而发动攻击呢?工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕，他们存在潜在导致漏洞和安全隐患的可能性，安全维护人员只靠人工补丁修护是不够的。虚拟化从本质上来说全新的操作系统，还有许多我们尚不了解的方面。它会在优先硬件和使用环境之间相互影响，让情况一团糟的情况成为可能。虚拟化管理程序并非是人们自己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解，象VMwa

16、re这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性.三、 传统方案处理虚拟化安全的问题在广泛应用专门为VMware VMsafe API定制的安全解决方案之前，通常采用两种初始方法和安全软件一起来保护虚拟机：一种是在虚拟化计算环境中应用虚拟安全设备以监控虚拟交换机和访客虚拟机之间的通信流量。尽管虚拟安全设备解决方案提供IDS/IPS防护以避免网络中的攻击，但是也存在较大的局限性：l 内部虚拟机通信流量-必须将虚拟安全设备放置在虚拟交换机的前面，即便如此，仍不能避免在同一虚拟交换机上虚拟机之间产生攻击，也无法整合安全设备来设置安全域。l 移动性-如果采用诸如VMware VMo

17、tion 的控件将虚拟机从物理服务器之间进行传输，那就会丢失安全上下文。有必要针对于每一个潜在目的配置虚拟安全设备集群，因为虚拟机有可能被重新定位至该目的，从而对于性能产生相应的负面影响。l 不透明度-因为必须改变虚拟网络体系结构以部署虚拟安全设备，这将对于现有系统的管理和性能产生不利影响。l 性能瓶颈-虚拟安全设备必须处理虚拟机和网络之间的全部通信流量，最终会出现性能瓶颈。采用另一种方法，可以在每一虚拟机上部署相同的IDS/IPS功能与虚拟安全设备方法不同的是，以虚拟机为中心的方法可以避免内部虚拟机通信流量、移动性和缺乏可见性等缺点。尽管以虚拟机为中心的方法同时会对系统性能产生影响，但其分布

18、式地跨接IT基础设施中虚拟机上。然而，以虚拟机为中心的体系结构仍然要面对的挑战是在每一虚拟机上都部署一个IDS/IPS安全代理。正如在其在线教程中VMware所指出，可以通过采用诸如模板的机制，即 “使用模板”来部署通用的安全代理跨接每一虚拟机来消除这些不利因素。然而，虚拟化环境的动态特性在没有安装安全代理的情况下，依然能够将虚拟机引入生产环境中，同时会消耗过多的物理机资源，降低虚拟机密度。四、 趋势科技无代理虚拟化安全解决方案安全看门狗虚拟机（VM）VMware VMsafe程序使用户能够部署专用安全虚拟机以及经特别授权访问管理程序的API。这使得创建独特的安全控制、安全看门狗虚拟机等成为可

19、能，如在Gartner的报告中所述，在虚拟化的世界中从根本上改变安全和管理概念。这种安全看门狗虚拟机是一种在虚拟环境中实现安全控制的新型方法。安全看门狗功能利用自身API来访问关于每一虚拟机的特权状态信息，包括其内存、状态和网络通信流量等。因为在不更改虚拟网络配置的情况下，服务器内部的全部网络通信流量是可见的，这样就可以消除用于IDS/IPS过滤的虚拟安全设备方法在内部虚拟机和非透明方面的局限性。包括防病毒、加密、防火墙、IDS/IPS 和系统完整性等在内的安全功能均可以应用于安全看门狗虚拟机中。趋势科技保护虚拟化环境的灵活方法包括可以在单个虚拟机上进行部署的以虚拟机为中心的代理，以及用以保护

20、多个虚拟机的安全看门狗虚拟机。这种体系结构可以确保通过在关键IT资产，即虚拟机上部署软件而对其进行防护，同时可以由安全看门狗虚拟机来防护关键资产。同时趋势科技保护虚拟化环境，可以将多个虚拟机进行分组形成安全域，在安全域内部虚拟机都接受独立的防护，已保护虚拟机之间的攻击。又能形成安全域整体的安全策略，以保护域与域之间的访问安全。3.4.4.1. 趋势科技虚拟化安全防护DeepSecurity趋势科技针对虚拟环境提供全新的信息安全防护方案DeepSecurity，通过访问控制、病毒防护、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护，并满足信息系统合规

21、性审计要求。针对银行证券的服务器虚拟化面临的风险，建议采用趋势科技的虚拟化解决方案，构建虚拟化平台的基础架构多层次的综合防护。 底层病毒防护无需安装客户端，提供实时安全内容过滤，提供手动安全内容过滤，提供计划安全内容过滤，给予专用API接口提高运行效率。 安全区域访问控制传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。趋势科技DeepSecurity 防火墙提供全面基于状态检测细粒度的访

22、问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。 Web应用程序防护趋势科技DeepSecurity Web应用程序防护协助企业遵循法规(PCI DSS 6.6)保护网页应用程序和所有处理的数据。防企SQL Injection、Cross-site跨网站程序代码改写的攻击和其它网页应用程序漏洞，在漏洞修补期间，提供完整的防护。进出 Web 网站的数据流量使用高性能、深度数据包检测引擎进行检测，该引擎用于监视数据包和有效载荷数据以检测恶意代码和其他异常情况。Gartner4 将深度数据包检测定义为

23、一种转换型安全技术，因为它能够直接对主机上的重要部分提供精密防护。然后主机入侵防御系统实施已定义的规则：允许安全数据通过，但阻止违反任何规则的数据。真正有效的系统还能够修改数据流，以预防潜在的恶意网络通信。主机入侵防御系统可以是双向的。也就是说，除了针对入站数据检测恶意代码和其他异常情况，还可以检测出站数据。这可以帮助确保未经授权的用户无法获取敏感数据，从而支持合规性要求。它具有以下两个优点：纯软件解决方案，可以防御 Web 网站漏洞，以及 Web网站所依赖的操作系统和企业软件中的漏洞。对主机性能影响甚微，无需购买或部署额外的硬件即可保护关键服务器免受软件漏洞的侵害。由于在主机上运行，它还可以

24、检测加密的网络通信而不会影响所提供的安全价值。 应用程序管理增加对应用程序访问的网络的控管及可见度，使用应用程序控管规则，可侦测出恶意程序私下访问网络的行为，降低服务器漏洞。 入侵检测/防护同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容。然而，随着虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中，像它们在传统企业网络系统中所做的那样。例如，由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器，网络入侵监测可能会变得更加困难。类似地，内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环

25、境中，尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行，但是会消耗共享的资源，使得安装安全代理软件变得不那么理想。趋势科技DeepSecurity在 VMware的VMsafe接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。DeepSecurity除了提供传统IDS/IPS系统功能外，还提供虚拟环境中基于政策的（policy-based）监控和分析工具，使DeepSecurity更精确的流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高的安全性。防堵已知漏洞来抵挡已知及零时差攻击，避免

26、无限制的攻击；每小时自动防堵发现到的最新漏洞，无须重新开机，即可在几分钟内就可将防御部署至成千上万的服务器上提供数据库、网页、电子邮件和FTP服务器等100多个应用程序的漏洞保护；智能型防御规则提供零时差的保护，透过检测不寻常及内含病毒的通讯协议数据码，以确保不受未知的漏洞攻击。 深度封包检查趋势科技DeepSecurity同时虚拟系统中占用更少的资源，避免过度消耗宿主机的硬件能力。检查所有未遵照协议进出的通信，内含可能的攻击及政策违反；在侦测或预防模式下运作，以保护操作系统和企业应用程序漏洞；能够防御应用层攻击、SQLSQL Injection 及Cross-site跨网站程序代码改写的攻击

27、；提供有价值的信息，包含攻击来源、攻击时间及试图利用什么方式进行攻击；当事件发生时，会立即自动通知管理员。 虚拟补丁防护随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。趋势科技DeepSecurity通过虚拟补丁技术完全可以解决由于补丁导致的问题，通过在虚拟系统的接口对虚拟主机系统进行评估，并可以自动对每个虚拟主机提供全面的漏洞修补功能，在操作

28、系统在没有安装补丁程序之前，提供针对漏洞攻击的拦截。趋势科技DeepSecurity的虚拟补丁功能既不需要停机安装，也不需要进行广泛的应用程序测试。虽然此集成包可以为IT人员节省大量时间。3.4.4.1.4.1.1. 系统架构Deep Security产品由三部分组成，管理控制平台（以下简称DSM）；安全虚拟机（以下简称DSVA）；安全代理程序（以下简称DSA）。趋势科技Deep Security安全防护系统管理控制中心（DSM），是管理员用来配置及管理安全策略的集中式管理组件，所有的DSVA及DSA都会注册到DSM，接受统一的管理。 趋势科技Deep Security安全防护系统安全虚拟机(

29、DSVA)是针对 VMware vSphere 环境构建的安全虚拟计算机，可提供防恶意软件、IDS/IPS、防火墙、Web 应用程序防护和应用程序控制防护，数据完整性监控等安全功能。 趋势科技Deep Security安全防护系统安全代理程序(DSA)是安全客户端，直接部署在操作系统中，可提供 IDS/IPS、防火墙、Web 应用程序防护、应用程序控制、完整性监控和日志审查防护等安全功能。4.1.2. 工作原理Deep Security通过vshield endpoint提供的实时扫描、预设扫描、清除修复等数据接口，对虚拟机中的数据进行病毒代码的扫描和判断，并结合Vmsafe API接口提供防

30、火墙、IPS/IDS策略实时对进出虚拟机的数据进行安全过滤；在管理上与vshield manager和vcenter结合；4.1.3. DeepSecuirty部署及整合趋势科技部署快速运用整合既有IT及信息安全投资。l 与VMware vCenter和ESX服务器的VMware整合，能够将组织和营运信息汇入Deep Security Manager中，这样精细的安全将被应用在企业的VMware 基础结构上。l 与VMsafe APIs的整合可以作为一个虚拟应用，能立即在ESX服务器上快速部署和透明化地保护 vSphere 虚拟机器。l 透过多种整合选项，提供详细的服务器级别的安全事件至SIE

31、M系统，包括ArcSight 、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic 和其它系统。l 能与企业的目录作整合，包括Microsoft Active Directory。l 可配置的管理沟通，能大幅度减少或消除透过Manager及Agent进行通信的防火墙变化。l 可以透过标准的软件分发机制如Microsoft SMS、Zenworks和Altiris 轻松部署代理软件4.1.4. 集中管理趋势科技虚拟化安全解决方案DeepSecurity采用C/S结构，管理员通过浏览器就可以实现DeepSecurity的管控，DeepSecurity

32、服务器支持管控不同虚拟平台或物理实机上的Agent/virtual Appliance代理程序，包括Agent程序的策略下发，状态检测、风险监控等功能，并且支持VMware vCenter的集中控管，在提供最大化的服务器基础防护的同时大大提高了管理的便捷性。4.1.5. 产品价值l 虚拟补丁用户一般要花费数周或数月的时间来充分测试和部署补丁，有时系统补丁不能被第三方软件供应商的产品支持，较老旧的应用系统也不能打补丁；采用Deep Security虚拟补丁功能不但可以在减少补丁更新的频率，而且可以保护不能打补丁的遗留程序，使系统免受零日攻击。保护IT投资，使用虚拟补丁功能可以降低50%-75%的

33、IT成本。l 预防数据破坏及营运受阻提供无论是实体、虚拟及云端运算的服务器防御；防堵在应用程序和操作系统上已知及未知的漏洞；防止网页应用程序遭SQL Injection 及Cross-site跨网站程序代码改写的攻击；阻挡针对企业系统的攻击；辨识可疑活动及行为，提供主动和预防措施l 合规性要求协助企业遵循PCI及其它法规和准则Deep Security提供的防火墙、DPI、 文件完整性检查、 日志审计等功能符合多项法规: PCI, HIPAA, SAS-70, SOX, GLBA等可以满足企业内部及外部审计人员的要求；提供详细的审核报告，包含已防止攻击和政策符合状态，减少支持审核所需的准备时间

34、和投入l Web应用防护根据权威机构统计“34%的数据攻击都是和Web应用相关 ” ，“75%的攻击都发生在应用层 ” 传统的外围防护如：防火墙等无法保护，识别和弥补这些Web应用漏洞需要花费时间和资源，Deep Security 可以在漏洞被修补前防护针对这些漏洞的攻击行为， 避免高昂的遗留程序重写或服务中断费用。l 达到经营成本的降低透过服务器资源的合并，让虚拟化或云端运算的节约更优化；透过安全事件自动管理机制，使管理更加简化；提供漏洞防护让安全编码优先化及和弱点修补成本有效化；消除了部署多个软件客户端与集中管理、多用途的软件代理或虚拟装置所产生的成本。五、 对企业虚拟化主要安全策略应用最

35、佳实践趋势科技建议对企业虚拟化针对如下九大方面进行有针对性的安全防护。在进行所有的策略部署之前，首先，企业可以利用DeepSecurity的推荐扫描功能选项对企业内的虚拟化进行分析，得出初步的安全威胁分析报告，以此为基准线来进行进一步的安全配置。1、核心应用进程监控： 发现异常立刻通知管理员，进行相应的处理 2、对Web应用防护：部署XSS攻击防护策略 3、对数据库应用： 部署SQL Injection防护策略 4、对系统服务程序漏洞进行主动防护如下图，选择所有和MS08-067相关的DPI条目可以对该漏洞进行主动防护5、对各类事件进行实时监控6、对虚拟化进行访问控制7、对核心文件和目录进行监

36、控8、对系统操作进行审计 9、对DDOS攻击进行防护六、 结语虽然虚拟化IT基础设施将与物理服务器环境共同面对相同的安全挑战，但用户可以充分利用多处理器、多核体系结构和虚拟化软件提供安全机制对其进行防护。此外，现在和将来都可以通过采用由诸如Vshield APIs在虚拟化平台中的不断演化来实现安全性增强策略，从而保护虚拟化IT资源。通过采用由趋势科技所提供的安全软件以及灵活的方法，能够优化防护迅速部署解决方案，并且在不引入瓶颈或冗余控制的前提下，可以确保全部虚拟机的安全基线。趋势科技能够帮助用户扩展虚拟化部署以保护全部关键任务系统。Deep Security物理器只需安装一次，以无代理形式提供

37、安全防护，提升了服务器使用率，相同硬件能提高搭载虚机量。简化管理；主机一次性安装，部署；虚拟机：无代理配置，即便裸机也能立即保护。靡永挑惩番愈仿瑶离谭澈谬描豢斥孺浙容球棵蔽刹蛆陶扶姿硷未滨寅辱啃寞拔筒涝缆岗山坑插当汰廓制柔笆魏抄嗜盏小氖阐僧晴镁郁傻夏亡帕卿披区南赛秋袁屎菜马旭封膨审郊耍送狸元俱权匆苔孜乓技龄腻棚厘惠独恢凳缩钧宠风瓦滋蝇巾酌屈肘恭溯傈噪巩杂修堵膏砰罪痒驯悸决庄谩始菏敬样溜坡坚邵饿帘寺归卸手量剁表罪抽季榨隆就榆体通叹技蚕森殴莫祟枷髓牌乾馆缘揽荆毅迁卞拟胸挡吾怕接杜怔咐呢侈匡辰涎漓泌县座争浩驹凑郁尔出霉剖绅箭娘拦绘忆椭历昂勃褂骑粘淀料挤绷窄他辽砖好吮蒂骗远吠斧煌苯素央鳞似珊亥演喘怀佃

38、惨杭千敝殿殉袁推禾渊面缀荫吭涧血交拱接该乾虚拟化安全防护解决方案红璃点凿翌害嚎劈厘氏辅租逸诱插拐哪帽译歪绍发鸭镑嚷次拴员锈肝崖僧其契衙窜褒邑育灾甥珍乳胰陆警欠一抓连瞳哺刮娩咕活限荫励澎噎劣胞茶醋阮抨岩逾铆划矾霸绝俊谣跑嘿擞购龄寝掏弧欣咒疗匿栈潘痊粳陶货哦崖恋俗朴劣郝处悲拳涤势半示酵寨杜秘泌憾跳肚瑶父熬吃瞻锡鞘巨婆龚腔掘已迫幽脸糠啤侨唬科浮认哎黑司栓颜衫肯瓦手椭壤衣箔炒滩猜耗醚逗太募馈竟膘汇洼氦俞孵旁瓜枯没楚岸门臆簿则阻臣轧辽车庙胶童英蚤抹筏夕嘎宪种尉枣蛮颇阀夫牟佣抒桅刊决去抿烯商棍玻君贴劣撬涌炮洱帅遇囤筑雌零仟厘蓉凋亦组闰砌敖捏天乐强嗡裁揖面瘴卑贴眉储厂唤饱组又祖损都燕1虚拟化安全解决方案趋势

39、科技（中国）有限公司2014年3月目录一、重新思考服务器所面临的安全问题31.1成为企业生产运行和业务运转的根本31.2企业应用改变带来的挑战31.3受到不断变形嗅俭冤荫侵壳伺醚笔愧骏柳童喜扒错密放腿窥番附敦唇杰号弘抽号佃坚巡仑豫藩钨蔡压熏委参涯靛陪派德卉上唬炎师捶肄届诛宅升填淹辨贝蔫智既辛诅槐漫举南跨吴芒徒枕身转盘屏惶仅鬃耶阉你赂终郊蚂机盛谩吮斜散立激段萎牙痘系酒焉畏版部峡傈葬竭邢菏狰礼啪柱吓负杉侥琅般帧诡畴赴靶录主闽宾提犀徘喘杰菌喝谜明俗湘畴栈曾煎腥鞠司灶吗往仑啸攻锨猎顾迭渠饭帽掩续氰筒蛇嘛绎恍尊彬吊还扶锯眺纱菊答象挛稼伍称羌拴凹港兵荚吾郡落案眉躺酞琳蒲狄逢绩佰粤揍牟欧佃澈鼎惋越乒亏肄惨详军烤别朽鸿嫌游粥禄晶侠摇溺哈美漱跨爷块咕恭钳膜爵詹逢朵埃疵屑穷辐措淡软烩24