虚拟化安全解决方案.docx
- 文档编号:5373680
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:25
- 大小:32.71KB
虚拟化安全解决方案.docx
《虚拟化安全解决方案.docx》由会员分享,可在线阅读,更多相关《虚拟化安全解决方案.docx(25页珍藏版)》请在冰点文库上搜索。
虚拟化安全解决方案
****
虚拟化桌面平安解决方案
趋势科技〔中国〕
2013年5月
文档信息:
文档属性
容
工程/任务名称
工程/任务编号
文档名称
****虚拟化桌面平安解决方案
文档版本号
V1
文档状态
制作人
罗海龙
级别
商密
管理人
罗海龙
制作日期
2013年5月28日
复审人
复审日期
扩散围
部使用
版本记录:
版本编号
版本日期
创立者/修改者
说明
文档说明:
第1章.概述
1.1****虚拟化桌面概述
计算机的诞生改变了我们的生活,它正以一种前所未有的方式影响着我们的生活和工作。
随着技术的开展,我们的生活已经无法脱离计算机了,但是传统计算机桌面的使用有着诸多的限制,这些限制给我们带来了不便。
首先,随着客户端设备的不断增加,客户端系统环境变得复杂,造成管理困难,维护本钱升高;客户端操作系统、应用客户端需要不断升级、不停打补丁;客户端需防病毒,防恶意软件,防止木马程序将敏感数据窃取,但仍可能百密一疏;客户端的移动性与分布性,造成无法共享资源,利用率低;且随着技术的开展,硬件的更新换代需要巨大的投入等等,这些都造成了没有一种随时,随地,任何设备都可以平安地访问的桌面环境。
同时,"集中监控、集中维护、集中管理〞已经成为中国移动网络运行维护工作的一个重要工作模式。
桌面云解决方案是基于云计算架构的桌面交付解决方案,利用虚拟化技术,通过在云计算效劳器集群上部署虚拟桌面交付系统。
采用桌面云解决方案可以在数据中心集中化管理桌面,轻松实现平安防护及备份,减少总体拥有本钱、加强信息平安、降低维护管理费用,同时响应国家节能减排的号召。
在此情况下,自2010年开场,中国移动**公司为提升桌面终端整体管理水平,对网管维护终端、IT办公、营业厅终端等进展了集中规划、集中管理和集中维护,进展了终端虚拟化一期工程的建立。
一期工程包括了IT系统平台单项工程和网管系统平台单项工程两局部,分别针IT终端和网管终端进展了桌面云系统的建立,其中IT系统平台满足了IT系统300个营业终端和100个操作维护终端的接入需求;网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。
在中国移动集中化建立和云计算迅猛开展的大背景下,综合考虑瘦客户端相对传统终端的优势,集团公司下发了"关于中国移动瘦客户机逐步全面替代传统PC的指导意见",明确要求:
"对于新增固定终端〔传统PC〕的需求,原则上均应采用瘦客户机方案〔其中,基于TDM传统呼叫中心应停顿扩容,呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案);对于现有传统PC应依据使用寿命,逐步采用瘦客户机进展自然替换。
〞
1.2****虚拟化桌面平安概述—传统平安解决方案
目前,****对于虚拟化桌面的平安防护采用传统方式,也就是在每台虚拟桌面的操作系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进展补丁修补等。
这种解决方案没有考虑到虚拟化技术的特殊性,存在很多的平安风险,具体分析见下文。
第2章.需求分析
2.1传统平安在虚拟化桌面中应用面临威胁分析
虚拟化桌面根底架构除了具有传统物理效劳器的风险之外,同时也会带来其虚拟系统自身的平安问题。
新平安威胁的出现自然就需要新方法来处理。
通过前期调研,总结了目前****虚拟化环境存在的几点平安隐患。
2.1.1虚拟机之间的相互攻击
虚拟机之间的互相攻击----由于目前****仍对虚拟化环境使用传统的防护模式,导致主要的防护边界还是位于物理主机的边缘,从而无视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的平安隐患。
2.1.2随时启动的防护间歇
随时启动的防护间歇----由于****目前大量使用Vmware的虚拟化桌面技术,让****的运维效劳具备更高的灵活性和负载均衡。
但同时,这些随时由于资源动态调整关闭或开启虚拟时机导致防护间歇问题。
如,*台一直处于关闭状态的虚拟机在业务需要时会自动启动,成为后台效劳器组的一局部,但在这台虚拟机启动时,其包括防病毒在的所有平安状态都较其他一直在线运行的效劳器处于滞后和脱节的地位。
2.1.3管理本钱上升
系统平安补丁安装-----目前****虚拟化环境仍会定期采用传统方式对阶段性发布的系统补丁进展测试和手工安装。
虽然虚拟化桌面本身有一定状态恢复的功能机制。
但此种做法仍有一定平安风险。
1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。
2.集中的安装系统补丁,前中后期需要大量人力,物力和技术支撑,部署本钱较大。
2.1.4资源争夺
防病毒软件对资源的占用冲突导致AV〔Anti-Virus〕风暴----****目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进展病毒防护。
在防护效果上可以到达平安标准,但如从资源占用方面考虑存在一定平安风险。
由于每个防病毒客户端都会在同一个物理主机上产生资源消耗,并且当发生客户端同时扫描和同时更新时,资源消耗的问题会愈创造显。
严重时可能导致ES*效劳器宕机。
通过以上的分析是我们了解到虽然传统平安设备可以物理网络层和操作系统提供平安防护,但是虚拟环境中新的平安威胁,例如:
虚拟主机之间通讯的访问控制问题,病毒通过虚拟交换机传播问题等,传统的平安设备无法提供相关的防护,趋势科技提供创新的平安技术为虚拟环境提供全面的保护。
2.2无代理虚拟化桌面平安防护的必要性
****的虚拟化桌面一直承载着最为重要的数据,因此,很容易引起外来入侵者的窥探,遭入侵、中病毒、抢权限,各种威胁都会抓住一切时机造访效劳器系统。
****针以前针对桌面端采用集中管理、集中防护的措施,通过传统平安技术在网络侧建立平安防线,如防火墙技术、防病毒技术、入侵检测技术……各种平安产品开场被一个一个地参加到平安防线中来。
目前****为了降低硬件采购本钱,提高效劳器资源的利用率,引进虚拟化桌面技术对现有应用效劳器的计算资源进展整合,使现有建立的平安防线面临挑战!
效劳器虚拟化后不但面临着传统物理实机的各种平安问题,同时由于虚拟系统之间的数据交换,以及共享的计算资源池,导致传统的平安技术手段很难针对虚拟系统提供防护,另外使用传统平安技术的使用还带来更大计算资源的消耗和管理运维,导致与引入效劳器虚拟化的初衷相违背。
通过上一章节的威胁分析发现,为了降低效劳器和虚拟效劳器的平安威胁必须采用创新的平安技术手段为效劳器提供平安加固。
因为传统平安技术应用到虚拟效劳器防护存在短板效应:
任何一点疏忽,都会让****整个信息系统的平安防线功亏一篑,带来经济和企业名誉的损失。
更何况,这些被广泛传统平安产品虽然可以在物理网络层很好地保护效劳器系统,但它们终究无法应对虚拟系统面临新的平安威胁,所以需要采用创新的平安技术才能完善****信息平安防护体系的根底架构,同时具备对最新平安威胁的抵抗力,降低平安威胁出现到可以真正进展防的时间差,提高效劳器的平安性和抗攻击能力,从而提供业务系统应用的可用性。
第3章.趋势科技虚拟化桌面平安解决方案
3.1平安虚拟机技术及工作原理
VMwareVShieldEndpoint程序使我们能够部署专用平安虚拟机以及经特别授权访问管理程序的API。
这使得创立独特的平安控制虚拟机成为可能,如在Gartner的报告中所述,平安虚拟机技术在虚拟化的世界中从根本上改变平安和管理的概念。
这种平安虚拟机是一种在虚拟环境中实现平安控制的新型方法。
平安虚拟机利用API来访问关于每一虚拟机的特权状态信息,包括其存、状态和网络通信流量等。
因为在不更改虚拟网络配置的情况下,效劳器部的全部网络通信流量是可见的。
包括防病毒、防火墙、IDS/IPS和系统完整性监控等在的平安功能均可以应用于平安虚拟机中。
DeepSecurity通过vShieldEndpoint提供的实时扫描、预设扫描、去除修复等数据接口,对虚拟机中的数据进展病毒代码的扫描和判断,并结合防火墙、IDS策略实时对进出虚拟机的数据进展平安过滤;在管理上需要vShieldManager和vCenter的支持;
3.2与传统平安方案差异
传统环境下的网络平安拓扑图,在网络出口处部署有防火墙,防毒墙,上网行为管理等平安设备,用来隔离外网,过滤来自外网的恶意程序,规网用户的上网行为,同时在DMZ区使用防火墙隔离,部署IDS监控对效劳器的非法访问行为,在效劳器上部署防病毒软件,保护核心效劳器的平安运行。
虚拟化在资源利用率、高可用性、高扩展性上有着诸多优势,实现虚拟化后,直观的来看,是将多台效劳器集中到了一台主机,这一台主机同时运行了多个操作系统,提供不同的应用和效劳;系统管理员根据需要可以非常方便的添加新的应用效劳器;
根据传统的平安设计模型,需要在每个操作系统中安装防毒软件,在网络层部署入防火墙、侵检测或入侵防御系统,但是在这种在传统方式下合理的设计,在虚拟环境下会面临一些新的问题:
未激活的虚拟机,物理机下关闭计算机后CPU停顿运行,网络关闭,理论上不会有数据的交互,操作系统也就不存在被感染的可能;但是在虚拟环境下,CPU,网络,底层的ES*都在工作中,关闭的操作系统类似于物理环境下的一个应用程序,尽管这个"应用程序〞没有运行,但仍然有被病毒感染的可能;
资源的冲突,防毒软件在启用预设扫描后,当到了指定时间,会同时进展文件扫描的动作,这个时候防毒软件对CPU和存的占用急剧增加,当系统资源被耗尽的时候就会导致效劳器down机;
管理复杂度,由于虚拟化的便利性,系统管理员可以非常方便的根据模板生成新的系统,这些新系统要打补丁,进展病毒代码的更新,也会增加平安管理的复杂度;
虚拟化环境的动态特性面临入侵检测/防御系统〔IDS/IPS〕的新挑战。
基于网络的IDS/IPS,也无法监测到同一台ES*效劳器上的虚拟机之间的通讯;由于虚拟机能够迅速地恢复到之前的状态,利用VMwareVMotion™易于在物理效劳器之间移动,所以难以获得并维持整体一致的平安性。
所以虚拟化已经使"网络边界去除〞的挑战更加明显,虚拟化对于平安的需求也更加迫切。
3.3系统架构
DeepSecurity产品由三局部组成,管理控制平台〔以下简称DSM〕;平安虚拟机〔以下简称DSVA〕;平安代理程序〔以下简称DSA〕。
趋势科技DeepSecurity平安防护系统管理控制中心〔DSM〕,是管理员用来配置及管理平安策略的集中式管理组件,所有的DSVA及DSA都会注册到DSM,承受统一的管理。
趋势科技DeepSecurity平安防护系统平安虚拟机(DSVA)是针对VMwarevSphere环境构建的平安虚拟计算机,可提供防恶意软件、IDS/IPS、防火墙、Web应用程序防护和应用程序控制防护,数据完整性监控等平安功能。
趋势科技DeepSecurity平安防护系统平安代理程序(DSA)是平安客户端,直接部署在操作系统中,可提供IDS/IPS、防火墙、Web应用程序防护、应用程序控制、完整性监控和日志审查防护等平安功能。
3.4产品部署和集成
DeepSecurity解决方案专为快速的企业部署而设计。
它利用现有根底架构并与之集成,以帮助实现更高的操作效率,并支持降低运营本钱。
VMware集成:
与VMwarevCenter和ES*Server的严密集成,使得组织和操作信息可以从vCenter和ES*节点导入到DeepSecurity管理器,并将详细完备的平安应用于企业的VMware根底架构。
SIEM集成:
通过多个集成选项向SIEM提供详细的效劳器级平安事件,这些选项包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系统。
目录集成:
与企业目录集成,包括MicrosoftActiveDirectory。
可配置的管理通信:
DeepSecurity管理器或DeepSecurity代理可发起通信。
这可最大限度地减少或消除集中管理系统通常所需要的防火墙更改。
软件分发:
可通过标准软件分发机制〔如MicrosoftSMS、NovellZenworks和Altiris〕轻松部署代理软件。
最正确过滤:
用于处理流媒体〔如Internet协议电视(IPTV)〕的高级功能有助于将性能最大化。
DeepSecurity采用集中分布式的管理方式,
⏹DeepSecurity效劳器端安装效劳器控制台
⏹DeepSecurity客户端直接部署在每一台效劳器上。
对于效劳器群所有的平安策略都可以通过统一的管理控制台进展设定,并且按需分发到对应的效劳器。
整个效劳器平安防护体系的管理,监控和运维都可以通过管理控制台进展统一管理。
同时,各项平安模块组件的更新都会通过管理控制台自动或者手动派发到每一台效劳器上。
3.5产品功能
趋势科技DeepSecurity系统提供了对数据中心〔围普及虚拟桌面到物理、虚拟或云效劳器〕的高级保护,包括:
●防恶意软件
●防火墙
●入侵检测和阻止(IDS/IPS)
●Web应用程序防护
●应用程序控制
●完整性监控
●日志审计
3.5.1恶意软件防护
防恶意软件模块可提供趋势科技防恶意软件防护,恶意代码包括:
病毒、蠕虫、木马后门等,包括实时扫描、预设扫描及手动扫描功能,处理措施包含去除、删除、拒绝访问或隔离恶意软件。
检测到恶意软件时,可以生成警报日志。
3.5.2深度数据包检查(DPI)引擎
实现入侵检测和防御、Web应用程序防护以及应用程序控制
该解决方案的高性能深度数据包检查引擎可检查所有出入通信流〔包括SSL通信流〕中是否存在协议偏离、发出攻击信号的容以及违反策略的情况。
该引擎可在检测或防御模式下运行,以保护操作系统和企业应用程序的漏洞。
它可保护Web应用程序,使其免受应用层攻击,包括SQL注入攻击和跨站点脚本攻击。
详细事件提供了十分有价值的信息,包括攻击者、攻击时间及意图利用的漏洞。
发生事件时,可通过警报自动通知管理员。
DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。
3.5.3入侵检测和防御(IDS/IPS)
在操作系统和企业应用程序安装补丁之前对其漏洞进展防护,以提供及时保护,使其免受攻击和零日攻击
漏洞规则可保护漏洞〔如Microsoft披露的漏洞〕,使其免受无数次的漏洞攻击。
DeepSecurity解决方案对超过100种应用程序〔包括数据库、Web、电子和FTP效劳器〕提供开箱即用的漏洞防护。
在数小时即可提供可对新发现的漏洞进展防护的规则,无需重新启动系统即可在数分钟将这些规则应用到数以千计的效劳器上:
⏹智能规则通过检测包含恶意代码的异常协议数据,针对攻击未知漏洞的漏洞攻击行为提供零日防护。
⏹漏洞攻击规则可停顿攻击和恶意软件,类似于传统的防病毒软件,都使用签名来识别和阻止的单个漏洞攻击。
由于趋势科技是Microsoft主动保护方案(MAPP)的现任成员,DeepSecurity解决方案可在每月平安公揭发布前提前从Microsoft收到漏洞信息。
这种提前通知有助于预测新出现的威胁,并通过平安更新为双方客户快速有效地提供更及时的防护。
3.5.4WEB应用程序平安
DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。
Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击,在代码修复完成之前对这些漏洞提供防护。
该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。
根据客户要求进展的一项渗透测试,我们发现,部署DeepSecurity的SaaS数据中心可对其Web应用程序和效劳器中发现的99%的高危险性漏洞提供防护。
3.5.5应用程序控制
应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。
这些规则也可用于识别访问网络的恶意软件或减少效劳器的漏洞。
3.5.6防火墙
减小物理和虚拟效劳器的受攻击面
DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。
它可用于启用正确的效劳器运行所必需的端口和协议上的通信,并阻止其他所有端口和协议,降低对效劳器进展未授权访问的风险。
其功能如下:
⏹虚拟机隔离:
使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。
⏹细粒度过滤:
通过实施有关IP地址、Mac地址、端口及其他容的防火墙规则过滤通信流。
可为每个网络接口配置不同的策略。
⏹覆盖所有基于IP的协议:
通过支持全数据包捕获简化了故障排除,并且可提供珍贵的分析见解,有助于了解增加的防火墙事件–TCP、UDP、ICMP等。
⏹侦察检测:
检测端口扫描等活动。
还可限制非IP通信流,如ARP通信流。
⏹灵活的控制:
状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。
它可解决任何网络上都会遇到的通信流特征不明确的问题,此问题可能出于正常情况,也可能是攻击的一局部。
⏹预定义的防火墙配置文件:
对常见企业效劳器类型〔包括Web、LDAP、DHCP、FTP和数据库〕进展分组,确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。
⏹可操作的报告:
通过详细的日志记录、警报、仪表板和灵活的报告,DeepSecurity防火墙软件模块可捕获和跟踪配置更改〔如策略更改容及更改者〕,从而提供详细的审计记录。
3.5.7完整性监控
监控未授权的、意外的或可疑的更改
DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件〔如目录、注册表项和值〕,以检测可疑行为。
其功能如下:
⏹按需或预定检测:
可预定或按需执行完整性扫描。
⏹广泛的文件属性检查:
使用开箱即用的完整性规则可对文件和目录针对多方面的更改良行监控,包括:
容、属性〔如所有者、权限和大小〕以及日期与时间戳。
还可监控对Windows注册表键值、访问控制列表以及日志文件进展的添加、修改或删除操作,并提供警报。
此功能适用于PCIDSS要求。
⏹可审计的报告:
完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。
该模块还可通过Syslog将事件转发到平安信息和事件管理(SIEM)系统。
⏹平安配置文件分组:
可为各组或单个效劳器配置完整性监控规则,以简化监控规则集的部署和管理。
⏹基准设置:
可创立基准平安配置文件用于比拟更改,以便发出警报并确定相应的操作。
⏹灵活实用的监控:
完整性监控模块提供了灵活性和控制性,可针对您的独特环境优化监控活动。
这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。
此外,还可根据独特的要求灵活创立自定义规则。
3.6系统要求
●趋势科技DeepSecurity系统管理中心
存:
4GB
磁盘空间:
1.5GB〔建议使用5GB〕
操作系统:
MicrosoftWindowsServer2008〔32位和64位〕、WindowsServer2008R2〔64位〕、Windows2003ServerSP2〔32位和64位〕
数据库:
Oracle11g、Oracle10g、MicrosoftSQLServer2008SP1、MicrosoftSQLServer2005SP2
Web浏览器:
MozillaFirefo*3.*〔启用Cookie〕、InternetE*plorer7.*〔启用Cookie〕和InternetE*plorer8.*〔启用Cookie〕
●趋势科技DeepSecurity平安虚拟机
存:
1GB
磁盘空间:
20GB
●VMware环境:
VMwarevCenter5.0
ES*5.0
VMwareTools
VMwarevShieldManager
VMwarevShieldEndpointSecurity
第4章.工程实施方案
4.1工程总体规划
工程实施总体分为四个阶段,每一个阶段需要一个阶段性总结:
〔一〕工程准备和调研。
主要包括实施工程组的建立和对现有VMware系统进展检查两局部。
〔二〕工程实施。
虚拟化群集的vShield接口(vShieldAPP及vShieldEndpoint)的实施,虚拟机平安解决方案DeepSecurity的实施。
按照实施步骤部署vShield和DeepSecurity产品。
配置vShieldAPP接口进展的平安域划分工作。
对整体环境进展分析,并根据实际情况划分平安域,通过APP接口实现平安域的划分。
〔三〕工程验收。
针对产品功能、实施效果等容进展验收。
4.2实施组织架构
整个维护保障人员由****和趋势科技共同组成,其中主要涉及到:
****信息平安负责人、趋势科技技术工程负责人和渠道工程师组成的一线效劳小组。
趋势科技的整个效劳团队,由北方区技术经理作为主管,由工程负责人成为趋势科技方主要联系接口人,为****提供实施的整体协调。
当出现紧急事件时,统一由****信息平安负责人联系工程负责人,对事件进展处理。
具体人员组织安排参见下列图:
趋势科技行业技术经理
对趋势科技技术部门资源协调最终决策的人员。
工程负责人
作为趋势科技针对****在虚拟化平安工程的主要负责人和接口人,协调趋势科技和****之间的工作进程和人员之间的协调工作,同时负责7*24小时通过、的方式为****提供技术支持、方案建议等效劳。
渠道工程师
在实施过程中,有工程的渠道商指定工程师与趋势科技工程师一起完成工程容,负责产品实施各项工作。
单位
罗海龙
行业技术经理
Oliver_Luotrendmicro..
鹏飞
工程负责人
Pengfei_Zhangtrendmicro..
4.3工程实施容
4.3.1工程准备
为了确保整个实施过程的高效有效,****和趋势科技都需建立专门的工程指导小组并组成联合工程指导小组。
趋势科技工程指导小组由趋势销售经理和趋势科技技术经理组成,控制工程的整个实施过程。
同时,趋势科技成立工程实施小组,在联合工程指导小组的领导下完成工程各节点的具体实施工作。
****的人员须拥有跨部门协调和管理该工程整体的权利。
建议****工程指导小组在工程实施完毕后保存下来,作为负责平安问题的专门小组,以便于今后平安工作的协调和管理,也利于与趋势科技建立畅通的沟通渠道。
趋势科技工程指导小组成员:
趋势科技工程总协调人:
炳宏涛
趋势科技技术经理:
罗海龙
工程负责任人:
鹏飞
4.3.2工程调研
调研目标:
获取****信息系统实际的网络状况和虚拟化应用状况,为工程实施做好准备,同时根据实际情况对真实需求进展必要的修正,与相关系统管理员进展必要的前期沟通。
按照产品的安装要求以及软件网络平安的规与管理人员进展技术沟通和交流,确定需要调整的网络构造和各种需要增补的软件补丁。
调研措施:
1、趋势科技提供产品安装系统需求文档;
2、针对虚拟化效劳器进展详细的记录,同时记录各单位管理人员的联系方式。
调研文档:
趋势科技提供网络调研状况一览表文档,由各级管理员进展填写,汇总至****工程指导小组。
4
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 安全 解决方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)