亚信安全虚拟化安全解决方案模板文档格式.docx
- 文档编号:17347045
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:7
- 大小:103.04KB
亚信安全虚拟化安全解决方案模板文档格式.docx
《亚信安全虚拟化安全解决方案模板文档格式.docx》由会员分享,可在线阅读,更多相关《亚信安全虚拟化安全解决方案模板文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
6.2.DeepSecuirty主要优势7
6.3.DeepSecuirty模块8
1.概述
XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。
随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。
应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。
如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。
在XXX,这些关键应用系统已经被使用H3CCAS服务器虚拟化解决方案。
这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。
而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。
但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量特殊挑战,最终将抵消虚拟化的优势。
尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下,用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。
亚信安全提供真正的解决方案以应对这些挑战。
亚信安全目前已经开发出了一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。
所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力,诸如通过最近发布的H3CCAS的最新引入的附加能力。
亚信安全提供必需的防护以提高在虚拟化环境中关键任务应用的安全性。
2.XXX虚拟化安全威胁分析
虚拟服务器基础架构除了具有传统物理服务器的风险之外,同时也会带来其虚拟系统自身的安全问题。
新安全威胁的出现自然就需要新方法来处理。
通过前期调研,总结了目前XXX虚拟化环境内存在的几点安全隐患。
Ø
虚拟机之间的互相攻击----由于目前XXX仍对虚拟化环境使用传统的防护模式,导致主要的防护边界还是位于物理主机的边缘,从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。
随时启动的防护间歇----由于XXX目前大量使用H3CCAS的服务器虚拟化技术,让XXX的IT服务具备更高的灵活性和负载均衡。
但同时,这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。
如,某台一直处于关闭状态的虚拟机在业务需要时会自动启动,成为后台服务器组的一部分,但在这台虚拟机启动时,其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。
系统安全补丁安装-----目前XXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。
虽然虚拟化服务器本身有一定状态恢复的功能机制。
但此种做法仍有一定安全风险。
1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。
2.集中的安装系统补丁,前中后期需要大量人力,物力和技术支撑,部署成本较大。
防病毒软件对资源的占用冲突导致AV(Anti-Virus)风暴----XXX目前在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装Offiescan防病毒客户端的方式进行病毒防护。
在防护效果上可以达到安全标准,但如从资源占用方面考虑存在一定安全风险。
由于每个防病毒客户端都会在同一个物理主机上产生资源消耗,并且当发生客户端同时扫描和同时更新时,资源消耗的问题会愈发明显。
严重时可能导致CAS服务器宕机。
通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护,但是虚拟环境中新的安全威胁,例如:
虚拟主机之间通讯的访问控制问题,病毒通过虚拟交换机传播问题等,传统的安全设备无法提供相关的防护,亚信安全提供创新的安全技术为虚拟环境提供全面的保护。
3.XXX虚拟化防护必要性
XXX的虚拟服务器服务器一直承载着最为重要的数据,因此,很容易引起外来入侵者的窥探,遭入侵、中病毒、抢权限,各种威胁都会抓住一切机会造访服务器系统。
XXX针以前针对服务器采用集中管理、集中防护的措施,通过传统安全技术在网络侧建立安全防线,如防火墙技术、防病毒技术、入侵检测技术……各种安全产品开始被一个一个地加入到安全防线中来。
目前XXX为了降低硬件采购成本,提高服务器资源的利用率,引进服务器虚拟化技术对现有应用服务器的计算资源进行整合,使现有建立的安全防线面临挑战!
服务器虚拟化后不但面临着传统物理实机的各种安全问题,同时由于虚拟系统之间的数据交换,以及共享的计算资源池,导致传统的安全技术手段很难针对虚拟系统提供防护,另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维,导致与引入服务器虚拟化的初衷相违背。
通过上一章节的威胁分析发现,为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。
因为传统安全技术应用到虚拟服务器防护存在短板效应:
任何一点疏忽,都会让XXX整个信息系统的安全防线功亏一篑,带来经济和企业名誉的损失。
更何况,这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统,但它们终究无法应对虚拟系统面临新的安全威胁,所以需要采用创新的安全技术才能完善XXX信息安全防护体系的基础架构,同时具备对最新安全威胁的抵抗力,降低安全威胁出现到可以真正进行防范的时间差,提高服务器的安全性和抗攻击能力,从而提供业务系统应用的可用性。
4.亚信虚拟化安全解决方案
亚信安全针对虚拟环境提供全新的信息安全防护方案——DeepSecurity,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁等功能实现虚拟主机和虚拟系统的全面防护,并满足信息系统合规性审计要求。
针对银行证券的服务器虚拟化面临的风险,建议采用亚信安全的虚拟化解决方案,构建虚拟化平台的基础架构多层次的综合防护。
病毒防护防护
传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中,在整合服务器虚拟化后,要实现针对病毒的实时防护,同样需要在虚拟主机的操作系统中安装防病毒Agent程序,但是服务器虚拟化的目的是整合资源,最大化的发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,例如:
一台服务器虚拟6台主机,传统方法将Agent需要安装6套,并且在制定扫描任务就需要消耗虚拟主机的计算资源,这种方式并没有达到节约计算资源的效果,反而增加了计算资源的消耗,并且在病毒库更新是带来更多的网络资源消耗。
亚信安全针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题,通过使用虚拟化层相关的API接口实现全面的病毒防护。
由于XXX为H3CCAS虚拟化环境所以将针对这个系统进行描述,具体如下:
•针对H3CCAS虚拟系统,实现底层无代理病毒防护
亚信安全针对H3CCAS虚拟系统中接口实现针对虚拟系统和虚拟主机之间的全面防护,无需在虚拟主机的操作系统中安装Agent程序,即虚拟主机系统无代理方式实现实时的病毒防护,这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,最大化利用计算资源的同时提供全面病毒的实时防护。
访问控制
传统技术的防火墙技术常常以硬件形式存在,用于通过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。
亚信安全DeepSecurity防火墙提供全面基于状态检测细粒度的访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。
DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。
入侵检测/防护
同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。
然而,随着虚拟化技术的出现,许多安全专家意识到,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。
例如,由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。
类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。
基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源,使得安装安全代理软件变得不那么理想。
亚信安全DeepSecurity在H3CCAS的VMsafe接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。
DeepSecurity除了提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的(policy-based)监控和分析工具,使DeepSecurity更精确的流量监控、分析和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。
亚信安全DeepSecurity同时虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。
虚拟补丁防护
随着新的漏洞不断出现,许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。
另外,操作系统及应用厂商针对一些版本不提供漏洞的补丁,或者发布补丁的时间严重滞后,还有最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。
亚信安全DeepSecurity通过虚拟补丁技术完全可以解决由于补丁导致的问题,通过在虚拟系统的接口对虚拟主机系统进行评估,并可以自动对每个虚拟主机提供全面的漏洞修补功能,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。
亚信安全DeepSecurity的虚拟补丁功能既不需要停机安装,也不需要进行广泛的应用程序测试。
虽然此集成包可以为IT人员节省大量时间。
5.XXX虚拟化安全部署方案
5.1.H3CCAS平台部署方案
亚信安全服务器虚拟安全解决方案针对H3CCAS虚拟平台提供无代理的安全防护措施,在每台物理实机的H3CCAS中部署趋势DeepSecurity软件,就为每台虚拟主机的多层次安全防护,包括:
防病毒功能、访问控制功能、虚拟补丁、攻击防御等。
XXXH3CCAS平台下采用物理服务器多台,需要部署亚信安全DeepSecurity后,无需在虚拟主机操作系统中Agent程序就可以实现基础的多种防护功能。
5.2.趋势虚拟安全方案集中管理
亚信安全虚拟化安全解决方案——DeepSecurity采用C/S结构,管理员通过浏览器就可以实现DeepSecurity的管控,DeepSecurity服务器支持管控H3CCAS系统,并且支持H3CCAS的集中控管,在提供最大化的服务器基础防护的同时大大提高了管理的便捷性。
5.3.XXX虚拟化防护解决方案拓扑
目前XXX内主机运行虚拟化环境,DeepSecurity对这些CAS和虚拟机进行统一的安装防护和管理。
DeepSecurity防护结构具体如下图:
6.亚信安全DeepSecurity介绍
6.1.DeepSecuirty架构
•DeepSecurityVirtualAppliance 在H3CCAS虚拟机器上提供无代理的病毒查杀,IDS/IPS、网络应用程序保护、防火墙保护,透明化地加强安全策略。
•DeepSecurityManager 功能强大的、集中式管理,是为了使管理员能够创建安全设定档与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器,安全更新和生成报告。
新事件标注功能简化了管理的高容量的事件。
6.2.DeepSecuirty主要优势
预防数据破坏及营运受阻
•提供无论是实体、虚拟及云端运算的服务器防御
•防堵在应用程序和操作系统上已知及未知的漏洞
•防止网页应用程序遭SQLInjection及Cross-site跨网站程序代码改写的攻击
•阻挡针对企业系统的攻击
•辨识可疑活动及行为,提供主动和预防措施
协助企业遵循PCI及其它法规和准则
•满足6大PCI数据安全准则及一系列广泛的法规遵循需求
•提供详细的审核报告,包含已防止攻击和政策符合状态
•减少支持审核所需的准备时间和投入
达到经营成本的降低
•透过服务器资源的合并,让虚拟化或云端运算的节约更优化
•透过安全事件自动管理机制,使管理更加简化
•提供漏洞防护让安全编码优先化及和弱点修补成本有效化
•消除了部署多个软件客户端与集中管理、多用途的软件代理或虚拟装置所产生的成本
6.3.DeepSecuirty模块
病毒防护
•集成H3CCAS最新的技术接口,使虚拟机无需任何安装就能对病毒、间谍软件、木马等威胁进行查杀
•优化虚拟机上并发的全盘扫描、病毒库更新时对虚拟服务器产生大量的资源消耗
•防病毒模块能将复杂、高端的攻击有效隔离
深度封包检查
•检查所有未遵照协议进出的通信,内含可能的攻击及政策违反
•在侦测或预防模式下运作,以保护操作系统和企业应用程序漏洞
•能够防御应用层攻击、SQLInjection及Cross-site跨网站程序代码改写的攻击
•提供有价值的信息,包含攻击来源、攻击时间及试图利用什么方式进行攻击
•当事件发生时,会立即自动通知管理员
入侵侦测和防御
•防堵已知漏洞来抵挡已知及零时差攻击,避免无限制的攻击
•每小时自动防堵发现到的最新漏洞,无须重新开机,即可在几分钟内就可将防御部署至成千上万的服务器上
•提供数据库、网页、电子邮件和FTP服务器等100多个应用程序的漏洞保护
•智能型防御规则提供零时差的保护,透过检测不寻常及内含病毒的通讯协议数据码,以确保不受未知的漏洞攻击
双向状态防火墙
•减少的实体、云端运算及虚拟服务器被攻击的机会
•集中管理服务器防火墙政策,包括最常见的服务器类型
•微粒的筛选特色(IP与MAC地址、通讯端口),可针对每个网络设计不同的接口和位置政策
•防止DDos攻击,提供事先弱点扫描侦测
•可保护所有基于IP通讯协议(TCP、UDP、ICMP等)和所有框架类型(IP、ARP等)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 虚拟 解决方案 模板