5数据中心安全管理解决方案无代理防病毒.docx
- 文档编号:30129708
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:18
- 大小:1.10MB
5数据中心安全管理解决方案无代理防病毒.docx
《5数据中心安全管理解决方案无代理防病毒.docx》由会员分享,可在线阅读,更多相关《5数据中心安全管理解决方案无代理防病毒.docx(18页珍藏版)》请在冰豆网上搜索。
5数据中心安全管理解决方案无代理防病毒
XXXX公司
数据中心安全管理解决方案
(AgentlessAV)
赛门铁克软件(北京)有限公司
2022年4月27日
1数据中心面临的安全问题
随着技术和进步和产业的发展,软件定义的数据中心(SDDC)被应用的领域也越来越广泛,它有效降低了成本、提高了资源利用率、提升了运维效率,已经成为数据中心的发展方向。
由于大量使用了虚拟化技术,使得过去常规的安全手段已经无法有效解决日益突出的安全问题。
1.1数据中心安全面临的挑战
根据IDC的报告,现有的网络与安全体系结构对虚拟数据中心的束缚主要体现在如下几个方面,是常规安全手段无法解决的。
1.1.1管理复杂
随着信息技术的发展,数据中心规模越来越大。
数据中心已经成为了人们工作、生活赖以生存的重要部分。
数据中心的管理复杂度主要体现在一下几个方面:
(根据用户的实际需求进行变更)
1)管理集中,数据中心要通过一个运维平台来统一管理。
2)策略频繁变更,因为虚拟机的不断删除、重建,导致安全策略需要不断的调整,带来了巨大的管理工作。
1.1.2技术威胁
1)安全边界模糊
传统数据中心安全域划分,根据安全域等级进行网络分层和访问控制,网络管理和系统管理职能分开,彼此制约。
但在软件定义环境下,安全边界趋于模糊,通过逻辑划分实现逻辑控制,如何组织GuestVM,如何控制GuestVM在本安全域和安全域之间互访,成为难题,动态的边界变化,很难保证访问控制的有效性,传统的基于边界防护的解决方案已经无法满软件定义数据中心的需求。
2)渗透简单
传统数据中心,业务数据大多保存在结构化系统中,获取数据需要多层授权控制,并通过复杂的查询过程进行,受控程度高。
软件定义环境下,信息承载和存在形式从结构化变成了非结构化,对外透明,带来了信息泄漏、窃取、篡改、误操作等新的数据安全风险
3)威胁扩散速度快
传统数据中心,安全问题分布在网络、系统、应用等各个层面,威胁的扩散依赖于威胁自身的传播能力,分而治之,扩散风险可控。
但在软件定义环境下,带来了安全威胁的快速复制和扩散风险,比如GuestVM的镜像、拷贝、分发等,安全威胁可以从源头快速扩散,APT攻击的可能和危害更大。
4)AV(Anti-Virus)扫描风暴
在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装Symantec防病毒客户端的方式进行病毒防护。
在防护效果上可以达到安全标准,但如从资源占用方面考虑存在一定安全风险。
由于每个防病毒客户端都会在同一个物理主机上产生资源消耗,并且当发生客户端同时扫描和同时更新时,资源消耗的问题会愈发明显。
严重时可能导致NSX服务器宕机。
1.2客户问题描述及分析
1.2.1客户背景
(此段详细描述用户数据业务目标,网络及主机结构,采用的主要技术等)
1.2.2面临的挑战
(此段详细描述用户面临的挑战及问题,管理和技术两个维度)
通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护,但是虚拟环境中新的安全威胁,例如:
虚拟主机之间通讯的访问控制问题,病毒通过虚拟交换机传播问题等,传统的安全设备无法提供相关的防护,赛门铁克提供全新安全技术为数据中心环境提供全面的保护。
2虚拟环境Agentless防毒解决方案
2.1方案概述
DataCenterSecurity(DCS)是Symantec针对数据中心安全所提供的新一代安全解决方案,用户可以通过DCS解决虚拟化环境、物理环境中所面临的安全威胁。
DCS架构参考下图:
在虚拟化环境中DCS通过SVA(SecurityVirtualAppliance)交付主机恶意代码安全防护服务,并在vSphere环境中提供基础架构保护,包括vCenter平台加固与ESXi主机监控服务。
对于安全需求较高的主机(无论是虚拟主机还是物理主机)提供基于本地代理AdvancedAgent的主机安全加固能力,区别对待不同重要性的虚拟主机。
2.1.1防护能力
●无代理的恶意代码防护能力
DCS安全解决方案提供面向SDDC(softwaredefinedatacenter)的恶意代码防护能力。
DCS有效的与VMwarevSphere和VMwareNSX融合,向客户提供无安全代理的病毒及恶意代码防护能力。
恶意代码防护服务及能力的交付跟随虚拟资源组的变化而变化,业务的上线时间将不在受到复杂的安全措施及策略配置所影响。
SymantecDCS提供了业界领先的恶意代码防护技术,可作为软件定义数据中心的基础安全服务交付给所有的系统使用,作为一种永不下线的安全服务无缝保护所有数据中心的主机。
●基于主机代理的安全加固与主动防御能力
DCS在基于代理的系统上提供的防护能力是系统安全锁定防护,这种防护措施基于操作系统代理部署,建议部署于关键业务的虚拟或物理服务器,提供主动的安全防护措施。
DCS安全防护基于白名单机制,不同于防病毒等黑名单机制,更加适用于功能任务相对单一、维护变更较少的服务器环境。
DCS可有效抵御零日漏洞的攻击,减少补丁管理的成本。
2.1.2防护原理
DCS是基于代理的沙盒技术进行安全防护;应用只需要有限的资源以完成相关工作,但大多数程序拥有远远超出其自身要求的资源,恶意的入侵攻击常常利用这些空隙逐步完成系统的渗透。
如下图所示,用户、程序、参数、行为、资源,只有从左到右是一个“通路”这样的资源访问才是允许的。
相当于将系统每一个允许的行为限制在一个沙盒中,超出沙盒的资源或行为是明确禁止的。
不必去穷举所有的恶意行为,只需要将明确允许的行为即可保证系统安全稳定运行。
DCS系统自带了大量的沙盒,用户只需要勾选自己需要的沙盒即可完成策略配置。
在实际环境中常常会发现某个应用程序存在漏洞,但由于应用可用性要求或者应用只能在该版本下运行导致无法对该漏洞进行补丁更新,这时DCS就可提供基于自定义应用的保护策略,实现对该应用的最小化资源权限保护,相对于补丁安全成本更低风险更小,因为DCS的策略可以回退,而补丁安装失败一般是不可回退的。
这一点对系统的可用性至关重要。
SymantecDCS提供了一套按需的数据中心安全防护套件,交付VMwareSDDC环境中的安全服务集成与基础架构保护。
这只是Symantec面向数据中心安全整合的一部分,Symantec将不断提供更多类型的安全服务能力帮助用户搭建面向快速应用交付、弹性化、智能化的软件定义数据中心。
2.1.3解决的主要问题
(根据用户的实际需求进行调整)
1)虚拟化数据中心防病毒
2)降低存储资源占用
3)降低防病毒计算资源
2.2方案架构
方案架构如下图所示:
2.2.1方案说明
1)本方案需要客户已经具备VMwareNSX。
2)部署一套DCS管理控制台,用于管理无客户端日志和SVA注册。
3)用户的ESXi主机需要统一接受一个VCenter中心管理,并通过VCenter中心对每一台主机分别自动部署VMwareEndpoint和SymantecSVA虚拟应用,这些虚拟应用将在每个物理主机上自动部署;如果需要添加一台物理主机后,当新加ESXi物理主机接受VCenter管理平台管理后,将自动生成自动部署SVA虚拟应用和VMwareEndpoint。
4)在一台虚拟化环境的主机上,选择一台GuestOS安装Agent用以如下防护:
2.2.2无Agent病毒防护
针对于不论是终端还是服务器的虚拟化,安全管理是一项费时费力的工作,服务器和端分布广泛,种类繁多,难于管控。
传统的安全防护手段需要在终端或者服务器上上部署代理程序,保证这些代理始终有效且能得到及时更新,是一项充满挑战的工作,很多企业为此不得不应用终端管理和网络准入控制等解决方案来保证终端的可控。
虚拟化和云计算时代的到来,彻底的改变了这种局面。
虚拟基础架构为企业计算环境带来了新的管控手段,使无代理安全防护成为可能。
VMwareNSX彻底革新了大家固有的如何保护客户虚拟机免受病毒和恶意软件攻击的观念。
该解决方案优化了防病毒及其他端点安全保护功能,可以更高效地工作于VMware环境下的安全防护。
VMwareNSX通过将病毒扫描活动从各个虚拟机,转移到VMwareEndpoint虚拟机中接管安全虚拟设备来提高性能。
安全虚拟设备能够持续更新防病毒特征码,为主机上的虚拟机提供无中断保护。
2.2.3有Agent安全加固
针对虚拟化VM虚机客户端,通过采用无客户端的方式进行防护,但是承载这些虚拟化的物理主机以及其它物理主机安全,将是我们面临有一个威胁,如何有效的管理和控制这些物理机和虚拟宿主机,也将是我们面临有一个挑战,Symantec在数据中心也提供相关的解决方案。
2.3方案优势
1)简化部署
虚拟化技术能够帮助管理员快速而又简单地完成系统部署工作,通过虚拟机模板来部署新系统是一项轻松愉快的工作,采用无代理模式,管理员无需在模板机中部署和更新代理程序,可以更好地保障虚拟机的合规性,减少虚拟机的体积和管理工作量。
SVA和VMwareEndpoint是在每台物理服务器上自动部署两个安全虚拟设备,通过两个虚拟设备控制病毒传输,阻止病毒传播。
2)简化管理
维护好终端和服务器,特别是维护好服务器内部的安全代理是管理员的重要工作之一,代理模式下,管理员要随时监视各终端上代理的状态,及时发现无代理、代理功能不正常和代理陈旧等问题。
防护不到位的终端会对整个网络的安全状况造成非常大的影响。
采用无代理模式,这一部分的管理工作量就不存在了。
增加的工作是对安全虚拟设备(SVA)和VMwareEndpoint的管理,据前述,管理工作量仅是代理模式的几分之一到几十分之一。
3)避免病毒扫描风暴
安全代理在执行病毒扫描操作时会占用较多的主机资源,在虚拟基础架构中,病毒扫描对性能的影响更为显著。
虚拟机启动,周期性例行扫描或蠕虫病毒流行时,如果不能对扫描行为进行有效控制,就可能导致病毒扫描风暴,严重影响业务系统的性能,甚至导致服务中断。
在无代理模式下,运行于同一物理服务器上的多台虚拟机的扫描工作统一进行调度,资源占用得到有效控制,消除了病毒扫描风暴的发生。
4)减少资源占用
运行在主机上的安全代理会占用主机的CPU,内存和磁盘资源,引擎和病毒定义的更新会占用网络资源。
近几年来,恶意程序迅猛增长,防病毒产品和病毒定义文件的体积越来越大,尽管安全厂商不断引入新技术来降低安全代理对主机的影响,仍然不能有效地解决这一问题。
无代理模式下完全不存在这种问题,当终端数量较大时,节省的资源数量将非常可观。
图:
有客户端和无客户端终端保护的资源占用对比
上图为有客户端和无客户端终端保护的资源占用对比,右图为无客户端方式,资源占用非常少。
5)随时保持最新
传统模式下,如果主机经常关机或离线,则安全产品无法得到及时更新,当主机再次开机或联线时,系统非常容易受到感染和破坏。
0Day攻击越来越多,如果不能保证防病毒产品和病毒定义的实时更新,防护效果就会大打折扣。
采用无代理模式,只要保证安全虚拟设备(SVA)随时在线,及时更新就可以了。
6)更高的密度,更低的成本
前面介绍过,无代理模式可以在很大程度上节省资源占用,完全消除病毒扫描风暴,因此可以提高部署密度,节省硬件采购成本。
此外,针对虚拟化平台的无代理安全防护产品,通常会提供基于物理CPU的授权模式,按这种授权方式购买产品,要比按部署节点数量来购买要经济得多。
部署密度越高,性价比越高。
7)更好的安全性
很多恶意程序把安全产品作为攻击目标,安全产品必须具备良好的自我保护功能,但是这种自我保护功能并不是百分百有效,安全产品一旦感染了恶意代码,不仅起不到防护作用,还会加快恶意代码的传递。
无代理模式下消除了这种隐患。
安全虚拟设备(SVA)采用经过整固的专用系统,安全级别较高,从而显著提升了无代理模式下的整体安全性。
8)效率更高
在无代理模式下,物理主机是安全防护的基本单位,运行于一台物理主机上的全部虚拟机之上所产生的活动都由部署于该物理主机上的安全虚拟设备(SVA)负责监控。
当多台虚拟机执行相同活动时,SVA可以利用缓存技术加速扫描,提高扫描效率,特别是那些重复存在于多台虚拟机中的操作系统和应用程序文件,扫描性能会有很大提升。
3DCS核心技术介绍
3.1无代理防病毒技术
DCS安全解决方案提供面向SDDC(softwaredefinedatacenter)的恶意代码防护能力。
DCS有效的与VMwarevSphere和VMwareNSX融合,向客户提供无安全代理的病毒及恶意代码防护能力。
恶意代码防护服务及能力的交付跟随虚拟资源组的变化而变化,业务的上线时间将不在受到复杂的安全措施及策略配置所影响。
SymantecDCS提供了业界领先的恶意代码防护技术,可作为软件定义数据中心的基础安全服务交付给所有的系统使用,作为一种永不下线的安全服务无缝保护所有数据中心的主机。
3.2沙箱技术
系统运行的每一个程序只需要有限的系统资源即可完成,但是在系统中程序通常拥有比自家大得多的权限,恶意程序刚好利用这些多余的资源发起对系统的攻击。
如下图所示,沙箱技术是对每一个程序或程序集合根据需要分配可以完成系统正常运行的资源,策略定义外的资源禁止访问。
沙箱技术通过对系统资源的惊喜力度控制,改变了原来系统粗粒度的资源控制的不足。
3.3基于白名单的最小权限管理
对于运行核心业务或专用业务的服务器,其运行任务单一,需要业务长期、稳定、不间断的运行。
因传统的基于特征库升级、打补丁等技术已经不能满足客户的业务需求。
未知的威胁不断变化,基于特征库的防护无法有效防御0-Day威胁。
但在这些业务单一的服务器上面,我们明确知道什么业务是运行运行的,这就是白名单技术。
将系统每一个允许的程序放入一个沙箱,只允许指定的应用访问指定的系统资源,其他访问定位为非法访问。
4配置清单和系统运行环境要求
4.1方案配置清单
项目
名称
功能描述
说明
1
DCS管理服务器
中央控制台,进行策略的集中设定/下发,事件的统一查看审计,代理的统一管理等
部署在物理或虚拟windows2008服务器上
2
Agent
基于Agent部分,可以部署在windows、Linux、Unix等多种平台
每台客户机器部署一个
备注:
4.2运行环境要求
项目
名称
说明
数量
1
VMwarevCenterServerAppliance
集中管理VMware的ESXi主机
1
2
NSXManager
VMware新一代网络虚拟化产品
1
3
WindowsServer2008R2
要求8G内存以上,建议16G,两个双核以上CPU,300G以上硬盘;物理机或虚拟机
用于部署DCS管理服务器
1
备注:
5支持和服务
5.1服务水平阐述
赛门铁克公司在中国已经有十多年的专业服务历史,为众多国内的大型企业提供企业安全防护建设、部署和维护服务,包括:
中国石油天然气总公司、中国石油化工总公司、中国海洋石油总公司,中国人民银行、中国人寿、中国工商银行、中国建设银行、等在全国拥有三级以上分支机构的单位。
在省一级的项目当中,赛门铁克公司参与了金融、电力、电信、税务、工商、烟草等各种行业的许多省终端安全体系部署和服务。
赛门铁克公司有一整套成熟的、合理的、有效的服务体系,并投入了巨大的人员和资金在全球构建了服务支撑系统。
专业防病毒服务机构:
●安全响应中心
●客户服务中心
●安全合作服务商
5.2安全响应中心
赛门铁克安全响应中心(SymantecSecurityResponseCenter)是全球最大的安全响应中心,其使命是:
●实时维护最全面的漏洞数据库(2700+个系统,11000+版本)。
●在全球范围内实时监控各种网络安全和攻击事件(在130+个国家,为15000+家企业提供安全外保服务,帮助企业实时监控网络中的安全事件和攻击并加以分析;对超过190000个互联网站进行攻击事件的搜集)。
●利用网络蜘蛛技术和启发式扫描技术,365×7×24在全球互联网上搜捕恶意代码和病毒样本。
●针对最新发现的各种商用系统和设备的漏洞、网络中的各种攻击方式和病毒样本等互联网威胁,提供全球性的安全信息发布和立即的解決方案。
全球用户可以通过互联网获得帮助。
●接受全球用户的安全事件提交,为用户提供快速响应。
●主动积极地研究与开发新技术以面对未來的安全威胁。
●教育大众有关安全使用计算机的方式。
5.3企业客户服务中心
赛门铁克在北京建立了全球同步的企业客户服务中心,主要负责向在中国地区使用赛门铁克产品的企业客户提供产品技术支持和安全事件响应。
包括:
●热线支持:
电话支持作为用户获得服务的首选手段或方式,在用户遇到无法处理的问题时,应首先拨通赛门铁克客户服务中心服务热线。
●网站/电子邮件/传真支持:
企业用户可以通过发送电子邮件获得有针对性技术问题的支持,也可以浏览赛门铁克网站获取一系列服务、产品信息和技术支持。
用户可以在第一时间获得重大的安全事件、处理建议与方法的信息,定期浏览或遇到紧急安全事件时,通过网站获得帮助是非常有效的。
赛门铁克的联机交互式问题解决程序可以帮助用户解决和回答许多问题。
产品知识库使用户能够搜索上千个赛门铁克技术支持人员用来回答客户问题的文档。
常见问题(FAQ)文档列出了客户最常问到的问题以及对产品的解答。
●病毒应急服务:
赛门铁克安全响应中心7×24×365监控全球的威胁与病毒情况,在突发性恶意病毒爆发期间,将根据病毒发展趋势24小时内不断更新解决方案。
客户服务中心也会保持与用户的联系,随时处理紧急情况。
5.4企业技术支持服务体系
赛门铁克企业技术支持服务提供灵活的解决方案组合,旨在帮助客户优化IT基础架构和管理风险,并为客户提供广博的专业知识、创新的支持技术以及周到的服务。
1)关键业务服务(BusinessCriticalService)
此服务为赛门铁克最高响应级别的服务类型,由精英级技术专家提供积极主动的个性化支持,并由单点联系人进行协调。
2)基础支持(EssentialSupport)
此服务提供赛门铁克技术专家全天候支持(响应速度比基本维护(BasicMaintenance)要快),并且可以获得所有产品升级。
3)基本维护(BasicMaintenance)
包括产品升级和工作时间技术支持。
企业技术支持服务解决方案一览表
企业技术支持服务
基本维护(BasicMaintenance)
基础支持(EssentialSupport)
关键业务服务(BusinessCriticalService)
远程产品专家
数据中心
国家
全球
一级严重性事件初始响应时间目标
1小时
30分钟
15分钟
15分钟
15分钟
15分钟
电话咨询支持工程师
工作时间上午9点到下午6点
24x7x365
24x7x365
24x7x365
24x7x365
24x7x365
电话支持优先服务
可下载软件升级、更新和补丁程序
指定联系人
每个产品系列2名
每个产品系列6名
每个产品系列6名
不受限制
不受限制
不受限制
远程产品专家
关键业务客户经理(BCAM)
远程BCAM
指定的BCAM
全球BCAM
关键业务工程师(BCE)
现场支持(迅速抵达现场)
2
6
20
为客户量身定制支持服务
季度客户评审
客户案例跟踪报告
网络链接评估
选项
安全警报
获得技术支持服务教育资源
赛门铁克教育技能评估服务
赛门铁克教育服务优惠
赛门铁克预警服务
DeepSight警报服务
DeepSight威胁管理系统
DeepSight威胁管理系统
DeepSight威胁管理系统
升级支持
选项
选项
灾难恢复测试支持
选项
选项
下表是赛门铁克根据支持服务解决方案及严重性级别所制定的服务水平目标,包括初始响应、恢复客户运营和交付解决方案的时间目标。
支持解决方案
基本维护(BasicMaintenance)
(地区工作时间)
基础支持(EssentialSupport)
(24x7x365)
“确认”客户的联系人
15分钟内
15分钟内
服务水平
一级严重性
得到“确认”后,由技术支持工程师提供“初始响应”
1小时工作时间内
30分钟内
提供“初始响应”的方式
回拨
实时呼叫转接或回拨
“恢复客户运营”时间目标
18小时工作时间内
8小时内
“交付解决方案”时间目标
10天内
8天内
服务水平
二级严重性
得到“确认”后,由技术支持工程师提供“初始响应”
4小时工作时间内
2小时内
提供“初始响应”的方式
回拨
实时呼叫转接或回拨
“交付解决方案”时间目标
10天内
10天内
服务水平
三级严重性
得到“确认”后,由技术支持工程师提供“初始响应”
下一个工作日内
截止到下一个工作日的同一时间
提供“初始响应”的方式
回拨
回拨
“交付解决方案”时间目标
25天内和/或下一次软件更新时
20天内和/或下一次软件更新时
服务水平
四级严重性
得到“确认”后,由技术支持工程师提供“初始响应”
2个工作日内
下一个工作日内
提供“初始响应”的方式
回拨
回拨
“交付解决方案”时间目标
根据以后软件更新的安排
根据以后软件更新的安排
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 安全管理 解决方案 代理 防病