亚信安全Deep Security for VMware 产品方案
亚信安全服务器深度防御系统
Deep Security 支持 vSphere 5.1 平台
5286
6000 多
2013年
2014年
Deep Security 9 具有 建议扫描功能
Deep Security 9.5 与NSX 和 vCenter Operations
manager集成
2nd_E
3rd_E
4th_E
13:11:35 13:16:44 13:22:25
CPU占用
内存占用
(实时扫描) (手动扫描)
5th
3’30’
5th_s
13:56:45
5th_E
14:00:15
平均
3’42’
1.69%
8.00%
最低
3’30’
1.65%
最高
4’20’
1.78%
WinXP SP3 vm性能数据
实现
软件化平台化
2013年
与 VMware 相伴的创新和成长史
自 2010 年第 4 季度以来,亚信安全– VMware 的合作客户增长情况
2009年
382 2010年
2159 2011年
3671 2012年
Deep Security 7 支持网 络安全检测功能
Deep Security 7.5 率先 支持 VMware vShield
统管理账户
统管理账户
总公司系统 管理账户
北京分公司系 上海分公司系 广东分公司系
统管理账户
统管理账户
统管理账户
vCloud vCenter
Deep Security Manager
中国某集团总公司 虚拟化资源池
亚信DeepEdge技术白皮方案
云边界防护网关产品方案目录1.网络安全威胁现况概述 ..................................................................................................................1.1.全球网络威胁概述 ...................................................................................................................1.2.中国网络威胁概述 ...................................................................................................................2.深度威胁安全网关需求 ..................................................................................................................2.1.高级内容防护功能 ...................................................................................................................APT侦测及防护................................................................................................................恶意软件防护 ....................................................................................................................零日漏洞及虚拟补丁防护 ................................................................................................VPN 内容过滤..................................................................................................................邮件病毒过滤 ....................................................................................................................间谍软件/灰色软件...........................................................................................................网络钓鱼 ............................................................................................................................2.2.所有防护功能随时全开的性能 ...............................................................................................2.3.中国威胁与应用支持 ...............................................................................................................2.4.高效率的终端与服务器防护 ...................................................................................................2.5.完全自主可控的安全技术 .......................................................................................................3.深度威胁安全网关防护方案 ..........................................................................................................3.1.深度威胁安全网关防护规划 ...................................................................................................3.2.Deep Edge产品介绍 .............................................................................................................3.3.Deep Edge 部署结构图与案例 ............................................................................................网桥模式(透明模式) ....................................................................................................路由模式 ............................................................................................................................监控模式 ............................................................................................................................多ISP/WAN模式.............................................................................................................多网桥模式 ........................................................................................................................3.4.Deep Edge产品技术特征与优势 .........................................................................................全新的系统架构,功能和性能的全面提升 ....................................................................全面集成业界领先SPN云端安全方案 ..........................................................................更全面更深入的内容安全防护技术 ................................................................................确保所有防护功能随时全开的尖端性能 ........................................................................跨物理架构、虚拟化架构及云架构的全方位部署能力 ................................................业界No.1的APT侦测及防护技术................................................................................业界首创并广泛使用的服务器与终端防护利器——虚拟补丁技术............................全球IPS核心技术的提供商 ............................................................................................高性能扫描引擎 ................................................................................................................更先进的基于内容的防火墙策略 ....................................................................................业内领先技术提供双向的,深度的,全面的内容安全防护 ........................................全球领先的防病毒技术 ....................................................................................................领先的web信誉防护技术 ..............................................................................................领先的URL过滤技术.......................................................................................................综合的邮件信誉防护及邮件隔离解决方案 ....................................................................业界领先的僵尸网络防护技术 ........................................................................................完整的简便的网络连接功能 ............................................................................................全面支持VPN典型应用场景..........................................................................................高度灵活便捷的部署场景 ................................................................................................简化的策略管理 ................................................................................................................可扩展的无线安全防护 .................................................................................................... 强大的日志管理和报表功能 ............................................................................................ 全面的安全可视化及关注点分析 .................................................................................... 高可靠性及冗余性设计 .................................................................................................... 优化平台,实现轻松管理 ................................................................................................ 不会过时的系统设计与技术 ............................................................................................ 最大程度降低防护成本 .................................................................................................... 全球唯一拥有所有核心技术的安全厂商,确保技术领先和自主可控 ........................1.网络安全威胁现况概述1.1.全球网络威胁概述全球恶意软件测试组织 的2012年纪录显示, 每年的全球病毒与恶意软件数量持续增长并有加速的趋势。
亚信安全助力中科院虚拟化安全管理,为Citrix云桌面提供“无代理”安全加速客户需求
软件 攻击 中 从 容 有 序 地 完 成 主 机 加 固 工 作 。对 于 整个 项 目而 言 ,其 最 大 价 值 在 于 提 升 虚 拟 化 投 资 收
益率 ,完 全 达 到 了预 期 的 虚 机 密 度 ,服 务 器 硬 件 投
入也 比“有 代 理 ”方式 节省 了 80% 。
—
—
中科 院机 关信 息 化主 管领 导
囝
中潮斜孽 觅
《 l 霹蕊骣 ^《^
ቤተ መጻሕፍቲ ባይዱ
蚂
近 年来 ,虚 拟化 桌 面正 在 逐 步取 代 PC,成 为 办 公环 境 中的 主流 配 置 ,但 同时 产 生 的虚 拟 化 防 毒 问 题 ,却 对用 户 的数 据 资 产 构成 了严 重 的威 胁 。有 鉴 于 此 ,中 国 科 学 院 院 部 机 关 在 大 规 模 应 用 Citrix XenDesktop桌 面 虚拟 化 技 术 之 后 ,随 即 部 署 亚 信 安
解 决 方案
以亚 信 安 全 服 务 器 深 度 安 全 防 护 系 统 (Deep Security)为 方案 核 心 ,全 面 兼 容 Citrix虚 拟 化平 台 , 通 过 “无 代 理 ”部 署 特 性 避 免 了 防 毒 风 暴 (AV Storm)的产生 ,大 幅提 升 虚拟 机 密度 。 同时 ,利用 虚 拟 补 丁等 等创 新 技 术 ,为 云 桌 面 提 供 360度 的安 全 防护屏 障 。
院部相 关 技术 负 责 人 表示 :“在 前 期 规 划 中 ,我 们 希 望实 现 ‘1:40’或是 更 高 的虚 机 密 度 ,但 将 原 有 的防 毒软 件迁 移 过来 之 后 却 发 现 ,如 果 在 每 一 个 映 像 中安装 传统 的防毒 软 件 ,在 终 端 同 时 进 行 病 毒 扫 描 时 ,服务 器 CPU、内存 、磁 盘 等 都 会 产 生 极 高 的 负 载 ,用 户 终端 应 用 异 常 缓 慢 。 此 外 ,‘休 眠 ’状 态 下 的虚 机也 不在 传 统 防毒 软 件 的 管理 范 围 ,这 些 系 统 在 启 动 时 ,会 集 中 更 新 防 毒 病 毒 代 码 和 补 丁 ,由此 产生 的高 额 流 量 很 容 易 造 成 网 络 拥 堵 。 为 了 解 决 以上 问题 ,我 们 必 须 寻 找 一 种 全 面 兼 容 Citrix平 台 的安 全方 案 ,为 云 桌 面 提 供 极 致 体 验 ,确 保 未 来 两 年 内实 现所有 桌 面终 端 虚拟 化 的 目标 。”
亚信安全与华云数据完成产品兼容互认证 推出“云安全防护联合解决方案”
亚信安全与华云数据完成产品兼容互认证推出“云安全防护联合解决方案”近日,亚信安全宣布旗下亚信安全服务器深度安全防护系统Deep Security与华云数据的国产通用型云操作系统安超OS 2020完成产品兼容性互认证。
本次兼容性互认联合测试结果显示:产品间互相兼容,系统功能稳定运行,性能表现优异,能够满足政企用户安全、可靠需求。
此外,双方还在此基础上展开进一步合作,联合推出“云安全防护联合解决方案”,为企业级用户提供安全稳定的云端业务环境,为数字化业务提供更安全的保障能力。
华云数据成立于2010年,专注为企业级用户为用户提供创新架构的私有云、全栈模块化软件定义数据中心套件、混合云管解决方案、内置通用型云操作系统超融合套件,以及一站式公有云服务等,在政府金融、国防军工、教育医疗、能源电力、交通运输等十几个行业打造了大量行业标杆案例,客户总量超过30万。
华云数据的安超OS 2020是一款具有应用创新特性的国产通用型云操作系统,开创了国内敏捷上云的技术先河,提供了包含操作系统、计算虚拟化、存储虚拟化、云管平台、云工作负载的迁移与自动化部署、应用商店等全栈功能,并拥有强大的全球生态整合能力。
亚信安全是中国网络安全行业领跑者,是业界“懂云”同时又“懂网”的网路安全企业。
亚信安全旗下的服务器深度安全防护系统Deep Security支持所有的主流云服务商管理平台,包括VMware、亚马逊AWS、微软Azure、CitrixXenServer、H3C-CAS、华为Fusion、腾讯云、KVM等厂商,并且实现了跨云管理,为数字化转型提供了一道可靠的云端安全屏障。
本次双方通过兼容性认证,将有助于客户通过亚信安全Deep Security 全面提升云计算环境的安全性、灵活性与营运效率,彻底发挥安超OS 2020 的架构优势,实现公有云、私有云和混合云等平台的紧密衔接,帮助用户积极应对云端业务创新途中遇到的新风险。
如今,云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式,而云计算所遇到安全性挑战也更加严峻,一些新型的安全问题变得比较突出:业务数据安全问题、用户身份安全问题、共享业务安全问题、用户数据安全问题等。
Deep Security for VMWare测试环境搭建
Deep Security 7.5 for VMWare 测试环境搭建软件准备:a) VMware vCenter 4.1 and ESX 4.1 and vShield Manager b) Deep Security 7.5 (DSM,DSA,DSVA,Filter Driver) c) License (DS 需要Lic ,vShield Endpoint 也需要Lic ) 测试环境:Windows2003 server vCenter 4.1Deep Security Manager虚拟机IP 及应用相关信息:备注:1、ESX1上面安装的都是作为管理功能的应用系统,其中vCenter只能安装在64位操作系统2、DSM不要运行在需要保护的ESX主机上面,因为在DSM安装底层FilterDriver的时候,ESX主机需要重新启动。
3、Vshield Manager类似于DSM,具备管理功能,不需要在每一台需要保护的ESX主机上面安装安装步骤:1、安装第1台ESX server,并在ESX上安装虚拟机Windows2003 server和WindowsXP或Linux,需要检查物理服务器BIOS里面CPU的VT功能是否打开2、安装第2台ESX server,并在上面安装虚拟机Windows 2003 64 bit server以及Windows 2003 server,在64位虚拟机上面安装vCenter server,在32位虚拟机上面安装Deep Security Manager(DSM也可以和vCenter安装在同一个虚拟机上面>3、在远程管理主机上安装vSphere client(vSphere client也可以安装在vCenter 上,但为了管理方便,建议安装在自己的管理控制终端上)4、通过vSphere client连接vCenter,进入管理界面,将ESX server添加到主机设备;5、安装vShield Manager,通过vCenter部署VOA文件,需要先选择具体的ESX6、配置vShield ManagerA、C onsole进入,用户名/密码:admin/defaultB、命令行输入enable,密码:defaultC、输入setup,进行IP相关信息配置,配置成功后,会要求RebootD、使用Web进行管理,https://10.28.135.243,用户名/密码:admin/defaultE、配置vCenter信息F、将vShield Manager注册到vSphere注册完成后,在vCenter里面会多出来Vshield部分G、在需要进行底层保护的ESX主机安装vShield Endponit,这里对10.28.135.248这台ESX主机进行安装,完成之后,需要重新启动ESX主机(如果要避免这台ESX上面的应用系统中断,可以使用vMotion将上面的虚拟机移走)。
亚信信息安全解决方案介绍
DeepSecurity充分必要性说明
虚拟化平台安全防护方案Deep Security应用充分必要性说明XX科技(中国)有限公司2013年6月28日文档信息:文档属性内容项目/任务名称项目/任务编号文档名称Deep Security应用充分必要性说明文档版本号 1.1 文档状态制作人Shunyi Lv 保密级别管理人制作日期复审人复审日期扩散范围版本记录:版本编号版本日期创建者/修改者说明1.0 2013-06-25 Shunyi Lv 初稿1.1 2013-06-28 Bill Zhao 更新部分内容,增加部分客户的反馈文档说明:本文档仅用于提供给客户参考。
我行正在使用VMware虚拟化技术,它改善了数据中心耗电开销、提高了数据中心资源利用率,增强了业务管理扩展性、让IT运维更加灵活便捷。
数据中心的虚拟系统是一种新的计算平台,在面临许多与物理服务器相同的安全挑战同时,又因为其自身特点,出现了新的安全防护空白点和产生了新的安全挑战。
为了实现我行整体安全防御目标,迫切需要将虚拟化环境的安全防护纳入到整个安全防护体系中来。
一、针对虚拟化环境的解决方案传统环境下的网络安全拓扑图,在网络出口处部署网关防护设备,如防火墙、防毒墙等各类安全设备,用来隔离网络之间的攻击和病毒扩散问题,部署IDS监控对服务器的非法访问行为,在服务器上部署防病毒软件,保护核心服务器的安全运行。
而在虚拟化环境下,一台物理服务器平台上将运行数个甚至数十个业务虚拟机,这些传统的安全防护措施将不再有效。
VMware 公司为了解决此问题,专门提供了VMware vShield Endpoint 和VMsafe API两个程序接口供安全厂商在此基础上解决网络攻击和病毒传播等问题。
XX科技的Deep Security是最早可以支持vShield Endpoint的无代理保护方案,它在ESX物理服务器上以一个安全虚拟机方式运行而不需要在其它各个业务虚拟机安装任何代理程序。
同时,当业务虚拟机任意启用运行或者从一台物理服务器切换到另一台物理服务器时,都不出现防护空档,这一切是传统解决方案无法完成的。
亚信网络安全
亚信网络安全
亚信网络安全(AsiaInfo Cybersecurity)是中国领先的网络安
全解决方案提供商,专注于提供全面的网络安全产品和服务。
亚信网络安全致力于保护客户的网络和数据安全,帮助客户建立安全的数字化环境。
亚信网络安全提供一系列网络安全解决方案,包括网络威胁防御、数据安全防护、安全运维和咨询等方面。
通过实时监控和预警系统,亚信网络安全能够快速发现并应对各种网络威胁和攻击,有效保护客户的信息安全。
网络威胁防御是亚信网络安全的核心业务之一。
亚信网络安全通过使用先进的威胁情报和威胁检测技术,及时发现和阻止各种网络攻击,包括DDoS攻击、恶意软件攻击和数据泄露等。
此外,亚信网络安全还提供高级网络防火墙、入侵检测和防御系统等先进技术,全面保护客户的网络安全。
数据安全防护是亚信网络安全的另一个核心业务。
亚信网络安全通过数据加密、数据备份和数据恢复等技术手段,保护客户的数据免受恶意攻击和不当使用。
亚信网络安全的数据安全防护解决方案还包括身份认证、访问控制和敏感信息保护等内容,确保客户数据的完整性和保密性。
此外,亚信网络安全还提供全面的安全运维和咨询服务。
亚信网络安全的安全运维团队具有丰富的安全经验和专业知识,能够为客户提供定制的网络安全运维和管理服务。
同时,亚信网络安全的咨询团队还能够根据客户的需求提供全面的安全咨询
和评估服务,帮助客户提升网络安全水平。
总之,亚信网络安全以其领先的技术和专业的团队,为客户提供全面的网络安全解决方案,有效保护客户的网络和数据安全。
亚信网络安全将继续致力于提升网络安全技术和服务,为客户建立安全的数字化环境。
亚信安全虚拟化安全解决方案模板
XXX虚拟化安全解决方案(模板)目录目录 (1)1. 概述 (2)2. XXX虚拟化安全威胁分析 (2)3. XXX虚拟化防护必要性 (3)4. 亚信安全虚拟化安全解决方案 (4)5. XXX虚拟化安全部署方案 (6)5.1. H3C CAS平台部署方案 (6)5.2. 趋势虚拟安全方案集中管理 (6)5.3. XXX虚拟化防护解决方案拓扑 (7)6. 亚信安全DeepSecurity介绍 (7)6.1. Deep Secuirty架构 (7)6.2. Deep Secuirty主要优势 (7)6.3. DeepSecuirty模块 (8)1. 概述XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。
随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。
应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。
如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。
在XXX,这些关键应用系统已经被使用H3C CAS服务器虚拟化解决方案。
这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。
而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。
但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量特殊挑战,最终将抵消虚拟化的优势。
尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下,用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。
亚信安全提供真正的解决方案以应对这些挑战。
亚信安全目前已经开发出了一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。
所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力,诸如通过最近发布的H3C CAS的最新引入的附加能力。
Deep Security
定制化补丁
12
高级服务嵌入示例
防恶意软件 文件完整性监控 漏洞和软件扫描 入侵检测/阻止
Deep Security
安全策略
安全管理员
Internet
通信 定向
19
软件定义数据中心中的自动化安全
数据中心微分段
37
软件定义数据中心中的自动化安全
数据中心微分段
38
软件定义的数据中心中的自动化安全
隔离存在漏洞的系统,直到使用 NSX 标记以及趋势科技 提供的高级检测功能完成修复为止
在数据中心的部署
不存在传统安全解决方案的问题
1
资源争夺
解决方案:无代安全具备虚拟环境感知 能力,基于虚拟器整体资源所分发的安 全任务有效避免资源争夺 解决方案:基于虚拟器部署的安全虚拟 机实时使用最新威胁特征库 解决方案:与虚拟化平台所集成的虚 拟环境感知安全解决方案
2
随时启动的防护间隙
3
4
虚拟机之间攻击/防护盲点
BIOS BIOS
vShield Manager 4.1
ESX 4.1
vShield Endpoint ESX Module
VI Admin
vCenter
vSphere 平台
图例 安全产品提 供商
DSVA组件和 API接口
vShield Endpoint 组件
Vmware平台
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
亚信安全Deep Security 9.6 for VMware产品方案作者日期目录第1章.概述 (3)第2章.XXX虚拟化安全面临威胁分析 (3)第3章.XXX虚拟化基础防护必要性 (4)第4章.亚信安全虚拟化安全解决方案 (5)第5章.XXX虚拟化安全部署方案 (7)5.1.VM WARE平台部署方案 (7)5.2.亚信安全虚拟安全方案集中管理 (7)5.3.XXX虚拟化防护解决方案拓扑 (8)第6章.亚信安全DEEPSECURITY介绍 (8)6.1.D EEP S ECUIRTY架构 (8)6.2.D EEP S ECUIRTY部署及整合 (9)6.3.D EEP S ECUIRTY主要优势 (9)6.4.D EEP S ECUIRTY模块 (10)第7章.国内成功案例 (12)第1章.概述XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。
随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。
应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。
如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。
在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。
这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。
而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。
但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量特殊挑战,最终将抵消虚拟化的优势。
尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下,用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。
亚信安全提供真正的解决方案以应对这些挑战。
亚信安全目前已经开发出了一套灵活的方法可以和Vsphere6.0环境紧密结合,用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。
所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力,诸如通过最近发布的VMware vSphere™ 6和NSX Manager最新引入的附加能力。
亚信安全提供必需的防护以提高在虚拟化环境中关键任务应用的安全性。
第2章.XXX虚拟化安全面临威胁分析虚拟服务器基础架构除了具有传统物理服务器的风险之外,同时也会带来其虚拟系统自身的安全问题。
新安全威胁的出现自然就需要新方法来处理。
通过前期调研,总结了目前XXX虚拟化环境内存在的几点安全隐患。
➢虚拟机之间的互相攻击----由于目前XXX仍对虚拟化环境使用传统的防护模式,导致主要的防护边界还是位于物理主机的边缘,从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。
➢随时启动的防护间歇----由于XXX目前大量使用Vmware的服务器虚拟化技术,让XXX的IT服务具备更高的灵活性和负载均衡。
但同时,这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。
如,某台一直处于关闭状态的虚拟机在业务需要时会自动启动,成为后台服务器组的一部分,但在这台虚拟机启动时,其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。
➢系统安全补丁安装-----目前XXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。
虽然虚拟化服务器本身有一定状态恢复的功能机制。
但此种做法仍有一定安全风险。
1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。
2.集中的安装系统补丁,前中后期需要大量人力,物力和技术支撑,部署成本较大。
➢防病毒软件对资源的占用冲突导致AV(Anti-Virus)风暴----XXX目前在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装Offiescan防病毒客户端的方式进行病毒防护。
在防护效果上可以达到安全标准,但如从资源占用方面考虑存在一定安全风险。
由于每个防病毒客户端都会在同一个物理主机上产生资源消耗,并且当发生客户端同时扫描和同时更新时,资源消耗的问题会愈发明显。
严重时可能导致ESX服务器宕机。
通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护,但是虚拟环境中新的安全威胁,例如:虚拟主机之间通讯的访问控制问题,病毒通过虚拟交换机传播问题等,传统的安全设备无法提供相关的防护,亚信安全提供创新的安全技术为虚拟环境提供全面的保护。
第3章.XXX虚拟化基础防护必要性XXX的虚拟服务器服务器一直承载着最为重要的数据,因此,很容易引起外来入侵者的窥探,遭入侵、中病毒、抢权限,各种威胁都会抓住一切机会造访服务器系统。
XXX针以前针对服务器采用集中管理、集中防护的措施,通过传统安全技术在网络侧建立安全防线,如防火墙技术、防病毒技术、入侵检测技术……各种安全产品开始被一个一个地加入到安全防线中来。
目前XXX为了降低硬件采购成本,提高服务器资源的利用率,引进服务器虚拟化技术对现有应用服务器的计算资源进行整合,使现有建立的安全防线面临挑战!服务器虚拟化后不但面临着传统物理实机的各种安全问题,同时由于虚拟系统之间的数据交换,以及共享的计算资源池,导致传统的安全技术手段很难针对虚拟系统提供防护,另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维,导致与引入服务器虚拟化的初衷相违背。
通过上一章节的威胁分析发现,为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。
因为传统安全技术应用到虚拟服务器防护存在短板效应:任何一点疏忽,都会让XXX整个信息系统的安全防线功亏一篑,带来经济和企业名誉的损失。
更何况,这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统,但它们终究无法应对虚拟系统面临新的安全威胁,所以需要采用创新的安全技术才能完善XXX信息安全防护体系的基础架构,同时具备对最新安全威胁的抵抗力,降低安全威胁出现到可以真正进行防范的时间差,提高服务器的安全性和抗攻击能力,从而提供业务系统应用的可用性。
第4章.亚信安全虚拟化安全解决方案亚信安全针对虚拟环境提供全新的信息安全防护方案——DeepSecurity,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,并满足信息系统合规性审计要求。
针对银行证券的服务器虚拟化面临的风险,建议采用亚信安全的虚拟化解决方案,构建虚拟化平台的基础架构多层次的综合防护。
➢病毒防护防护传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中,在整合服务器虚拟化后,要实现针对病毒的实时防护,同样需要在虚拟主机的操作系统中安装防病毒Agent程序,但是服务器虚拟化的目的是整合资源,最大化的发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,例如:一台服务器虚拟6台主机,传统方法将Agent需要安装6套,并且在制定扫描任务就需要消耗虚拟主机的计算资源,这种方式并没有达到节约计算资源的效果,反而增加了计算资源的消耗,并且在病毒库更新是带来更多的网络资源消耗。
亚信安全针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题,通过使用虚拟化层相关的API接口实现全面的病毒防护。
由于XXX为VMware虚拟化环境所以将针对这个系统进行描述,具体如下:•针对VMware虚拟系统,实现底层无代理病毒防护亚信安全针对VMware虚拟系统中通过VMshield接口实现针对虚拟系统和虚拟主机之间的全面防护,无需在虚拟主机的操作系统中安装Agent程序,即虚拟主机系统无代理方式实现实时的病毒防护,这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,最大化利用计算资源的同时提供全面病毒的实时防护。
➢访问控制传统技术的防火墙技术常常以硬件形式存在,用于通过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。
亚信安全DeepSecurity 防火墙提供全面基于状态检测细粒度的访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。
DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。
➢入侵检测/防护同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。
然而,随着虚拟化技术的出现,许多安全专家意识到,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。
例如,由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。
类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。
基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源,使得安装安全代理软件变得不那么理想。
亚信安全DeepSecurity在VMware的NSX环境中,可通过NSX专用接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。
DeepSecurity除了提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的(policy-based)监控和分析工具,使DeepSecurity更精确的流量监控、分析和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。
亚信安全DeepSecurity同时虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。
➢虚拟补丁防护随着新的漏洞不断出现,许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。
另外,操作系统及应用厂商针对一些版本不提供漏洞的补丁,或者发布补丁的时间严重滞后,还有最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。
亚信安全DeepSecurity通过虚拟补丁技术完全可以解决由于补丁导致的问题,通过在虚拟系统的接口对虚拟主机系统进行评估,并可以自动对每个虚拟主机提供全面的漏洞修补功能,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。
亚信安全DeepSecurity的虚拟补丁功能既不需要停机安装,也不需要进行广泛的应用程序测试。
虽然此集成包可以为IT人员节省大量时间。