虚拟化安全解决方案

XXXX

虚拟化桌面安全解决方案

趋势科技（中国）有限公司

2013年5月

目录

第1章.概述 (4)

XXXX虚拟化桌面概述 (4)

XXXX虚拟化桌面安全概述—传统安全解决方案 (5)

第2章.需求分析 (5)

传统安全在虚拟化桌面中应用面临威胁分析 (5)

虚拟机之间的相互攻击 (5)

随时启动的防护间歇 (6)

管理成本上升 (6)

资源争夺 (7)

无代理虚拟化桌面安全防护的必要性 (8)

第3章.趋势科技虚拟化桌面安全解决方案 (8)

安全虚拟机技术及工作原理 (8)

与传统安全方案差别 (10)

系统架构 (11)

产品部署和集成 (12)

产品功能 (13)

恶意软件防护 (14)

深度数据包检查 (DPI) 引擎 (14)

入侵检测和防御 (IDS/IPS) (14)

WEB 应用程序安全 (15)

应用程序控制 (15)

防火墙 (15)

完整性监控 (16)

系统要求 (17)

第4章.项目实施方案 (18)

项目总体规划 (18)

实施组织架构 (18)

项目实施内容 (19)

项目准备 (19)

项目调研 (20)

项目实施 (20)

项目验收 (21)

项目实施计划 (21)

项目实施分工 (21)

项目实施计划 (22)

第5章.售后服务 (22)

第6章.总结 (23)

预防数据泄露和业务中断 (24)

实现合规性 (24)

支持降低运营成本 (24)

全面易管理的安全性 (24)

虚拟补丁 (25)

合规性要求 (25)

Web应用防护 (25)

附录一成功案例 (26)

文档信息：

文档说明：

第1章.概述

XXXX虚拟化桌面概述

计算机的诞生改变了我们的生活，它正以一种前所未有的方式影响着我们的生活和工作。随着技术的发展，我们的生活已经无法脱离计算机了，但是传统计算机桌面的使用有着诸多的限制，这些限制给我们带来了不便。

首先，随着客户端设备的不断增加，客户端系统环境变得复杂，造成管理困难，维护成本升高；客户端操作系统、应用客户端需要不断升级、不停打补丁；客户端需防病毒，防恶意软件，防止木马程序将敏感数据窃取，但仍可能百密一疏；客户端的移动性与分布性，造成无法共享资源，利用率低；且随着技术的发展，硬件的更新换代需要巨大的投入等等，这些都造成了没有一种随时，随地，任何设备都可以安全地访问的桌面环境。同时，“集中监控、集中维护、集中管理”已经成为中国移动网络运行维护工作的一个重要工作模式。

桌面云解决方案是基于云计算架构的桌面交付解决方案，利用虚拟化技术，通过在云计算服务器集群上部署虚拟桌面交付系统。采用桌面云解决方案可以在数据中心集中化管理桌面，轻松实现安全防护及备份，减少总体拥有成本、加强信息安全、降低维护管理费用，同时响应国家节能减排的号召。

在此情况下，自2010年开始，中国移动天津公司为提升桌面终端整体管理水平，对网管维护终端、IT办公、营业厅终端等进行了集中规划、集中管理和集中维护，进行了终端虚拟化一期工程的建设。一期工程包括了IT系统平台单项工程和网管系统平台单项工程两部分，分别针IT终端和网管终端进行了桌面云系统的建设，其中IT系统平台满足了IT系统300个营业终端和100个操作维护终端的接入需求；网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。

在中国移动集中化建设和云计算迅猛发展的大背景下，综合考虑瘦客户端相对传统终端的优势，集团公司下发了《关于中国移动瘦客户机逐步全面替代传统PC的指导意见》，明确要求：“对于新增固定终端（传统PC）的需求，原则上均应采用瘦客户机方案（其中，基于TDM传统呼叫中心应停止扩容，呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案)；对于现有传统PC应依据使用寿命，逐步采用瘦客户机进行自然替换。”

系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进行补丁修补等。这种解决方案没有考虑到虚拟化技术的特殊性，存在很多的安全风险，具体分析见下文。

第2章.需求分析

传统安全在虚拟化桌面中应用面临威胁分析

虚拟化桌面基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前XXXX虚拟化环境内存在的几点安全隐患。

虚拟机之间的相互攻击

击在虚拟器之中发

随时启动的防护间歇

随时启动的防护间歇----由于XXXX目前大量使用Vmware的虚拟化桌面技术，让XXXX的运维服务具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分，但在这台虚拟机启动时，其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。

管理成本上升

系统安全补丁安装-----目前XXXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化桌面本身有一定状态恢复的功能机制。但此种做法仍有一定安全风险。1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。2.集中的安装系统补丁，前中后期需要大量人力，物力和技术支撑，部署成本较大。

资源争夺

防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴----XXXX目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致ESX服务器宕机。

通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，趋势科技提供创新的安全技