服务器虚拟化安全解决方案目录1.环境概述 (4)2.面临安全威胁 (4)2.1.针对操作系统漏洞的攻击 (4)2.2.针对应用的攻击 (4)2.3.虚拟化带来新的威胁 (4)2.4.统一管理和审计 (5)3.安全防护需求 (6)4.安全防护方案 (6)4.1.架构设计 (7)4.2.方案部署 (10)4.3.功能模块 (10)5.和传统防护方案的区别 (14)6.方案价值 (14)1.环境概述XXX目前对部分应用系统进行了虚拟化,情况概述如下:4台物理服务器,每台服务器采用4个6核CPU每一个虚拟服务器采用3核CPU标准配置总共有32台虚拟服务器2.面临安全威胁2.1. 针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。2.2. 针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数据,或者是导致应用不能正常对外提供服务。2.3. 虚拟化带来新的威胁当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题: 硬件资源利用率受到限制当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。物理边界模糊当服务器虚拟化之后,每台物理服务器上面运行了8个虚拟服务器系统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求2.4. 统一管理和审计服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计3.安全防护需求通过对XXX服务器虚拟环境的了解,以及面临的威胁分析,目前XXX服务器虚拟化存在的安全需求有几下几点:1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测等2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高虚拟服务器的搭载密度4、对Windows服务器进行系统、应用的日志审计4.安全防护方案趋势科技根据XXX服务器虚拟化的安全需求,为其使用趋势科技深度防护系统Deep Security进行防护:4.1. 架构设计Deep Security 解决方案架构包含三个组件:Deep Security 代理,部署在受保护的服务器或虚拟机上。Deep Security 管理器,提供集中式策略管理、发布安全更新并通过警报和报告进行监控。安全中心,是一种托管门户,专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新,然后由Deep Security 管理器定期发布这些更新。Deep Security 代理接收来自Deep Security 管理器的安全配置,通常是一个安全配置文件。该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。只需通过执行建议的扫描即可确定对服务器分配哪些规则,此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。对所有规则监控活动都创建事件,随后这些事件将发送到Deep Security 管理器,或者同时也发送到SIEM 系统。Deep Security 代理和Deep Security 管理器之间的所有通信都受到相互验证的SSL 所保护。Deep Security 管理器对安全中心发出轮询,以确定是否存在新的安全更新。存在新的更新时,Deep Security 管理器将获取该更新,然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。Deep Security 管理器和安全中心之间的通信也受到相互验证的SSL 所保护。Deep Security 管理器还连接到IT 基础架构的其他元素,以简化管理。Deep Security 管理器可连接到VMwarevCenter,也可连接到Microsoft Active Directory 等目录,以获取服务器配置和分组信息。Deep Security 管理器还拥有Web 服务API,可用于程式化地访问功能。安全中心对漏洞信息的公共和私有源都进行监控,以保护客户正在使用的操作系统和应用程序。Deep Security管理器Deep Security 解决方案提供实用且经过验证的控制,可解决棘手的安全问题。有关操作且具有可行性的安全不仅让您的组织获知安全事件,还可帮助了解安全事件。在许多情况下,这种安全就是提供有关事件发起者、内容、时间和位置的信息,以便组织可以正确理解事件然后执行相应操作,而不仅仅是告诉组织安全控制本身执行了什么操作。Deep Security 管理器软件满足了安全和操作双重要求,其功能如下:集中式的、基于 Web 的管理系统:通过一种熟悉的、资源管理器风格的用户界面创建和管理安全策略,并跟踪记录威胁以及为响应威胁而采取的预防措施。详细报告:内容详尽的详细报告记录了未遂的攻击,并提供有关安全配置和更改的可审计历史记录。建议扫描:识别服务器和虚拟机上运行的应用程序,并建议对这些系统应用哪些过滤器,从而确保提供事半功倍的正确防护。风险排名:可根据资产价值和漏洞信息查看安全事件。基于角色的访问:可使多个管理员(每个管理员具有不同级别的权限)对系统的不同方面进行操作并根据各自的角色接收相应的信息。可自定义的仪表板:使管理员能够浏览和追溯至特定信息,并监控威胁及采取的预防措施。可创建和保存多个个性化视图。预定任务:可预定常规任务(如报告、更新、备份和目录同步)以便自动完成Deep Security代理Deep Security 代理是Deep Security 解决方案中的一个基于服务器的软件组件,实现了IDS/IPS、Web 应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况,对服务器或虚拟机实行防御。必要时,Deep Security 代理会通过阻止恶意通信流介入威胁并使之无效。安全中心安全中心是Deep Security 解决方案中不可或缺的一部分。它包含一支由安全专家组成的动态团队,这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应,从而帮助客户对最新威胁做到防患于未然;同时,安全中心还包含一个用于访问安全更新和信息的客户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程:监控:对超过100 个公共、私有和政府数据源进行系统化的持续监控,以识别新的相关威胁和漏洞,并将其关联起来。安全中心研究人员利用与不同组织的关系,获取有关漏洞的早期(有时是预发布)信息,从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle 及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm 以及Securiteam。确定优先级:然后根据客户风险评估及服务等级协议确定漏洞的优先级,以作进一步分析。分析:对漏洞执行深入分析,确定需要采取的必要防护措施。开发和测试:然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器的规则,并进行广泛的测试,以便最大限度地降低误测率,并确保客户能够快速、顺利地部署这些过滤器和规则。交付:将新过滤器作为安全更新交付给客户。当新的安全更新发布时,客户将通过Deep Security 管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手动应用于相应的服务器。通信:通过可提供有关新发现安全漏洞的详细描述的安全顾问,可实现与客户之间的持续通信。4.2. 方案部署安装1个Deep Security控制管理台在4台物理服务器上面分别安装DSV A(针对VMware Esx的安全虚拟系统)4.3. 功能模块Deep Security 解决方案使您能够部署一个或多个防护模块,提供恰好适度的防护以满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机,也可以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个Deep Security 代理部署到服务器或虚拟机,该Deep Security 代理由Deep Security 管理器软件集中管理,并在物理、虚拟和云计算环境之间保持一致。防病毒1)对病毒、蠕虫、木马、间谍软件等各种各样的恶意程序进行检测和清除2)基于传统的物理服务器进行有代理的病毒防护3)在虚拟平台上面,实现底层的无代理的病毒防护深度数据包检查(DPI) 引擎实现入侵检测和防御、Web 应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流(包括SSL 通信流)中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行,以保护操作系统和企业应用程序的漏洞。它可保护Web 应用程序,使其免受应用层攻击,包括SQL 注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息,包括攻击者、攻击时间及意图利用的漏洞。发生事件时,可通过警报自动通知管理员。DPI 用于入侵检测和防御、Web 应用程序防护以及应用程序控制。A、虚拟补丁功能在操作系统和企业应用程序安装补丁之前对其漏洞进行防护,以提供及时保护,使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞(如Microsoft 披露的漏洞),使其免受无数次的漏洞攻击。Deep Security 解决方案对超过100 种应用程序(包括数据库、Web、电子邮件和FTP 服务器)提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则,无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上:智能规则通过检测包含恶意代码的异常协议数据,针对攻击未知漏洞的漏洞攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件,类似于传统的防病毒软件,都使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是Microsoft 主动保护计划(MAPP) 的现任成员,Deep Security 解决方案可在每月安全公告发布前提前从Microsoft 收到漏洞信息。这种提前通知有助于预测新出现的威胁,并通过安全更新为双方客户快速有效地提供更及时的防护。B、WEB 应用程序安全Deep Security 解决方案符合有关保护Web 应用程序及其处理数据的PCI 要求 6.6。Web 应用程序防护规则可防御SQL 注入攻击、跨站点脚本攻击及其他Web 应用程序漏洞攻击,在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的Web 应用程序攻击。根据客户要求进行的一项渗透测试,我们发现,部署Deep Security 的SaaS 数据中心可对其Web 应用程序和服务器中发现的99% 的高危险性漏洞提供防护。C、应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。防火墙减小物理和虚拟服务器的受攻击面Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信,并阻止其他所有端口和协议,降低对服务器进行未授权访问的风险。其功能如下:虚拟机隔离:使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤:通过实施有关IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于IP 的协议:通过支持全数据包捕获简化了故障排除,并且可提供宝贵的分析见解,有助于了解增加的防火墙事件– TCP、UDP、ICMP 等。侦察检测:检测端口扫描等活动。还可限制非IP 通信流,如ARP 通信流。灵活的控制:状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题,此问题可能出于正常情况,也可能是攻击的一部分。预定义的防火墙配置文件:对常见企业服务器类型(包括Web、LDAP、DHCP、FTP 和数据库)进行分组,确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告:通过详细的日志记录、警报、仪表板和灵活的报告,Deep Security 防火墙软件模块可捕获和跟踪配置更改(如策略更改内容及更改者),从而提供详细的审计记录。完整性监控监控未授权的、意外的或可疑的更改Deep Security 完整性监控软件模块可监控关键的操作系统和应用程序文件(如目录、注册表项和值),以检测可疑行为。其功能如下:按需或预定检测:可预定或按需执行完整性扫描。广泛的文件属性检查:使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控,包括:内容、属性(如所有者、权限和大小)以及日期与时间戳。还可监控对Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作,并提供警报。此功能适用于PCI DSS 10.5.5 要求。可审计的报告:完整性监控模块可显示Deep Security 管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog 将事件转发到安全信息和事件管理(SIEM) 系统。安全配置文件分组:可为各组或单个服务器配置完整性监控规则,以简化监控规则集的部署和管理。基准设置:可创建基准安全配置文件用于比较更改,以便发出警报并确定相应的操作。灵活实用的监控:完整性监控模块提供了灵活性和控制性,可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外,还可根据独特的要求灵活创建自定义规则。日志审计查找日志文件中隐藏的重要安全事件并了解相关信息使用Deep Security 日志审计软件模块可收集并分析操作系统和应用程序日志,以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。这些事件随后会转发到一个SIEM 系统或集中式的日志记录服务器,以便进行关联、报告和存档。Deep Security 代理还会将事件信息转发到Deep Security 管理器。日志审计模块的部分优势如下:可疑行为检测:该模块可检测服务器上可能发生的可疑行为。收集您的整个环境中的事件:Deep Security 日志审计模块能够收集许多事件并将其关联起来,这些事件包括:Microsoft Windows、Linux 和Solaris 平台间的事件;来自Web 服务器、邮件服务器、SSHD、Samba、Microsoft FTP 等的应用程序事件;自定义应用程序日志事件。关联不同事件:收集各种警告、错误和信息事件并将其关联起来,包括系统消息(如磁盘已满、通信错误、服务事件、关机和系统更新)、应用程序事件(如帐户登录/注销/故障/锁定、应用程序错误和通信错误)、管理员操作(如管理员登录/注销/故障/锁定、策略更改和帐户更改)。有关合规性的可审计报告:可生成安全事件的完整审计记录,以帮助满足合规性要求,如PCI 10.6。5.同其他厂商解决方案区别功能趋势科技服务器保护Mcafee服务器防护Symantec服务器保护实现方式针对Vmware平台实现无代理工作方式,不需要在每一台虚拟服务器上面安装客户端软件在每一台虚拟服务器上面安装客户端软件在每一台虚拟服务器上面安装客户端软件病毒防护支持支持支持病毒检测效果AV-Test测评中排名第一AV-Test测评中排名第三AV-Test测评中排名第四防火墙支持支持,需要单独安装软件支持深度数据包检测支持支持,需要单独安装软件支持,需要单独授权虚拟补丁支持,可以拦截针对系统漏洞、应用漏洞的已知和未知攻击不支持不支持日志审计支持,支持Windows系统及重要应用不支持不支持完整性监控支持,对重要目录、文件、注册表进行实时监控不支持不支持服务器安全防护市场占有率(IDC2010年数据)22.90% 14% 19.30%售后服务方式800电话和邮件服务、远程连接服务、现场紧急服务提供800电话和邮件服务提供800电话和邮件服务国内资源投入产品研发中心、威胁监控中心、病毒分析中心、资深技术支持中心国内主要投入销售及技术支持资源产品研发中心、资深技术支持中心6.方案价值通过在虚拟化平台上面部署趋势科技Deep Security,可以给XXX带来以下的价值:针对整个服务器虚拟化平台提供多种安全防护,不仅仅是防病毒还包括防火墙、深度数据包检测、日志审计、完整性监控;在服务器操作系统、应用层面自动拦截针对漏洞的各种已知和未知的攻击,解决服务器漏洞管理难的问题安全功能模块无代理的工作模式,可以提高物理服务器搭载虚拟机的数量,提高对硬件资源的利用率,更好的起到节能减排(减少物理服务器的数量,节省更多的电费以及机房制冷费用)。
