当前位置:文档之家 › 虚拟化云计算平台安全解决方案手册

虚拟化云计算平台安全解决方案手册

  • 格式:ppt
  • 大小:3.44 MB
  • 文档页数:29

下载文档原格式

  / 29

合集下载

华为云安全解决方案

华为云安全解决方案

华为云安全解决方案篇一:云安全解决方案XX绿盟科技云安全解决方案XX NSFOCUS Cloud Security Solution目录一云计算典型体系结构1云计算系统分类 1 云计算系统典型物理架构 1 云计算系统逻辑结构3二云计算安全威胁和需求分析4安全威胁分析 4 安全需求和挑战7三云安全防护总体架构设计7设计思路 8 安全保障目标 9 安全保障体系框架9 安全保障体系总体技术实现架构设计11四云平台安全域划分和防护设计 14安全域划分 14 安全防护设计21五云计算安全防护方案的演进38虚拟化环境中的安全防护措施部署 38 软件定义安全体系架构 39 安全运营43六云安全技术服务44私有云安全评估和加固 44 私有云平台安全设计咨询服务45七云安全解决方案52作者和贡献者 52 关注云安全解决方案53八关于绿盟科技 53图表图一.1云典型架构 ................................................ ...................2 图一.2云典型逻辑结构 ................................................ .. (3)图三.3云平台安全保障体系框架......................................... 10 图三.4云平台安全技术实现架构......................................... 12 图三.5具有安全防护机制的云平台体系架构 ..................... 13 图四.6云平台安全域逻辑划分 (15)图四.7安全域划分示例 ................................................ ......... 18 图四.8传统安全措施的部署 .................................................21 图四.9虚拟化防火墙部署 ................................................ ..... 24 图四.10异常流量监测系统部署 ........................................... 27 图四.11网络入侵检测系统部署图....................................... 29 图四.12虚拟化Web应用防火墙部署 ................................. 31 图四.13堡垒机应用场景 ................................................ ....... 33 图四.14堡垒机部署图 ................................................ ........... 34 图四.15安全管理子区 ................................................ ........... 35 图五.16SDN典型架构 ................................................ ........... 39 图五.17软件定义安全防护体系架构 ................................... 40 图五.18使用SDN技术的安全设备部署图 ..........................41 图五.19使用SDN技术实现流量牵引的原理图 .................. 42 图五.20基于手工配置的IPS防护模式 ................................ 43 图六.21服务提供者与客户之间的安全控制职责范围划分 46 图六.22云计算关键领域安全...............................................49图六.23安全咨询服务思路 ................................................ .. 50关键信息本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。

云计算解决方案介绍

云计算解决方案介绍
网络安全隔离通过业务网络和基础平台网络隔离、虚拟机局域网VLAN隔离、安全组隔离、动态ARP检测、广播报文抑制等措施,保证网络安全
提供统一、全面的安全策略具备低安全措施成本可以按需提供安全防护
多个政务云项目要求云平台必须具备全面的、可控的系统安全设计,需满足政务系统对安全管控的要求,除系统级全面安全加固外,华为云平台独有的管理员“三员分立”、“用户信息彻底清除技术”深受客户认可。
系统母盘(共用只读)
差分盘
用户盘
VM
用户盘
VM
计算资源
系统母盘(压缩去重)
差分盘
差分盘
内存资源
客户价值
提高批操作效率,提供系统还原能力,提升管理体验提升部署等工程效率降低磁盘采购成本消除虚拟机对存储的IO性能瓶颈,提升用户使用体验
行业应用
客服、营业厅等任务型工作场景网吧等无本地硬盘场景支持存储空间回收学生机房等需重启还原的场景与办公桌面隔离的专用上网桌面建设



VPC管理



计量



应用自动部署



应用监控



Hypervisor兼容性



硬件管理



云基础服务
云基础服务API

多数据中心管理

负载均衡服务



容灾备份
数据备份
HyperDP



异地容灾 –阵列复制
UltraVR
对一些呼叫中心、学生电教室等应用型场景,如何提升管理员批量虚拟管理的效率?如何提升批量开关机的效率?如何进行虚机状态还原?虚拟机桌面使用共享的后端存储,如何让虚拟桌面的存储IO性能追平和超越物理桌面?

虚拟化云计算平台安全解决方案共27页文档

虚拟化云计算平台安全解决方案共27页文档

激活
重新激活, 安全策休略眠过期
新生成 虚拟机

虚拟机必须带有 已配置完整的客户端和最新的病毒库
5
5
每个虚拟机都是安全漏洞 1 资源争夺 2 随时启动的防护间隙 3 虚拟机之间攻击/防护盲点
6
攻击在虚拟器之中发生
需要管理的终端数量增长
1 资源争夺 2 随时启动的防护间隙 3 虚拟机之间攻击/防护盲点 4 虚拟机个别管理复杂
防火墙
病毒查杀
检测并拦截恶意软件(网络威 胁,病毒和蠕虫,木马)
日志审计
完整性监控
在重要系统目录,文件,注册表项 中检测恶意和未经授权的更改
客户的云历程
阶段 1 服务器整合
阶段 2 业户扩张
服务器虚拟化安全
15%
桌面端
客户端虚拟化安全
30% 服务器
阶段 3 私有&公共云
85%
云安全
70%
物理至虚拟环境 并行保护 平滑升级
防护超过22种 平台
保护超过56种 应用/服务系统
14
Deep Security特性
可以实现底层与虚拟系统所打造的安全软件,每台物理服务
器安装一次
― 提升硬件服务器使用率 ― 简化安全管理 ― 具备自动继承的保护
性能状况:有客户端 VS 无客户端
VM CPU Rate (有客户端)
VM CPU Rate (无客户端)
解决方案:基于虚拟器部署的安全虚拟 机实时使用最新威胁特征库
解决方案:与虚拟化平台所集成的虚 拟环境感知安全解决方案
解决方案:与虚拟环境管理平台VMware vCenter 集成,自动侦测安全层级不足 的虚拟器
13
Deep Security特性

网络安全-虚拟化安全管理系统V7.0(无代理)_VMware平台_解决方案

网络安全-虚拟化安全管理系统V7.0(无代理)_VMware平台_解决方案

xxxxxxx客户虚拟化杀毒技术建议书.................................................................................................................................1.1.项目背景 (1)1.2.建设目标 (1)1.3.设计原则 (2)1.4.客户价值 (3).................................................................................................................................2.1.安全威胁分析 (3)2.2.安全必要性分析 (4)2.3.项目建设需求 (5).................................................................................................................................3.1.防病毒能力设计实现 (6)防病毒整体设计实现 (6)防病毒模块设计实现 (7)3.2.防病毒部署设计实现 (8)部署设计 (8)兼容性设计 (9)..........................................................................................................................项目概述1.1.项目背景随着[添加客户名称]市场业务和内部基础服务的极大拓展,现有的基础设施服务已经无法满足日益增长的业务、管理压力,数据中心空间、能耗、运维管理压力日益凸显。

[添加客户名称]借助VMware虚拟化技术,对基础设施服务进行扩展和优化改造,使原有或者新增资源得到更高效的利用,大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。

云计算安全的挑战与解决方案

云计算安全的挑战与解决方案

云计算安全的挑战与解决方案随着技术的不断发展,云计算逐渐成为一种趋势,许多企业也开始将自己的应用程序迁移至云上。

然而,云计算的安全问题一直是人们关注的焦点。

本文将探讨云计算安全所面临的挑战以及解决方案。

一、云计算安全的挑战1.数据隐私保护难题在云环境中,用户的数据很难得到有效的保护。

由于云计算的数据存储方式不同于传统的方式,且云计算服务商所管理的数据量巨大,若未能采取一定的措施,也很容易遭受各种安全威胁。

2.服务可信性问题由于云计算服务提供商数量众多,服务各不相同,服务可信度也不尽相同。

若服务提供商的安全措施不够完善,则可能导致数据的泄露、篡改等风险。

尤其是对于云计算中的公共云,由于服务提供商管理的用户太多,客户的数据容易成为攻击的目标。

3.虚拟化安全问题虚拟化技术是云计算的核心技术之一,但也正是由于虚拟化特性,使得虚拟机难以被单独保护。

在云计算环境中,可能会遭受如性能损失、系统缺陷以及虚拟机之间的相互攻击等威胁。

二、云计算安全解决方案1.加密技术加密技术是云计算中保障数据安全性的主要方式之一。

云计算加密技术是指通过对云数据加密,使其对于非授权的第三方不可见,从而保证数据的安全性。

相信未来随着云计算技术的发展,加密技术也将逐渐成为普及化的安全措施。

2.访问控制技术访问控制技术是云计算中用于控制访问者访问云端资源的一种技术。

目前云计算的访问控制技术可以分类为基于身份验证、基于访问控制列表和基于角色的访问控制等几种类型。

在这些技术的控制下,云计算资源的访问者可以针对自己领域的范畴来控制访问者的访问权限。

3. 安全审计技术安全审计技术主要包括日志审计、行为审计、流程审计等,可以对云计算环境中的安全事件进行检测和记录。

优秀的安全审计技术可以有效地支持云计算的安全运维工作,实现对云计算平台的全面监控和管理,使云计算环境的安全问题更快速、更准确地得到识别和解决。

4. 安全培训对于云计算环境中的企业和用户来说,安全培训是非常必要的。

云计算服务解决方案方案描述

云计算服务解决方案方案描述

云计算服务解决方案方案描述一、背景介绍云计算作为一种新兴的计算模式,已经在各行各业得到广泛应用。

随着企业对于数据存储和计算能力需求的不断增加,云计算服务的需求也日益旺盛。

为了满足企业的需求,我们公司特别设计了一套云计算服务解决方案,旨在为企业提供高效、安全、可靠的云计算服务。

二、解决方案概述我们的云计算服务解决方案基于先进的技术和丰富的经验,结合了公有云、私有云和混合云的优势,为企业提供全方位的云计算服务。

我们的解决方案包括以下几个方面:1. 云计算基础设施建设我们将根据企业的需求,设计和搭建云计算基础设施。

这包括服务器、存储设备、网络设备等硬件设施的选型和配置,以及虚拟化技术的应用和管理。

2. 云计算平台搭建我们将为企业搭建云计算平台,包括云计算操作系统、云存储、云网络等。

这样,企业可以通过云计算平台实现资源的共享和管理,提高资源利用率和运维效率。

3. 云安全解决方案我们将为企业提供全面的云安全解决方案,包括身份认证、数据加密、防火墙等。

通过这些安全措施,企业可以保护云计算环境中的敏感数据和业务安全。

4. 云计算服务管理我们将为企业提供云计算服务的全面管理,包括资源管理、性能监控、故障排除等。

通过这些管理措施,企业可以实时了解云计算服务的状态,并及时采取相应的措施。

5. 云计算服务优化我们将根据企业的需求和实际情况,对云计算服务进行优化。

这包括资源的动态调整、性能的优化、成本的控制等。

通过这些优化措施,企业可以最大程度地提高云计算服务的效率和性能。

三、解决方案的优势我们的云计算服务解决方案具有以下几个优势:1. 灵活性:我们的解决方案可以根据企业的需求进行定制,满足不同企业的特定需求。

2. 可扩展性:我们的解决方案可以根据企业的需求进行扩展,随着业务的发展而扩大规模。

3. 安全性:我们的解决方案采用了先进的安全技术和措施,保障企业的数据和业务的安全。

4. 可靠性:我们的解决方案采用了高可靠性的硬件设备和软件系统,保证云计算服务的稳定性和可靠性。

私有和公共云计算安全的解决方案说明书

Solution BriefThe ChallengeCompanies are racing to realize the benefits of private and public cloud computing.As workloads move to the cloud, basic security issues must be addressed, suchas tracking virtual servers, virtual machines (VMs) and cloud instances, as well asdetermining their security posture. Next, it is important to understand if they are secureand are assigned to the right security or port groups to ensure separation of differenttrust zones. Enterprises moving to the cloud must also be able to discover, classify andmonitor devices, users and applications connected to cloud resources and take intoaccount new tools, personnel and training that will be required for the cloud-computingenvironment.Extend visibility and control from your campus toyour private and public cloud environmentsWith the widespread adoption of cloud computing, enterprise securityteams must see and control cloud-based workloads—just as they dowith endpoints in campus environments. At Forescout T echnologies, ourapproach to cloud security is a logical extension of securing managed,unmanaged and Internet of Things (Io T) devices in the physicalworld. In fact, Forescout secures cloud deployments using the sameproducts and architectural flexibility that made us the leader in campuscybersecurity.Supported cloudplatforms:• Microsoft® Azure• VMware® vSphere• Amazon® ElasticCompute Cloud (EC2)The Forescout Solution There are fundamental similarities between the security principles and processes that are used to secure campus and cloud environments. Forescout physical and virtual security appliances deliver real-time discovery, classification, monitoring and policy-based management of devices as they connect to your campus or cloud network. Moreover, unlike traditional security management solutions, Forescout does not require onboard software agents or previous knowledge of endpoints. As a result, Forescout can offer a single-pane-of-glass perspective across campus and cloud environments so that you obtain visibility and control of physical devices, virtual machines and cloud instances irrespective of where they reside. Regardless of environment, Forescout delivers value in three distinct ways: Challenges• Introducing unfamiliar tools,processes and methodologieshinders new technology adoptionas it requires investing time forlearning and training• New operating environments andtools increase the security team’snet Capex• Integrating new tools into existinginfrastructure and workflows iscomplex and disruptive, and its trueimpact is often underestimatedForescout Solution• See: Single pane of glass todiscover, classify, monitor andmanage the connection, state andsecurity posture of physical andvirtual endpoints across campusand cloud environments• Control: Policy-based enforcementof rules and remediation of securitygaps to reduce your attack surfaceand help improve compliance withindustry mandates and regulations• Orchestrate : Unify multivendor,cross-platform network securitypolicies across virtual and physicalinfrastructures and cloud-basedservicesForescout Benefits• Reduce overall IT Capex and Opexby accelerating cloud adoption• Leverage existing SecOps team,skills and processes; no new toolsto learn• Eliminate security managementsilos between campus and cloudteams• Minimize errors by automatingmanual processes• Use a single pane of glass tomanage campus and cloud security See Security starts with visibility. Distributed infrastructure, devices, servers, users, applications and operating systems must be discovered, classified, monitored and managed to ensure secure computing in a campus or cloud environment. Forescout provides the visibility you need to protect your physical and virtual environments. Forescout’s advanced visibility capabilities let you: • Pinpoint virtual machines that lack up-to-date versions of VM software and security applications • Identify virtual machines or instances that are located in the wrong zone (port group or security group, for example) • Profile the guest operating system running on virtual machines and instances • Identify peripheral devices on VMs • Detect unauthorized access to and from cloud instances Control Forescout can allow, deny or limit network access based on virtual machine posture and security policies. By assessing and remediating high-risk virtual machines and cloud instances, it mitigates the threat of data breaches and malware attacks that would otherwise put your organization at risk. In addition, by continuously monitoring VMs and cloud instances and applying controls in accordance with your security policies, Forescout dramatically streamlines your ability to demonstrate compliance with industry mandates and regulations. Among other things, Forescout’s policy-based controls allow you to:• Allow, deny or block virtual machines’ network access by assigning or changing VM port groups or security groups • Identify and block rogue virtual machines • Enforce the use of approved golden VM images • Remediate out-of-date virtual machines (OS patches, security applications, signatures and more)• Restrict removable storage devices Orchestrate Forescout integrates with virtual infrastructure, leading VM hypervisor management suites as well as cloud-based services. Forescout can trigger the installation of VM-specific tools and share real-time security intelligence across systems to enforce a unified network security policy that reduces vulnerability windows by automating system-wide threat response.Forescout BenefitsOne of the biggest challenges enterprises face with cloud adoption is to ensure security. While this may seem like a daunting task—especially in a new, relatively unknown environment—Forescout’s solution lets you make the most of existing personnel, processes and technology, thereby significantly reducing capital expense (Capex) and operating expense (Opex) as compared to starting from scratch and deploying new security resources for your cloud environment. Since Forescout’s solution provides a simple, single pane of glass for security operations (SecOps), enterprises can dramatically minimize the expense of additional tools and training, as well as vendor lock-in.© 2019 Forescout Technologies, Inc. All rights reserved. Forescout Technologies, Inc. is a Delaware corporation. A list of our trademarks and patents can be found at /company/legal/intellectual-property-patents-trademarks . Other brands, products, or service names may be trademarks or service marks of theirrespective owners. Version 08_19Forescout Technologies, Inc.190 W Tasman Dr.San Jose, CA 95134 USAToll-Free (US) 1-866-377-8771Tel (Intl) +1-408-213-3191 Support +1-708-237-6591 Learn more at *Notes1. Altman Vilandrie & Co. https:///20170602/security/20170602securitystudy-iot-security-breaches-tag232. Forescout analysis3. ABI Research4. Gartner Top Strategic IoT Trends and Technologies Through 2023, September, 2018Deploying Forescout Platform for Cloud EnvironmentsForescout is available as physical and virtual appliances. Its heterogeneous support offers out-of-the-box integration with leading virtual switches, physical switching and wireless infrastructure. This ability to run in both physical and virtual environments helps you centrally manage and enforce consistent security policies across campus and cloud environments using the same solution and management console.。

云计算中心解决方案

云计算中心解决方案云计算中心是一个集中管理和运营云计算服务的数据中心,通过它可以提供云计算平台,为用户提供计算、存储和网络服务。

在构建云计算中心解决方案时,首先需要明确定义目标和需求,然后考虑硬件设施、软件平台、服务管理和安全性等方面的内容。

1.硬件设施:-服务器选择:根据实际需求选择合适的服务器,包括性能、可扩展性和可靠性等方面的考量。

-存储设备选择:根据数据的大小和访问频率选择合适的存储设备,包括硬盘和固态硬盘等。

-网络设备选择:根据数据中心内部和外部网络的需求选择合适的网络设备,包括交换机、路由器和防火墙等。

-电力供应:确保云计算中心具备可靠和稳定的电力供应,包括备用电源和供电红外线监控等。

2.软件平台:- 操作系统选择:根据实际需求选择合适的操作系统,包括Windows Server、Linux等。

- 虚拟化软件选择:选择合适的虚拟化软件,包括VMware、Hyper-V 等,实现资源的虚拟化和隔离。

- 服务管理平台选择:选择合适的服务管理平台,实现对云计算资源的管理和监控,包括OpenStack、vSphere等。

3.服务管理:-资源管理:通过服务管理平台对云计算资源进行管理和分配,包括虚拟机、存储和网络等。

-性能监控:监控云计算资源的性能和利用率,及时发现问题并进行调整和优化。

-容灾备份:建立容灾备份机制,确保数据的安全性和可靠性,包括数据备份和灾难恢复等。

4.安全性:-数据安全:确保用户数据的机密性和完整性,包括数据加密、访问控制和备份等。

-网络安全:建立防火墙和入侵检测系统,保护云计算中心的网络安全,防止非法访问和攻击。

-访问控制:设置合适的权限和访问控制策略,控制云计算资源的访问和使用权限,提高安全性。

综上所述,云计算中心解决方案需要综合考虑硬件设施、软件平台、服务管理和安全性等方面的内容,通过合理的规划和设计,可以建立可靠、高效和安全的云计算中心,为用户提供优质的云计算服务。

虚拟化平台故障应急方案

虚拟化平台故障应急方案1.引言虚拟化平台是现代计算环境中的重要组成部分,但偶尔可能会面临各种故障。

为了保障业务连续性和快速恢复,本文将提供一份虚拟化平台故障应急方案。

2.故障识别与排查当虚拟化平台发生故障时,首先需要快速识别和排查故障原因。

下面是一些常见的故障识别和排查方法:监控系统:使用监控系统实时监测虚拟化平台的性能和状况,及时发现异常情况。

日志分析:定期分析虚拟化平台日志,寻找可能存在的故障迹象。

硬件检查:检查物理服务器、网络设备等硬件设施,排除硬件故障的可能性。

资源利用率:分析虚拟机、存储和网络的资源利用率,发现可能存在的资源瓶颈。

3.应急响应策略一旦故障被确认,需要迅速采取应急响应策略以最小化业务影响。

以下是几种有效的应急响应策略:故障转移:将受影响的虚拟机迁移到其他健康的物理服务器上,以保证其正常运行。

快速恢复:利用备份和快照技术,快速恢复虚拟机和关键数据到稳定状态。

备用系统切换:如果有备用虚拟化平台,可以将业务流量切换到备用系统上,实现无缝切换。

通信与沟通:及时向相关人员和部门通报故障情况,确保故障的全面协调和沟通。

4.故障后处理故障后的处理工作同样重要,以下是一些需要注意的方面:故障分析:对故障进行深入分析,确定故障原因并采取预防措施,以避免类似故障再次发生。

性能优化:评估虚拟化平台的性能表现,发现可能的优化点,并进行相应的调整和改进。

日志记录:记录故障处理过程中的细节,为后续的故障排查和分析提供参考。

维护计划:制定定期的维护计划,包括磁盘清理、系统更新、备份和恢复测试等,以保持虚拟化平台的良好状态。

5.总结本文提供了一份针对虚拟化平台故障的应急方案,包括故障识别与排查、应急响应策略和故障后处理等内容。

在实际应用过程中,可以根据具体要求进行相应的调整和补充。

通过严谨的故障应急方案,能够提高虚拟化平台的可用性和稳定性,保障业务的连续运行。

云平台虚拟化方案建议书

目录1.虚拟化的需求 (2)2.虚拟化方案设计 (2)2.1.1 现有服务器及存储器 (2)2.1.2 虚拟服务器及存储器目标 (3)2.1.3 拟运行应用 (3)2.2虚拟化解决方案的设计和实施角色定义 (3)3.虚拟化平台的软硬件组件说明 (4)3.1连接拓扑图 (4)3.2 VSPHERE Server配置说明 (5)3.3 SAN集中共享存储 (7)3.3.1 产品优势 (8)3.3.2 产品技术规格 (15)3.4 集中管理、自动化及优化运行 (19)4.虚拟化方案实施综述 (21)4.1虚拟化方案主要实施要点 (22)4.2虚拟化项目实施知识转移内容 (23)4.3时间表、交付文档 (25)5. 设备配置清单 (26)1.根据我们前期与贵单位相关人员进行的讨论,我们了解到贵公司对虚拟化服务器基础设施很感兴趣。

像很多我们以前的客户一样,你们已经在服务器基础设施上进行了重大投资——投资在近几年快速增长,在可预见的未来仍会保持这一趋势。

但是服务器泛滥不是你所愿意看到,也是无法承受的,其中很多服务器专门运行单一的应用软件。

这种情况造成计算资源利用率低下,包括CPU、内存、存储、I/O等。

你希望能够把众多服务器整合到数据中心,并且仍然能够运行同样数量的应用并能够在不大幅增加服务器硬件的情况下运行更多的应用。

根据上述描述,服务器虚拟化整合成为迫在眉睫的任务,通过服务器虚拟化整合,可以获得以下优势,从而从根本上解决目前遇到的问题:•提高单台服务器的使用效率•降低服务器基础设施(以及相关 IT 基础设施和运营)的总体拥有成本•更快速地部署的服务器和应用测试软件,加快开发节奏;•更高的系统可用性•降低数据中心的空间和能耗成本•系统性能提高•加速软件开发-测试流程•简化开发系统的管理流程2.2.1 客户现有环境1. 现有IBM X3850 X5服务器2台。

配置为:4U高机架式,2颗Xeon 2*8核至强E7-4820处理器,2.0GHz CPU,64GB内存,集成2个千兆以太网端口(RJ45)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Intel TPM/TXT 集成
9
虚拟化安全
无代理部署
1
IDS / IPS(虚拟补丁)
Web 应用程序防护 应用程序控制
VMsafe APIs
防火墙
无代理部署
2
防病毒
vShield Endpoint
无代理部署
3 vShield
完完整整性性监监控控
Endpoint
安全 虚拟 设备
日志审计
无代理工作原理
6
攻击在虚拟器之中发生
需要管理的终端数量增长
1 资源争夺 2 随时启动的防护间隙 3 虚拟机之间攻击/防护盲点 4 虚拟机个别管理复杂
安裝新 VM
配置 客户端
病7
如何解决虚拟化的安全问题
安全虚拟机
安全管理员
集中管理接口
Partner Agent
GVuVMeMst VM
➢ 性能状况:有客户端 VS 无客户端
VM CPU Rate (有客户端)
VM CPU Rate (无客户端)
Security VM
15
客户的云历程
阶段 1 服务器整合
阶段 2 业户扩张
服务器虚拟化安全
15%
桌面端
客户端虚拟化安全
30% 服务器
阶段 3 私有&公共云
85%
70%
桌面端虚拟化解决方案
Deep Security特性
物理机
虚拟机

Deep Security
灵活适应各种 环境
防护超过22种 平台
保护超过56种 应用/服务系统
14
Deep Security特性
➢ 可以实现底层与虚拟系统所打造的安全软件,每台物理服务
器安装一次
― 提升硬件服务器使用率 ― 简化安全管理 ― 具备自动继承的保护
Source: Worldwide Endpoint Security 2010-2014 Forecast and 2009 Vendor Shares, IDC
Source: 2011 Technavio – Global Virtualization Security Management Solutions
虚拟化后的信息安全问题应该重新思考
VM1 VM2
VM3
App1 OS1
App2 OS2
App3 OS3
WMware
VM4
App4 OS4
3
防病毒风暴
1 资源争夺
传统安全软件如何造成“防病毒风暴“?
– 定期扫描 • CPU+IO • 网络硬盘
传统安全软件 造成资源冲突
– 病毒库更新 • 网络
降低虚拟机密度
13
解决方案:无代理安全具备虚拟环境感 知能力,基于虚拟器整体资源所分发的 安全任务有效避免资源争夺
解决方案:基于虚拟器部署的安全虚拟 机实时使用最新威胁特征库
解决方案:与虚拟化平台所集成的虚 拟环境感知安全解决方案
解决方案:与虚拟环境管理平台VMware vCenter 集成,自动侦测安全层级不足 的虚拟器
2011
中国区正式推广 趋势科技
Deep Security 无代理安全解决方案
各界的认可
Trend Micro Check Point
Blue Coat Kaspersky
SafeNet Websense
Fortinet Sophos SonicWALL* Webroot*
0
All Others
87%
200
Source: 2011 © Quocirca Ltd.: Selected independent IT security
vendor revenues ($M, * = estimate)
400
600
800 1000
Trend Micro 13%
Trend Micro 22.9%
All Others 77.1%
趋势护航•安享云端
趋势科技云计算平台 安全解决方案
1
客户的云历程
阶段 1 服务器整合
服务器虚拟化安全
15%
阶段 2 业户扩张
桌面端
30% 服务器
阶段 3 私有&公共云
85%
70%
2
虚拟化给安全带来的挑战
传统安全防护的模型
每个物理环境相对独立 安全产品保护服务器和应用程序
虚拟化后的状况
所有虚拟机共享资源 虚拟机和应用程序随时可能移动或变更
vShield Endpoint
Library
预设扫描接口
EPsec Interface
AAPAPPAAPPPPsPPPss
实时扫描接口
OOSOSS
应在虚拟化系统底层解决安全问题 状态监控
清除、修复接口
Kernel Kernel
Guest Driver
缓存 & 过滤
BBIOIOSS
REST
vShield Manager 5.0
防火墙
病毒查杀
检测并拦截恶意软件(网络威 胁,病毒和蠕虫,木马)
日志审计
完整性监控
在重要系统目录,文件,注册表项 中检测恶意和未经授权的更改
客户的云历程
阶段 1 服务器整合
阶段 2 业户扩张
服务器虚拟化安全
15%
桌面端
客户端虚拟化安全
30% 服务器
阶段 3 私有&公共云
85%
云安全
70%
趋势科技云计算安全解决方案
vNIC vNIC
vNIC vNIC
ESX 5 Hypervisor
11
EPSec Vmsafe API
vSwitch
实现方式
虚拟安全 防护
杀毒 模块
防火 墙
系统 监控
应用 保护
入侵 防护
虚拟 补丁
和虚拟环境直 接集成
12
虚拟环境的解决方案 1 资源争夺 2 随时启动的防护间隙 3 虚拟机之间攻击/防护盲点 4 虚拟机个别管理复杂
VI Admin vCenter
ESX 5.0 vSphere 平台
vShield Endpoint ESX Module
图例
安全产品提供 商
8
DSVA组件和 API接口
vShield Endpoint 组件
Vmware平台
VMware 内部接口
安全产品接口
为虚拟化构架的安全
vSphere
vCenter 集成
• IO
– 病毒库于内存所常驻
• 重复的内存使用
4
快照、还原的威胁和安全风险
1 资源争夺 2 随时启动的防护间隙
激活
重新激活, 安全策休略眠过期
新生成 虚拟机
✓ ✓ ✓ ✓
虚拟机必须带有 已配置完整的客户端和最新的病毒库
5
每个虚拟机都是安全漏洞 1 资源争夺 2 随时启动的防护间隙 3 虚拟机之间攻击/防护盲点
2009
云安全智能防护 网络:业界第一 个基于云计算的 安全防护体系
RSA:
趋势科技
安全虚拟设备 技术发布
RSA:趋势 科技演示无 代理防护
2010
VMworld:发布 Deep Security 加入VMware vShield EPSEC 合作
无代理防护的 Deep Security &
SecureCloud RSA: 其他安全厂商发 表无代理防护计划
无代理解决方案:Deep Security
保护 Web 应用安全 漏洞
减低攻击层面. 防止 DoS & 产品瑕疵
监察扫描 从海量数据中 优化以及辨识 重要安全事件
以无代理方式提供
深度包检测
IDS / IPS Web 应用程序保护
虚拟补丁
侦测和阻止透过安全漏洞 发动的已知跟零日攻击
在用户环境无法及时提供补丁更 新时,提供无补丁防护措施
整体解决方案架构
趋势科技 – 长期与VMWare密切合作的技术合作伙伴
+ 2009: 第一支持VMware VMSafe技术
2010: 第一支持VMware vShield技术
云计算技术分析 海量垃圾邮件和
威胁数据
2004
2008
OSCE + TDA 多层次防御解决方案 Web、邮件、文件 信誉技术关联分析
与 VMware 密切合作的解决方案
提供全球独一无二的“无代理”安全防护 最大化虚拟机密度
提升安全性
通过提供最安全的虚拟化基础设施, 与API和认证计划
全面提升虚拟化
通过基于VMware平台 提供安全解决方案, 以充分发挥其效率
Q&A
谢谢!
迈向云端•全程护航
以安全加速云计算
虚拟化
环境感知的策略管理
物理 – 虚拟 – 云端
云基础设施
移动、终端设备
云终端设备
数据大集中
云数据
数据 保护
威胁管理
网站、软件及服务
云应用
天翼云计算平台架构
IaaS产品
云托管 云主机 云桌面
PaaS产品 云存储 云关系数据库 企业移动云门户 电信业务能力开放
SaaS产品 翼商云 云呼叫中心 云密保