虚拟化平台安全防护方案
- 格式:doc
- 大小:3.35 MB
- 文档页数:11
1.虚拟化安全挑战及防护需求 虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。 总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面: 1. 网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意义
虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。 攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。 2. 系统结构的变化导致新风险
虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散 同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全; 虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。 因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改. 3. 资源的共享化,原有安全防护技术面临新挑战
针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。
2. 安全建设方案
2.1安全建设方案概述 虚拟化平台的虚拟网络安全:通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护 虚拟化Guest服务器安全: 该方案针对虚拟出来的服务器的安全防护同样可以做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变化。面对新形势下的安全威胁,无论是网络攻击,内存的缓存溢出攻击,零日威胁,都可以做到实时的安全防护。 虚拟化平台底层架构安全防护:通过对VMware ESXi服务器的事件日志的实时收集和分析,实现实时监控虚拟服务器的文件配置改变,针对ESXi服务器的入侵检测防护能力。 通过VMware加固手册,针对vCenter服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。由于vCenter服务器架构与Windows服务器上,因此同时还应该针对Windows服务器提供足够的服务器级别加固能力,防止通过入侵Windows而间接控制vCenter服务器。 通过对ESXi,vCenter,Windows服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平台具备全部控制和管理能力的虚拟化平台自身服务器ESXi和vCenter服务器做到完整的基础架构安全防护能力。 2.2总体网络部署架构示意图 2.3虚拟桌面无代理病毒防护 2.3.1需求概述 针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。 结合VMWARE最新的NSX技术架构,赛门铁克数据中心安全防护提供了针对虚拟化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。
2.3.2实现方案
SDCS通过提供虚拟安全设备SVA并于VMware的软件定义网络平台NSX集成,提供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策略分配到NSX定义的组,而无须关心策略分配到那个虚拟机。 SDCS提供虚拟安全设备SVA为虚拟服务器提供无代理防病毒 SDCS提供和NSX的自动化安全策略分配到组 2.4虚拟平台和虚拟服务器安全 2.4.1需求概述 在虚拟化环境中,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,例如: – 虚拟层的破坏会导致其上所有虚拟桌面主机的破坏 – 虚拟桌面主机防护薄弱,可直接影响其他租户的虚拟桌面主机 – 虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主机间的通信
这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必须加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及威胁扩散到整个虚拟化服务平台。 symantec的DCS-Server Advanced解决方案,针对虚拟化平台的Hypervisor层及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及加固功能,防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水平。
2.4.2实现方案 2.4.2.1虚拟架构保护 监视Hypervisor底层server的方法(支持当前主流的Vmware平台): 虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署DCS 安全监控代理 DCS安全监控代理通过命令行或者API接口访问虚拟平台底层配置文件/日志、VM配置文件。 DCS管理控制台上启用预定义的 虚拟平台IDS 策略监视配置/日志/访问操作 针对虚拟平台配置变更可以生成预定义的监控报告 IDS 策略概要: 命令行接口(CLI) 登录失败和成功事件 命令行接口(CLI)命令操作记录 按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更(谁?时间?操作?变更?内容?) 按照各厂商安全加固指南监控拟平台管理组件配置文件变更(谁?时间?操作?变更?内容?) 关键的安全事件日志分析 未授权核心模块加载 USB设备事件(发现、连接VM) 其他告警
2.4.2.2虚拟主机(Guest OS)保护 安全锁定---保障系统最小权限的安全运行环境 服务器主机的运行环境通常比较简单和固定,且操作是可以预期的,如下: 仅需要安装、运行和访问特定 计算机环境轻易不进行变更 除必要的业务访问和操作外,不允许访问其他任何资源或进行其它额外操作 同时,考虑到服务器主机的特殊性(并不能总是及时更新补丁), 传统的防病毒技术(依赖于黑名单:病毒特征库)无法解决一些新型未知攻击和零日漏洞攻击的威胁,因此,针对关键服务器主机,本次建议采用更严格的基于白名单及行为特征的系统加固及防护技术。 本次推荐的解决方案为赛门铁克的数据中心安全防护软件DCS_SA(SYMC DATA CENTER SECURITY SERVER ADVANCED),DCS_SA是业界领先的基于主机的主机安全保护和加固的解决方案,为关键服务器主机,关键业务应用提供持续的,全面的,纵深的安全防御保护。包括 端口/服务管理(网络环境锁定):限制服务器主机上的端口开放和访问情况,
确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的传播和扩散,并避免来自于其它设备的恶意攻击及访问(包括来自于服务器本地和安全域内部其它主机的恶意访问和攻击) 进程白名单(应用环境锁定):通过进程白名单技术,确保服务器主机只允许业务所需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致的病毒感染、恶意代码执行风险 漏洞攻击及保护(系统加固及锁定):提供针对服务器主机的系统加固锁定和攻击保护。包括缓冲区溢出、进程注入等零日漏洞攻击行为的检测及保护能力,在服务器未及时更新补丁时对服务器进行有效保护。 安全监控及告警功能:通过监控和收集服务器主机操作系统日志和加固及防护系统日志,及时掌握服务器主机当前面临的威胁及风险状况以及系统任何细微变化。
网络环境“锁定” DCS_SA主机防护软件提供了基于主机的防火墙访问控制功能, 可以通过策略管理服务器针对终端计算机制定统一的个人主机防火墙规则,并且自动下发到终端进行执行,且不允许终端用户随意修改。可以通过防火墙策略限定终端用户能不能访问某些特定资源、或者进行特定网络连接(如基于IP、端口、应用程序等参数)。如下图所示: 网络环境“锁定”25限定业务终端应用程序与特有的后台服务器IP地址和端口进行通讯,确保网络环境安全
基于IP地址的访问控制
基于TCP、
UDP端口的访问控制基于进出流量双向访问控制基于程序路径和参数的访问控制基于用户、用户组的访问控制
可以有效控制业务终端恶意代码的传播和感染
通过该功能,可以限制服务器主机上的端口开放和访问情况,确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的传播和扩散,并避免来自于其它设备的恶意攻击及访问(包括服务器本地和安全域内部其它主机的恶意访问和攻击),弥补安全域边界防火墙只能监控阻止来自于安全域外部攻击的不足。
应用环境“锁定” DCS_SA主机防护软件还提供了基于进程、文件级别的应用程序控制及保护功能,通过系统的自我学习功能,DCS_SA可以自动收集并识别业务终端上运行的业务进程及服务,并根据进程的继承和调用关系,采用进程白名单技术,在确保业务进程和业务操作正常运行的前提下,阻止可信范围之外的其它应用程序的安装和运行。 采集的应用及进程信息包括程序名称、发布者、签名、信誉度;通过采集的应用名称和信誉度来添加,应用程序信誉度会自动更新。同时,系统还支持将应用添加到可信升级程序,这样任何的业务应用升级,系统锁定策略不需要进行任何调整,就能保证新版本的应用进程能继续稳定可靠运行,且其它安全防护及锁定能力不受影响,如下图所示: