虛擬化平臺安全防護方案

1、1.虛擬化安全挑戰(zhàn)及防護需求虛擬化技術(shù)的應(yīng)用，幫助企業(yè)實現(xiàn)了資源使用及管理的集約化，有效節(jié)省了系統(tǒng)的資源投入成本和管理維護成本，但虛擬化這種新技術(shù)的應(yīng)用，也不可避免給企業(yè)的安全防護及運維管理帶來新的風(fēng)險及問題?？偨Y(jié)來說，虛擬化技術(shù)面臨的最大風(fēng)險及挑戰(zhàn)主要來自于這樣幾個方面：1 .網(wǎng)絡(luò)及邏輯邊界的模糊化，原有的FW等網(wǎng)絡(luò)安全防護技術(shù)失去意義虛擬化技術(shù)一個最大的特點就是資源的虛擬化和集中化，將原來分散在不同物理位置、不同網(wǎng)絡(luò)區(qū)域的主機及應(yīng)用資源集中到了一臺或者幾臺虛擬化平臺上，不同的虛擬化主機間的網(wǎng)絡(luò)及邏輯邊界越來越難于控制及防護，傳統(tǒng)方式下的網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測防護等技術(shù)都失去了應(yīng)有的作用。

2、攻擊者可以利用已有的一臺虛擬主機使用權(quán)限，嘗試對該虛擬平臺和虛擬網(wǎng)絡(luò)的其他虛擬主機進行訪問、攻擊甚至是嗅探等，因此必須通過基于主機的防火墻或者虛擬防火墻實現(xiàn)針對統(tǒng)一虛擬平臺、虛擬網(wǎng)絡(luò)下的虛擬主機之間的網(wǎng)絡(luò)訪問控制和隔離。2 .系統(tǒng)結(jié)構(gòu)的變化導(dǎo)致新風(fēng)險虛擬化平臺在傳統(tǒng)的“網(wǎng)絡(luò)-系統(tǒng)-應(yīng)用”系統(tǒng)架構(gòu)上增加了“Hypervisor及虛擬網(wǎng)絡(luò)”層，由于不同的虛擬機主機往往承載于同一虛擬化平臺服務(wù)器，即使2臺完全獨立的虛擬機主機，也可能由于虛擬平臺自身（Hypervisor層）的某些缺陷及弱點（如虛擬平臺本身的一些驅(qū)動漏洞），導(dǎo)致安全風(fēng)險及攻擊入侵在不同虛擬機主機之間擴散同時，單臺虛擬機的安全問題，也有

3、可能影響整個虛擬化平臺的安全；虛擬機間隔離不當，可非法訪問其它VM或者竊聽VM司的通信，盜取敏感數(shù)據(jù)。因此必須加強針對虛擬平臺自身和虛擬機主機自身的安全防護。通過主機入侵檢測防護系統(tǒng)，對虛擬平臺和虛擬主機正在發(fā)生的攻擊入侵行為進行實時監(jiān)測及主動防護，防止虛擬平臺和虛擬主機被惡意攻擊及篡改.3 .資源的共享化，原有安全防護技術(shù)面臨新挑戰(zhàn)針對虛擬化環(huán)境，一臺服務(wù)器往往需要承載大量的客戶端虛擬機系統(tǒng)，因此當所有的主機都同時進行病毒定義更新或掃描時，將形成的更新和掃描風(fēng)暴勢必成為一場災(zāi)難，因此如何有效降低虛擬化環(huán)境的病毒定義更新和掃描負載，直接影響到整個虛擬化平臺的使用效率。因此，虛擬機服務(wù)器安全防護

4、軟件必須引入最新的虛擬機優(yōu)化技術(shù)對虛擬化平臺提供更完善、更可靠的保護。2.安全建設(shè)方案2.1 安全建設(shè)方案概述虛擬化平臺的虛擬網(wǎng)絡(luò)安全：通過在虛擬機服務(wù)器主機上部署基于主機的入侵檢測防護系統(tǒng)。實現(xiàn)針對虛擬機服務(wù)器主機的網(wǎng)絡(luò)訪問控制及隔離、入侵攻擊防護、系統(tǒng)加固及審計等功能，彌補傳統(tǒng)網(wǎng)絡(luò)防火墻、入侵防護技術(shù)在虛擬環(huán)境下的防護缺失。滿足對虛擬服務(wù)器自身防護虛擬化Guest服務(wù)器安全：該方案針對虛擬出來的服務(wù)器的安全防護同樣可以做到針對虛擬環(huán)境中的虛擬物理服務(wù)器自身的防護，并且能適應(yīng)虛擬環(huán)境下的架構(gòu)變化。面對新形勢下的安全威脅，無論是網(wǎng)絡(luò)攻擊，內(nèi)存的緩存溢出攻擊，零日威脅，都可以做到實時的安全防護。

5、虛擬化平臺底層架構(gòu)安全防護：通過對VMwareESXi服務(wù)器的事件日志的實時收集和分析，實現(xiàn)實時監(jiān)控虛擬服務(wù)器的文件配置改變，針對ESXi服務(wù)器的入侵檢測防護能力。通過VMwar劭口固手冊，針對vCenter服務(wù)器，集成根據(jù)該手冊定義的安全加固需求的入侵防御，入侵檢測策略。由于vCenter服務(wù)器架構(gòu)與Windows服務(wù)器上，因此同時還應(yīng)該針對Windows服務(wù)器提供足夠的服務(wù)器級別加固能力，防止通過入彳!Windows而間接控制vCenter服務(wù)器。通過對ESXi,vCenter,Windows服務(wù)器的整體安全防護，包括入侵檢測，入侵防御，主機加固等，從而實現(xiàn)對整個虛擬化平臺具備全部控制和管

6、理能力的虛擬化平臺自身服務(wù)器ESXi和vCenter服務(wù)器做到完整的基礎(chǔ)架構(gòu)安全防護能力。至鼻仲山曲計2.帕明2-左«umtr戶.0(*QU邊界)#斷大羯I入靜話即/灌我建干生機晌訪官牌刑ACWN-ASffV-岸條白a*n在修晌眉MC由腓蛇蘇和朋安全訐曲云平臺虛儂畫aHtQXS業(yè)務(wù)資瓊業(yè)為費裨池2業(yè)等痛容池NK營麗口&胃爐?-憚作奉枇曲我3.悔作事計2.2 總體網(wǎng)絡(luò)部署架構(gòu)示意圖*幅率占堂出機2.3 虛擬桌面無代理病毒防護2.3.1 需求概述針對虛擬化環(huán)境，一臺服務(wù)器往往需要承載大量的虛擬主機，因此當所有的主機都發(fā)起病毒掃描時，將形成的掃描風(fēng)暴勢必成為一場災(zāi)難，因此如何有效降

7、低虛擬化環(huán)境的病毒掃描負載，直接影響到整個虛擬化平臺的使用效率。結(jié)合VMWARE新的NSX術(shù)架構(gòu)，賽門鐵克數(shù)據(jù)中心安全防護提供了針對虛擬化服務(wù)器及桌面的無代理病毒防護，解決傳統(tǒng)有代理防病毒方式無法適應(yīng)虛擬化架構(gòu)的問題，特別是虛擬化防病毒帶來的掃描風(fēng)暴和病毒定義升級風(fēng)暴問題。2.3.2 實現(xiàn)方案SDCS!過提供虛才H安全設(shè)備SVA并于VMware勺軟件定義網(wǎng)絡(luò)平臺NS鄧成，提供無代理的虛擬化服務(wù)器病毒防護，并且通過集成，完成虛擬化架構(gòu)下的自動安全策略分配到NSXt義的組，而無須關(guān)心策略分配到那個虛擬機S*liftihrifa5v鳥CxE“icyt.“CfPWy小，Rrv.Pvf|Mijrfinb

8、y<1上工J&MM.看旺bLli心與Z01沖On軸i3MyiVADn44uHB«41Av1*VPW7F1iVA.C.iM1QuPAWrJ'QfaeyJ4UMErr-iaXA-STf*rv,$H3H的T現(xiàn)出明KmkS.4*13&TC&rWgttfdunCEl4urQhKhLk，ufrt>.AtETtdHQ»hrtHImpcinttxporthhkyLrwlaDtfT-MiHiLWJ"I.MErv.JWI3iJJ4«!U1STarwalT*-8dgSV*-.AfetaaMdruhUa*SDCS提供虛擬安全設(shè)備SVA

9、為虛擬服務(wù)器提供無代理防病毒SymantecManagerL導(dǎo)入并且生31安全NA虎戰(zhàn)機2發(fā)布新賽門累克防病毒聚晞工留署W由寄生虐限機到直掙4,生成一't新安至第®&tvmrtteij5©目新疔學(xué)第腑到服翁器組5標記網(wǎng)爆知系統(tǒng)的安全威脅0VMwaireN5XNetworking;&SpcurityEndpointServiceM?ihAwiBPnDteEtionPoliciesSDCS提供和NSX的自動化安全策略分配到組2.4 虛擬平臺和虛擬服務(wù)器安全2.4.1 需求概述在虛擬化環(huán)境中，不同的虛擬化主機間的網(wǎng)絡(luò)及邏輯邊界越來越難于控制及防護，例如：-

10、 虛擬層的破壞會導(dǎo)致其上所有虛擬桌面主機的破壞- 虛擬桌面主機防護薄弱，可直接影響其他租戶的虛擬桌面主機- 虛擬機間隔離不當，可非法訪問其它虛擬桌面主機，或者竊聽虛擬桌面主機間的通信這些新問題，通過傳統(tǒng)的防火墻及入侵防護技術(shù)都不能夠很好的解決，因此，必須加強針對虛擬機主機自身的主機入侵防護及加固，防止某臺或某個點的安全風(fēng)險及威脅擴散到整個虛擬化服務(wù)平臺。Symantec的DCS-ServerAdvanced解決方案，針對虛擬化平臺的Hypervisor層及重要的虛擬服務(wù)器主機，提供基于主機的入侵檢測、防護、系統(tǒng)審計及加固功能，防止虛擬機服務(wù)器被惡意攻擊及入侵，提升虛擬機服務(wù)器自身的安全防護能力

11、及水平。2.4.2 實現(xiàn)方案2.4.2.1 虛擬架構(gòu)保護監(jiān)視Hypervisor底層server的方法（支持當前主流的Vmware平臺）：虛擬平臺底層服務(wù)器上不安裝任何防護軟件，可以在一臺特定的虛擬桌面虛機上部署DCS安全監(jiān)控代理DCS安全監(jiān)控代理通過命令行或者API接口訪問虛擬平臺底層配置文件/日志、VM配置文件。DCS管理控制臺上啟用預(yù)定義的虛擬平臺IDS策略監(jiān)視配置/日志/訪問操作針對虛擬平臺配置變更可以生成預(yù)定義的監(jiān)控報告IDS策略概要:命令行接口（CLI）登錄失敗和成功事件命令行接口（CLI）命令操作記錄按照各廠商安全加固指南監(jiān)控虛擬平臺服務(wù)器底層配置文件變更（誰？時間？操作？變更？

12、內(nèi)容？）按照各廠商安全加固指南監(jiān)控擬平臺管理組件配置文件變更（誰？時間？操作？變更？內(nèi)容？）關(guān)鍵的安全事件日志分析未授權(quán)核心模塊加載USB設(shè)備事件（發(fā)現(xiàn)、連接VM）其他告警2.4.2.2 虛擬主機（GuestOS）保護安全鎖定-保障系統(tǒng)最小權(quán)限的安全運行環(huán)境服務(wù)器主機的運行環(huán)境通常比較簡單和固定，且操作是可以預(yù)期的，如下：僅需要安裝、運行和訪問特定計算機環(huán)境輕易不進行變更除必要的業(yè)務(wù)訪問和操作外，不允許訪問其他任何資源或進行其它額外操作同時，考慮到服務(wù)器主機的特殊性（并不能總是及時更新補?。瑐鹘y(tǒng)的防病毒技術(shù)（依賴于黑名單：病毒特征庫）無法解決一些新型未知攻擊和零日漏洞攻擊的威脅，因此，針對關(guān)

13、鍵服務(wù)器主機，本次建議采用更嚴格的基于白名單及行為特征的系統(tǒng)加固及防護技術(shù)。本次推薦的解決方案為賽門鐵克的數(shù)據(jù)中心安全防護軟件DCS_SASYMCDATACENTEfSECURIT冶ERVEIADVANCEDDCS_SA1業(yè)界領(lǐng)先的基于主機的主機安全保護和加固的解決方案，為關(guān)鍵服務(wù)器主機，關(guān)鍵業(yè)務(wù)應(yīng)用提供持續(xù)的，全面的，縱深的安全防御保護。包括端口/服務(wù)管理（網(wǎng)絡(luò)環(huán)境鎖定）：限制服務(wù)器主機上的端口開放和訪問情況，確保服務(wù)器上只開放允許的服務(wù)端口，并進行細粒度的訪問控制管理，有效控制惡意代碼在網(wǎng)絡(luò)內(nèi)部的傳播和擴散，并避免來自于其它設(shè)備的惡意攻擊及訪問（包括來自于服務(wù)器本地和安全域內(nèi)部其它主機的惡

14、意訪問和攻擊）進程白名單（應(yīng)用環(huán)境鎖定）：通過進程白名單技術(shù)，確保服務(wù)器主機只允許業(yè)務(wù)所需的進程和程序，防止因為軟件的隨意安裝或者程序的運行可能導(dǎo)致的病毒感染、惡意代碼執(zhí)行風(fēng)險漏洞攻擊及保護（系統(tǒng)加固及鎖定）：提供針對服務(wù)器主機的系統(tǒng)加固鎖定和攻擊保護。包括緩沖區(qū)溢出、進程注入等零日漏洞攻擊行為的檢測及保護能力，在服務(wù)器未及時更新補丁時對服務(wù)器進行有效保護。安全監(jiān)控及告警功能：通過監(jiān)控和收集服務(wù)器主機操作系統(tǒng)日志和加固及防護系統(tǒng)日志，及時掌握服務(wù)器主機當前面臨的威脅及風(fēng)險狀況以及系統(tǒng)任何細微變化。網(wǎng)維環(huán)境鎖定"血定壬凱即卜1引工格為創(chuàng)網(wǎng)珞聞訊只力許王H旭.特筵匚用三后8代定常三需而T

15、關(guān)犍服務(wù)器應(yīng)用環(huán)境”鎖定“茄亍廠由中用琦母,=喈限制可運百日麗及資港只允許特定的啟用進程算茸調(diào)用的系統(tǒng)遴程和法施行jF百li于關(guān),隼后左,循渤及業(yè)務(wù)終端岸和李戔策略“統(tǒng)一rr83就足素統(tǒng)運行環(huán)壕和資愿T0三中簾部即,防止期中區(qū)三出.聲程T人.內(nèi)仔、王A等庫擊系統(tǒng)環(huán)境鎖定"*皆卬筌出壬機安至嚴聲串譽崎一監(jiān)回林爆日樹皮全事,一，集中審計杓告*網(wǎng)絡(luò)環(huán)境“鎖定”DCS_SAfc機防護軟件提供了基于主機的防火墻訪問控制功能,可以通過策略管理服務(wù)器針對終端計算機制定統(tǒng)一的個人主機防火墻規(guī)則，并且自動下發(fā)到終端進行執(zhí)行，且不允許終端用戶隨意修改。可以通過防火墻策略限定終端用戶能不能訪問某些特定資源

16、、或者進行特定網(wǎng)絡(luò)連接（如基于IP、端口、應(yīng)用程序等參數(shù)）。如下圖所示：網(wǎng)絡(luò)環(huán)境“鎖定”可以有效控制業(yè)務(wù)終端惡意代碼的傳播和感染限定業(yè)務(wù)終端應(yīng)用程序與特有的后臺服務(wù)器IP地址和端口進行通訊，確保網(wǎng)絡(luò)環(huán)境安全,Ar基于IP地址的訪問控制基于TCPUD端口的訪問控制基于進出流量雙向訪問控制基于程序路徑和參數(shù)的訪問控制基于用戶、用戶組的訪問控制通過該功能，可以限制服務(wù)器主機上的端口開放和訪問情況，確保服務(wù)器上只開放允許的服務(wù)端口，并進行細粒度的訪問控制管理，有效控制惡意代碼在網(wǎng)絡(luò)內(nèi)部的傳播和擴散，并避免來自于其它設(shè)備的惡意攻擊及訪問（包括服務(wù)器本地和安全域內(nèi)部其它主機的惡意訪問和攻擊），彌補安全域邊

17、界防火墻只能監(jiān)控阻止來自于安全域外部攻擊的不足。應(yīng)用環(huán)境“鎖定”DCS_S左機防護軟件還提供了基于進程、文件級別的應(yīng)用程序控制及保護功能，通過系統(tǒng)的自我學(xué)習(xí)功能，DCS_SAT以自動收集并識別業(yè)務(wù)終端上運行的業(yè)務(wù)進程及服務(wù)，并根據(jù)進程的繼承和調(diào)用關(guān)系，采用進程白名單技術(shù)，在確保業(yè)務(wù)進程和業(yè)務(wù)操作正常運行的前提下，阻止可信范圍之外的其它應(yīng)用程序的安裝和運行。采集的應(yīng)用及進程信息包括程序名稱、發(fā)布者、簽名、信譽度；通過采集的應(yīng)用名稱和信譽度來添加，應(yīng)用程序信譽度會自動更新。同時，系統(tǒng)還支持將應(yīng)用添加到可信升級程序，這樣任何的業(yè)務(wù)應(yīng)用升級，系統(tǒng)鎖定策略不需要進行任何調(diào)整，就能保證新版本的應(yīng)用進程能繼

18、續(xù)穩(wěn)定可靠運行，且其它安全防護及鎖定能力不受影響，如下圖所示：應(yīng)用環(huán)境“鎖定”可以有效控制主機上惡意代碼、非法進程的執(zhí)行和活動限定主機需耍運行的特定應(yīng)用進程，自動識別系統(tǒng)進程和資源調(diào)月關(guān)系，阻止可信范圍之外的其他應(yīng)用程序運行，確保應(yīng)用環(huán)境安全I應(yīng)用程序運口進程繼承關(guān)口資源調(diào)用關(guān)工城進程沙箱”行環(huán)境白名系智能識別系智能識別和最小授權(quán)的行單和控制和控制為控制模式通過該功能（進程白名單技術(shù)），可以確保服務(wù)器主機只允許業(yè)務(wù)所需的進程和程序，防止因為軟件的隨意安裝或者程序的運行可能導(dǎo)致的病毒感染、惡意代碼執(zhí)行風(fēng)險。系統(tǒng)環(huán)境“鎖定”DCS_S左機防護軟件還提供了基于系統(tǒng)的加固和鎖定功能，可以限制系統(tǒng)配置設(shè)

19、置、文件系統(tǒng)以及對服務(wù)器的訪問及操作。企業(yè)可以利用該功能逐一鎖定服務(wù)器，并確保對面向公眾和關(guān)鍵任務(wù)服務(wù)器執(zhí)行了適當?shù)母目刂?。例如：限制用戶或程序?qū)χ付夸洝⑽募捌渌到y(tǒng)資源的訪問及修改（例如可以禁止終端用戶執(zhí)行任何其它多余系統(tǒng)級或外部命令）限制各種外設(shè)（例如打印、傳真、usb拷貝）等功能使用，例如可以確保只有通過特定用戶或業(yè)務(wù)進程才能執(zhí)行打印、usb拷貝操作，其它用戶或進程無法使用相關(guān)功能等除了前文所述系統(tǒng)鎖定機制之外，DCS_S3機防護軟件還提供針對操作系統(tǒng)核心運行環(huán)境的鎖定和保護，可以有效防止進程注入、內(nèi)存注入等攻擊行為，對這兩種攻擊的阻止是通過攻擊原理及攻擊行為來進行識別并阻斷，所以

20、無需特征庫升級即可阻止已知和未知的攻擊行為。眾所周知，操作系統(tǒng)的每項進程、服務(wù)或功能都有明確的定義。這些進程每時每刻都一成不變地做著相同的工作。因此，可以將這些進程服務(wù)和功能的已知正確行為定義并預(yù)包裝在服務(wù)器加固及防護系統(tǒng)的默認策略中。因為這些保護策略了解系統(tǒng)每個組成部分的正確行為，所以，每個系統(tǒng)調(diào)用在執(zhí)行之前都會由服務(wù)器加固及防護系統(tǒng)客戶端代理程序評估系統(tǒng)調(diào)用并確保其有效性，然后再將其傳遞給操作系統(tǒng)的執(zhí)行引擎。利用BehaviorControlDescriptions(BCDs)技術(shù)，針對系統(tǒng)及常見應(yīng)用服務(wù)進程制定基于行為的“虛擬"Shell,限定每個應(yīng)用程序允許訪問的資源及其訪問權(quán)限，確保相關(guān)應(yīng)用程序及進程只執(zhí)行了經(jīng)過授權(quán)及許可的