虛擬化安全防護解決實施方案

1、.WORD.格式 .虛擬化安全解決方案趨勢科技（中國）有限公司2014年 3月.專業(yè)資料 . 整理分享 .WORD.格式 .目錄一、重新思考服務(wù)器所面臨的安全問題.31.1成為企業(yè)生產(chǎn)運行和業(yè)務(wù)運轉(zhuǎn)的根本.31.2企業(yè)應(yīng)用改變帶來的挑戰(zhàn) .31.3受到不斷變化新威脅攻擊的挑戰(zhàn).31.4虛擬化環(huán)境的面臨的新挑戰(zhàn) .41.5法律法規(guī)帶來的要求 .7二、虛擬化四大安全管理問題 .7三、傳統(tǒng)方案處理虛擬化安全的問題.9四、趨勢科技無代理虛擬化安全解決方案.114.1.趨勢科技虛擬化安全防護 DeepSecurity .124.1.1.系統(tǒng)架構(gòu) .164.1.2.工作原理 .174.1.3.DeepSe

2、cuirty 部署及整合 .174.1.4.集中管理 .184.1.5.產(chǎn)品價值 .18五、對企業(yè)虛擬化主要安全策略應(yīng)用最佳實踐.19六、結(jié)語 .25.專業(yè)資料 . 整理分享 .WORD.格式 .一、 重新思考服務(wù)器所面臨的安全問題1.1成為企業(yè)生產(chǎn)運行和業(yè)務(wù)運轉(zhuǎn)的根本隨著信息化和互聯(lián)網(wǎng)的深入，很難想象脫離了網(wǎng)絡(luò)， 現(xiàn)代企業(yè)如何才能進行正常運轉(zhuǎn)。而服務(wù)器所承載的企業(yè)核心數(shù)據(jù)，核心應(yīng)用甚至企業(yè)的核心知識產(chǎn)權(quán)等等，讓企業(yè)已經(jīng)無法脫離服務(wù)器。1.2企業(yè)應(yīng)用改變帶來的挑戰(zhàn)Web應(yīng)用： 80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會自己的Web網(wǎng)站和基于Web的應(yīng)用。虛擬化應(yīng)用： 出于資源利用， 系統(tǒng)

3、整合以及綠色I(xiàn)T 的需要，虛擬化已經(jīng)在企業(yè)內(nèi)部有了大量的應(yīng)用。私有云計算的應(yīng)用企業(yè)對于計算能力，對于業(yè)務(wù)應(yīng)用等需求，已經(jīng)在公司網(wǎng)絡(luò)內(nèi)部建立的私有云計算系統(tǒng)。以上這些應(yīng)用給服務(wù)器的安全帶來了更大的挑戰(zhàn)，傳統(tǒng)的安全措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，服務(wù)器系統(tǒng)的安全要求。1.3受到不斷變化新威脅攻擊的挑戰(zhàn)從 2000 年至今，互聯(lián)網(wǎng)的發(fā)展日新月異，新的引用層出不窮。從Web1.0 到 Web2.0，從2G網(wǎng)絡(luò)升級到 3G網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接入從笨重的臺式機，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和手機終端。隨著互聯(lián)網(wǎng)的發(fā)展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時，信息技術(shù)的發(fā)展也帶來了安全威脅的發(fā)展。

4、安全威脅的攻擊， 從單純的攻擊單臺電腦， 到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個互聯(lián)網(wǎng)充斥著各種攻擊威脅。.專業(yè)資料 . 整理分享 .WORD.格式 .在目前的網(wǎng)絡(luò)安全大環(huán)境下，現(xiàn)有的防病毒安全系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，避免病毒對企業(yè)的數(shù)據(jù)， 應(yīng)用和網(wǎng)絡(luò)帶來威脅， 必須對企業(yè)的安全系統(tǒng)進行結(jié)構(gòu)化的完善， 尤其在服務(wù)器的安全防護上，在過去的幾年中， 大部分企業(yè)都存在一定的不足。1.4虛擬化環(huán)境的面臨的新挑戰(zhàn)虛擬機內(nèi)部攻擊傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看位于同一物理服務(wù)器內(nèi)部各虛擬機之間的網(wǎng)絡(luò)通信，因此無法檢測或抑制源于同一主機上的虛擬機的攻擊。虛擬機內(nèi)的網(wǎng)絡(luò)通信有虛

5、擬交換機進行控制。當(dāng)同一主機上的虛擬機遭受惡意軟件攻擊時，網(wǎng)絡(luò)中傳統(tǒng)的 IPS/IDS 設(shè)備將可能檢測不到異常情況。.專業(yè)資料 . 整理分享 .WORD.格式 .資源爭奪病毒掃描或防病毒更新等占用資源較多的操作會快速導(dǎo)致系統(tǒng)（CPU、內(nèi)存和磁盤I/O ）負(fù)荷激增。使用不具有虛擬化感知能力的傳統(tǒng)安全解決方案部署虛擬化時。將導(dǎo)致虛擬機密度大量降低。在單臺主機上僅能運行5 至 15 臺虛擬機，而不是15 至 45 臺虛擬機。這將嚴(yán)重影響任何虛擬化或云計算項目的投資收益率（ROI）管理的復(fù)雜性在虛擬化環(huán)境中，很容易創(chuàng)建、修改、復(fù)制和移動虛擬機。使用云計算、公共云或私有云之后，新的虛擬機能自動進行設(shè)置、

6、重新配置，甚至自動移動。這使得管理員在追蹤、維護和實施一致性的安全策略時變得異常困難。因此，有必要采取相應(yīng)措施來應(yīng)對此類動態(tài)數(shù)據(jù)中心。即時啟動間隙持之以恒的確保 “即時啟動” 虛擬機的安全并不斷的對其進行更新，這幾乎是無法實現(xiàn)的。處于休眠狀態(tài)的虛擬機最終可能會嚴(yán)重偏離基準(zhǔn)，以至于僅僅啟動它們便會引入大量安全漏洞。為了降低這種風(fēng)險， 必須提供一種解決方案在完全受保護的狀態(tài)下配置和管理虛擬機，無論最后一次防病毒特征碼或補丁更新何時發(fā)生，整個虛擬機系統(tǒng)都能一直處于安全狀態(tài)。.專業(yè)資料 . 整理分享 .WORD.格式 .另外虛擬化系統(tǒng)采用與物理系統(tǒng)相同的操作系統(tǒng)，包括企業(yè)級應(yīng)用和web應(yīng)用。盡管某些漏

7、洞能夠被系統(tǒng)管理程序檢測出， 但是對于這些虛擬化系統(tǒng)的主要威脅是惡意軟件對于這些系統(tǒng)和應(yīng)用中的漏洞進行遠(yuǎn)程探測的能力。虛擬化環(huán)境的動態(tài)特性面臨入侵檢測/ 防御系統(tǒng)（IDS/IPS ）的新挑戰(zhàn)。由于虛擬機能夠迅速地恢復(fù)到之前的狀態(tài)， 并且易于在物理服務(wù)器之間移動，所以難以獲得并維持整體一致的安全性。為了創(chuàng)建虛擬化安全的有效方法，用戶應(yīng)該采用與不斷演化以保護物理IT 資源相同的安全理論。其中一個安全理論是“全面防御” ，這是企業(yè)用戶對于在其IT 基礎(chǔ)設(shè)施中出現(xiàn)的“網(wǎng).專業(yè)資料 . 整理分享 .WORD.格式 .絡(luò)邊界去除” 進行識別的基礎(chǔ)安全需求。 行業(yè)最佳實踐支持這種理論， 而且諸如 Jeric

8、hoForum等組織也將其納入其安全建議。因為基于設(shè)備的安全不能夠處理位于同一物理系統(tǒng)上的VM之間的攻擊，所以虛擬化已經(jīng)使“網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，以及對于領(lǐng)先的安全需求更加迫切。安全的最佳實踐至關(guān)重要。論壇其它引導(dǎo)理論包括以下規(guī)則：防護的范圍和等級應(yīng)該針對于并適合出于風(fēng)險中的資產(chǎn)。商業(yè)需要能夠提高其靈活性和成本有效性的安全策略盡管邊界防火墻會不斷地提供基本的網(wǎng)絡(luò)防護，但是個人系統(tǒng)和數(shù)據(jù)需要自我防護。通常，提供的防護離資產(chǎn)越接近，越容易保護該資產(chǎn)。應(yīng)用上述這些和其它虛擬化數(shù)據(jù)中心的安全理論，現(xiàn)在可以看到存在對于虛擬化安全方法的明確需求，即直接將安全機制部署在物理服務(wù)器上防護這些虛擬化系統(tǒng)

9、，從而盡可能近地對資產(chǎn)進行防護。1.5法律法規(guī)帶來的要求中國信息安全等級保護制度和C-SOX，以及國外的PCI, HIPAA, SAS-70, SOX, GLBA 等法律法規(guī)，從法律上也要求了企業(yè)在內(nèi)部信息系統(tǒng)上，達(dá)到一定的安全等級和應(yīng)用一定的安全策略。二、 虛擬化四大安全管理問題虛擬機溢出導(dǎo)致安全問題蔓延管理程序設(shè)計過程中的安全隱患會傳染同臺物理主機上的虛擬機，這種現(xiàn)象被稱作“虛擬機溢出”。如果虛擬機能夠從所在管理程序的獨立環(huán)境中脫離出來，入侵者會有機可乘進入控制虛擬機的管理程序， 進而避開專門針對保護虛擬機而設(shè)計的安全控制系統(tǒng)。虛擬世界的安全問題正在試圖脫離虛擬機的控制范圍。盡管沒有那家公

10、司會允許安全問題通過管理程序技術(shù)的方式在虛擬主機間相互傳播和蔓延，但這樣的安全隱患還是存在的。因為入侵者或者安全漏洞.專業(yè)資料 . 整理分享 .WORD.格式 .會在虛擬機之間來回?fù)v亂， 這將成為開發(fā)者在開發(fā)過程中的必須面對的問題。現(xiàn)在技術(shù)工程師通常采用隔離虛擬機的方式來保障虛擬環(huán)境的安全性。保障虛擬環(huán)境安全的傳統(tǒng)方式是在數(shù)據(jù)庫和應(yīng)用程序?qū)娱g設(shè)置防火墻。他們從網(wǎng)絡(luò)上脫機保存虛擬化環(huán)境有助于緩解安全隱憂。這對于虛擬化環(huán)境來說是比較好的方法。虛擬機成倍增長，補丁更新負(fù)擔(dān)加重虛擬機遇到的另外一個安全隱患是：虛擬機修補面臨更大的挑戰(zhàn)， 因為隨著虛擬機增長速度加快，補丁修復(fù)問題也在成倍上升。IT 管理人

11、們也認(rèn)同補丁在虛擬化環(huán)境中的關(guān)鍵性，但是在虛擬機和物理服務(wù)器補丁之間實質(zhì)的區(qū)別并非在于安全問題，而是量的問題。 虛擬化服務(wù)器與物理服務(wù)器一樣也需要補丁管理和日常維護。目前，世界上有公司采取三種虛擬化環(huán)境-兩個在網(wǎng)絡(luò)內(nèi)部，一個在隔離區(qū)(DMZ)上- 大約有 150 臺虛擬機。但這樣的布置就意味著管理程序額外增加了層來用于補丁管理。但即便如此，還是無法改變不管物理機還是虛擬機上補丁的關(guān)鍵問題。另外當(dāng)服務(wù)器成倍增長也給技術(shù)工程師及時增加補丁服務(wù)器的數(shù)量帶來一定的壓力，他們開始越來越關(guān)注實現(xiàn)這一進程的自動化的工具的誕生。在隔離區(qū) (DMZ)運行虛擬機通常，許多 IT 管理人都不愿在隔離區(qū) (DMZ)上

12、放置虛擬服務(wù)器。其它的IT 管理者們也不會在隔離區(qū) (DMZ)的虛擬機上運行關(guān)鍵性應(yīng)用程序，甚至是對那些被公司防火墻保護的服務(wù)器也敬而遠(yuǎn)之。在多數(shù)情況下， 把資源分離出來是比較安全的方式。這個時候，不管是隔離區(qū)還是非隔離區(qū)，都可以建立虛擬化環(huán)境。 就是采用在虛擬資源的集群中限制訪問的辦法。每個集群都是自己的資源和入口，因此無法在集群之間來回串聯(lián)，許多IT 管理者們致力于將他們的虛擬服務(wù)器分隔開，將他們置于公司防火墻的保護之下，還有一些做法是將虛擬機放置在隔離區(qū)內(nèi)- 只在上面運行非關(guān)鍵性應(yīng)用程序。這樣的虛擬化架構(gòu)無非是考慮到安全的因素，顯然傳統(tǒng)做法已.專業(yè)資料 . 整理分享 .WORD.格式 .

13、經(jīng)影響了虛擬化架構(gòu)的搭建。管理程序技術(shù)的新特性容易受到黑客的攻擊任何新的操作系統(tǒng)都是會有漏洞和瑕疵的。那這是否意味著黑客就有機可乘，發(fā)現(xiàn)虛擬操作系統(tǒng)的缺陷進而發(fā)動攻擊呢?工業(yè)觀察家們建議安全維護人員要時刻對虛擬化操作系統(tǒng)保持警惕，他們存在潛在導(dǎo)致漏洞和安全隱患的可能性，安全維護人員只靠人工補丁修護是不夠的。虛擬化從本質(zhì)上來說全新的操作系統(tǒng)，還有許多我們尚不了解的方面。它會在優(yōu)先硬件和使用環(huán)境之間相互影響， 讓情況一團糟的情況成為可能。虛擬化管理程序并非是人們自己所想象的那種安全隱患。根據(jù)對微軟公司銷售旺盛的補丁Windows操作系統(tǒng)的了解，象VMware這樣的虛擬化廠商也在致力于開發(fā)管理程序技

14、術(shù)時控制安全漏洞的可能性.三、傳統(tǒng)方案處理虛擬化安全的問題在廣泛應(yīng)用專門為VMwareVMsafe API 定制的安全解決方案之前，通常采用兩種初始方法和安全軟件一起來保護虛擬機：一種是在虛擬化計算環(huán)境中應(yīng)用虛擬安全設(shè)備以監(jiān)控虛擬交換機和訪客虛擬機之間的通信流量。盡管虛擬安全設(shè)備解決方案提供IDS/IPS 防護以避免網(wǎng)絡(luò)中的攻擊， 但是也存在較大的局限性：.專業(yè)資料 . 整理分享 .WORD.格式 .內(nèi)部虛擬機通信流量 -必須將虛擬安全設(shè)備放置在虛擬交換機的前面，即便如此，仍不能避免在同一虛擬交換機上虛擬機之間產(chǎn)生攻擊，也無法整合安全設(shè)備來設(shè)置安全域。移動性 -如果采用諸如VMware VMo

15、tion? 的控件將虛擬機從物理服務(wù)器之間進行傳輸，那就會丟失安全上下文。 有必要針對于每一個潛在目的配置虛擬安全設(shè)備集群，因為虛擬機有可能被重新定位至該目的，從而對于性能產(chǎn)生相應(yīng)的負(fù)面影響。不透明度 -因為必須改變虛擬網(wǎng)絡(luò)體系結(jié)構(gòu)以部署虛擬安全設(shè)備，這將對于現(xiàn)有系統(tǒng)的管理和性能產(chǎn)生不利影響。性能瓶頸 -虛擬安全設(shè)備必須處理虛擬機和網(wǎng)絡(luò)之間的全部通信流量，最終會出現(xiàn)性能瓶頸。采用另一種方法，可以在每一虛擬機上部署相同的IDS/IPS 功能與虛擬安全設(shè)備方法不同的是，以虛擬機為中心的方法可以避免內(nèi)部虛擬機通信流量、移動性和缺乏可見性等缺點。盡管以虛擬機為中心的方法同時會對系統(tǒng)性能產(chǎn)生影響，但其分

16、布式地跨接IT 基礎(chǔ)設(shè)施中虛擬機上。然而，以虛擬機為中心的體系結(jié)構(gòu)仍然要面對的挑戰(zhàn)是在每一虛擬機上都部署一個 IDS/IPS 安全代理。正如在其在線教程中 VMware所指出，可以通過采用諸如模板的機制，即 “使用模板”來部署通用的安全代理跨接每一虛擬機來消除這些不利因素。然而，虛擬化.專業(yè)資料 . 整理分享 .WORD.格式 .環(huán)境的動態(tài)特性在沒有安裝安全代理的情況下，依然能夠?qū)⑻摂M機引入生產(chǎn)環(huán)境中，同時會消耗過多的物理機資源，降低虛擬機密度。四、趨勢科技無代理虛擬化安全解決方案安全看門狗虛擬機（ VM）VMwareVMsafe程序使用戶能夠部署專用安全虛擬機以及經(jīng)特別授權(quán)訪問管理程序的AP

17、I。這使得創(chuàng)建獨特的安全控制、安全看門狗虛擬機等成為可能，如在 Gartner 的報告中所述， 在虛擬化的世界中從根本上改變安全和管理概念。這種安全看門狗虛擬機是一種在虛擬環(huán)境中實現(xiàn)安全控制的新型方法。安全看門狗功能利用自身API 來訪問關(guān)于每一虛擬機的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。 因為在不更改虛擬網(wǎng)絡(luò)配置的情況下，服務(wù)器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見的，這樣就可以消除用于IDS/IPS 過濾的虛擬安全設(shè)備方法在內(nèi)部虛擬機和非透明方面的局限性。包括防病毒、加密、防火墻、IDS/IPS 和系統(tǒng)完整性等在內(nèi)的安全功能均可以應(yīng)用于安全看門狗虛擬機中。.專業(yè)資料 . 整理分享 .WO

18、RD.格式 .趨勢科技保護虛擬化環(huán)境的靈活方法包括可以在單個虛擬機上進行部署的以虛擬機為中心的代理，以及用以保護多個虛擬機的安全看門狗虛擬機。這種體系結(jié)構(gòu)可以確保通過在關(guān)鍵IT 資產(chǎn)，即虛擬機上部署軟件而對其進行防護，同時可以由安全看門狗虛擬機來防護關(guān)鍵資產(chǎn)。同時趨勢科技保護虛擬化環(huán)境，可以將多個虛擬機進行分組形成安全域，在安全域內(nèi)部虛擬機都接受獨立的防護， 已保護虛擬機之間的攻擊。 又能形成安全域整體的安全策略，以保護域與域之間的訪問安全。4.1.趨勢科技虛擬化安全防護DeepSecurity趨勢科技針對虛擬環(huán)境提供全新的信息安全防護方案DeepSecurity ，通過訪問控制、病毒防護、入

19、侵檢測 / 入侵防護、虛擬補丁、主機完整性監(jiān)控、日志審計等功能實現(xiàn)虛擬主機和虛擬系統(tǒng)的全面防護， 并滿足信息系統(tǒng)合規(guī)性審計要求。針對銀行證券的服務(wù)器虛擬化面臨的風(fēng)險，建議采用趨勢科技的虛擬化解決方案，構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護。.專業(yè)資料 . 整理分享 .WORD.格式 .底層病毒防護無需安裝客戶端， 提供實時安全內(nèi)容過濾， 提供手動安全內(nèi)容過濾， 提供計劃安全內(nèi)容過濾，給予專用 API 接口提高運行效率。安全區(qū)域訪問控制傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和安全區(qū)域間的劃分，計算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實現(xiàn)了，而傳統(tǒng)防火墻在物

20、理網(wǎng)絡(luò)層提供訪問控制， 如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。趨勢科技 DeepSecurity防火墻提供全面基于狀態(tài)檢測細(xì)粒度的訪問控制功能，可以實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity的防火墻同時支持各種泛洪攻擊的識別和攔截。Web應(yīng)用程序防護趨勢科技 DeepSecurityWeb應(yīng)用程序防護協(xié)助企業(yè)遵循法規(guī)(PCI DSS6.6) 保護網(wǎng)頁應(yīng)用程序和所有處理的數(shù)據(jù)。防企SQLInjection、Cross-site跨網(wǎng)站程序代碼改寫的攻擊和其它網(wǎng)頁應(yīng)用程序漏洞，在漏洞修補期間，提供完整的防護。進出

21、Web 網(wǎng)站的數(shù)據(jù)流量使用高性能、深度數(shù)據(jù)包檢測引擎進行檢測，該引擎用于監(jiān)視數(shù)據(jù)包和有效載荷數(shù)據(jù)以檢測惡意代碼和其他異常情況。Gartner4將深度數(shù)據(jù)包檢測定義為一種轉(zhuǎn)換型安全技術(shù)， 因為它能夠直接對主機上的重要部分提供精密防護。然后主機入侵防御系統(tǒng)實施已定義的規(guī)則： 允許安全數(shù)據(jù)通過， 但阻止違反任何規(guī)則的數(shù)據(jù)。真正有效的系統(tǒng)還能夠修改數(shù)據(jù)流，以預(yù)防潛在的惡意網(wǎng)絡(luò)通信。主機入侵防御系統(tǒng)可以是雙向的。也就是說，除了針對入站數(shù)據(jù)檢測惡意代碼和其他異常情況，還可以檢測出站數(shù)據(jù)。 這可以幫助確保未經(jīng)授權(quán)的用戶無法獲取敏感數(shù)據(jù)， 從而支持合規(guī)性要求。 它具有以下兩個優(yōu)點： 純軟件解決方案，.專業(yè)資料

22、 . 整理分享 .WORD.格式 .可以防御 Web 網(wǎng)站漏洞，以及 Web 網(wǎng)站所依賴的操作系統(tǒng)和企業(yè)軟件中的漏洞。對主機性能影響甚微，無需購買或部署額外的硬件即可保護關(guān)鍵服務(wù)器免受軟件漏洞的侵害。由于在主機上運行，它還可以檢測加密的網(wǎng)絡(luò)通信而不會影響所提供的安全價值。應(yīng)用程序管理增加對應(yīng)用程序訪問的網(wǎng)絡(luò)的控管及可見度，使用應(yīng)用程序控管規(guī)則， 可偵測出惡意程序私下訪問網(wǎng)絡(luò)的行為，降低服務(wù)器漏洞。入侵檢測 / 防護同時在主機和網(wǎng)絡(luò)層面進行入侵監(jiān)測和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)， 許多安全專家意識到， 傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運行在虛擬化的網(wǎng)絡(luò)或

23、系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。例如，由于虛擬交換機不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS 傳感器，網(wǎng)絡(luò)入侵監(jiān)測可能會變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS 系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中， 尤其是面對虛擬網(wǎng)絡(luò)內(nèi)部流量的時候?；谥鳈C的 IDS 系統(tǒng)也許仍能在虛擬機中正常運行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。趨勢科技 DeepSecurity 在 VMware的 VMsafe 接口可以對虛擬交換機允許交換機或端口組運行在“混雜模式”，這時虛擬的IDS 傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。DeepSecurity除

24、了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策的policy-based ）監(jiān)控和分析工具，使 DeepSecurity 更精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。防堵已知漏洞來抵擋已知及零時差攻擊，避免無限制的攻擊； 每小時自動防堵發(fā)現(xiàn)到的最新漏洞， 無須重新開機， 即可在幾分鐘內(nèi)就可將防御部署至成千上萬的服務(wù)器上提供數(shù)據(jù)庫、 網(wǎng)頁、電子郵件和 FTP服務(wù)器等 100 多個應(yīng)用程序的漏洞保護； 智能型防御規(guī)則提供零時差的保護， 透過檢測不尋常及內(nèi)含病毒的通訊協(xié)議.專業(yè)資料 . 整理分享 .WORD.格式 .數(shù)據(jù)碼，以確保不受未知的漏洞攻擊。

25、深度封包檢查趨勢科技 DeepSecurity 同時虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機的硬件能力。檢查所有未遵照協(xié)議進出的通信，內(nèi)含可能的攻擊及政策違反； 在偵測或預(yù)防模式下運作，以保護操作系統(tǒng)和企業(yè)應(yīng)用程序漏洞； 能夠防御應(yīng)用層攻擊、 SQLSQLInjection及 Cross-site跨網(wǎng)站程序代碼改寫的攻擊；提供有價值的信息， 包含攻擊來源、 攻擊時間及試圖利用什么方式進行攻擊；當(dāng)事件發(fā)生時，會立即自動通知管理員。虛擬補丁防護隨著新的漏洞不斷出現(xiàn)， 許多公司在為系統(tǒng)打補丁上疲于應(yīng)付，等待安裝重要安全補丁的維護時段可能是一段艱難的時期。 另外，操作系統(tǒng)及應(yīng)用廠商針對一些版本不提

26、供漏洞的補丁，或者發(fā)布補丁的時間嚴(yán)重滯后，還有最重要的是，如果IT 人員的配備不足，時間又不充裕，那么系統(tǒng)在審查、測試和安裝官方補丁更新期間很容易陷入風(fēng)險。趨勢科技 DeepSecurity 通過虛擬補丁技術(shù)完全可以解決由于補丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接口對虛擬主機系統(tǒng)進行評估，并可以自動對每個虛擬主機提供全面的漏洞修補功能，在操作系統(tǒng)在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。 趨勢科技 DeepSecurity的虛擬補丁功能既不需要停機安裝，也不需要進行廣泛的應(yīng)用程序測試。雖然此集成包可以為IT 人員節(jié)省大量時間。.專業(yè)資料 . 整理分享 .WORD.格式 .4.1.1.系統(tǒng)架構(gòu)D

27、eepSecurity產(chǎn)品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機（以下簡稱 DSVA）；安全代理程序（以下簡稱DSA）。趨勢科技 Deep Security安全防護系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及 DSA都會注冊到 DSM，接受統(tǒng)一的管理。趨勢科技 Deep Security安全防護系統(tǒng)安全虛擬機(DSVA)是針對 VMware vSphere 環(huán)境構(gòu)建的安全虛擬計算機，可提供防惡意軟件、IDS/IPS 、防火墻、 Web 應(yīng)用程序防護和應(yīng)用程序控制防護，數(shù)據(jù)完整性監(jiān)控等安全功能。趨勢科技 Deep Security

28、安全防護系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供IDS/IPS 、防火墻、 Web 應(yīng)用程序防護、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護等安全功能。.專業(yè)資料 . 整理分享 .WORD.格式 .4.1.2.工作原理Deep Security通過 vshield endpoint提供的實時掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對虛擬機中的數(shù)據(jù)進行病毒代碼的掃描和判斷，并結(jié)合Vmsafe API 接口提供防火墻、IPS/IDS 策略實時對進出虛擬機的數(shù)據(jù)進行安全過濾；在管理上與 vshieldmanager和 vcenter結(jié)合；4.1.3.DeepSecuirty部署及

29、整合趨勢科技部署快速運用整合既有IT 及信息安全投資。與 VMware vCenter 和 ESX服務(wù)器的 VMware整合，能夠?qū)⒔M織和營運信息匯入DeepSecurity Manager中，這樣精細(xì)的安全將被應(yīng)用在企業(yè)的VMware 基礎(chǔ)結(jié)構(gòu)上。與 VMsafe ? APIs 的整合可以作為一個虛擬應(yīng)用，能立即在 ESX服務(wù)器上快速部署和透明化地保護 vSphere 虛擬機器。透過多種整合選項，提供詳細(xì)的服務(wù)器級別的安全事件至SIEM系統(tǒng)，包括 ArcSight?、Intellitactics、NetIQ、 RSA Envision 、Q1Labs、Loglogic和其它系統(tǒng)。能與企業(yè)的目

30、錄作整合，包括Microsoft Active Directory?？膳渲玫墓芾頊贤?， 能大幅度減少或消除透過Manager 及 Agent 進行通信的防火墻變.專業(yè)資料 . 整理分享 .WORD.格式 .化?？梢酝高^標(biāo)準(zhǔn)的軟件分發(fā)機制如Microsoft? SMS、Zenworks 和 Altiris輕松部署代理軟件4.1.4.集中管理趨勢科技虛擬化安全解決方案DeepSecurity采用 C/S 結(jié)構(gòu)，管理員通過瀏覽器就可以實現(xiàn)DeepSecurity的管控， DeepSecurity服務(wù)器支持管控不同虛擬平臺或物理實機上的Agent/virtualAppliance代理程序，包括 Age

31、nt 程序的策略下發(fā)，狀態(tài)檢測、風(fēng)險監(jiān)控等功能，并且支持VMware vCenter 的集中控管，在提供最大化的服務(wù)器基礎(chǔ)防護的同時大大提高了管理的便捷性。4.1.5.產(chǎn)品價值虛擬補丁用戶一般要花費數(shù)周或數(shù)月的時間來充分測試和部署補丁，有時系統(tǒng)補丁不能被第三方軟件供應(yīng)商的產(chǎn)品支持，較老舊的應(yīng)用系統(tǒng)也不能打補丁；采用DeepSecurity虛擬補丁功能不但可以在減少補丁更新的頻率，而且可以保護不能打補丁的遺留程序，使系統(tǒng)免受零日攻擊。保護 IT 投資，使用虛擬補丁功能可以降低50%-75%的 IT 成本。預(yù)防數(shù)據(jù)破壞及營運受阻提供無論是實體、 虛擬及云端運算的服務(wù)器防御；防堵在應(yīng)用程序和操作系統(tǒng)

32、上已知及未知的漏洞；防止網(wǎng)頁應(yīng)用程序遭SQL Injection及 Cross-site跨網(wǎng)站程序代碼改寫的攻擊；阻擋針對企業(yè)系統(tǒng)的攻擊；辨識可疑活動及行為，提供主動和預(yù)防措施合規(guī)性要求協(xié)助企業(yè)遵循 PCI 及其它法規(guī)和準(zhǔn)則Deep Security提供的防火墻、 DPI、 文件完整性檢.專業(yè)資料 . 整理分享 .WORD.格式 .查、 日志審計等功能符合多項法規(guī): PCI, HIPAA, SAS-70, SOX, GLBA等可以滿足企業(yè)內(nèi)部及外部審計人員的要求； 提供詳細(xì)的審核報告， 包含已防止攻擊和政策符合狀態(tài)，減少支持審核所需的準(zhǔn)備時間和投入Web應(yīng)用防護根據(jù)權(quán)威機構(gòu)統(tǒng)計“ 34%的數(shù)據(jù)攻擊都是和Web應(yīng)用相關(guān)” ，“ 75%的攻擊都發(fā)生在應(yīng)用層 ” 傳統(tǒng)的外圍防護如： 防火墻等無法保