新型數據中心安全防護整體解決方案v課件

新型數據中心安全防護解決方案

1Agenda數據中心轉型帶來的安全挑戰(zhàn)1Symantec數據中心安全解決方案2數據中心安全建設的最佳實踐32軟件定義數據中心所有的基礎設施資源都將被虛擬化并以服務的方式提供，數據中心可通過軟件實現(xiàn)自動化的管控。數據中心的轉型方向1.抽象化.主機、網絡、存儲虛擬化2.資源池化.池化整合，按需提供3.自動化.模版式的自動快速部署幾周幾天幾小時

20082013未來部署時間3數據中心X86化帶來新的安全挑戰(zhàn)X86平臺下以Linux和Windows系統(tǒng)為主，面臨更多安全威脅大量的Web等外部接口型應用與服務，面臨更多攻擊不僅是Windows，針對Linux的攻擊和病毒呈快速增長趨勢5數據中心虛擬化帶來新的安全挑戰(zhàn)虛擬化導致物理邊界模糊化，傳統(tǒng)的網絡邊界防護措施失效虛擬化基礎架構與管理端的安全性成為集中風險點安全防護策略需要跟隨虛擬機靈活遷移主機數量爆炸式增長，虛擬化失控會帶來安全盲區(qū)6面對新挑戰(zhàn)的應對思路7服務器安全解決方案9服務器安全保護需求特點服務器需要的是與客戶端不同的安全支持更廣泛的操作系統(tǒng)鎖定的安全，高性能，監(jiān)控與預警，事件審計文件

服務器郵件服務器應用服務器

Loose

PrivilegesSystem

DevicesBuffer

OverflowBack

Door數據庫服務器完整的服務器安全解決方案損害發(fā)生后，能夠審計分析出問題并有

效取證當違規(guī)操作或者惡意入侵正在發(fā)生，能

及時發(fā)現(xiàn)并有效預警檢查服務器是否存在安全風險和配置缺陷，是否符合數據中心的安全要求事前事中事后1+種操作系統(tǒng)10+臺服務器100+次系統(tǒng)變更1000+次訪問…11PresentationIdentifierGoesHere自動化評估IT基礎架構安全配置ControlComplianceSuiteStandardsManager配置標準管理1.定義標準3.分析修復2.管理或未管理的資產評估自動的檢測評估技術，覆蓋2900個控制項目，映射之上千個技術及流程控制點。預定義且分類打包的安全配置條目，包含例外管理支持有代理（用于認證憑據定期變化環(huán)境）和無代理（降低基礎架構影響）兩種方式采集基礎架構數據13SCSP幫助我們保護每一個服務器基于策略的行為控制廣泛的平臺及應用支持實時的文件完整性監(jiān)控可集成事件與分析管理RestrictaccesstocriticalsystemresourcesBusinesscriticalapplicationsinphysicalandvirtualenvironmentsOut-of-the-boxpoliciesforWindowsEnvironmentsControlComplianceSuite(CCS) SecurityInformationManager(SSIM)14SCSP如何保護系統(tǒng)安全性檢測告警網絡保護系統(tǒng)控制攻擊防護監(jiān)控日志安全事件加固并轉發(fā)日志用于歸檔及報告

智能的事件快速發(fā)現(xiàn)與響應基于應用限制網絡連接使用限制由內向外和由外向你的網絡流關閉惡意軟件后門(阻斷端口)鎖定系統(tǒng)配置文件和相關設置增強系統(tǒng)安全策略用戶權限降級阻止移動介質接入限制應用程序及操作系統(tǒng)行為阻止系統(tǒng)緩存區(qū)溢出及線程注入攻擊零日攻擊入侵保護應用及進程控制實時可視化.控制最大化.入侵檢測系統(tǒng)(IDS)入侵防護系統(tǒng)(IPS)15阻止針對服務器的內外部攻擊SOURCE:NISTGuidetoGeneralServerSecurityInternetWeb

ServerEmail

ServerApplication

ServerDatabase

ServerDomain

Controller

Server17SCSP的安全防護效果黑帽子大會上抵御所有黑客攻擊在2011年黑帽子大會上，SCSP進行了攻擊防護驗證，沒有任何黑客能夠攻克SCSP的防護驗證過程在互聯(lián)網上放置一個沒有打補丁的Windows系統(tǒng)，并開放共享訪問部署SCSP，使用預定義的嚴格防護策略攻擊者利用任何方式進行攻擊Nexpose可以發(fā)現(xiàn)有10個可以利用的漏洞緩沖區(qū)溢出和線程注入允許黑客通過瀏覽器訪問特定的惡意網站黑客/攻擊者包括DoD,NSA,DISA,Anonymous(1):18SSIM安全信息集中審計數據庫日志查詢和管理全球主動預警系統(tǒng)及知識管理系統(tǒng)—管理服務器系統(tǒng)配置信息操作系統(tǒng)和數據庫的注冊表、配置文件和運行程序等系統(tǒng)日志信息操作系統(tǒng)、數據庫、網絡設備、安全產品、應用系統(tǒng)日志系統(tǒng)控制信息關鍵文件、程序、權限的篡改防護及審計信息內容合規(guī)信息網絡、主機和存儲設備上的敏感信息的分布和使用日志收集層安全和合規(guī)報表風險視圖和工作流第三方系統(tǒng)ITILNOC分析層展現(xiàn)層LDAP事前事中事后1919虛擬化環(huán)境安全解決方案21虛擬化環(huán)境下的常見安全問題虛擬服務器防護需要更低的資源消耗與可靠性宿主機及管理服務器將直接影響虛擬服務器安全傳統(tǒng)漏洞及配置掃描措施無法覆蓋虛擬化基礎軟件虛機蔓延問題導致安全監(jiān)管失控虛擬化的權限集中帶來權限管理與審計問題1234522虛擬化環(huán)境的主要安全需求主機的安全在虛擬化環(huán)境下需要降低資源消耗，與傳統(tǒng)環(huán)境的不同，同時具備各類操作系統(tǒng)平臺保護能力vCenter被入侵將影響整個虛擬化環(huán)境，需要保護管理平臺底層Hypervisor存在受攻擊風險逃逸攻擊風險，攻擊者通過入侵VM后進行漏洞利用實現(xiàn)在Hypervisor層的惡意代碼執(zhí)行SymantecCSP關鍵系統(tǒng)防護解決方案抵御APT攻擊所使用的各種黑客技術對于新系統(tǒng)或遺留系統(tǒng)提供補丁緩解功能確保關鍵服務器的運行維護時間的連續(xù)性加固并保障虛擬化基礎架構的安全，包括宿主機、虛擬主機及管理服務器的監(jiān)控保護。在極低的資源占用率下最大化虛擬主機安全性實時的系統(tǒng)資源訪問、安全狀態(tài)基線監(jiān)控審計減少PCIDSS,CIP-007-3等標準的合規(guī)成本，根據合規(guī)要求實施應用及操作系統(tǒng)的加固最大虛擬化環(huán)境安全阻止針對服務器的內外部攻擊安全態(tài)勢與合規(guī)的實時可視性25虛擬化環(huán)境主機安全解決方案通過在虛擬化各個層面的防護措施實現(xiàn)對整個虛擬化環(huán)境的安全保障，Hypervisor的安全防護通過Agent-Base或Agent-Less實現(xiàn)。GuestVM加固基于系統(tǒng)功能防護減少資源消耗Hypervisor加固文件完整性監(jiān)控配置監(jiān)控限制網絡流量系統(tǒng)功能鎖定零日攻擊防護管理服務器加固限制管理員控制降低補丁管理風險

VM1VM2VM3APPWindows

OSAPPNonwindowsOSAPPOSHypervisorManagerSCSP實現(xiàn)虛擬化安全架構風險最小化VM1VM2VM3APPOSAPPOSAPPOSVMwareESX/ESXiServer29CCS與虛擬化環(huán)境集成的漏洞與配置掃描30虛擬化環(huán)境下的漏洞與配置管理31建立持續(xù)合規(guī)監(jiān)控的虛擬資產32CCSVSM提供虛擬化環(huán)境策略管理與審計33CCSVirtualizationSecurityManager的意義提高你的虛擬環(huán)境的安全從外部和內部威脅中確保管理程序的安全在實例之間執(zhí)行邏輯分離，使之變成獨立的資產細粒度的訪問控制降低宕機風險管理實例和管理程序的配置設置防止計劃外的更改自動化配置評估合規(guī)需求強制分割實例為有限的合規(guī)審計范圍詳細的操作日志配置報告34對關鍵操作的二次確認35CCSVSM填充關鍵平臺訪問缺口Virtualization平臺缺口CCSVSM解決方案通過共享一個root賬戶多個管理員可以匿名登錄主機使用root密碼跳轉(簽入/簽出)

來保障管理員的獨立性通過直接連接主機，管理員可以繞過vCenter進行訪問控制和登錄控制和記錄通過任何連接方法的訪問,建立問責制在多租戶的環(huán)境下，管理員能夠訪問其他組織的虛擬工作區(qū)確保管理員只能訪問自己的組織的數據和應用程序，確保多租戶下的安全平臺允許通過默認密碼或被破解的admin密碼的訪問

防止使用默認的密碼，支持多因素身份驗證防止未授權的訪問當前或者曾經的管理員可以使用后臺賬戶不被發(fā)現(xiàn)的訪問平臺控制和記錄每個管理員賬戶的訪問，防止重大安全漏洞36CCSVSM填充關鍵平臺訪問缺口Virtualization平臺缺口CCSVSM解決方案一個系統(tǒng)管理員可以關閉任何虛擬應用通過控制資源管理范圍保護業(yè)務連續(xù)性管理員可以創(chuàng)建未經批準的虛擬機，這些可能是誤操作但對合規(guī)會產生影響通過控制虛擬機創(chuàng)建權防止破壞性的結果管理員可以禁用安全措施如虛擬防火墻和防病毒通過禁止未經批準關閉虛擬安全措施保護安全性管理員復制敏感數據從一個虛擬機到外部存儲通過對虛擬資源的控制保護敏感數據管理員可以使用一個泄露的副本替代一個關鍵的虛擬機而沒有留下軌跡通過創(chuàng)建一個永久的、不可被篡改的操作記錄曝光篡改行為管理員可以將低信任的虛擬工作負載轉成高信任服務器或虛擬子網,反之亦然通過防止信任等級的混合緩解安全和合規(guī)風險37CCSVSM填補關鍵日志數據缺失日志數據提供者可操作數據不可操作數據可用性和效率VirtualizationPlatformUser:rootTime/dateTargetresourcename,URLOperationexecutednone每個vCenter和主機有單獨的日志文件vCenter和主機的日志格式不統(tǒng)一ControlComplianceSuiteVirtualizationSecurityManagerAlloftheabove,plus:UserIDSourceIPaddressResourcereconfiguredPreviousresourcestateNewresourcestateLabel(Production)RequiredprivilegesEvaluatedrules/constraintsUserIDDate/timeSourceIPaddressOperationrequestedOperationdenialTargetresourcename,IPaddress,port,andprotocolRequiredprivilegesMissingprivilegesEvaluatedrules/constraints合并,集中管理日志覆蓋vCenter和所有主機單一、統(tǒng)一的vCenter和主機日志數據格式日志發(fā)送到基礎存儲或者通過syslog發(fā)送到SIEM38CSP+VSM=VM滲透防護來自Vcenter外部CSP監(jiān)視和阻止通過網絡結構的改變CSP監(jiān)視和阻止ESX服務器的訪問篡改來自Vcenter內部VSM監(jiān)控和阻止訪問篡改VSM監(jiān)控和控制VMotion功能InternetWeb

ServerEmail

ServerVMWareESXServerDatabase

ServerDomain

Controller

ServerVCenterVMVM39Symantec與Vmware聯(lián)手打造虛擬化安全40NAS存儲防病毒安全解決方案41用戶面臨的挑戰(zhàn)NAS（NetworkAttachedStorage)在數據中心被廣泛使用，但普遍缺乏病毒防護主機防病毒無法解決NAS存儲感染病毒的問題42為什么NAS需要防病毒？43什么是SPEforNAS?基于網絡服務的病毒掃描器支持ICAP和RPC協(xié)議（RPC僅支持Netapp）最常用于與NetAppDataONTap客戶端集成使用基于RPC的連接器，已內置在ONTap的CIFS協(xié)議確定哪些文件需要掃描讀,寫,讀/寫黑白名單是否已掃描過?使用ICAP協(xié)議并得到廠家認證HitachiNASEMCIsilonIBMSonasandStorwize44SPE的工作原理用戶終端NASSPE1.用戶向NAS請求文件訪問2.NAS服務器向SPE發(fā)送請求掃描文件3.SPE掃描文件并返回結果4.NAS服務