某服務(wù)器虛擬化安全解決方案

-.z***效勞器虛擬化平安解決方案***趨勢科技〔中國〕**編寫者蘇鵬(趨勢科技銷售工程師)成稿時間2011/4/13文檔控制僅限于***和趨勢科技交流使用文檔修訂記錄日期修改人版本修改內(nèi)容概要2011/4/13蘇鵬V1初稿目錄1.環(huán)境概述42.面臨平安威脅42.1.針對操作系統(tǒng)漏洞的攻擊42.2.針對應(yīng)用的攻擊42.3.虛擬化帶來新的威脅42.4.統(tǒng)一管理和審計53.平安防護需求64.平安防護方案64.1.架構(gòu)設(shè)計74.2.方案部署104.3.功能模塊105.和傳統(tǒng)防護方案的區(qū)別146.方案價值14環(huán)境概述***目前對局部應(yīng)用系統(tǒng)進展了虛擬化，情況概述如下：4臺物理效勞器，每臺效勞器采用4個6核CPU每一個虛擬效勞器采用3核CPU標(biāo)準(zhǔn)配置總共有32臺虛擬效勞器面臨平安威脅針對操作系統(tǒng)漏洞的攻擊海事局目前的虛擬效勞器都安裝WindowsServer操作系統(tǒng)，眾所周知，微軟操作系統(tǒng)每年都會發(fā)現(xiàn)大量的漏洞，利用這些漏洞：大量的蠕蟲病毒、木馬攻擊感染，導(dǎo)致系統(tǒng)異?；蛘呤遣荒苷＿\行黑客利用漏洞進展攻擊，竊取**資料或者是導(dǎo)致系統(tǒng)異常由于效勞器應(yīng)用系統(tǒng)的重要性，通常來講對于發(fā)現(xiàn)的漏洞都沒有進展及時的修復(fù)，補丁的安裝都需要經(jīng)過嚴格的測試之后才能夠進展部署，但是在實際修復(fù)的這段時間內(nèi)，效勞器就會面臨大量利用漏洞的攻擊。針對應(yīng)用的攻擊虛擬效勞器操作系統(tǒng)上面構(gòu)建各種各樣的應(yīng)用及效勞，類似Web效勞、效勞、數(shù)據(jù)庫效勞以及一些自己構(gòu)建的應(yīng)用系統(tǒng)，這些應(yīng)用系統(tǒng)都是由大量代碼構(gòu)成的，通常這些效勞也都有大量的代碼級漏洞，這些漏洞由于被黑客或者是商業(yè)間諜等破壞分子利用，竊取應(yīng)用系統(tǒng)上面的**數(shù)據(jù)，或者是導(dǎo)致應(yīng)用不能正常對外提供效勞。虛擬化帶來新的威脅當(dāng)對物理效勞器進展虛擬化之后，除了物理效勞器所面臨的來自惡意程序、黑客攻擊之外，虛擬化之后，在部署使用平安軟件的時候，會遇到一些新的問題：硬件資源利用率受到限制當(dāng)完成效勞器虛擬化之后，為了保護虛擬效勞器的平安運行，通常都會在每一個虛擬效勞器上面安裝平安軟件，比方防病毒、防火墻、入侵防護等等，運行這些平安軟件需要占用一樣的CPU、內(nèi)存等硬件資源，對于做虛擬化的物理效勞器來說，其硬件資源的利用率降低，有相當(dāng)局部的硬件資源要來運行虛擬效勞器的平安軟件。后臺資源沖突每個虛擬效勞器操作系統(tǒng)上面單獨安裝平安軟件，會隨著虛擬效勞器數(shù)量增加造成對后端存儲的負荷越來越大，最終會影響到虛擬效勞器的運行速度。物理邊界模糊當(dāng)效勞器虛擬化之后，每臺物理效勞器上面運行了8個虛擬效勞器系統(tǒng)，在虛擬化環(huán)境里面，使用靠可用性功能之后，這8個系統(tǒng)并不是固定的，而是有可能在幾臺物理效勞器之間進展自動切換。則當(dāng)需要對不同的虛擬效勞器進展不同的平安防護的時候，以往使用的硬件防火墻、入侵防護就不能滿足虛擬環(huán)境的要求統(tǒng)一管理和審計效勞器的管理不僅僅是根本的平安防護，同時也需要進展受到攻擊后的追溯以及取證，這就需要根據(jù)一些法規(guī)要求，對系統(tǒng)以及應(yīng)用的日志進展統(tǒng)一收集，一旦效勞器上面的操作觸發(fā)了事先設(shè)定條件，就上傳日志，便于事后管理和審計平安防護需求通過對***效勞器虛擬環(huán)境的了解，以及面臨的威脅分析，目前***效勞器虛擬化存在的平安需求有幾下幾點：對虛擬化操作系統(tǒng)提供全面的平安防護：防病毒、防火墻、深度數(shù)據(jù)包檢測等檢測和攔截外界針對操作系統(tǒng)以及應(yīng)用程序的漏洞進展的和未知攻擊針對虛擬化的特色，提供無代理平安防護，節(jié)省物理效勞器硬件資源，提高虛擬效勞器的搭載密度對Windows效勞器進展系統(tǒng)、應(yīng)用的日志審計平安防護方案趨勢科技根據(jù)***效勞器虛擬化的平安需求，為其使用趨勢科技深度防護系統(tǒng)DeepSecurity進展防護：平安防護需求功能設(shè)計趨勢科技解決方案針對操作系統(tǒng)漏洞的攻擊根本病毒防護功能，攔截利用漏洞的病毒攻擊感染深度數(shù)據(jù)包檢測技術(shù)，全面攔截利用系統(tǒng)漏洞的攻擊趨勢科技深度防護系統(tǒng)DeepSecurity針對應(yīng)用的攻擊1、深度數(shù)據(jù)包檢測技術(shù)，攔截利用應(yīng)用的攻擊虛擬化帶來新的威脅1、直接構(gòu)建基于Vmware虛擬化平臺的平安防護〔包括防病毒、防火墻、深度數(shù)據(jù)包檢測技術(shù)〕統(tǒng)一管理和審計對Windows平臺的日志進展收集對重要的應(yīng)用進展日志收集架構(gòu)設(shè)計DeepSecurity解決方案架構(gòu)包含三個組件：DeepSecurity代理，部署在受保護的效勞器或虛擬機上。DeepSecurity管理器，提供集中式策略管理、發(fā)布平安更新并通過警報和報告進展監(jiān)控。平安中心，是一種托管門戶，專業(yè)漏洞研究團隊針對新出現(xiàn)的威脅通過該門戶開發(fā)規(guī)則更新，然后由DeepSecurity管理器定期發(fā)布這些更新。DeepSecurity代理接收來自DeepSecurity管理器的平安配置，通常是一個平安配置文件。該平安配置包含對效勞器強制執(zhí)行的深度數(shù)據(jù)包檢查、防火墻、完整性監(jiān)控及日志審計規(guī)則。只需通過執(zhí)行建議的掃描即可確定對效勞器分配哪些規(guī)則，此過程將掃描效勞器上已安裝的軟件并建議需要采用哪些規(guī)則保護效勞器。對所有規(guī)則監(jiān)控活動都創(chuàng)立事件，隨后這些事件將發(fā)送到DeepSecurity管理器，或者同時也發(fā)送到SIEM系統(tǒng)。DeepSecurity代理和DeepSecurity管理器之間的所有通信都受到相互驗證的SSL所保護。DeepSecurity管理器對平安中心發(fā)出輪詢，以確定是否存在新的平安更新。存在新的更新時，DeepSecurity管理器將獲取該更新，然后便可通過手動或自動方式將該更新應(yīng)用于需要其額外保護的效勞器。DeepSecurity管理器和平安中心之間的通信也受到相互驗證的SSL所保護。DeepSecurity管理器還連接到IT根底架構(gòu)的其他元素，以簡化管理。DeepSecurity管理器可連接到VMwarevCenter，也可連接到MicrosoftActiveDirectory等目錄，以獲取效勞器配置和分組信息。DeepSecurity管理器還擁有Web效勞API，可用于程式化地功能。平安中心對漏洞信息的公**私有源都進展監(jiān)控，以保護客戶正在使用的操作系統(tǒng)和應(yīng)用程序。DeepSecurity管理器DeepSecurity解決方案提供實用且經(jīng)過驗證的控制，可解決棘手的平安問題。有關(guān)操作且具有可行性的平安不僅讓您的組織獲知平安事件，還可幫助了解平安事件。在許多情況下，這種平安就是提供有關(guān)事件發(fā)起者、內(nèi)容、時間和位置的信息，以便組織可以正確理解事件然后執(zhí)行相應(yīng)操作，而不僅僅是告訴組織平安控制本身執(zhí)行了什么操作。DeepSecurity管理器軟件滿足了平安和操作雙重要求，其功能如下：集中式的、基于Web的管理系統(tǒng)：通過一種熟悉的、資源管理器風(fēng)格的用戶界面創(chuàng)立和管理平安策略，并跟蹤記錄威脅以及為響應(yīng)威脅而采取的預(yù)防措施。詳細報告：內(nèi)容詳盡的詳細報告記錄了未遂的攻擊，并提供有關(guān)平安配置和更改的可審計歷史記錄。建議掃描：識別效勞器和虛擬機上運行的應(yīng)用程序，并建議對這些系統(tǒng)應(yīng)用哪些過濾器，從而確保提供事半功倍的正確防護。風(fēng)險排名：可根據(jù)資產(chǎn)價值和漏洞信息查看平安事件?；诮巧模嚎墒苟鄠€管理員〔每個管理員具有不同級別的權(quán)限〕對系統(tǒng)的不同方面進展操作并根據(jù)各自的角色接收相應(yīng)的信息?？勺远x的儀表板：使管理員能夠瀏覽和追溯至特定信息，并監(jiān)控威脅及采取的預(yù)防措施?？蓜?chuàng)立和保存多個個性化視圖。預(yù)定任務(wù)：可預(yù)定常規(guī)任務(wù)〔如報告、更新、備份和目錄同步〕以便自動完成DeepSecurity代理DeepSecurity代理是DeepSecurity解決方案中的一個基于效勞器的軟件組件，實現(xiàn)了IDS/IPS、Web應(yīng)用程序防護、應(yīng)用程序控制、防火墻、完整性監(jiān)控以及日志審計。它可通過監(jiān)控出入通信流中是否存在協(xié)議偏離、發(fā)出攻擊信號的內(nèi)容或違反策略的情況，對效勞器或虛擬機實行防御。必要時，DeepSecurity代理會通過阻止惡意通信流介入威脅并使之無效。平安中心平安中心是DeepSecurity解決方案中不可或缺的一局部。它包含一支由平安專家組成的動態(tài)團隊，這些專家在發(fā)現(xiàn)各種新的漏洞和威脅時便提供及時快速的響應(yīng)，從而幫助客戶對最新威脅做到防患于未然；同時，平安中心還包含一個用于平安更新和信息的客戶門戶。平安中心專家采用一套由復(fù)雜的自動化工具所支持的嚴格的六步快速響應(yīng)流程：監(jiān)控：對超過100個公共、私有和政府?dāng)?shù)據(jù)源進展系統(tǒng)化的持續(xù)監(jiān)控，以識別新的相關(guān)威脅和漏洞，并將其關(guān)聯(lián)起來。平安中心研究人員利用與不同組織的關(guān)系，獲取有關(guān)漏洞的早期〔有時是預(yù)發(fā)布〕信息，從而向客戶提供及時、準(zhǔn)確的防護。這些來源包括Microsoft、Oracle及其他供給商參謀、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。確定優(yōu)先級：然后根據(jù)客戶風(fēng)險評估及效勞等級協(xié)議確定漏洞的優(yōu)先級，以作進一步分析。分析：對漏洞執(zhí)行深入分析，確定需要采取的必要防護措施。開發(fā)和測試：然后開發(fā)出可對漏洞實行防護的軟件過濾器以及可推薦過濾器的規(guī)則，并進展廣泛的測試，以便最大限度地降低誤測率，并確?？蛻裟軌蚩焖?、順利地部署這些過濾器和規(guī)則。交付：將新過濾器作為平安更新交付給客戶。當(dāng)新的平安更新發(fā)布時，客戶將通過DeepSecurity管理器中的警報立即收到通知。然后就可以將這些過濾器自動或手動應(yīng)用于相應(yīng)的效勞器。通信：通過可提供有關(guān)新發(fā)現(xiàn)平安漏洞的詳細描述的平安參謀，可實現(xiàn)與客戶之間的持續(xù)通信。方案部署安裝1個DeepSecurity控制管理臺在4臺物理效勞器上面分別安裝DSVA〔針對VMwareEs*的平安虛擬系統(tǒng)〕功能模塊DeepSecurity解決方案使您能夠部署一個或多個防護模塊，提供恰好適度的防護以滿足不斷變化的業(yè)務(wù)需求。您可以通過部署全面防護創(chuàng)立自我防御的效勞器和虛擬機，也可以從完整性監(jiān)控模塊著手發(fā)現(xiàn)可疑行為。所有模塊功能都通過單個DeepSecurity代理部署到效勞器或虛擬機，該DeepSecurity代理由DeepSecurity管理器軟件集中管理，并在物理、虛擬和云計算環(huán)境之間保持一致。防病毒對病毒、蠕蟲、木馬、間諜軟件等各種各樣的惡意程序進展檢測和去除基于傳統(tǒng)的物理效勞器進展有代理的病毒防護在虛擬平臺上面，實現(xiàn)底層的無代理的病毒防護深度數(shù)據(jù)包檢查(DPI)引擎實現(xiàn)入侵檢測和防御、Web應(yīng)用程序防護以及應(yīng)用程序控制該解決方案的高性能深度數(shù)據(jù)包檢查引擎可檢查所有出入通信流〔包括SSL通信流〕中是否存在協(xié)議偏離、發(fā)出攻擊信號的內(nèi)容以及違反策略的情況。該引擎可在檢測或防御模式下運行，以保護操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它可保護Web應(yīng)用程序，使其免受應(yīng)用層攻擊，包括SQL注入攻擊和跨站點腳本攻擊。詳細事件提供了十分有價值的信息，包括攻擊者、攻擊時間及意圖利用的漏洞。發(fā)生事件時，可通過警報自動通知管理員。DPI用于入侵檢測和防御、Web應(yīng)用程序防護以及應(yīng)用程序控制。A、虛擬補丁功能在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補丁之前對其漏洞進展防護，以提供及時保護，使其免受攻擊和零日攻擊漏洞規(guī)則可保護漏洞〔如Microsoft披露的漏洞〕，使其免受無數(shù)次的漏洞攻擊。DeepSecurity解決方案對超過100種應(yīng)用程序〔包括數(shù)據(jù)庫、Web、電子和FTP效勞器〕提供開箱即用的漏洞防護。在數(shù)小時內(nèi)即可提供可對新發(fā)現(xiàn)的漏洞進展防護的規(guī)則，無需重新啟動系統(tǒng)即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到數(shù)以千計的效勞器上：智能規(guī)則通過檢測包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對攻擊未知漏洞的漏洞攻擊行為提供零日防護。漏洞攻擊規(guī)則可停頓攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，都使用簽名來識別和阻止的單個漏洞攻擊。由于趨勢科技是Microsoft主動保護方案(MAPP)的現(xiàn)任成員，DeepSecurity解決方案可在每月平安公揭發(fā)布前提前從Microsoft收到漏洞信息。這種提前通知有助于預(yù)測新出現(xiàn)的威脅，并通過平安更新為雙方客戶快速有效地提供更及時的防護。B、WEB應(yīng)用程序平安DeepSecurity解決方案符合有關(guān)保護Web應(yīng)用程序及其處理數(shù)據(jù)的PCI要求6.6。Web應(yīng)用程序防護規(guī)則可防御SQL注入攻擊、跨站點腳本攻擊及其他Web應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對這些漏洞提供防護。該解決方案使用智能規(guī)則識別并阻止常見的Web應(yīng)用程序攻擊。根據(jù)客戶要求進展的一項滲透測試，我們發(fā)現(xiàn)，部署DeepSecurity的SaaS數(shù)據(jù)中心可對其Web應(yīng)用程序和效勞器中發(fā)現(xiàn)的99%的高危險性漏洞提供防護。C、應(yīng)用程序控制應(yīng)用程序控制規(guī)則可針對網(wǎng)絡(luò)的應(yīng)用程序提供更進一步的可見性控制能力。這些規(guī)則也可用于識別網(wǎng)絡(luò)的惡意軟件或減少效勞器的漏洞。防火墻減小物理和虛擬效勞器的受攻擊面DeepSecurity防火墻軟件模塊具有企業(yè)級、雙向性和狀態(tài)型特點。它可用于啟用正確的效勞器運行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對效勞器進展未授權(quán)的風(fēng)險。其功能如下：虛擬機隔離：使虛擬機能夠隔離在云計算或多租戶虛擬環(huán)境中，無需修改虛擬交換機配置即可提供虛擬分段。細粒度過濾：通過實施有關(guān)IP地址、Mac地址、端口及其他內(nèi)容的防火墻規(guī)則過濾通信流?？蔀槊總€網(wǎng)絡(luò)接口配置不同的策略。覆蓋所有基于IP的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡化了故障排除，并且可提供珍貴的分析見解，有助于了解增加的防火墻事件–TCP、UDP、ICMP等。偵察檢測：檢測端口掃描等活動。還可限制非IP通信流，如ARP通信流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時以一種受控制的方式完全繞過檢查。它可解決任何網(wǎng)絡(luò)上都會遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一局部。預(yù)定義的防火墻配置文件：對常見企業(yè)效勞器類型〔包括Web、LDAP、DHCP、FTP和數(shù)據(jù)庫〕進展分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^詳細的日志記錄、警報、儀表板和靈活的報告，DeepSecurity防火墻軟件模塊可捕獲和跟蹤配置更改〔如策略更改內(nèi)容及更改者〕，從而提供詳細的審計記錄。完整性監(jiān)控監(jiān)控未授權(quán)的、意外的或可疑的更改DeepSecurity完整性監(jiān)控軟件模塊可監(jiān)控關(guān)鍵的操作系統(tǒng)和應(yīng)用程序文件〔如目錄、注冊表項和值〕，以檢測可疑行為。其功能如下：按需或預(yù)定檢測：可預(yù)定或按需執(zhí)行完整性掃描。廣泛的文件屬性檢查：使用開箱即用的完整性規(guī)則可對文件和目錄針對多方面的更改良行監(jiān)控，包括：內(nèi)容、屬性〔如所有者、權(quán)限和大小〕以及日期與時間戳。還可監(jiān)控對Windows注冊表鍵值、控制列表以及日志文件進展的添加、修改或刪除操作，并提供警報。此功能適用于PCIDSS10.5.5要求。可審計的報告：完整性監(jiān)控模塊可顯示DeepSecurity管理器儀表板中的完整性事件、生成警報并提供可審計的報告。該模塊還可通過Syslog將事件轉(zhuǎn)發(fā)到平安信息和事件管理(SIEM)系統(tǒng)。平安配置文件分組：可為各組或單個效勞器配置完整性監(jiān)控規(guī)則，以簡化監(jiān)控規(guī)則集的部署和管理?；鶞?zhǔn)設(shè)置：可創(chuàng)立基準(zhǔn)平安配置文件用于比擬更改，以便發(fā)出警報并確定相應(yīng)的操作。靈活實用的監(jiān)控：完整性監(jiān)控模塊提供了靈活性和控制性，可針對您的獨特環(huán)境優(yōu)化監(jiān)控活動。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的功能。此外，還可根據(jù)獨特的要求靈活創(chuàng)立自定義規(guī)則。日志審計查找日志文件中隱藏的重要平安事件并了解相關(guān)信息使用DeepSecurity日志審計軟件模塊可收集并分析操作系統(tǒng)和應(yīng)用程序日志，以查找平安事件。日志審計規(guī)則優(yōu)化了對多個日志條目中隱藏的重要平安事件進展識別的能力。這些事件隨后會轉(zhuǎn)發(fā)到一個SIEM系統(tǒng)或集中式的日志記錄效勞器，以便進展關(guān)聯(lián)、報告和存檔。DeepSecurity代理還會將事件信息轉(zhuǎn)發(fā)到DeepSecurity管理器。日志審計模塊的局部優(yōu)勢如下：可疑行為檢測：該模塊可檢測效勞器上可能發(fā)生的可疑行為。收集您的整個環(huán)境中的事件：DeepSecurity日志審計模塊能夠收集許多事件并將其關(guān)聯(lián)起來，這些事件包括：MicrosoftWindows、Linu*和Solaris平臺間的事件；來自Web效勞器、效勞器、SSHD、Samba、MicrosoftFTP等的應(yīng)用程序事件；自定義應(yīng)用程序日志事件。關(guān)聯(lián)不同事件：收集各種警告、錯誤和信息事件并將