亚信安全DeepSecurityforVMware产品方案.doc

o \ IE信支全Asialnro亚信安全Deep Security 9.6 for VMware产品方案作者日期目录第1章.概述 3第2章. XXX虚拟化安全面临威胁分析 3第3章. XXX虚拟化基础防护必要性 4第4章. 亚信安全虚拟化安全解决方案 5第5章. XXX虚拟化安全部署方案 75.1. VMware平台部署方案 75.2. 亚信安全虚拟安全方案集中管理 75.3. XXX虚拟化防护解决方案拓扑 8第6章. 亚信安全DEEPSECURITY介绍 86•:L DeepSecuirty 架木勾 86.2. DeepSecuirty 部署及整合 96.3. DeepSecuirty 主要优势 96.4. DeepSecuirty 模块 10第7章. 国内成功案例 12第1章.概述XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色随着业务的快速发展，数据中 心空间、能耗、运维管理压力日趋凸显M用系统的部署除了购买服务器费用外，还包括数据中心空间的 费用、空调电力的费用、监控的费川、人工管理的费用，相当昂贵如果这些服务器的利用率不高，对企 业来说，无疑是一种巨人的浪费在XXX,这些关键应用系统己经被使用Vmware服务器虚拟化解决方案。

这解决企业信息化建设目前 现有的压力，同吋乂能满足企业响应国家节能减排要求而服务器虚拟化使XXX能够获得在效率、成木方面的显著收益以及在综合数据中心更具环保、增加可 扩展性和改善资源实施时间方面的附加利益但同时，数据中心的虚拟系统面临许多与物理服务器相同的 安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的 优势尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下，用户 需要考虑哪种女全机制最适合保护物理服务器和虚拟服务器亚信安全提供真疋的解决方案以应对这些挑战亚信安全冃前已经开发出了一套灵活的方法可以和 Vsphere6.0环境紧密结合，川于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及 现在可以部署的恶意软件防护所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力，诸如通 过最近发布的VMware vSphere™ 6和NSX Manager最新引入的附加能力亚信安全提供必需的防护以提 高在虚拟化环境中关键任务应用的安全性第2章.XXX虚拟化安全面临威胁分析虚拟服务器基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。

新安全威胁的出现自然就需要新方法來处理通过前期调研，总结了 口前XXX虚拟化环境内存在的儿点安 全隐患> 虚拟机z间的互相攻击■…由于目前xxx仍对虚拟化环境使用传统的防护模式，导致主要的防护边 界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机Z间的互相攻击和互相入侵的 安全隐患> 随时启动的防护间歇…・由于XXX目前大量使用Vmware的服务器虚拟化技术，讣XXX的IT服务 具备更高的灵活性和负载均衡但同时，这些随时rti于资源动态调整关闭或开启虚拟机会导致防护间歇问题如，某台一直处于关闭状态的虚拟机在业务需要时会口动启动，成为后台服务器组的一 部分，但在这台虚拟机启动时，其包括防病毒在内的所冇安全状态都较其他一直运行的服务器 处于滞后和脱节的地位> 系统安全补丁安装…-目前XXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行 测试和手工安装虽然虚拟化服务器本身有一定状态恢复的功能机制但此种做法仍有一定安全风 险1.无法确保系统在测试后发生的变化是否会因为安装补丁导致杲常2集中的安装系统补丁， 前中后期需要大量人力，物力和技术支撑，部署成木较大> 防病毒软件对资源的占用冲突导致AV (Anti-Virus)风暴一XXX日前在虚拟化环境中对于虚拟化服 务器仍便用每台虚拟操作系统安装Offiescan防病毒客户端的方式进行病毒防护。

在防护效果上可 以达到安全标准，但如从资源占用方而考虑存在一•定安全风险由于每个防病毒客八端祁会在同一 个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明 显严重时可能导致ESX服务器宕机通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是谑拟 环境中新的安全威胁，例如：虚拟主机Z间通讯的访问控制问题，病壽通过虚拟交换机传播问题等，传统 的安全设备无法捉供相关的防护，亚信安全提供创新的安全技术为虚拟环境提供全而的保护第3章.XXX虚拟化基础防护必要性XXX的虚拟服务器服务器一肓承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、 中病毒、抢权限，各种威胁都会抓住一•切机会造访服务器系统XXX针以前针对服务器采川集中管理、集 中防护的措施，通过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术…… 各种安全产品开始被一个一个地加入到安全防线小來冃前XXX为了降低便件采购成本，提高服务器资源的利用率，引进服务器虚拟化技术对现冇应用服务 器的计算资源进行整合，使现有建立的安全防线而临挑战！服务器虚拟化示不但而临着传统物理实机的各 种安全问题，同时由于虚拟系统之间的数据交换，以及共亨的计算资源池，导致传统的安全技术手段很难 针対虚拟系统提供防护，另外使用传统安全技术的使用还带來更大计算资源的消耗和管理运维，导致与引 入服务器虚拟化的初衷相违背。

通过上一章节的威胁分析发现，为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手 段为服务器提供安全加I古I因为传统安全技术M用到虚拟服务器防护存在短板效应：任何一点疏忽，都会让XXX整个信息系统的安全防线功亏一赞，带来经济和企业名誉的损失更何况，这些被广泛传统安全产 品虽然町以在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新的安全威胁，所以 需要采用创新的安全技术才能完善XXX信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力, 降低安全威胁出现到可以真正进行防范的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统 应用的可用性第4章.亚信安全虚拟化安全解决方案亚信安全针对虚拟环境提供全新的信息安全防护方案——DeepSecurity,通过病毒防护、访问控制、 入侵检测/入侵防护、虚拟补丁、主机完整性监控、II志审计等功能实现虚拟主机和虚拟系统的全面防护， 并满足信息系统合规性审计要求针对银行证券的服务器虚拟化面临的风险，建议采用亚信安全的虚拟化 解决方案，构建虚拟化平台的基础架构多层次的综合防护> 病毒防护防护传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中，在整合服务器虚 拟化示，要实现针对病毒的实时防护，同样需要在虚拟主机的操作系统中安装防病毒Agent程序，但是服 务器虚拟化的目的是整合资源，最大化的发挥服务器资源的利用率，而传统的防病毒技术需要在每个虚拟 主机中安装程序，例如：一台服务器虚拟6台主机，传统方法将Agent需要安装6套，并且在制定扫描任 务就需要消耗虚拟主机的计算资源，这种方式并没有达到节约计算资源的效果，反而增加了计算资源的消 耗，并在病毒库更新是带来更多的网络资源消耗。

亚信安全针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题，通过使用虚拟化层相 关的API接口实现全面的病毒防护由于XXX为VMware虚拟化坏境所以将针对这个系统进行描述，具体 如下：•针对VMware虚拟系统，实现底层无代理病毒防护亚信安全针对VMware虚拟系统中通过VMshield接口实现针对虚拟系统和虚拟主机Z间的全面防护, 无需在虚拟主机的操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时的病毒防护，这样无 需消耗分配给虚拟主机的计算资源和更多的网络资源消耗，最大化利川计算资源的同时捉供全面病毒的实 时防护>访问控制传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟 化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，血传统防火墙在物理网络层提供访问控制， 如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题亚信安全DeepSecurity防火墙提供全面基于状态检测细粒度的访问控制功能，可以实现针对虚拟交换 机基于网口的访问控制和虚拟系统Z间的区域逻辑隔离DeepSecurity的防火墙同时支持各种泛洪攻击的 识别和拦截。

> 入侵检测/防护同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容然而，随着 虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系 统中，像它们在传统企业网络系统中所做的那样例如，山于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感辭，网络入侵监 测可能会变得更加困难类似地，内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环 境中，尤其是面对虚拟网络内部流量的时候棊于主机的IDS系统也许仍能在虚拟机中正常运行，但是会 消耗共享的资源，使得安装安全代理软件变得不那么理想亚信安全DeepSecurity在VMware的NSX环境中，可通过NSX专用接口可以对虚拟交换机允许交 换机或端口组运行在“混朵模式”，这吋虚拟的IDS传感器能够感知在同一虚拟段上的网络流量 DeepSecurity除了提供传统IDS/IPS系统功能外，还提供虚拟环境中基于政策的(policy・based)监控和 分析工具，使DeepSecurity更精确的流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更 高的安全性。

亚信安全DeepSecurity同时虚拟系统小占用更少的资源，避免过度消耗宿主机的硕件能力> 虚拟补丁防护随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可 能是一段艰难的时期另外，操作系统及应用厂商针对一些版木不捉供漏洞的补丁，或者发布补丁的时间 严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审杳、测试和安装官方 补丁更新期I'可很容易陷入风险亚信安全DeepSecurity通过虚拟补丁技术完全可以解决山于补丁导致的问题，通过在虚拟系统的接口 对虚拟主机系统进行评估，并町以口动对每个虚拟主机提供全而的漏洞修补功能，在操作系统在没有安装 补丁程序之前，提供针对漏洞攻击的拦截亚信安全DeepSecurity的虚拟补丁功能既不需要停机安装，也 不需要进行广泛的应用程序测试虽然此集成包可以为IT人员节省人最时间>完整性审计亚信安全DeepSecurity产甜可以针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计 功能，当这些关键位置为恶意篡改或感染病毒时，可以提供为管理员提供告警和记录功能，从阳提供系统 的安全性> 日志审计和报表功能每发牛一次重大的数据泄密事件（替如英国零售商TK Maxx和美国农业部的泄密事件）或者每出台一 部新的法规，安全重点似乎祁要从“阻挡坏人”的传统办法转向全而的安全机制，以进一步分析IT活动。

现在，服务器系统日志和应用程序日志止以惊人的速度生成，这就町以详细记录下来IT活动如果某 位满腹牢骚的员工企图窃取数据，访问了含冇机密信息的数据库，口志就冇可能记录下他的一举一动，那 样别人只要检杳日志，就能确定是谁在什么时候从事了什么活动口志提供了线索，企业利用这些线索就 能追查所有用户（不管是否不怀好意）的行踪山此可见，对H志进行管理会给组。