Deep-Security虚拟化安全解决方案

趋势科技服务器深度防护系统Deep Security功能文档一、趋势科技服务器深度防护系统Deep Security产品展示二、趋势科技服务器深度防护系统Deep Security产品简介企业为了与合作伙伴、员工、供货商或客户有更实时的连结，有越来越多的在线数据中心，而这些应用正面临着日益增加的网络攻击。

与传统的威胁相比，这些针对目标性攻击的威胁数量更多也更复杂，所以对于数据安全的遵循就变得更加严格。

而您的公司则更坚固的安全防护，让您的虚拟和实体数据中心，以及云端运端不会因资安威胁而造成效能的降低。

趋势科技提供有效率、简化、整合的产品和服务以及完整的解决方案。

卓越的防护技术，能有效保护敏感的机密数据，并且将风险降至最低。

趋势科技Deep Security是一套能广泛保护服务器和应用程序的软件，能使企业实体、虚拟及云端运算的环境，拥有自我防范（self-defending）的能力。

无论是以软件、虚拟机器或是混合式的方法导入，Deep Security 可以大幅减少虚拟环境的系统开销、简化管理及加强虚拟机器的透明安全性。

除此之外，还可协助企业遵循广泛的规范需求，包括六个主要的PCI 遵从如网络应用层防火墙、IDS/IPS、档案完整监控及网络分割。

架构•虚拟化应用与代理程序相互协调合作，有效且透明化地的在虚拟机器上执行IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护等安全政策，并提供完整性的监控及审查日志。

•代理工具是一个非常轻小的代理软件组件，部署于服务器及被保护的虚拟机器上，能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及审查日志)。

•管理平台功能强大的、集中式管理，是为了使管理员能够创建安全设定档与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器，安全更新和生成报告。

新事件标注功能简化了管理的高容量的事件。

•安全中心我们的安全专家团队说明您保持领先的最新威胁的快速开发和提供安全更新该地址新发现的漏洞。

服务器安全加固软件Deep Security1. 动态数据中心的安全IT 安全旨在促进业务，而非阻碍业务，但是 IT 安全所面临的挑战性和复杂性正与日俱增。

合规性要求使得服务器上的数据和应用程序必须遵循一些安全标准。

用虚拟机替代物理服务器，不但经济环保，还能提高可扩展性。

云计算促进了传统 IT 基础架构的发展，不但节约了成本，还提升了灵活性、容量和选择空间。

服务器不再阻隔在外围防御之后，如同笔记本电脑一样，服务器也在安全外围之外移动，因此需要最后一道防线。

深度防御安全策略的当务之急是部署一个服务器和应用程序防护系统，通过该系统提供全面的安全控制，同时也支持当前及未来的 IT 环境。

面对这些挑战，趋势科技提出了相应的解答，其中包括Deep Security 解决方案。

1.1. 服务器正处于压力之下根据 Verizon Business 风险小组 2008 年度的数据泄露调查报告，在最近的数据泄露事件中，59% 由黑客攻击和入侵导致。

TJX 和 Hannaford 的数据泄露事件凸显了系统危害对于任何企业的信誉和运营都会产生严重负面影响的潜在可能性。

各组织正不断努力取得一种平衡，希望在保护资源的同时，又能保证更多业务合作伙伴和客户能够访问这些资源。

当前的支付卡行业数据安全标准 (PCI DSS) 认识到，传统的外围防御已经不足以保护数据使其免受最新威胁，如今需要的是远远超过基于硬件的防火墙以及入侵检测和防御系统 (IDS/IPS) 的多层保护。

无线网络、加密攻击、移动资源和易受攻击的 Web 应用程序，所有这些因素加在一起，便促成了企业服务器的脆弱性，使其面临渗透和危害的威胁。

在过去的五年中，一直以来都高度依赖物理服务器的数据中心计算平台经历了一场重大的技术变革。

传统数据中心的空间不断缩减，希望通过整合服务器实现成本节约和“绿色”IT 的目的。

几乎每个组织都已经将他们的部分或全部数据中心工作负载虚拟化，实现了物理服务器的多租户使用模式，取代了此前的单租户或单用途模式。

超融合数据中心趋势 Deep Security部署方案目录Contents1.vShield Manager部署&配置： (3)2.配置vShield Manager网络设置: (9)3.Deep Security Manager 部署&配置： (14)4.部署Deep SecurityVirtual Appliance并升级至9.6版本： (24)1.vShield Manager部署&配置：(从vCenter中导入VSM 5.5.4模版)(点击“接受”，点击“下一步”)(设置虚拟机名称以及位置)(设置帐号密码后，点击“下一步”)(点击完成后开始部署)2.配置vShield Manager网络设置: (登录VSMshell模式)(输入“enable”，进入特权模式)(输入“setup”，根据向导设置网络参数)(登录VSM web 控制台)控制台地址https://192.168.17.23(配置vcenter信息)(配置vCenter信息)(为ESXi主机安装endpoint驱动)(安装endpoint驱动)(endpoint驱动安装成功)3.Deep Security Manager 部署&配置：(选择“语言”)(点击“下一步”)(用户许可协议，点击“下一步”)(选择“软件安装路径”)(配置数据库信息，然后点击“下一步”)(输入产品激活码)(配置DSM地址以及通信端口)(设置管理员用户密码)(选择安装“更新中继”)(确认配置信息)(登录DSM控制台)(添加vCenter)(输入vcenter信息)(点击“确认”，下一步)(输入VSM配置信息)(点击“确认”，下一步)(点击“完成”)4.部署Deep SecurityVirtual Appliance并升级至9.6版本：在DSM控制台中导入如下三个安装包：(DSA的安装包用来升级DSVA至9.6) Appliance-ESX-9.5.2-2022.x86_64.zipAgent-RedHat_EL6-9.5.3-2754.x86_64.zipAgent-RedHat_EL6-9.6.1-1308.x86_64(部署DSVA)(设置DSVA设备信息)(DSVA网络配置)(选择存储虚拟磁盘格式)(点击“完成”)(选择“稍后激活”)(激活DSVA)(DSVA设备激活后会自动升级至9.6版本)(正在“激活中”)(DSVA设备版本已经成功升级至9.6版本，vShield显示已注册)（为虚拟机安装endpoint驱动，安装完之后重启VM）(确认endpoint驱动运行正常)(激活虚拟机)(虚机状态显示“被管理”)。

目录一. 安装部署 (4)Deep Security 8.0是否支持使用IDE 磁盘控制器的VM 虚拟机？ (4)Deep Security 部署在虚拟化环境时需要作哪些准备？ (4)Deep Security 8.0 在企业vSphere 5.0 环境部署时无代理保护时有哪些注意事项？ (5)Deep Security Manager的软硬件需求是什么？ (6)DSVA保护超过25台VM时，DSVA的内存推荐值，ESX的Heap Memory增加值和计算方法 (7)如何vShield Endpoint 5.0 驱动程序？ (8)如何为ESXi5.0使用Update Manager安装vShield Manager补丁 (8)Deep Security 8.0 SP1 支持从哪些版本升级？ (10)Deep Security 8.0 SP1 是否支持ESX/ESXi4.1 和ESXi5.0 混合虚拟化环境？ (11)如何批量升级虚拟机Vm Tools，并加载vSheld Endpoint Thin Driver 驱动 (11)二. 策略设置 (13)Deep Security Anti-malware对于Domino服务器的推荐例外设置是什么？ (13)如何针对自动创建的虚拟机和移动的虚拟机进行自动激活和分配策略? (14)如何取消DSA 8.0 客户端自我保护功能 (16)当DS8.0工作在内外网隔离环境时如何更新DS 产品组件？ (17)Deep Security 8.0 帐号被锁定时如何进行解锁 (17)当忘记Deep Security Manager 登录密码时如何重置管理控制台密码？ (18)三. 常见故障处理 (18)为什么会出现Smart Scan 中断问题 (18)Deep Security 启用DPI Event 日志中出现大量＂URI 中的字符非法＂日志记录 (18)Deep Security 8.0 执行"准备"ESXi服务器时提示“操作不成功----There was an error resolving dependencies.” (19)Deep Security 8.0 遇到更新问题时需要收集哪些信息？ (19)Deep Security Manager(DSM)8.0 安装时提示“JVM could not be started”安装无法继续？........................................................................... (19)Deep Security Agent执行恶意软件手动扫描时提示报错“于客户端/设备发生以下错误，无法完成此操作: -1”应如何处理？ (19)四. 其他 (20)Deep Security Relay 的作用是什么？............................................20Deep Security 8.0 FAQ3Deep Security 7.5的激活号是否可以用来激活Deep Security 8.0 (20)Deep Security Agent 是否可以通过DSM 管理控制台卸载？ (20)当DSA 无法与DSM 通讯时是否支持离线更新？ (20)Deep Security 8.0 SP1 中新增功能无代理完整性监控是否支持实时监控? (20)一. 安装部署Deep Security 8.0是否支持使用IDE 磁盘控制器的VM 虚拟机？由于vShieldEndpoint 5.0 不再限制支持范围为SCSI LSI logic控制器，因此DS 8.0 虚拟机即时采用IDE 磁盘格式也支持Agent-less Anti-malware功能。

虚拟化安全可行性探讨对于虚拟化系统的病毒问题，目前都是用物理机的解决方案进行，但是使用这样的解决方案存在很多的问题，具体如下：1．在每个虚拟机上部署防病毒软件，这会更多的占用ESXServer的资源，如：CPU、内存、I/O等内容，造成虚拟化密度低，造成投资；2．如果全部的防病毒软件同时进行系统扫描，这样会形成“病毒风暴”把ESXServer 的资源全部吃满，甚至造成宕机；3．每个虚拟机上都部署防病毒软件，管理员就要对每个虚拟机进行登录管理、监控、维护，比如病毒码升级、软件故障处理等，会造成管理的复杂；4．虚拟机存在使用和关闭两种情况，对于关闭的虚拟系统是不能够部署新的病毒码的，但是这个虚拟机是和虚拟化平台底层可以通信的，所以很容易被利用造成破坏；由于存在以上的众多问题，我们需要一为虚拟环境所打造的防病毒解决方案，此方案应该是只在每台物理服务器上安装一次，同时达到如下效果：（一）提升硬件服务器使用率a)相同硬件能提高虚拟机密度b)提高300％服务器使用率（二）简化管理a)以主机为单位的保护管理b)一次性安装，部署（三）自动继承的保护a)虚拟镜像即装即防b)即便裸机也能立即保护这样的虚拟化解决方案才是理想的解决方案，其工作原理如下图：其能够实现如下功能：（一）在访问扫描文件打开/关闭触发杀毒引擎进行扫描提供对文件的扫描数据（二）按需扫描杀毒引擎发起对所有客户档案系统进行扫描（三）缓存和筛选数据和结果的缓存，以减少数据流量和优化性能基于文件名、后缀名进行排除清单（四）整治删除，清除，阻断，隔离基于VC报警系统对处理进行通告VMware系统首推的解决方案为趋势科技的DeepSecurity，解决方案如下：此产品的性能非常理想，我们通过第三方测试结果、在我们实际环境中的测试进行了验证，验证情况如下：（一）第三方评测趋势科技的企业级云安全产品DeepSecurity日前在美国再获两项殊荣，分别在《NetworkWorld》杂志的“最佳明智选择测试(ClearChoiceTest)”,以及全球权威的第三方评测机构TollyGroup特别针对虚拟化安全解决方案产品的最新测试中获得全部项目第一名的佳绩。

第1章.概述服务器虚拟化使孝感政务云能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。

但同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的优势。

尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下，用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。

亚信安全提供真正的解决方案以应对这些挑战。

亚信安全目前已经开发出了一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。

所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力，诸如通过最近发布的H3C CAS的最新引入的附加能力。

亚信安全提供必需的防护以提高在虚拟化环境中关键任务应用的安全性。

目前孝感政务云为了降低硬件采购成本，提高服务器资源的利用率，引进服务器虚拟化以及云计算技术对现有应用服务器的计算资源进行整合，服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池，导致传统的安全技术手段很难针对虚拟系统提供防护，另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维，导致与引入服务器虚拟化的初衷相违背。

为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。

因为传统安全技术应用到虚拟服务器防护存在短板效应：任何一点疏忽，都会让孝感政务云整个信息系统的安全防线功亏一篑，带来经济和企业名誉的损失。

更何况，这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新的安全威胁，所以需要采用创新的安全技术才能完善孝感政务云信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力，降低安全威胁出现到可以真正进行防范的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统应用的可用性。

趋势科技Deep S ecurity 产品简介趋势科技Deep Security 是一个为数据中心安全所设计的解决方案；无论数据中心的基础建设所采用的是传统物理、虚拟化、云计算、或是任何阶段的混合部署，它皆能提供数据中心统一性的系统及应用程序安全防护。

值得强调的一点，是它在虚拟环境中带来前所未有的“无代理安全”－使在虚拟环境运行的服务器，不再需要部署任何代理，便能自动继承安全防护，从而革命性的改变安全相关的管理。

趋势科技Deep Security 解决方案使系统具备自我防御能力，保护机密数据并确保应用程序的可用性，在单一软件中，它包含了数多个安全模块：防病毒、防堵墙、防火墙、IDS/IPS、虚拟补丁、完整性监控、日志审计。

简化安全软件部署和管理，全面提升安全性，预防数据泄露和业务中断，符合PCI等关键法规和标准，并助于降低运营成本。

软件性能摘要Deep Security 对性能的影响集中在内存和CPU的占用。

主要取决于安全策略、并发连接、和运行中的虚拟机总数；实现无代理解决方案的安全虚拟机部署于Quad Core 2.4Ghz 虚拟服务器时，主程序将分配1GB内存和20G的磁盘空间的固定消耗，其余为动态消耗。

在所有安全模块激活、加載最新病毒库、一百条安全策略，一千个并发连接分布在16个运行中的虚拟机，并且对16个虚拟机进行文件扫描；如此情况下为例，此时安全虚拟机的CPU 消耗为29.04%，病毒库和安全策略消耗75MB内存。

策略、并发连接、运行中虚拟机数量是三个线性影响性能和资源的主因可以如此理解；越少的安全策略，所需容纳策略的内存也一并减少，在系统内所需运算的内容也相对降低。

而并发连接越少时所引入系统中的流量也相对减低，相同道理，越少运行中的虚拟机所产生的事件也同时减少，从而降低运算负担。

Deep Security 拓扑图和主要组件1. Deep Security Manager （简称DSM ）:控制管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控2. Deep Security 数据库：管理数据中心中所有节点状态和安全策略，与vCenter 、LDAP 、AD 能够联动，自动发现新编入的物理和虚拟机。

虚拟化安全解决方案趋势科技（中国）有限公司2014年3月目录一、重新思考服务器所面临的安全问题 (3)1.1成为企业生产运行和业务运转的根本 (3)1.2企业应用改变带来的挑战 (3)1.3受到不断变化新威胁攻击的挑战 (3)1.4虚拟化环境的面临的新挑战 (3)1.5法律法规带来的要求 (6)二、虚拟化四大安全管理问题 (7)三、传统方案处理虚拟化安全的问题 (8)四、趋势科技无代理虚拟化安全解决方案 (9)4.1.趋势科技虚拟化安全防护——DeepSecurity (11)4.1.1.系统架构 (14)4.1.2.工作原理 (14)4.1.3.DeepSecuirty部署及整合 (15)4.1.4.集中管理 (15)4.1.5.产品价值 (16)五、对企业虚拟化主要安全策略应用最佳实践 (17)六、结语 (22)一、重新思考服务器所面临的安全问题1.1成为企业生产运行和业务运转的根本随着信息化和互联网的深入，很难想象脱离了网络，现代企业如何才能进行正常运转。

而服务器所承载的企业核心数据，核心应用甚至企业的核心知识产权等等，让企业已经无法脱离服务器。

1.2企业应用改变带来的挑战●Web应用：80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。

●虚拟化应用：出于资源利用，系统整合以及绿色IT的需要，虚拟化已经在企业内部有了大量的应用。

●私有云计算的应用企业对于计算能力，对于业务应用等需求，已经在公司网络内部建立的私有云计算系统。

以上这些应用给服务器的安全带来了更大的挑战，传统的安全措施已经不能满足现在IT 系统，服务器系统的安全要求。

1.3受到不断变化新威胁攻击的挑战从2000年至今，互联网的发展日新月异，新的引用层出不穷。

从Web1.0到Web2.0，从2G网络升级到3G网络。

互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。

随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。