20_虚拟化平台整体建设

2 3
4
随时启动的防护间隙
虚拟机之间攻击／防护盲点
虚拟机个别管理复杂
解决方案：与虚拟环境管理平台VMware vCenter 集成，自动侦测安全层级不足 的虚拟器
28
山东省高等职业院校省级培训
内部交流
保密资料
实际拓扑环境
29
山东省高等职业院校省级培训
内部交流
保密资料
议程安排
云平台建设思路 云平台数据安全
云平台防护安全
云平台运维监控
云平台管理
成功案例
30
山东省高等职业院校省级培训
内部交流
保密资料
云平台运维监控
浏览器
XML,PDF,CSV REST API
容量分析引擎
(Capacity Analytics Engine)
基础数据采集器 VMware vCenter Server
31
山东省高等职业院校省级培训
• 忽略已删除的和不活跃的数据，
空白空间
支持并行备份，并且拥有智
能化的备份管理器
• 能够同时进行备份和还原任务 • 超过20个同时并行执行的任务，
最大化硬件平台性能
• 能够对硬件的吞吐量进行合理控
制
对LAN的影响最小化
• 可以使用FC来进行备份和还原
操作
17
山东省高等职业院校省级培训
内部交流
传统安全软件
造成资源冲突
降低虚拟机密度
20
山东省高等职业院校省级培训
内部交流
保密资料
快照、还原的威胁和安全风险
1
资源争夺
激活 重新激活, 新生成 休眠 安全策略过期 虚拟机
2
随时启动的防护间隙





虚拟机必须带有 已配置完整的客户端和最新的病毒库
21
山东省高等职业院校省级培训
内部交流
保密资料
底层无 代理防 护
防火墙
防恶意程序
完整性监控 日志审计
无代理模式防毒
（需Vshield Endpoint支持）
侦测/阻止针对目录/文件/键值的未授权/恶意 修改
安全事件增强性审计
27
山东省高等职业院校省级培训
27Байду номын сангаас
内部交流
保密资料
虚拟环境的解决方案
1
资源争夺 解决方案：无代安全具备虚拟环境感知 能力，基于虚拟器整体资源所分发的安 全任务有效避免资源争夺 解决方案：基于虚拟器部署的安全虚拟 机实时使用最新威胁特征库 解决方案：与云平台所集成的虚拟环 境感知安全解决方案
保密资料
备份速度截图
18
山东省高等职业院校省级培训
内部交流 18
保密资料
议程安排
云平台建设思路 云平台数据安全
云平台防护安全
云平台运维监控
云平台管理
成功案例
19
山东省高等职业院校省级培训
内部交流
保密资料
防病毒风暴
1
资源争夺
传统安全软件如何造成“防病毒风暴“？ – 定期扫描 • CPU＋IO • 网络硬盘 – 病毒库更新 • 网络 • IO – 病毒库于内存所常驻 • 重复的内存使用
• 内存指标
− mem.consumed.average/ mem.active.average − mem.overhead.average − mem.vmmemctl.average(balloon) − mem.swapin.average/ mem.swapout.average/ mem.swapped.average
EPsec
VM VM Guest VM
安全管理员
vShield Endpoint Library 预设扫描接口
REST 实时扫描接口
Interface
APPs APP APP APPs APPs
OS OS OS
Kernel Kernel
应在虚拟化系统底层解决安全问题
状态监控 清除、修复接口 缓存 & 过滤 ESX 4.1
内部交流 31
保密资料
问题一： 如何识别并解决虚拟机的性能问题？
32
山东省高等职业院校省级培训
内部交流
保密资料
虚拟机性能问题形成的原因
虚拟机的性能问题体现在虚拟机的CPU，内存，网络，存储和虚 拟机配置这五个方面的问题。
虚拟机CPU 资源分配不 足和CPU资 源分配过量 都有可能导 致虚拟机性 能下降，可 结合CPU使 用量和CPU Ready来综 合判断。 虚拟机内存不 足或物理机内 存不足都有可 能导致虚拟机 性能下降，可 结合虚拟化环 境中的气泡内 存和交换内存 量判断内存瓶 颈。 虚拟机网络问 题要结合虚拟 机网络和物理 网络的整体流 量数据综合分 析，并确保物 理服务器网卡 绑定策略与物 理交换机绑定 策略相匹配。 虚拟机存储性 能问题体现在 共享存储的性 能表现，可结 合共享存储的 磁盘吞吐量， IOPS和存储 延迟的性能数 据，诊断存储 方面的性能问 题。 某些虚拟机 的不恰当设 置也可能导 致虚拟机的 性能低下， 例如，VM limit和未安 装VMware tools。
– 启用ABM技术时，备份 速率提升28% – 启用ABM技术时， 备份 档案所占空间减小36%
• 利用CBT技术，并开启 数据压缩时
– 启用ABM技术时，备份 速率提升25%
– 启用ABM技术时， 备份 档案所占空间减小28%
16
山东省高等职业院校省级培训
内部交流
保密资料
快速.
更少的数据=更快的任务
7 山东省高等职业院校省级培训 内部交流 保密资料
备份与容灾的集成解决方案
8
山东省高等职业院校省级培训
内部交流
保密资料
vRanger基于网络的备份
•
备份过程从 vRanger 服务器注入运行中的 服务控制台 创建虚拟机快照，读 取虚拟机磁盘，压缩 数据并直接从 ESX 主 机发送至存储库
•
9
山东省高等职业院校省级培训
− 当出现源或目标速度下降时，能更好处理冲突
• 源端白空间删除技术 • Direct to Target技术 • CBT+ABM技术
14
山东省高等职业院校省级培训
内部交流
保密资料
活动区块映射和改变块追踪
• 从备份源操作系统内辨认并排除非活动区块 • 提升平均备份时间大于33% • 缩小平均备份镜像大小约25%
11
vRanger支持的虚拟机复制功能
12
山东省高等职业院校省级培训
内部交流
保密资料
数据保护技术对比
恢复技术 恢复目标 依赖软件 RTO RPO 数据文件形式 数据文件位置 自动化程度 源服务器系统变更 异构环境支持 数据恢复方式 数据传输技术 复制技术作用层 vRanger 虚拟机或文件 无 3hr. 1day .meda备份文件 外部存储空间 半自动 无 支持 覆盖或不覆盖源服务器 IP ESX/ESXi Server vReplicator 虚拟机 无 >0.5hr. 5min. .vmdk虚拟机文件 VMware数据存储 自动 无 支持 覆盖源服务器 IP ESX/ESXi Server
23
山东省高等职业院校省级培训
内部交流
保密资料
虚拟化安全解决方案原理二
Vmware虚拟化环境无客户端底层防护示意
DSV A 针对虚拟化层 的防护 VMsafe API vShield API ESX/ESXi
24
vNI C
vNI C
vNI C
vNI C
vSwitch
内部交流 保密资料
山东省高等职业院校省级培训
Scanned VM Read and Written
Active Block Unallocated Block Zero Block Changed Block Deleted Data
0
0 0 0
15
山东省高等职业院校省级培训
内部交流
保密资料
使用ABM技术后的备份效果对比
• 利用CBT技术，但不开 启数据压缩时
防攻击入侵防御
日志审计
业务生命周期
基础架构（物理平台和云平台VMware）
4
山东省高等职业院校省级培训
内部交流
保密资料
议程安排
云平台建设思路 云平台数据安全
云平台防护安全
云平台运维监控
云平台管理
成功案例
5
山东省高等职业院校省级培训
内部交流
保密资料
云平台备份容灾

虚拟化 管理网络
vRanger 备份服务器
•云平台防护安全如何考虑？
•安全软件对虚拟机资源的争夺如何避免？ •虚拟机之间的攻击如何防范？ •虚拟机变更后的安全补丁、策略如何考虑？
•云平台环境运维规范？
•如何为虚拟机配置最恰当的资源？ •如何预测未来可能出现的资源瓶颈和资源需求？还可以部署多少个虚拟机？ •如何识别并解决虚拟机性能问题和资源池性能问题？
33
山东省高等职业院校省级培训
内部交流 33
保密资料
虚拟机的20个重要监控指标
• CPU指标
− cpu.usagemhz.average − cpu.ready.summation
• 磁盘指标
− disk.busResets.summation/ disk.commandsAborted.summation − disk.totalLatency.average/ disk.queueLatency.average − disk.read.average/ disk.write.average
Guest Driver
BIOS BIOS
vShield Manager 4.1
VI Admin
vCenter
vSphere 平台
vShield Endpoint ESX Module
图例 安全产品提供 商 26
DSVA组件和 API接口
vShield Endpoint Vmware平台 组件 山东省高等职业院校省级培训
9内部交流
保密资料
无局域网（LAN-Free）备份
• 从 vRanger 服务器运行 的 vStorage API 连接至 ESX(i) 主机，并请求创建 快照
•
从 vRanger 服务器运行 的 vStorage API 读取虚 拟机磁盘，将存档写入存 储库。 vRanger 起到代 理的作用。
山东省高等职业院校教师省级培训
VMware虚拟化技术应用与管理（企业信息化）培训
虚拟化平台整体建设
议程安排
云平台建设思路 云平台数据安全
云平台防护安全
云平台运维监控
云平台管理
成功案例
2
山东省高等职业院校省级培训
内部交流
保密资料
虚拟化后需要考虑的问题
•云平台数据保护与业务连续性
•云平台如何满足关键业务需求？ •云平台的应用级容灾是怎么考虑的？
每个虚拟机都是安全漏洞
1
资源争夺
2
3
随时启动的防护间隙
虚拟机之间攻击／防护盲点
攻击在虚拟器之中发生
22
山东省高等职业院校省级培训
内部交流
保密资料
需要管理的终端数量增长
1
安裝新
配置
资源争夺
VM
客户端
病毒库更 新
补丁
管理
2
3
随时启动的防护间隙
虚拟机之间攻击／防护盲点
4
虚拟机个别管理复杂
管理成本随着系统总量上升
虚拟机恢复粒度
13
虚拟机或虚拟机文件
山东省高等职业院校省级培训
虚拟机
内部交流 保密资料
多种高效备份技术
• 多线程并行备份技术
− 启用多线程并行备份技术 − 每个线程引用哈希算法读取备份源数据
− 直接集成至vRanger二进制应用程序
• 读任务和写任务独立运行，互补干扰
− 合理的利用内存缓存提升读写效率
•存储消耗得太快，如何回收被浪费掉的存储资源？
•云平台管理如何梳理？
•业务系统的生命周期管理 •自动化、流程化的部署和管理云平台
3 山东省高等职业院校省级培训 内部交流 保密资料
如何建设基础架构云平台
基础架构云服务
数据安全
备份
防护安全
防病毒
运维监控
云平台运维监控
自动化
自动部署流程
基础架构 和管理
容灾


备份数据流
备份数据 存储库
共享的
存储设备

创建虚拟机快照

复制数据流
灾难备份 虚拟服务器
6
山东省高等职业院校省级培训
内部交流
保密资料
用户选择虚拟化的首要原因….
Source: WW VMware customer survey, January 2010
快照，vMotion & HA不能完全解决 虚拟机数据安全的问题
24
虚拟化安全解决方案简介
底层物理机只需安装一次，以无代理形式提供安全防护
基于虚拟 器一次性 部署
VM
客户端部署于 每台虚拟机
传统式部署
VM VM
无代理安全 V V 安全 虚拟机 M M
V M
V M
25
山东省高等职业院校省级培训
25
内部交流
保密资料
虚拟化安全解决方案原理一
安全虚拟机
集中管理接口
Partner Agent
VMware 内部接口
安全产品接口
内部交流
保密资料
虚拟化安全解决方案简介
深度包检测
IDS / IPS 应用程序防护 应用程序控制
侦测/阻止基于操作系统漏洞的已知/零日攻击
侦测/阻止基于应用程序漏洞的已知/零日攻击
监视/控制本机应用程序 支持所有IP-based的协议、提供细粒度过滤， 并且可针对单独的网络接口
内部交流 保密资料 内部交流 保密资料
10 10
山东省高等职业院校省级培训 山东省高等职业院校省级培训
vRanger Hot Add 备份架构
• 连接至 ESX(i) 主机，并请求
创建快照。
源虚拟机
VM
•
vRanger 服务器读取虚拟机 磁盘，删除空白区，执行压 缩和/或加密，并且将存档 写入存储库。