虚拟化平台安全防护方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虚拟化平台安全防
护方案
1.虚拟化安全挑战及防护需求
虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。
总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面:
1.网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意
义
虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。
攻击者能够利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其它虚拟主机进行访问、攻击甚至是嗅探等,因此必须经过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。
2.系统结构的变化导致新风险
虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同
一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散
同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。
因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。经过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改.
3.资源的共享化,原有安全防护技术面临新挑战
针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。
2. 安全建设方案
2.1安全建设方案概述
虚拟化平台的虚拟网络安全:经过在虚拟机服务器主机上部署基
于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护
虚拟化Guest服务器安全:该方案针对虚拟出来的服务器的安全防护同样能够做到针对虚拟环境中的虚拟物理服务器自身的防护,而且能适应虚拟环境下的架构变化。面对新形势下的安全威胁,无论是网络攻击,内存的缓存溢出攻击,零日威胁,都能够做到实时的安全防护。
虚拟化平台底层架构安全防护:经过对VMware ESXi服务器的事件日志的实时收集和分析,实现实时监控虚拟服务器的文件配置改变,针对ESXi服务器的入侵检测防护能力。经过VMware加固手册,针对vCenter服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。由于vCenter服务器架构与Windows服务器上,因此同时还应该针对Windows服务器提供足够的服务器级别加固能力,防止经过入侵Windows而间接控制vCenter服务器。经过对ESXi,vCenter,Windows服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平台具备全部控制和管理能力的虚拟化平台自身服务器ESXi和vCenter服务器做到完整的基础架构安全防护能力。
2.2总体网络部署架构示意图
2.3虚拟桌面无代理病毒防护
2.3.1需求概述
针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。
结合VMWARE最新的NSX技术架构,赛门铁克数据中心安全防护提供了针对虚拟化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。