虚拟化平台安全防护方案.doc
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.虚拟化安全挑战及防护需求
虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统
的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的
安全防护及运维管理带来新的风险及问题。
总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面:
1.网络及逻辑边界的模糊化,原有的 FW 等网络安全防护技术失去意义
虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟
化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入
侵检测防护等技术都失去了应有的作用。
攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的
其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚拟
防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。
2.系统结构的变化导致新风险
虚拟化平台在传统的“网络 - 系统 - 应用”系统架构上增加了“ Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使 2 台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor 层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散
同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它 VM,或者窃听 VM间的通信,盗取敏感数据。
因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,
防止虚拟平台和虚拟主机被恶意攻击及篡改 .
3.资源的共享化,原有安全防护技术面临新挑战
针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场
灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚
拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化
技术对虚拟化平台提供更完善、更可靠的保护。
2.安全建设方案
2.1 安全建设方案概述
虚拟化平台的虚拟网络安全:通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系
统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护
虚拟化 Guest 服务器安全:该方案针对虚拟出来的服务器的安全防护同样可以
做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变化。面对新形势下的安全威胁,无论是网络攻击,内存的缓存溢出攻击,零日威胁,都可以做到实时的安全防护。
虚拟化平台底层架构安全防护:通过对 VMwareESXi 服务器的事件日志的实时收集和分析,实现实时监控虚拟服务器的文件配置改变,针对ESXi 服务器的入侵检测防护能力。通过 VMware加固手册,针对 vCenter 服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。由于 vCenter 服务器架构与 Windows服务器
上,因此同时还应该针对 Windows服务器提供足够的服务器级别加固能力,防止通过入侵 Windows而间接控制 vCenter 服务器。通过对 ESXi,vCenter ,Windows服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平
台具备全部控制和管理能力的虚拟化平台自身服务器 ESXi 和 vCenter 服务器做到完整的基础架构安全防护能力。
2.2 总体网络部署架构示意图
2.3 虚拟桌面无代理病毒防护
2.3.1 需求概述
针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机
都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化
环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。
结合 VMWARE最新的 NSX技术架构,赛门铁克数据中心安全防护提供了针对虚拟化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构
的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。
2.3.2 实现方案
SDCS通过提供虚拟安全设备 SVA并于 VMware的软件定义网络平台NSX集成,提供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策
略分配到 NSX定义的组,而无须关心策略分配到那个虚拟机。
SDCS 提供虚拟安全设备SVA 为虚拟服务器提供无代理防病毒
SDCS 提供和 NSX 的自动化安全策略分配到组
2.4 虚拟平台和虚拟服务器安全
2.4.1 需求概述
在虚拟化环境中 , 不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防
护,例如:
–虚拟层的破坏会导致其上所有虚拟桌面主机的破坏
–虚拟桌面主机防护薄弱,可直接影响其他租户的虚拟桌面主机
–虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主机间的通信
这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必须
加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及威
胁扩散到整个虚拟化服务平台。
symantec 的 DCS-Server Advanced 解决方案,针对虚拟化平台的Hypervisor层及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及加固功能,
防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水
平。
2.4.2 实现方案
2.4.2.1 虚拟架构保护
监视 Hypervisor 底层 server 的方法(支持当前主流的Vmware 平台) :
虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署
DCS 安全监控代理
DCS 安全监控代理通过命令行或者API 接口访问虚拟平台底层配置文件/ 日志、 VM 配
置文件。
DCS 管理控制台上启用预定义的虚拟平台IDS 策略监视配置 / 日志 / 访问操作
针对虚拟平台配置变更可以生成预定义的监控报告