虚拟化平台安全防护方案

1.虚拟化安全挑战及防护需求

虚拟化技术的应用，帮助企业实现了资源使用及管理的集约化，有效节省了系统的资源投入成本和管理维护成本，但虚拟化这种新技术的应用，也不可避免给企业的安全防护及运维管理带来新的风险及问题。

总结来说，虚拟化技术面临的最大风险及挑战主要来自于这样几个方面：

1.网络及逻辑边界的模糊化，原有的FW等网络安全防护技术失去意义

虚拟化技术一个最大的特点就是资源的虚拟化和集中化，将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上，不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护，传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。

攻击者可以利用已有的一台虚拟主机使用权限，尝试对该虚拟平台和虚拟网络的其他虚拟主机进行访问、攻击甚至是嗅探等，因此必须通过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。

2.系统结构的变化导致新风险

虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层，由于不同的虚拟机主机往往承载于同一虚拟化平台服务器，即使2台完全独立的虚拟机主机，也可能由于虚拟平台自身（Hypervisor层）的某些缺陷及弱点（如虚拟平台本身的一些驱动漏洞），导致安全风险及攻击入侵在不同虚拟机主机之间扩散

同时，单台虚拟机的安全问题，也有可能影响整个虚拟化平台的安全；虚拟机间隔离不当，可非法访问其它VM，或者窃听VM间的通信，盗取敏感数据。

因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统，对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护，防止虚拟平台和虚拟主机被恶意攻击及篡改.

3.资源的共享化，原有安全防护技术面临新挑战

针对虚拟化环境，一台服务器往往需要承载大量的客户端虚拟机系统，因此当所有的主机都同时进行病毒定义更新或扫描时，将形成的更新和扫描风暴势必成为一场灾难，因此如何有效降低虚拟化环境的病毒定义更新和扫描负载，直接影响到整个虚

拟化平台的使用效率。因此，虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。

2. 安全建设方案

2.1安全建设方案概述

虚拟化平台的虚拟网络安全：通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系统加固及审计等功能，弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护

虚拟化Guest服务器安全：该方案针对虚拟出来的服务器的安全防护同样可以做到针对虚拟环境中的虚拟物理服务器自身的防护，并且能适应虚拟环境下的架构变化。面对新形势下的安全威胁，无论是网络攻击，存的缓存溢出攻击，零日威胁，都可以做到实时的安全防护。

虚拟化平台底层架构安全防护：通过对VMware ESXi服务器的事件日志的实时收集和分析，实现实时监控虚拟服务器的文件配置改变，针对ESXi服务器的入侵检测防护能力。通过VMware加固手册，针对vCenter服务器，集成根据该手册定义的安全加固需求的入侵防御，入侵检测策略。由于vCenter服务器架构与Windows服务器上，因此同时还应该针对Windows服务器提供足够的服务器级别加固能力，防止通过入侵Windows而间接控制vCenter服务器。通过对ESXi，vCenter，Windows服务器的整体安全防护，包括入侵检测，入侵防御，主机加固等，从而实现对整个虚拟化平台具备全部控制和管理能力的虚拟化平台自身服务器ESXi和vCenter服务器做到完整的基础架构安全防护能力。

2.2总体网络部署架构示意图

2.3虚拟桌面无代理病毒防护

2.3.1需求概述

针对虚拟化环境，一台服务器往往需要承载大量的虚拟主机，因此当所有的主机都发起病毒扫描时，将形成的扫描风暴势必成为一场灾难，因此如何有效降低虚拟化环境的病毒扫描负载，直接影响到整个虚拟化平台的使用效率。

结合VMWARE最新的NSX技术架构，赛门铁克数据中心安全防护提供了针对虚拟化服务器及桌面的无代理病毒防护，解决传统有代理防病毒方式无法适应虚拟化架构的问题，特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。

2.3.2实现方案

SDCS通过提供虚拟安全设备SVA并于VMware的软件定义网络平台NSX集成，提供无代理的虚拟化服务器病毒防护，并且通过集成，完成虚拟化架构下的自动安全策略分配到NSX定义的组，而无须关心策略分配到那个虚拟机。

SDCS提供虚拟安全设备SVA为虚拟服务器提供无代理防病毒

SDCS提供和NSX的自动化安全策略分配到组

2.4虚拟平台和虚拟服务器安全

2.4.1需求概述

在虚拟化环境中,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防

护，例如：

–虚拟层的破坏会导致其上所有虚拟桌面主机的破坏

–虚拟桌面主机防护薄弱，可直接影响其他租户的虚拟桌面主机

–虚拟机间隔离不当，可非法访问其它虚拟桌面主机，或者窃听虚拟桌面主机间的通信

这些新问题，通过传统的防火墙及入侵防护技术都不能够很好的解决，因此，必须加强针对虚拟机主机自身的主机入侵防护及加固，防止某台或某个点的安全风险及威胁扩散到整个虚拟化服务平台。

symantec的DCS-Server Advanced解决方案，针对虚拟化平台的Hypervisor层及重要的虚拟服务器主机，提供基于主机的入侵检测、防护、系统审计及加固功能，防止虚拟机服务器被恶意攻击及入侵，提升虚拟机服务器自身的安全防护能力及水平。

2.4.2实现方案

2.4.2.1虚拟架构保护

●监视Hypervisor底层server的方法（支持当前主流的Vmware平台）:

⏹虚拟平台底层服务器上不安装任何防护软件，可以在一台特定的虚拟桌面虚机上部署

DCS 安全监控代理

⏹DCS安全监控代理通过命令行或者API接口访问虚拟平台底层配置文件/日志、VM配置文

件。

⏹DCS管理控制台上启用预定义的虚拟平台IDS 策略监视配置/日志/访问操作

⏹针对虚拟平台配置变更可以生成预定义的监控报告

●IDS 策略概要：

⏹命令行接口(CLI) 登录失败和成功事件

⏹命令行接口(CLI）命令操作记录

⏹按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更（谁？时间？操作？变

更？容？）

⏹按照各厂商安全加固指南监控拟平台管理组件配置文件变更（谁？时间？操作？变更？

容？）

⏹关键的安全事件日志分析

◆未授权核心模块加载