虚拟化安全防护-虚拟机安全防护

云计算服务安全防护

对于想要充分利用云计算的优势，同时不牺牲安全性、控制力或遵从性的企业，VMware vShield 安全解决方案系列为其虚拟数据中心和云计算环境提供了支持虚拟化的保护，使用户可以加强应用程序和数据安全，提高可见性和控制力，以及加快整个企业内的云计算遵从性举措。

●VMware vShield Edge 是用于保护虚拟数据中心边缘的网关解决方案，具有DHCP、

网址转换、防火墙、负载平衡、站点间VPN、端口组隔离等功能，可帮助企业在

不同的企业部门之间保持适当的分隔。

●VMware vShield App 可保护虚拟数据中心内的应用程序免受网络威胁的侵扰。可

以创建和管理更智能的策略，加强与业务的相关性，并深入了解虚拟机之间的网

络通信，以及通过安全组细化实施。

●包括在 vSphere 中的 VMware vShield Zones 为虚拟数据中心提供针对网络威胁的基

础防护，利用基本流量信息（例如源/目标IP 地址/端口），并基于管理员定义的

“分区”，为应用程序提供防火墙保护和策略管理

●vShield Endpoint 提供基于主机的防病毒和恶意软件防护，可以降低性能延迟和省

去在每个虚拟机内维护个别安全代理的工作，从而在简化安全管理的同时尽可能

降低感染恶意软件的风险。

●包括在所有vShield 产品中的vShield Manager 提供了中心控制点，用于管理、部

署、报告、记录和集成第三方安全服务。通过与vCenter Server 配合，vShield Manager 还支持基于角色的访问控制和管理委派，以作为管理虚拟安全的统一框架的一部分。

加强虚拟数据中心的端点安全保护

可以充分利用现有投资，并且可在与用来保护物理环境相同的管理界面中管理虚拟化环境的防病毒和防恶意软件策略。可在增强 VMware vSphere 和 VMware View 环境的安全性的同时，将端点保护性能提高若干数量级，而且还能将防病毒和防恶意软件代理的处理工作负载卸载到由 VMware 合作伙伴提供的专用安全虚拟设备上。

∙通过避免防病毒“风暴”提高整合率和性能

∙简化 VMware 环境中的防病毒和防恶意软件功能部署与监控

∙通过将防病毒和防恶意软件活动记入日志满足合规性和审核要求

卸载防病毒和防恶意软件功能

可直接嵌入到 vSphere 中，并且包含经过安全强化的安全虚拟设备（由 VMware 合作伙伴提供）、供虚拟机用来卸载文件活动的驱动程序，以及用于在虚拟化管理程序层将以上两个组件关联起来可加载内核模块。

∙可加载内核模块使用虚拟化管理程序层的自检功能来管理虚拟机与安全虚拟设备之间的通信

∙防病毒引擎和签名文件仅在安全虚拟设备内更新，但策略可对一个 vSphere 主机上的所有虚拟机应用

∙通过在强化的安全虚拟机中部署防病毒及防恶意软件客户端软件，保护防病毒安全软件免受攻击

强制修补

∙通过预定义策略指定恶意文件的处理方式 - 删除、隔离或采用其他处理方式

∙可管理虚拟机内的文件修复活动

使用基于角色的访问进行日志记录和审核

∙采用基于 syslog 标准的日志记录

∙可通过 REST API 和 vShield Manager 访问第三方日志记录和审核工具

∙由管理员定义启用/禁用防病毒和防恶意软件文件活动（例如扫描）的日志记录使用可识别应用程序的防火墙保护虚拟机

对虚拟机之间的流量进行基本的防火墙保护，这样便能够根据 5 元组（源 IP 地址、目标IP 地址、源端口、目标端口、协议）对连接进行筛选和分组。

∙根据网络、应用程序端口、协议类型（TCP、UDP）、应用程序类型强制实施安全保护∙可在虚拟机迁移时动态地保护应用程序

∙利用这款基于 IP 的有状态防火墙和应用程序层网关，可以支持众多协议，包括 FTP、Oracle、Sun 远程过程调用 (RPC) 和 Microsoft RPC 协议。

∙可以通过 vShield Manager 进行管理；此外还可通过 vCenter Server 界面访问许多功能

∙只能对 TCP 5 元组（源 IP、目标 IP、源端口、目标端口、协议）强制执行策略

∙提供可编程接口，借助这些接口，可使用 REST API 进行管理和强制实施策略

∙支持与企业安全管理工具集成