虚拟化平台安全防护方案docWord下载.docx
- 文档编号:8471172
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:11
- 大小:20.92KB
虚拟化平台安全防护方案docWord下载.docx
《虚拟化平台安全防护方案docWord下载.docx》由会员分享,可在线阅读,更多相关《虚拟化平台安全防护方案docWord下载.docx(11页珍藏版)》请在冰点文库上搜索。
2.安全建设方案
2.1安全建设方案概述
虚拟化平台的虚拟网络安全:
通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。
实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系
统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。
满足对虚拟服务器自身防护
虚拟化Guest服务器安全:
该方案针对虚拟出来的服务器的安全防护同样可以
做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变化。
面对新形势下的安全威胁,无论是网络攻击,内存的缓存溢出攻击,零日威胁,都可以做到实时的安全防护。
虚拟化平台底层架构安全防护:
通过对VMwareESXi服务器的事件日志的实时收
集和分析,实现实时监控虚拟服务器的文件配置改变,针对ESXi服务器的入侵检测
防护能力。
通过VMware加固手册,针对vCenter服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。
由于vCenter服务器架构与Windows服务器
上,因此同时还应该针对Windows服务器提供足够的服务器级别加固能力,防止通过入侵Windows而间接控制vCenter服务器。
通过对ESXi,vCenter,Windows服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平
台具备全部控制和管理能力的虚拟化平台自身服务器ESXi和vCenter服务器做到完整的基础架构安全防护能力。
2.2总体网络部署架构示意图
2.3虚拟桌面无代理病毒防护
2.3.1需求概述
针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机
都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化
环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。
结合VMWARE最新的NSX技术架构,赛门铁克数据中心安全防护提供了针对虚拟
化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构
的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。
2.3.2实现方案
SDCS通过提供虚拟安全设备SVA并于VMware的软件定义网络平台NSX集成,提
供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策
略分配到NSX定义的组,而无须关心策略分配到那个虚拟机。
SDCS提供虚拟安全设备SVA为虚拟服务器提供无代理防病毒
SDCS提供和NSX的自动化安全策略分配到组
2.4虚拟平台和虚拟服务器安全
2.4.1需求概述
在虚拟化环境中,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,例如:
–虚拟层的破坏会导致其上所有虚拟桌面主机的破坏
–虚拟桌面主机防护薄弱,可直接影响其他租户的虚拟桌面主机
–虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主机间的通信
这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必须加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及威胁扩散到整个虚拟化服务平台。
symantec的DCS-ServerAdvanced解决方案,针对虚拟化平台的Hypervisor层
及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及加固功能,
防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水
平。
2.4.2实现方案
2.4.2.1虚拟架构保护
监视Hypervisor底层server的方法(支持当前主流的Vmware平台):
虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署
DCS安全监控代理
DCS安全监控代理通过命令行或者API接口访问虚拟平台底层配置文件/日志、VM配
置文件。
DCS管理控制台上启用预定义的虚拟平台IDS策略监视配置/日志/访问操作
针对虚拟平台配置变更可以生成预定义的监控报告
IDS策略概要:
命令行接口(CLI)登录失败和成功事件
命令行接口(CLI)命令操作记录
按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更(谁?
时间?
操作?
变
更?
内容?
)
按照各厂商安全加固指南监控拟平台管理组件配置文件变更(谁?
变更?
关键的安全事件日志分析
未授权核心模块加载
USB设备事件(发现、连接VM)
其他告警
2.4.2.2虚拟主机(GuestOS)保护
安全锁定---保障系统最小权限的安全运行环境
服务器主机的运行环境通常比较简单和固定,且操作是可以预期的,如下:
仅需要安装、运行和访问特定
计算机环境轻易不进行变更
除必要的业务访问和操作外,不允许访问其他任何资源或进行其它额外操
作
同时,考虑到服务器主机的特殊性(并不能总是及时更新补丁),传统的防病
毒技术(依赖于黑名单:
病毒特征库)无法解决一些新型未知攻击和零日漏洞攻击的
威胁,因此,针对关键服务器主机,本次建议采用更严格的基于白名单及行为特征的
系统加固及防护技术。
本次推荐的解决方案为赛门铁克的数据中心安全防护软件DCS_SA(SYMCDATA
CENTERSECURITYSERVERADVANCED),DCS_SA是业界领先的基于主机的主机安全保护
和加固的解决方案,为关键服务器主机,关键业务应用提供持续的,全面的,纵深的
安全防御保护。
包括
端口/服务管理(网络环境锁定):
限制服务器主机上的端口开放和访问情况,
确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,有效控
制恶意代码在网络内部的传播和扩散,并避免来自于其它设备的恶意攻击及
访问(包括来自于服务器本地和安全域内部其它主机的恶意访问和攻击)
进程白名单(应用环境锁定):
通过进程白名单技术,确保服务器主机只允许
业务所需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致
的病毒感染、恶意代码执行风险
漏洞攻击及保护(系统加固及锁定):
提供针对服务器主机的系统加固锁定和
攻击保护。
包括缓冲区溢出、进程注入等零日漏洞攻击行为的检测及保护能
力,在服务器未及时更新补丁时对服务器进行有效保护。
安全监控及告警功能:
通过监控和收集服务器主机操作系统日志和加固及防
护系统日志,及时掌握服务器主机当前面临的威胁及风险状况以及系统任何
细微变化。
网络环境“锁定”
DCS_SA主机防护软件提供了基于主机的防火墙访问控制功能,可以通过策略管
理服务器针对终端计算机制定统一的个人主机防火墙规则,并且自动下发到终端进行
执行,且不允许终端用户随意修改。
可以通过防火墙策略限定终端用户能不能访问某
些特定资源、或者进行特定网络连接(如基于IP、端口、应用程序等参数)。
如下图
所示:
可以有效控制业务终端恶意代码的传播和感染
限定业务终端应用程序与特有的后台服务器IP地址和端口进行通讯,确保
网络环境安全
基于IP地址
基于TCP、
基于进出流
UDP端口的
量双向访问
的访问控制
访问控制
控制
基于程序路
径和参数的
基于用户、
用户组的访
问控制
25
通过该功能,可以限制服务器主机上的端口开放和访问情况,确保服务器上只开
放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的
传播和扩散,并避免来自于其它设备的恶意攻击及访问(包括服务器本地和安全域内
部其它主机的恶意访问和攻击),弥补安全域边界防火墙只能监控阻止来自于安全域
外部攻击的不足。
应用环境“锁定”
DCS_SA主机防护软件还提供了基于进程、文件级别的应用程序控制及保护功能,
通过系统的自我学习功能,DCS_SA可以自动收集并识别业务终端上运行的业务进程及
服务,并根据进程的继承和调用关系,采用进程白名单技术,在确保业务进程和业务
操作正常运行的前提下,阻止可信范围之外的其它应用程序的安装和运行。
采集的应用及进程信息包括程序名称、发布者、签名、信誉度;
通过采集的应用
名称和信誉度来添加,应用程序信誉度会自动更新。
同时,系统还支持将应用添加到
可信升级程序,这样任何的业务应用升级,系统锁定策略不需要进行任何调整,就能
保证新版本的应用进程能继续稳定可靠运行,且其它安全防护及锁定能力不受影响,
如下图所示:
通过该功能(进程白名单技术),可以确保服务器主机只允许业务所需的进程和
程序,防止因为软件的随意安装或者程序的运行可能导致的病毒感染、恶意代码执行
风险。
系统环境“锁定”
DCS_SA主机防护软件还提供了基于系统的加固和锁定功能,可以限制系统配置设
置、文件系统以及对服务器的访问及操作。
企业可以利用该功能逐一锁定服务器,并
确保对面向公众和关键任务服务器执行了适当的更改控制。
例如:
限制用户或程序对指定目录、文件及其它系统资源的访问及修改(例如可以
禁止终端用户执行任何其它多余系统级或外部命令)
限制各种外设(例如打印、传真、usb拷贝)等功能使用,例如可以确保只有
通过特定用户或业务进程才能执行打印、usb拷贝操作,其它用户或进程无法
使用相关功能等
除了前文所述系统锁定机制之外,DCS_SA主机防护软件还提供针对操作系统核心
运行环境的锁定和保护,可以有效防止进程注入、内存注入等攻击行为,对这两种攻
击的阻止是通过攻击原理及攻击行为来进行识别并阻断,所以无需特征库升级即可阻
止已知和未知的攻击行为。
众所周知,操作系统的每项进程、服务或功能都有明确的定义。
这些进程每时每刻都一成不变地做着相同的工作。
因此,可以将这些进程服务和功能的已知正确行为定义并预包装在服务器加固及防护系统的默认策略中。
因为这些保护策略了解系统每个组成部分的正确行为,所以,每个系统调用在执行之前都会由服务器加固及防护系统客户端代理程序评估系统调用并确保其有效性,然后再将其传递给操作系统的执行引擎。
利用BehaviorControlDescriptions(BCDs)技术,针对系统及常见应用服务进程制定基于行为的“虚拟”Shell,限定每个应用程序允许访问的资源及其访问权限,确保相关应用程序及进程只执行了经过授权及许可的操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。
此方法的最终结果是,在无需特征或补丁更新的情况下,阻止恶意程序利用零日漏洞对系统主机进行攻击。
可以确保相关应用程序及进程只执行了经过授权及许可的操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。
安全监控---实时监控及告警
安全监控及告警模块还提供了基于主机的安全监控和入侵检测功能,安全监控模
块还提供了一个由应该受到监控的最常见安全事件组成的大型知识库,在该库中提供
了一些最佳实践监控规则集合。
系统维护人员可以从该库中选择一组检测规则应用于
一组服务器,实现针对当前一些常见安全攻击、安全风险及威胁的检测及监控,及时
掌握服务器主机当前面临的威胁及风险情况。
比如:
扫描探测攻击
恶意软件检测
SANS20大漏洞检测
IIS或Apache易受攻击的脚本检测
Sendmail漏洞利用检测
UNIX?
拒绝的堆栈执行检测
等等
同时,安全监控模块还会对重要的系统变更进行实时监控并告警,防止变更引起
的服务器系统及业务故障
端口/服务变更监控
关键文件及目录变更篡改
帐号及密码变更
启动选项更改检测
系统安全配置检测
安全监控及告警模块通过监控和收集服务器主机操作系统日志和加固及防护系
统日志,对上述风险及威胁行为进行审计记录,并将相关结果上传给管理服务器进行
集中呈现和告警管理。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 平台 安全 防护 方案 doc