Deep Security虚拟化安全解决方案

XXX

虚拟化安全解决方案

趋势科技（中国）有限公司

2011年9月

目 录

第1章. 第2章. 第3章. 第4章. 第5章.

概述 ........................................................................................................................ 2 XXX虚拟化安全面临威胁分析 ........................................................................... 2 XXX虚拟化基础防护必要性 ............................................................................... 3 趋势科技虚拟化安全解决方案 ............................................................................ 4 XXX虚拟化安全部署方案 ................................................................................... 7

5.1. VMware平台部署方案 ............................................................................................ 7 5.2. 趋势虚拟安全方案集中管理 .................................................................................... 7 5.3. XXX虚拟化防护解决方案拓扑 ............................................................................... 7 第6章.

趋势科技DeepSecurity介绍 .............................................................................. 8

6.1. DeepSecuirty架构 ................................................................................................... 8 6.2. DeepSecuirty部署及整合 ....................................................................................... 9 6.3. DeepSecuirty主要优势 ........................................................................................... 9 6.4. DeepSecuirty模块 ................................................................................................. 10

1

第1章. 概述

XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展，数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外，还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理 的费用，相当昂贵。如果这些服务器的利用率不高，对企业来说，无疑是一种巨大的浪费。

在XXX，这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力，同时又能满足企业响应国家节能减排要求。

而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的优势。尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下，用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。

趋势科技提供真正的解决方案以应对这些挑战。趋势科技目前已经开发出了一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。所用架构主要是利用虚拟化厂商目前在其平台上增加的附加能力，诸如通过最近发布的VMware vSphere™ 4访问VMware VMsafe™ API的最新引入的附加能力。趋势科技提供必需的防护以提高在虚拟化环境中关键任务应用的安全性。

第2章. XXX虚拟化安全面临威胁分析

虚拟服务器基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前XXX虚拟化环境内存在的几点安全隐患。

 虚拟机之间的互相攻击----由于目前XXX仍对虚拟化环境使用传统的防护模式，导

致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟

2 机之间的互相攻击和互相入侵的安全隐患。

 随时启动的防护间歇----由于XXX目前大量使用Vmware的服务器虚拟化技术，让

XXX的IT服务具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分，但在这台虚拟机启动时，其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。

 系统安全补丁安装-----目前XXX虚拟化环境内仍会定期采用传统方式对阶段性发布

的系统补丁进行测试和手工安装。虽然虚拟化服务器本身有一定状态恢复的功能机制。但此种做法仍有一定安全风险。1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。2.集中的安装系统补丁，前中后期需要大量人力，物力和技术支撑，部署成本较大。

 防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴----XXX目前在虚拟化环境

中对于虚拟化服务器仍使用每台虚拟操作系统安装Offiescan防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致ESX服务器宕机。

通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，趋势科技提供创新的安全技术为虚拟环境提供全面的保护。

第3章. XXX虚拟化基础防护必要性

XXX的虚拟服务器服务器一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。XXX针以前针对服务器采用集中管理、集中防护的措施，通过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术……各种安全产品开始被一个一个地加入到安全

3 防线中来。

目前XXX为了降低硬件采购成本，提高服务器资源的利用率，引进服务器虚拟化技术对现有应用服务器的计算资源进行整合，使现有建立的安全防线面临挑战！服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池，导致传统的安全技术手段很难针对虚拟系统提供防护，另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维，导致与引入服务器虚拟化的初衷相违背。

通过上一章节的威胁分析发现，为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。因为传统安全技术应用到虚拟服务器防护存在短板效应：任何一点疏忽，都会让XXX整个信息系统的安全防线功亏一篑，带来经济和企业名誉的损失。更何况，这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新的安全威胁，所以需要采用创新的安全技术才能完善XXX信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力，降低安全威胁出现到可以真正进行防范的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统应用的可用性。

第4章. 趋势科技虚拟化安全解决方案

趋势科技针对虚拟环境提供全新的信息安全防护方案——DeepSecurity，通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护，并满足信息系统合规性审计要求。针对银行证券的服务器虚拟化面临的风险，建议采用趋势科技的虚拟化解决方案，构建虚拟化平台的基础架构多层次的综合防护。

 病毒防护防护

传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中，在整合服务器虚拟化后，要实现针对病毒的实时防护，同样需要在虚拟主机的操作系统中安装防病毒Agent程序，但是服务器虚拟化的目的是整合资源，最大化的发挥服务器资源的利用率，而传统的防病毒技术需要在每个虚拟主机中安装程序，例如：一台服务器虚拟6台主机，传统方法将Agent需要安装6套，并且在制定扫描任务就需要消耗虚拟主机的计

4 算资源，这种方式并没有达到节约计算资源的效果，反而增加了计算资源的消耗，并且在病毒库更新是带来更多的网络资源消耗。

趋势科技针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题，通过使用虚拟化层相关的API接口实现全面的病毒防护。由于XXX为VMware虚拟化环境所以将针对这个系统进行描述，具体如下：

 针对VMware虚拟系统，实现底层无代理病毒防护

趋势科技针对VMware虚拟系统中通过VMshield接口实现针对虚拟系统和虚拟主机之间的全面防护，无需在虚拟主机的操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时的病毒防护，这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗，最大化利用计算资源的同时提供全面病毒的实时防护。

 访问控制

传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。

趋势科技DeepSecurity 防火墙提供全面基于状态检测细粒度的访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。

 入侵检测/防护

同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容。然而，随着虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中，像它们在传统企业网络系统中所做的那样。

例如，由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器，网络入侵监测可能会变得更加困难。类似地，内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中，尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行，但是会消耗共享的资源，使得安装安全代理软件变得不那么理想。

趋势科技DeepSecurity在 VMware的VMsafe接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。

5 DeepSecurity除了提供传统IDS/IPS系统功能外，还提供虚拟环境中基于的（policy-based）监控和分析工具，使DeepSecurity更精确的流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高的安全性。

趋势科技DeepSecurity同时虚拟系统中占用更少的资源，避免过度消耗宿主机的硬件能力。

 虚拟补丁防护

随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。

趋势科技DeepSecurity通过虚拟补丁技术完全可以解决由于补丁导致的问题，通过在虚拟系统的接口对虚拟主机系统进行评估，并可以自动对每个虚拟主机提供全面的漏洞修补功能，在操作系统在没有安装补丁程序之前，提供针对漏洞攻击的拦截。趋势科技DeepSecurity的虚拟补丁功能既不需要停机安装，也不需要进行广泛的应用程序测试。虽然此集成包可以为IT人员节省大量时间。

 完整性审计

趋势科技DeepSecurity产品可以针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计功能，当这些关键位置为恶意篡改或感染病毒时，可以提供为管理员提供告警和记录功能，从而提供系统的安全性。

 日志审计和报表功能

每发生一次重大的数据泄密事件（譬如英国零售商TK Maxx和美国农业部的泄密事件）或者每出台一部新的法规，安全重点似乎都要从“阻挡坏人”的传统办法转向全面的安全机制，以进一步分析IT活动。

现在，服务器系统日志和应用程序日志正以惊人的速度生成，这就可以详细记录下来IT活动。如果某位满腹牢骚的员工企图窃取数据，访问了含有机密信息的数据库，日志就有可能记录下他的一举一动，那样别人只要检查日志，就能确定是谁在什么时候从事了什么活动。日志提供了线索，企业利用这些线索就能追查所有用户（不管是否不怀好意）的行踪。

由此可见，对日志进行管理会给组织带来许多好处。它们让组织意识到面临的情况，并帮助组织开展行之有效的调查，例行的日志检查及深入分析保存日志不但可以立即识别出现

6 不久的安全事件、违反情况、欺诈活动以及运作问题，还有助于提供有用的信息，从而解决问题。

趋势科技DeepSecurity提供全面的系统日志和详尽的报告功能，除了记录自身的各功能日志外，还可以将虚拟主机操作系统日志结合DeepSecurity自身日志进行统一的统计和分析，日志系统还可以生成符合国际相关安全规范的报表。DeepSecurity通过对日志进行分析可以让管理员跟踪IT基础设施的活动，评估服务器数据泄密事件是否发生、如何发生、何时发生、在何处发生的有效方法。

第5章. XXX虚拟化安全部署方案

5.1. VMware平台部署方案

趋势科技服务器虚拟安全解决方案针对VMware vSphere虚拟平台提供无代理的安全防护措施，在每台物理实机的ESX/ESXi中部署趋势DeepSecurity的virtual Appliance插件，就为每台虚拟主机的多层次安全防护，包括：防病毒功能、访问控制功能、虚拟补丁、攻击防御等。

XXXVMware 平台下采用物理服务器多台，需要部署趋势科技DeepSecurity 后，无需在虚拟主机操作系统中Agent程序就可以实现基础的多种防护功能。

5.2. 趋势虚拟安全方案集中管理

趋势科技虚拟化安全解决方案——DeepSecurity采用C/S结构，管理员通过浏览器就可以实现DeepSecurity的管控，DeepSecurity服务器支持管控不同虚拟平台或物理实机上的Agent/virtual Appliance代理程序，包括Agent程序的策略下发，状态检测、风险监控等功能，并且支持VMware vCenter的集中控管，在提供最大化的服务器基础防护的同时大大提高了管理的便捷性。

5.3. XXX虚拟化防护解决方案拓扑

目前XXX内有两台ESX主机运行虚拟化环境，Deep Security对这些ESX Server和虚拟机

7 进行统一的安装防护和管理。Deep Security防护结构具体如下图：

第6章. 趋势科技DeepSecurity介绍

6.1. DeepSecuirty架构



Deep Security Virtual Appliance 在VMware vSphere在VMware vSphere虚拟机器上提供无代理的病毒查杀，IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护，透明化地加强安全策略--如果需要可以与Deep Security Agent协调合作提供完整性的监控及日志审计。 

Deep Security Agent 是一个非常轻小的代理软件组件，部署于服务器及被保护的虚拟机器上，能有效协助执行数据中心的安全(IDS/IPS、 网络应用程序保护、应用程序控管、 防病毒、防火墙、完整性监控及审查日志)。 

Deep Security Manager 功能强大的、 集中式管理，是为了使管理员能够创建安全设定档与将它们应用于服务器、 显示器警报和威胁采取的预防措施、 分布服务器，安全更新和生成报告。新事件标注功能简化了管理的高容量的事件。



Security Center 我们的安全专家团队说明您保持领先的最新威胁的快速开发和提供安全更新该地址新发现的漏洞。客户门户安全更新传递到深的安全管理器部署使您可以访问。

8

6.2. DeepSecuirty部署及整合

趋势科技部署快速运用整合既有IT及信息安全投资。

 与VMware vCenter和ESX服务器的VMware整合，能够将组织和营运信息汇入Deep Security Manager中，这样精细的安全将被应用在企业的VMware 基础结构上。

 与VMsafe ™ APIs的整合可以作为一个虚拟应用，能立即在ESX服务器上快速部署和透明化地保护 vSphere 虚拟机器。

 透过多种整合选项，提供详细的服务器级别的安全事件至SIEM系统，包括ArcSight ™、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic 和其它系统。  能与企业的目录作整合，包括Microsoft Active Directory。

 可配置的管理沟通，能大幅度减少或消除透过Manager及Agent进行通信的防火墙变化。

 可以透过标准的软件分发机制如Microsoft ® SMS、Zenworks和Altiris 轻松部署代理软件

6.3. DeepSecuirty主要优势

 预防数据破坏及营运受阻

9  提供无论是实体、虚拟及云端运算的服务器防御  防堵在应用程序和操作系统上已知及未知的漏洞

 防止网页应用程序遭SQL Injection 及Cross-site跨网站程序代码改写的攻击  阻挡针对企业系统的攻击

 辨识可疑活动及行为，提供主动和预防措施

 协助企业遵循PCI及其它法规和准则

 满足6大PCI 数据安全准则及一系列广泛的法规遵循需求  提供详细的审核报告，包含已防止攻击和符合状态

 减少支持审核所需的准备时间和投入

 达到经营成本的降低

 透过服务器资源的合并，让虚拟化或云端运算的节约更优化  透过安全事件自动管理机制，使管理更加简化

 提供漏洞防护让安全编码优先化及和弱点修补成本有效化

 消除了部署多个软件客户端与集中管理、多用途的软件代理或虚拟装置所产生的成本

6.4. DeepSecuirty模块

 病毒防护

 集成VMware最新的vShield Endpoint技术接口，使虚拟机无需任何安装就能对病毒、间谍软件、木马等威胁进行查杀

 优化虚拟机上并发的全盘扫描、病毒库更新时对虚拟服务器产生大量的资源消耗  防病毒模块能将复杂、高端的攻击有效隔离  深度封包检查

 检查所有未遵照协议进出的通信，内含可能的攻击及违反  在侦测或预防模式下运作，以保护操作系统和企业应用程序漏洞

 能够防御应用层攻击、SQLSQL Injection 及Cross-site跨网站程序代码改写的攻击

 提供有价值的信息，包含攻击来源、攻击时间及试图利用什么方式进行攻击

10  当事件发生时，会立即自动通知管理员

 入侵侦测和防御

 防堵已知漏洞来抵挡已知及零时差攻击，避免无的攻击

 每小时自动防堵发现到的最新漏洞，无须重新开机，即可在几分钟内就可将防御部署至成千上万的服务器上

 提供数据库、网页、电子邮件和FTP服务器等100多个应用程序的漏洞保护  智能型防御规则提供零时差的保护，透过检测不寻常及内含病毒的通讯协议数据码，以确保不受未知的漏洞攻击

 完整监控

 监视关键操作系统和应用程序，如目录、registry keys及数值，以侦测出恶意和不寻常的更改

 实时的侦测出现有档案系统中的修改及新建立的档案，并提供报告

 可启动需求、预定或实时侦测，检查档案属性 (PCI 10.5.5) 和监控特定目录  提供灵活且实用的监控，提供包含/排除和可审核报告  网页应用程序保护

 协助企业遵循法规(PCI DSS 6.6)保护网页应用程序和所有处理的数据

 防企SQL Injection、Cross-site跨网站程序代码改写的攻击和其它网页应用程序漏洞

 在漏洞修补期间，提供完整的防护  应用程序管理

 增加对应用程序访问的网络的控管及可见度

 使用应用程序控管规则，可侦测出病毒私下访问网络的行为  降低服务器漏洞  双向状态防火墙

 减少的实体、云端运算及虚拟服务器被攻击的机会  集中管理服务器防火墙，包括最常见的服务器类型

 微粒的筛选特色（IP与MAC地址、通讯端口），可针对每个网络设计不同的接口和位置

11  防止DDos攻击，提供事先弱点扫描侦测

 可保护所有基于IP通讯协议（TCP、 UDP、 ICMP 等）和所有框架类型（IP、ARP 等)

 日志审查

 收集和分析操作系统和应用程序日志中的安全事件

 协助企业遵循法规(PCI DSS 6.6) 来优化埋在多个日志项目的重要安全事件  将事件转至SIEM系统或集中日志记录的服务器，作关联性分析、报告和存盘  可侦测可疑行为、收集数据中心的安全事件和管理操作，并使用OSSEC 语法来建立进阶规则

 DeepSecurity Agent支持的平台

Microsoft Windows  2000 (32位)  XP (32 /位)  XP Embedded  Windows 7

 Windows Vista (32/位)  Windows Server 2003 (32/位)  Windows Server 2008 (32/位) Solaris

 作业平台：8,9,10 (位SPARC, x86) Linux

 Red Hat Enterprise 3.0 (32位), 4.0, 5.0 (32/位)  SUSE Enterprise 9, 10 (32位) UNIX  AIX 5.3

 HP-UX 10, 11i v2, 11i v3 虚拟化

 VMware：VMware ESX Server (guest OS)  Citrix：XenServer Guest VM

12  Microsoft：HyperV Guest VM  Sun：Solaris 10 OS Partitions

 DEEPSECURITY主要认证及结盟

 Common Criteria EAL 3+

 PCI Suitability Testing for HIPS (NSS Labs)  Virtualization by VMware

 Microsoft Application Protection Program  Microsoft Certified Partnership  Novell

 Oracle Partnership  HP Business Partnership  It is also certified Red Hat Ready

13