虚拟化安全解决方案.docx

虚拟化安全解决方案.docx

《虚拟化安全解决方案.docx》由会员分享，可在线阅读，更多相关《虚拟化安全解决方案.docx（29页珍藏版）》请在冰点文库上搜索。

虚拟化安全解决方案

XXXX

虚拟化桌面安全解决方案

趋势科技（中国）

2013年5月

文档信息：

文档属性

容

项目/任务名称

项目/任务编号

文档名称

XXXX虚拟化桌面安全解决方案

文档版本号

V1

文档状态

制作人

罗海龙

级别

商密

管理人

罗海龙

制作日期

2013年5月28日

复审人

复审日期

扩散围

部使用

版本记录：

版本编号

版本日期

创建者/修改者

说明

文档说明：

第1章.概述

1.1XXXX虚拟化桌面概述

计算机的诞生改变了我们的生活，它正以一种前所未有的方式影响着我们的生活和工作。

随着技术的发展，我们的生活已经无法脱离计算机了，但是传统计算机桌面的使用有着诸多的限制，这些限制给我们带来了不便。

首先，随着客户端设备的不断增加，客户端系统环境变得复杂，造成管理困难，维护成本升高；客户端操作系统、应用客户端需要不断升级、不停打补丁；客户端需防病毒，防恶意软件，防止木马程序将敏感数据窃取，但仍可能百密一疏；客户端的移动性与分布性，造成无法共享资源，利用率低；且随着技术的发展，硬件的更新换代需要巨大的投入等等，这些都造成了没有一种随时，随地，任何设备都可以安全地访问的桌面环境。

同时，“集中监控、集中维护、集中管理”已经成为中国移动网络运行维护工作的一个重要工作模式。

桌面云解决方案是基于云计算架构的桌面交付解决方案，利用虚拟化技术，通过在云计算服务器集群上部署虚拟桌面交付系统。

采用桌面云解决方案可以在数据中心集中化管理桌面，轻松实现安全防护及备份，减少总体拥有成本、加强信息安全、降低维护管理费用，同时响应国家节能减排的号召。

在此情况下，自2010年开始，中国移动XX公司为提升桌面终端整体管理水平，对网管维护终端、IT办公、营业厅终端等进行了集中规划、集中管理和集中维护，进行了终端虚拟化一期工程的建设。

一期工程包括了IT系统平台单项工程和网管系统平台单项工程两部分，分别针IT终端和网管终端进行了桌面云系统的建设，其中IT系统平台满足了IT系统300个营业终端和100个操作维护终端的接入需求；网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。

在中国移动集中化建设和云计算迅猛发展的大背景下，综合考虑瘦客户端相对传统终端的优势，集团公司下发了《关于中国移动瘦客户机逐步全面替代传统PC的指导意见》，明确要求：

“对于新增固定终端（传统PC）的需求，原则上均应采用瘦客户机方案（其中，基于TDM传统呼叫中心应停止扩容，呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案）；对于现有传统PC应依据使用寿命，逐步采用瘦客户机进行自然替换。

”

1.2XXXX虚拟化桌面安全概述—传统安全解决方案

目前，XXXX对于虚拟化桌面的安全防护采用传统方式，也就是在每台虚拟桌面的操作系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进行补丁修补等。

这种解决方案没有考虑到虚拟化技术的特殊性，存在很多的安全风险，具体分析见下文。

第2章.需求分析

2.1传统安全在虚拟化桌面中应用面临威胁分析

虚拟化桌面基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。

新安全威胁的出现自然就需要新方法来处理。

通过前期调研，总结了目前XXXX虚拟化环境存在的几点安全隐患。

2.1.1虚拟机之间的相互攻击

虚拟机之间的互相攻击----由于目前XXXX仍对虚拟化环境使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。

2.1.2随时启动的防护间歇

随时启动的防护间歇----由于XXXX目前大量使用Vmware的虚拟化桌面技术，让XXXX的运维服务具备更高的灵活性和负载均衡。

但同时，这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。

如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分，但在这台虚拟机启动时，其包括防病毒在的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。

2.1.3管理成本上升

系统安全补丁安装-----目前XXXX虚拟化环境仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。

虽然虚拟化桌面本身有一定状态恢复的功能机制。

但此种做法仍有一定安全风险。

1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。

2.集中的安装系统补丁，前中后期需要大量人力，物力和技术支撑，部署成本较大。

2.1.4资源争夺

防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴----XXXX目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进行病毒防护。

在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。

由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。

严重时可能导致ESX服务器宕机。

通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新的安全威胁，例如：

虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，趋势科技提供创新的安全技术为虚拟环境提供全面的保护。

2.2无代理虚拟化桌面安全防护的必要性

XXXX的虚拟化桌面一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。

XXXX针以前针对桌面端采用集中管理、集中防护的措施，通过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术……各种安全产品开始被一个一个地加入到安全防线中来。

目前XXXX为了降低硬件采购成本，提高服务器资源的利用率，引进虚拟化桌面技术对现有应用服务器的计算资源进行整合，使现有建立的安全防线面临挑战！

服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池，导致传统的安全技术手段很难针对虚拟系统提供防护，另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维，导致与引入服务器虚拟化的初衷相违背。

通过上一章节的威胁分析发现，为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。

因为传统安全技术应用到虚拟服务器防护存在短板效应：

任何一点疏忽，都会让XXXX整个信息系统的安全防线功亏一篑，带来经济和企业名誉的损失。

更何况，这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新的安全威胁，所以需要采用创新的安全技术才能完善XXXX信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力，降低安全威胁出现到可以真正进行防的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统应用的可用性。

第3章.趋势科技虚拟化桌面安全解决方案

3.1安全虚拟机技术及工作原理

VMwareVShieldEndpoint程序使我们能够部署专用安全虚拟机以及经特别授权访问管理程序的API。

这使得创建独特的安全控制虚拟机成为可能，如在Gartner的报告中所述，安全虚拟机技术在虚拟化的世界中从根本上改变安全和管理的概念。

这种安全虚拟机是一种在虚拟环境中实现安全控制的新型方法。

安全虚拟机利用API来访问关于每一虚拟机的特权状态信息，包括其存、状态和网络通信流量等。

因为在不更改虚拟网络配置的情况下，服务器部的全部网络通信流量是可见的。

包括防病毒、防火墙、IDS/IPS和系统完整性监控等在的安全功能均可以应用于安全虚拟机中。

DeepSecurity通过vShieldEndpoint提供的实时扫描、预设扫描、清除修复等数据接口，对虚拟机中的数据进行病毒代码的扫描和判断，并结合防火墙、IDS策略实时对进出虚拟机的数据进行安全过滤；在管理上需要vShieldManager和vCenter的支持；

3.2与传统安全方案差别

传统环境下的网络安全拓扑图，在网络出口处部署有防火墙，防毒墙，上网行为管理等安全设备，用来隔离外网，过滤来自外网的恶意程序，规网用户的上网行为，同时在DMZ区使用防火墙隔离，部署IDS监控对服务器的非法访问行为，在服务器上部署防病毒软件，保护核心服务器的安全运行。

虚拟化在资源利用率、高可用性、高扩展性上有着诸多优势，实现虚拟化后，直观的来看，是将多台服务器集中到了一台主机，这一台主机同时运行了多个操作系统，提供不同的应用和服务；系统管理员根据需要可以非常方便的添加新的应用服务器；

根据传统的安全设计模型，需要在每个操作系统中安装防毒软件，在网络层部署入防火墙、侵检测或入侵防御系统，但是在这种在传统方式下合理的设计，在虚拟环境下会面临一些新的问题：

未激活的虚拟机，物理机下关闭计算机后CPU停止运行，网络关闭，理论上不会有数据的交互，操作系统也就不存在被感染的可能；但是在虚拟环境下，CPU，网络，底层的ESX都在工作中，关闭的操作系统类似于物理环境下的一个应用程序，尽管这个“应用程序”没有运行，但仍然有被病毒感染的可能；

资源的冲突，防毒软件在启用预设扫描后，当到了指定时间，会同时进行文件扫描的动作，这个时候防毒软件对CPU和存的占用急剧增加，当系统资源被耗尽的时候就会导致服务器down机；

管理复杂度，由于虚拟化的便利性，系统管理员可以非常方便的根据模板生成新的系统，这些新系统要打补丁，进行病毒代码的更新，也会增加安全管理的复杂度；

虚拟化环境的动态特性面临入侵检测/防御系统（IDS/IPS）的新挑战。

基于网络的IDS/IPS，也无法监测到同一台ESX服务器上的虚拟机之间的通讯；由于虚拟机能够迅速地恢复到之前的状态，利用VMwareVMotion™易于在物理服务器之间移动，所以难以获得并维持整体一致的安全性。

所以虚拟化已经使“网络边界去除”的挑战更加明显，虚拟化对于安全的需求也更加迫切。

3.3系统架构

DeepSecurity产品由三部分组成，管理控制平台（以下简称DSM）；安全虚拟机（以下简称DSVA）；安全代理程序（以下简称DSA）。

趋势科技DeepSecurity安全防护系统管理控制中心（DSM），是管理员用来配置及管理安全策略的集中式管理组件，所有的DSVA及DSA都会注册到DSM，接受统一的管理。

趋势科技DeepSecurity安全防护系统安全虚拟机（DSVA）是针对VMwarevSphere环境构建的安全虚拟计算机，可提供防恶意软件、IDS/IPS、防火墙、Web应用程序防护和应用程序控制防护，数据完整性监控等安全功能。

趋势科技DeepSecurity安全防护系统安全代理程序（DSA）是安全客户端，直接部署在操作系统中，可提供IDS/IPS、防火墙、Web应用程序防护、应用程序控制、完整性监控和日志审查防护等安全功能。

3.4产品部署和集成

DeepSecurity解决方案专为快速的企业部署而设计。

它利用现有基础架构并与之集成，以帮助实现更高的操作效率，并支持降低运营成本。

VMware集成：

与VMwarevCenter和ESXServer的紧密集成，使得组织和操作信息可以从vCenter和ESX节点导入到DeepSecurity管理器，并将详细完备的安全应用于企业的VMware基础架构。

SIEM集成：

通过多个集成选项向SIEM提供详细的服务器级安全事件，这些选项包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系统。

目录集成：

与企业目录集成，包括MicrosoftActiveDirectory。

可配置的管理通信：

DeepSecurity管理器或DeepSecurity代理可发起通信。

这可最大限度地减少或消除集中管理系统通常所需要的防火墙更改。

软件分发：

可通过标准软件分发机制（如MicrosoftSMS、NovellZenworks和Altiris）轻松部署代理软件。

最佳过滤：

用于处理流媒体（如Internet协议电视（IPTV））的高级功能有助于将性能最大化。

DeepSecurity采用集中分布式的管理方式，

⏹DeepSecurity服务器端安装服务器控制台

⏹DeepSecurity客户端直接部署在每一台服务器上。

对于服务器群所有的安全策略都可以通过统一的管理控制台进行设定，并且按需分发到对应的服务器。

整个服务器安全防护体系的管理，监控和运维都可以通过管理控制台进行统一管理。

同时，各项安全模块组件的更新都会通过管理控制台自动或者手动派发到每一台服务器上。

3.5产品功能

趋势科技DeepSecurity系统提供了对数据中心（围遍及虚拟桌面到物理、虚拟或云服务器）的高级保护，包括：

●防恶意软件

●防火墙

●入侵检测和阻止（IDS/IPS）

●Web应用程序防护

●应用程序控制

●完整性监控

●日志审计

3.5.1恶意软件防护

防恶意软件模块可提供趋势科技防恶意软件防护，恶意代码包括：

病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动扫描功能，处理措施包含清除、删除、拒绝访问或隔离恶意软件。

检测到恶意软件时，可以生成警报日志。

3.5.2深度数据包检查（DPI）引擎

实现入侵检测和防御、Web应用程序防护以及应用程序控制

该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括SSL通信流）中是否存在协议偏离、发出攻击信号的容以及违反策略的情况。

该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的漏洞。

它可保护Web应用程序，使其免受应用层攻击，包括SQL注入攻击和跨站点脚本攻击。

详细事件提供了十分有价值的信息，包括攻击者、攻击时间及意图利用的漏洞。

发生事件时，可通过警报自动通知管理员。

DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。

3.5.3入侵检测和防御（IDS/IPS）

在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击

漏洞规则可保护已知漏洞（如Microsoft披露的漏洞），使其免受无数次的漏洞攻击。

DeepSecurity解决方案对超过100种应用程序（包括数据库、Web、电子和FTP服务器）提供开箱即用的漏洞防护。

在数小时即可提供可对新发现的漏洞进行防护的规则，无需重新启动系统即可在数分钟将这些规则应用到数以千计的服务器上：

⏹智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击行为提供零日防护。

⏹漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止已知的单个漏洞攻击。

由于趋势科技是Microsoft主动保护计划（MAPP）的现任成员，DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft收到漏洞信息。

这种提前通知有助于预测新出现的威胁，并通过安全更新为双方客户快速有效地提供更及时的防护。

3.5.4WEB应用程序安全

DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。

Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护。

该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。

根据客户要求进行的一项渗透测试，我们发现，部署DeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。

3.5.5应用程序控制

应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。

这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。

3.5.6防火墙

减小物理和虚拟服务器的受攻击面

DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。

它可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。

其功能如下：

⏹虚拟机隔离：

使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。

⏹细粒度过滤：

通过实施有关IP地址、Mac地址、端口及其他容的防火墙规则过滤通信流。

可为每个网络接口配置不同的策略。

⏹覆盖所有基于IP的协议：

通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件–TCP、UDP、ICMP等。

⏹侦察检测：

检测端口扫描等活动。

还可限制非IP通信流，如ARP通信流。

⏹灵活的控制：

状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检查。

它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分。

⏹预定义的防火墙配置文件：

对常见企业服务器类型（包括Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。

⏹可操作的报告：

通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity防火墙软件模块可捕获和跟踪配置更改（如策略更改容及更改者），从而提供详细的审计记录。

3.5.7完整性监控

监控未授权的、意外的或可疑的更改

DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件（如目录、注册表项和值），以检测可疑行为。

其功能如下：

⏹按需或预定检测：

可预定或按需执行完整性扫描。

⏹广泛的文件属性检查：

使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控，包括：

容、属性（如所有者、权限和大小）以及日期与时间戳。

还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。

此功能适用于PCIDSS10.5.5要求。

⏹可审计的报告：

完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。

该模块还可通过Syslog将事件转发到安全信息和事件管理（SIEM）系统。

⏹安全配置文件分组：

可为各组或单个服务器配置完整性监控规则，以简化监控规则集的部署和管理。

⏹基准设置：

可创建基准安全配置文件用于比较更改，以便发出警报并确定相应的操作。

⏹灵活实用的监控：

完整性监控模块提供了灵活性和控制性，可针对您的独特环境优化监控活动。

这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。

此外，还可根据独特的要求灵活创建自定义规则。

3.6系统要求

●趋势科技DeepSecurity系统管理中心

存：

4GB

磁盘空间：

1.5GB（建议使用5GB）

操作系统：

MicrosoftWindowsServer2008（32位和64位）、WindowsServer2008R2（64位）、Windows2003ServerSP2（32位和64位）

数据库：

Oracle11g、Oracle10g、MicrosoftSQLServer2008SP1、MicrosoftSQLServer2005SP2

Web浏览器：

MozillaFirefox3.x（启用Cookie）、InternetExplorer7.x（启用Cookie）和InternetExplorer8.x（启用Cookie）

●趋势科技DeepSecurity安全虚拟机

存：

1GB

磁盘空间：

20GB

●VMware环境：

VMwarevCenter5.0

ESX5.0

VMwareTools

VMwarevShieldManager

VMwarevShieldEndpointSecurity

第4章.项目实施方案

4.1项目总体规划

项目实施总体分为四个阶段，每一个阶段需要一个阶段性总结：

（一）项目准备和调研。

主要包括实施项目组的建立和对现有VMware系统进行检查两部分。

（二）项目实施。

虚拟化群集的vShield接口（vShieldAPP及vShieldEndpoint）的实施，虚拟机安全解决方案DeepSecurity的实施。

按照实施步骤部署vShield和DeepSecurity产品。

配置vShieldAPP接口进行的安全域划分工作。

对整体环境进行分析，并根据实际情况划分安全域，通过APP接口实现安全域的划分。

（三）项目验收。

针对产品功能、实施效果等容进行验收。

4.2实施组织架构

整个维护保障人员由XXXX和趋势科技共同组成，其中主要涉及到：

XXXX信息安全负责人、趋势科技技术项目负责人和渠道工程师组成的一线服务小组。

趋势科技的整个服务团队，由北方区技术经理作为主管，由项目负责人成为趋势科技方主要联系接口人，为XXXX提供实施的整体协调。

当出现紧急事件时，统一由XXXX信息安全负责人联系项目负责人，对事件进行处理。

具体人员组织安排参见下图：

趋势科技行业技术经理

对趋势科技技术部门资源协调最终决策的人员。

项目负责人

作为趋势科技针对XXXX在虚拟化安全项目的主要负责人和接口人，协调趋势科技和XXXX之间的工作进程和人员之间的协调工作，同时负责7x24小时通过、的方式为XXXX提供技术支持、方案建议等服务。

渠道工程师

在实施过程中，有项目的渠道商指定工程师与趋势科技工程师一起完成项目容，负责产品实施各项工作。

单位

罗海龙

行业技术经理

Oliver_Luotrendmicro..

鹏飞

项目负责人

Pengfei_Zhangtrendmicro..

4.3项目实施容

4.3.1项目准备

为了确保整个实施过程的高效有效，XXXX和趋势科技都需建立专门的项目指导小组并组成联合项目指导小组。

趋势科技项目指导小组由趋势销售经理和趋势科技技术经理组成，控制项目的整个实施过程。

同时，趋势科技成立项目实施小组，在联合项目指导小组的领导下完成项目各节点的具体实施工作。

XXXX的人员须拥有跨部门协调和管理该项目整体的权利。

建议XXXX项目指导小组在项目实施结束后保留下来，作为负责安全问题的专门小组，以便于今后安全工作的协调和管理，也利于与趋势科技建立畅通的沟通渠道。

趋势科技项目指导小组成员：

趋势科技项目总协调人：

炳宏涛

趋势科技技术经理：

罗海龙

项目负责任人：

鹏飞

4.3.2项目调研

调研目标：

获取XXXX信息系统实际的网络状况和虚拟化应用状况，为项目实施做好准备，同时根据实际情况对真实需求进行必要的修正，与相关系统管理员进行必要的前期沟通。

按照产品的安装要求以及软件网络安全的规与管理人员进行技术沟通和交流,确定需要调整的网络结构和各种需要增补的软件补丁。

调研措施：

1、趋势科技提供产品安装系统需求文档；

2、针对虚拟化服务器进行详细的记录，同时记录各单位管理人员的联系方式。

调研