虚拟化安全防护解决实施方案

1、.WORD.格式.专业资料.整理分享.虚拟化安全解决方案趋势科技（中国）有限公司2014年3月目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 重新思考服务器所面临的安全问题 3 HYPERLINK l bookmark6 o Current Document 成为企业生产运行和业务运转的根本 3 HYPERLINK l bookmark8 o Current Document 企业应用改变带来的挑战 3 HYPERLINK l bookmark10 o Current Document 受到不断变化新威胁攻击的挑战 3 HYP

2、ERLINK l bookmark12 o Current Document 虚拟化环境的面临的新挑战 4 HYPERLINK l bookmark14 o Current Document 法律法规带来的要求 7 HYPERLINK l bookmark16 o Current Document 虚拟化四大安全管理问题 7 HYPERLINK l bookmark26 o Current Document 传统方案处理虚拟化安全的问题 9 HYPERLINK l bookmark28 o Current Document 趋势科技无代理虚拟化安全解决方案 11 HYPERLINK l boo

3、kmark30 o Current Document 趋势科技虚拟化安全防护一一DeepSecurity12 HYPERLINK l bookmark32 o Current Document 系统架构16 HYPERLINK l bookmark34 o Current Document 工作原理17 HYPERLINK l bookmark36 o Current Document DeepSecuirty 部署及整合 17 HYPERLINK l bookmark38 o Current Document 集中管理18 HYPERLINK l bookmark40 o Current D

4、ocument 产品价值 18 HYPERLINK l bookmark52 o Current Document 对企业虚拟化主要安全策略应用最佳实践 19 HYPERLINK l bookmark54 o Current Document 结语25一、重新思考服务器所面临的安全问题成为企业生产运行和业务运转的根本随着信息化和互联网的深入，很难想象脱离了网络，现代企业如何才能进行正常运转。 而 服务器所承载的企业核心数据，核心应用甚至企业的核心知识产权等等， 让企业已经无法脱离 服务器。企业应用改变带来的挑战WetS用：80%勺具有一定规模的行业用户或者企业用户都有会自己的WetB站和基于W

5、eb勺应用。虚拟化应用：出于资源利用，系统整合以及绿色IT的需要，虚拟化已经在企业内部有 了大量的应用。私有云计算的应用企业对于计算能力，对于业务应用等需求，已经在公司网络内部建 立的私有云计算系统。以上这些应用给服务器的安全带来了更大的挑战，传统的安全措施已经不能满足现在IT系统，服务器系统的安全要求。受到不断变化新威胁攻击的挑战从2000年至今，互联网的发展日新月异，新的引用层出不穷。从 Web1.0至I Web2.0,从 2G网络升级到3G网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本 和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，

6、 信息技术的发展也带来了安全威胁的发展。 安全威胁的攻击，从单纯的攻击单台电脑，到攻击 局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据，应用和网络带来威胁，必须对企业的安 全系统进行结构化的完善，尤其在服务器的安全防护上，在过去的几年中，大部分企业都存在 一定的不足。虚拟化环境的面临的新挑战虚拟机内部攻击传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信，因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内的网络通信有虚拟交换机进行控制

7、。当同一主机上的虚拟机遭受恶意软件攻击时，网络中传统的IPS/IDS设备将可能检测不到异常情况。网络钓鱼站点病南，蛙史病甫，病毒欺诈站点间谍软件和其他恶意软件资源争夺病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统（ CPU内存和磁盘I/O） 负荷激增。使用不具有虚拟化感知能力的传统安全解决方案部署虚拟化时。 将导致虚拟机密度 大量降低。在单台主机上仅能运行 5至15台虚拟机，而不是15至45台虚拟机。这将严重影 响任何虚拟化或云计算项目的投资收益率（ROI）由于同时启动病毒扫描导致网络负担过重管理的复杂性在虚拟化环境中，很容易创建、修改、复制和移动虚拟机。使用云计算、公共云或私 有云之

8、后，新的虚拟机能自动进行设置、重新配置，甚至自动移动。这使得管理员在追踪、维 护和实施一致性的安全策略时变得异常困难。因此，有必要采取相应措施来应对此类动态数据 中心。即时启动间隙持之以恒的确保“即时启动”虚拟机的安全并不断的对其进行更新，这几乎是无法实现的。 处于休眠状态的虚拟机最终可能会严重偏离基准，以至于仅仅启动它们便会引入大量安全漏 洞。为了降低这种风险，必须提供一种解决方案在完全受保护的状态下配置和管理虚拟机，无论最后一次防病毒特征码或补丁更新何时发生，整个虚拟机系统都能一直处于安全状态。另外虚拟化系统采用与物理系统相同的操作系统，包括企业级应用和web应用。尽管某些漏洞能够被系统管

9、理程序检测出，但是对于这些虚拟化系统的主要威胁是恶意软件对于这些系统和应用中的漏洞进行远程探测的能力。图1.虚也化即虚拟化环境的动态特性面临入侵检测/防御系统（IDS/IPS）的新挑战。由于虚拟机能够迅 速地恢复到之前的状态，并且易于在物理服务器之间移动，所以难以获得并维持整体一致的安 全性。为了创建虚拟化安全的有效方法，用户应该采用与不断演化以保护物理IT资源相同的安全理论。其中一个安全理论是“全面防御”，这是企业用户对于在其IT基础设施中出现的“网络边界去除”进行识别的基础安全需求。行业最佳实践支持这种理论，而且诸如Jericho Forum 等组织也将其纳入其安全建议。因为基于设备的安全

10、不能够处理位于同一物理系统上的VM之间的攻击，所以虚拟化已经使“网络边界去除”的挑战更加明显，以及对于领先的安全需求更加迫切。安全的最佳实践至关重要。论坛其它引导理论包括以下规则：防护的范围和等级应该针对于并适合出于风险中的资产。商业需要能够提高其灵活性和成本有效性的安全策略尽管边界防火墙会不断地提供基本的网络防护，但是个人系统和数据需要自我防护。通常，提供的防护离资产越接近，越容易保护该资产。应用上述这些和其它虚拟化数据中心的安全理论，现在可以看到存在对于虚拟化安全方法 的明确需求，即直接将安全机制部署在物理服务器上防护这些虚拟化系统，从而尽可能近地对资产进行防护。法律法规带来的要求中国信息

11、安全等级保护制度和 C-SOX以及国外的PCI, HIPAA, SAS-70, SOX, GLBA等法 律法规，从法律上也要求了企业在内部信息系统上，达到一定的安全等级和应用一定的安全策 略。二、虚拟化四大安全管理问题.虚拟机溢出导致安全问题蔓延管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机，这种现象被称作“虚拟机溢出”。如果虚拟机能够从所在管理程序的独立环境中脱离出来，入侵者会有机可乘进入控 制虚拟机的管理程序，进而避开专门针对保护虚拟机而设计的安全控制系统。虚拟世界的安全 问题正在试图脱离虚拟机的控制范围。尽管没有那家公司会允许安全问题通过管理程序技术的 方式在虚拟主机间相互传播

12、和蔓延， 但这样的安全隐患还是存在的。因为入侵者或者安全漏洞会在虚拟机之间来回捣乱，这将成为开发者在开发过程中的必须面对的问题。 现在技术工程师 通常采用隔离虚拟机的方式来保障虚拟环境的安全性。保障虚拟环境安全的传统方式是在数据 库和应用程序层间设置防火墙。他们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。这对于虚拟化环境来说是比较好的方法。.虚拟机成倍增长，补丁更新负担加重虚拟机遇到的另外一个安全隐患是：虚拟机修补面临更大的挑战，因为随着虚拟机增长速 度加快，补丁修复问题也在成倍上升。IT管理人们也认同补丁在虚拟化环境中的关键性，但 是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题，

13、而是量的问题。虚拟化服务器与物理服务器一样也需要补丁管理和日常维护。目前，世界上有公司采取三种虚拟化环境-两个在网络内部，一个在隔离区（DMZ）h-大约有150台虚拟机。但这样的布置就意味着管理 程序额外增加了层来用于补丁管理。但即便如此，还是无法改变不管物理机还是虚拟机上补丁 的关键问题。另外当服务器成倍增长也给技术工程师及时增加补丁服务器的数量带来一定的压 力，他们开始越来越关注实现这一进程的自动化的工具的诞生。.在隔离区（DMZ）运行虚拟机通常，许多IT管理人都不愿在隔离区（DMZ让放置虚拟服务器。其它的IT管理者们也不 会在隔离区（DMZ）的虚拟机上运行关键性应用程序，甚至是对那些被公

14、司防火墙保护的服务器 也敬而远之。在多数情况下，把资源分离出来是比较安全的方式。这个时候，不管是隔离区还是非隔离 区，都可以建立虚拟化环境。就是采用在虚拟资源的集群中限制访问的办法。 每个集群都是自 己的资源和入口，因此无法在集群之间来回串联，许多IT管理者们致力于将他们的虚拟服务器分隔开，将他们置于公司防火墙的保护之下，还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。这样的虚拟化架构无非是考虑到安全的因素， 显然传统做法已 经影响了虚拟化架构的搭建。.管理程序技术的新特性容易受到黑客的攻击任何新的操作系统都是会有漏洞和瑕疵的。 那这是否意味着黑客就有机可乘，发现虚拟操 作

15、系统的缺陷进而发动攻击呢？工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持 警惕，他们存在潜在导致漏洞和安全隐患的可能性，安全维护人员只靠人工补丁修护是不够的。 虚拟化从本质上来说全新的操作系统， 还有许多我们尚不了解的方面。它会在优先硬件和使用 环境之间相互影响，让情况一团糟的情况成为可能。虚拟化管理程序并非是人们自己所想象的 那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解，象 VMware这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性.三、传统方案处理虚拟化安全的问题在广泛应用专门为VMwareVMsafe API定制的安全解决方案之前，通常

16、采用两种初始方法 和安全软件一起来保护虚拟机：一种是在虚拟化计算环境中应用虚拟安全设备以监控虚拟交换机和访客虚拟机之间的通 信流量。尽管虚拟安全设备解决方案提供IDS/IPS防护以避免网络中的攻击，但是也存在较大的局限性：内部虚拟机通信流量必须将虚拟安全设备放置在虚拟交换机的前面，即便如此，仍不能避免在同一虚拟交换机上虚拟机之间产生攻击，也无法整合安全设备来设置安全域。移动性如果采用诸如VMware VMotion?的控件将虚拟机从物理服务器之间进行 传输，那就会丢失安全上下文。有必要针对于每一个潜在目的配置虚拟安全设备集群， 因为虚拟机有可能被重新定位至该目的，从而对于性能产生相应的负面影响

17、。不透明度因为必须改变虚拟网络体系结构以部署虚拟安全设备，这将对于现有系统的管理和性能产生不利影响。性能瓶颈虚拟安全设备必须处理虚拟机和网络之间的全部通信流量，最终会出现性能瓶颈。采用另一种方法，可以在每一虚拟机上部署相同的IDS/IPS功能Figure? VM5nt、与虚拟安全设备方法不同的是，以虚拟机为中心的方法可以避免内部虚拟机通信流量、移 动性和缺乏可见性等缺点。尽管以虚拟机为中心的方法同时会对系统性能产生影响，但其分布式地跨接IT基础设施中虚拟机上。然而，以虚拟机为中心的体系结构仍然要面对的挑战是在每一虚拟机上都部署一个IDS/IPS安全代理。正如在其在线教程中 VMware所指出，

18、可以通过采用诸如模板的机制，即“使用模板”来部署通用的安全代理跨接每一虚拟机来消除这些不利因素。然而，虚拟化环境的动态特性在没有安装安全代理的情况下， 依然能够将虚拟机引入生产环境中，同时会消耗过多的物理机资源，降低虚拟机密度。四、趋势科技无代理虚拟化安全解决方案安全看门狗虚拟机（VMVMwarRMsafe程序使用户能够部署专用安全虚拟机以及经特别授权访问管理程序的API这使得创建独特的安全控制、安全看门狗虚拟机等成为可能，如在Gartner的报告中所述，在 虚拟化的世界中从根本上改变安全和管理概念。 这种安全看门狗虚拟机是一种在虚拟环境中实现安全控制的新型方法。Virtual安全看门狗功能利

19、用自身 API来访问关于每一虚拟机的特权状态信息， 包括其内存、状态 和网络通信流量等。因为在不更改虚拟网络配置的情况下， 服务器内部的全部网络通信流量是 可见的，这样就可以消除用于IDS/IPS过滤的虚拟安全设备方法在内部虚拟机和非透明方面的 局限性。包括防病毒、加密、防火墙、IDS/IPS和系统完整性等在内的安全功能均可以应用于 安全看门狗虚拟机中。趋势科技保护虚拟化环境的灵活方法包括可以在单个虚拟机上进行部署的以虚拟机为中心的代理，以及用以保护多个虚拟机的安全看门狗虚拟机。 这种体系结构可以确保通过在关键 IT资产，即虚拟机上部署软件而对其进行防护，同时可以由安全看门狗虚拟机来防护关键资

20、 产。同时趋势科技保护虚拟化环境，可以将多个虚拟机进行分组形成安全域， 在安全域内部虚 拟机都接受独立的防护，已保护虚拟机之间的攻击。又能形成安全域整体的安全策略，以保护 域与域之间的访问安全。趋势科技虚拟化安全防护DeepSecurity总笄科技美强相对双技累窿决裁s函有亚云旃程而余碰到的阿愚趋势科技针对虚拟环境提供全新的信息安全防护方案DeepSecurity ,通过访问控制、无代理防护一能右效解决这些挑睡病毒防护、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机 和虚拟系统的全面防护，并满足信息系统合规性审计要求。针对银行证券的服务器虚拟化面临的风险，建议采用趋势

21、科技的虚拟化解决方案，构建虚拟化平台的基础架构多层次的综合防护。底层病毒防护无需安装客户端，提供实时安全内容过滤，提供手动安全内容过滤，提供计划安全内容过 滤，给予专用API接口提高运行效率。安全区域访问控制传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的 最基本安全问题。趋势科技DeepSecurity防火墙提供全面基于状态检测细粒度的访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之

22、间的区域逻辑隔离。DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。WetS用程序防护趋势科技DeepSecurity WetS用程序防护协助企业遵循法规(PCI DSS6.6)保护网页应用 程序和所有处理的数据。防企SQLInjection 、Cross-site跨网站程序代码改写的攻击和其它 网页应用程序漏洞，在漏洞修补期间，提供完整的防护。进出Web网站的数据流量使用高性能、深度数据包检测引擎进行检测，该引擎用于监视数据包和有效载荷数据以检测恶意代码和其他异常情况。Gartner4将深度数据包检测定义为一种转换型安全技术，因为它能够直接对主机上的重要部分提供精密防护。然后

23、主机入侵防御 系统实施已定义的规则：允许安全数据通过，但阻止违反任何规则的数据。真正有效的系统还 能够修改数据流，以预防潜在的恶意网络通信。主机入侵防御系统可以是双向的。也就是说，除了针对入站数据检测恶意代码和其他异常情况，还可以检测出站数据。这可以帮助确保未经授权的用户无法获取敏感数据，从而支持合规性要求。它具有以下两个优点：纯软件解决方案，可以防御Web网站漏洞，以及 Web网站所依赖的操作系统和企业软件中的漏洞。对主机性能 影响甚微，无需购买或部署额外的硬件即可保护关键服务器免受软件漏洞的侵害。由于在主机上运行，它还可以检测加密的网络通信而不会影响所提供的安全价值。应用程序管理增加对应用

24、程序访问的网络的控管及可见度，使用应用程序控管规则，可侦测出恶意程序 私下访问网络的行为，降低服务器漏洞。入侵检测/防护同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容。然而，随着虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运 行在虚拟化的网络或系统中，像它们在传统企业网络系统中所做的那样。例如，由于虚拟交换机不支持建立 SPANE镜像端口、禁止将数据流拷贝至IDS传感器， 网络入侵监测可能会变得更加困难。类似地，内联在传统物理网区域中的IPS系统可能也没办 法轻易地集成到虚拟环境中，尤其是面对虚拟网络内部流量的时候。 基于主机的IDS系统

25、也许 仍能在虚拟机中正常运行，但是会消耗共享的资源，使得安装安全代理软件变得不那么理想。趋势科技DeepSecurity在VMware的VMsafe接口可以对虚拟交换机允许交换机或端口组 运行在“混杂模式”，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。DeepSecurity 除了提供传统IDS/IPS系统功能外，还提供虚拟环境中基于政策的 (policy-based )监控和分析工具，使 DeepSecurity更精确的流量监控、分析和访问控制， 还能分析网络行为，为虚拟网络提供更高的安全性。防堵已知漏洞来抵挡已知及零时差攻击， 避免无限制的攻击；每小时自动防堵发现到的最新漏洞，

26、无须重新开机，即可在几分钟内就可将防御部署至成千上万的服务器上提供数据库、网页、电子邮件和FTP服务器等100多个应用程序的漏洞保护；智能型防御规则提供零时差的保护，透过检测不寻常及内含病毒的通讯协议 数据码，以确保不受未知的漏洞攻击。深度封包检查趋势科技DeepSecurity同时虚拟系统中占用更少的资源，避免过度消耗宿主机的硬件能 力。检查所有未遵照协议进出的通信，内含可能的攻击及政策违反；在侦测或预防模式下运作， 以保护操作系统和企业应用程序漏洞；能够防御应用层攻击、SQLSQInjection 及Cross-site 跨网站程序代码改写的攻击；提供有价值的信息，包含攻击来源、攻击时间及

27、试图利用什么方 式进行攻击；当事件发生时，会立即自动通知管理员。虚拟补丁防护随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁， 或者发布补丁的时间严重滞后，还有最重要的是，如果 IT人员的配备不足，时间又不充裕， 那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。趋势科技DeepSecurity通过虚拟补丁技术完全可以解决由于补丁导致的问题，通过在虚 拟系统的接口对虚拟主机系统进行评估，并可以自动对每个虚拟主机提供全面的漏洞修补功 能，在操作系统在没有安装补丁程序之前， 提供

28、针对漏洞攻击的拦截。趋势科技DeepSecurity 的虚拟补丁功能既不需要停机安装，也不需要进行广泛的应用程序测试。虽然此集成包可以为 IT人员节省大量时间。系统架构物理机虚拟机 云计算环境报告Deep Secunily Manager12DatabaseSecurity CenterDSM；安全虚拟机（以下简DeepSecurity产品由三部分组成，管理控制平台（以下简称称DSVA;安全代理程序（以下简称 DSA趋势科技DeepSecurity安全防护系统管理控制中心（DSM,是管理员用来配置及管理安 全策略的集中式管理组件，所有的 DSVAt DSATB会注册到DSM接受统一的管理。趋势

29、科技DeepSecurity 安全防护系统安全虚拟机（DSVA）!针对VMware vSphere环境构 建的安全虚拟计算机，可提供防恶意软件、IDS/IPS、防火墙、Web应用程序防护和应用程序 控制防护，数据完整性监控等安全功能。趋势科技Deep Security安全防护系统安全代理程序（DSA）是安全客户端，直接部署在操 作系统中，可提供IDS/IPS、防火墙、Web应用程序防护、应用程序控制、完整性监控和日志 审查防护等安全功能。工作原理Deep Security通过vshield endpoint提供的实时扫描、预设扫描、清除修复等数据接口，对虚拟机中的数据进行病毒代码的扫描和判断，

30、并结合 Vmsafe API接口提供防火墙、IPS/IDS策略实时对进出虚拟机的数据进行安全过滤； 在管理上与vshield manager和vcenter结合;DeepSecuirty 部署及整合趋势科技部署快速运用整合既有IT及信息安全投资。与VMware vCenter和ESX服务器的VMware整合，能够将组织和营运信息汇入DeepSecurity Manager中，这样精细的安全将被应用在企业的VMware基础结构上。与VMsafe ? APIs的整合可以作为一个虚拟应用，能立即在ESX服务器上快速部署和透明化地保护vSphere虚拟机器。透过多种整合选项，提供详细的服务器级别的安全

31、事件至SIEM系统，包括ArcSight ?、Intellitactics 、NetlQ、RSA Envision、QILabs Loglogic 和其它系统。能与企业的目录作整合，包括 Microsoft Active Directory 。可配置的管理沟通，能大幅度减少或消除透过Manager及Agent进行通信的防火墙变 化。可以透过标准的软件分发机制如 Microsoft ? SMS Zenworks和Altiris轻松部署代理软件集中管理趋势科技虚拟化安全解决方案一一DeepSecurity采用C/S结构，管理员通过浏览器就可 以实现DeepSecurity的管控，DeepSecur

32、ity服务器支持管控不同虚拟平台或物理实机上的 Agent/virtual Appliance代理程序，包括Agent程序的策略下发，状态检测、风险监控等功 能，并且支持VMware vCenter的集中控管，在提供最大化的服务器基础防护的同时大大提高 了管理的便捷性。产品价值虚拟补丁用户一般要花费数周或数月的时间来充分测试和部署补丁， 有时系统补丁不能被第三方软 件供应商的产品支持，较老旧的应用系统也不能打补丁；采用 DeepSecurity虚拟补丁功能不 但可以在减少补丁更新的频率，而且可以保护不能打补丁的遗留程序，使系统免受零日攻击。保护IT投资，使用虚拟补丁功能可以降低 50%-75%

33、勺IT成本。预防数据破坏及营运受阻提供无论是实体、虚拟及云端运算的服务器防御；防堵在应用程序和操作系统上已知及未 知的漏洞；防止网页应用程序遭 SQL Injection 及Cross-site跨网站程序代码改写的攻击； 阻挡针对企业系统的攻击；辨识可疑活动及行为，提供主动和预防措施合规性要求协助企业遵循PCI及其它法规和准则DeepSecurity提供的防火墙、DPI、文件完整性检 查、 日志审计等功能符合多项法规：PCI, HIPAA, SAS-70, SOX, GLBA 等可以满足企业内部 及外部审计人员的要求；提供详细的审核报告，包含已防止攻击和政策符合状态， 减少支持审 核所需的准备

34、时间和投入WebS用防护根据权威机构统计“ 34%勺数据攻击都是和 Weg用相关” ，“75%勺攻击都发生在应用 层”传统的外围防护如：防火墙等无法保护，识别和弥补这些 Web应用漏洞需要花费时间和 资源，Deep Security 可以在漏洞被修补前防护针对这些漏洞的攻击行为，避免高昂的遗留程序重写或服务中断费用。达到经营成本的降低透过服务器资源的合并，让虚拟化或云端运算的节约更优化；透过安全事件自动管理机制， 使管理更加简化；提供漏洞防护让安全编码优先化及和弱点修补成本有效化； 消除了部署多个 软件客户端与集中管理、多用途的软件代理或虚拟装置所产生的成本。五、对企业虚拟化主要安全策略应用最

35、佳实践趋势科技建议对企业虚拟化针对如下九大方面进行有针对性的安全防护。在进行所有的策略部署之前，首先，企业可以利用 DeepSecurity的推荐扫描功能选项对 企业内的虚拟化进行分析，得出初步的安全威胁分析报告，以此为基准线来进行进一步的安全 配置。1、核心应用进程监控：发现异常立刻通知管理员，进行相应的处理nTxl| f： D二上口出口， GiErviEr - MMru/dt 5QIL Sgrvier Prjpgrtie：5 口 Window, IntcTiwt EHplurErGeneral Details Ciorfigufation Options Assigned ToDetale

36、d DescriptionDefinitionsWindow5即pile 日 Hg Inrtabtion P双 he.g-,匕沪5日小 FfesMcrMcft SQL ServerAppiKation log Ne&phe.g.,匚加个力 FfejMcrwtft 5Ql servelAPfoHle NamelMSMjLgflnstaJIed Soltf*aree.g., Mcrosoft SQL SerwAppJkatiQn IfKtal Reg由y Parert Keyesg.A HKEYjZlCALfMHlNESOFTWAREVMkr口olt|MKriK口ft SQL ServerServ

37、ke Namee.g-3 M5SQLSERVERObject MonltsedWtdewsFiles monitored for Standard attrbjte changes under appJicaHan mstaJIatiDn path1AIIH 匕 Ah ecrwn ,金JdrFlies manitared far Permssionfii Group and ObMner .attribute nhangesi under 曰口口Ikation log file pathAll files under appkaban kg File pathDirectories monto

38、redifor PErmtssms-i Group 15ndOwner 稼tribute changes under1 aw%&m log files 阿h再叩 licaticn log filts dirMtoy 时M% wbdrectWes.1ntailed SaFtware monritcired for InstHledOal:与 Name! .and Varsian attribute changesAll 4clltware names starbng dith MKrosoFt SQL Servw.Services monit口red for Standard -attribut

39、e changesSendees, HSSqLSERVER.MSSQLSBrvarADHB； SQDvraw.Registry Key mnitared for itsin value changesApplication install registry parent kay,HKEYjOLA5SE5_RODT5QLOLEDBj bKEY_OA53E5手OOTEXM国Database Server - Microsoft SQL Server Properties - Windows Internal: ExplorerGeneral Details Configuration Option

40、s Assigned ToAlertjM Alert when this rule logs an event;IAlbw Real Time MonitaringB Allow Real Time Moniboring2、对Wetfi用防护：部署XSSt击防护策略S m与Frewall-j Fii1白wall Events F 其 Firewall Rules ijCQnFi0B irrttinoFl :d Deep Packet Inspection A DPI Events fc-：工 DPI Rules .IDS/IPS |口口| 匚口/!licaLiari TypiWeb Appli

41、casection.1. SSL CanFigurahianrs-Q| Intognty Monltorlna Integrity Monitorina Events InLwgrity MonitorirK| Rulstkl 口 Log Inspection应 log Inspectloni Events& Loa Inspection Rules回口 Ldq Inspeetlen (Decoder sE ；方 Sy-st-em通 System EventsFj System Settlnas： g Oven- r ides3、对数据库应用：部署SQL Injection 防护策略Ej ne

42、wdii cvei iiiFirewall RulesH Stateful Configurations-.R Deep Packet Inspectiona DPI EventsFl DPI RUeS.ID5/IPSGeneric SQL Injection Prevention Properties - Windows Inter. 回留Wet Applicatnn ProtectionTPpli-.ion lypes同 5BL ConflgiratlOftsB Integrity Monitwing.Integrity Monitoring Events integrty Monftom

43、g Rules-q Log Inspettion. i Log Inspection Eventsq Log Irispectiori Rules电 Log Inspection Decoders三 Systemj System Events自 System Settingsd OverridesGeneral Vdnerability Configuration Options Assigned ToCoriigurdtion OptionsSQL Injection Patterns. One group per line separated byThe score For the qrw

44、p i$ at the end of the line after h： For/ use x2c and For use 22.The Maximum nmrnber of groups i$ 32.(o. scriot. object. enedj21%况收2%22/曲：1上,%36：1脱B：l %2D%2Dj /*, %2F2Ar*/,%2A%2F!1Irnn Mhlft.rlrnn+lAhlp.inWrl二Drop Threshold (if Hie 5cwe exceeds 由咨 value, the connection will be droppecQ;Log Threshold

45、 (f the ?core exceeds, this value, a log will be .generated):Max distance between matches (If this mary characters 90 by 国一 iwithout seeing & pattern in any gr用,Hie score Is reset to D):Pages (resource) with a non-default score to drop on. The score for each resource is at the end of the line aftereg. /indexrhtml:5 : (Ore per line)4、对系统服务程序漏洞进行主动防护如下图，选择所有和MS08-067相关的DPI条目可以对该漏洞进行主动防护卸ht口 E就院工位二口 瞰封 B叱物讪er施 加州斯廊出P w Gitkxi“ 片工）占5予iESK加廿3irg1R迎, B wkCon枷黜 M Ixcnng惶官相而2 -nCiixc