型数据中心安全防护整体解决方案_-_v.pptx

新型数据中心安全防护解决方案 1 Agenda 2 数据中心转型带来的安全挑战1 Symantec数据中心安全解决方案2 数据中心安全建设的最佳实践3 软件定义数据中心 所有的基础设施资源都将被虚拟化并以服 务的方式提供，数据中心可通过软件实现 自动化的管控。 数据中心的转型方向 1. 抽象化. 主机、网络、存储 虚拟化 2. 资源池化. 池化整合，按需提供 3. 自动化. 模版式的自动快速部 署 几周几天几小时 20082013未来 部署 时间 3 数据中心转型的两大趋势 4 应用从UNIX小机向X86平台迁移 X86成本优势明显 应用向 LINUX迁移得到业界广泛支持 Web等外部接口型应用已基本被X86 平台垄断 部分非大压力核心业务也有往X86平 台迁移的趋势 新建系统会首先考虑X86平台可行性 虚拟化技术的广泛运用 以Vmware为主流的服务器虚拟化 虚拟化帮助客户进行IT整合，提高 资源利用率，降低能耗 基于X86平台的虚拟化在企业占的 比重越来越大 新建系统会首先考虑采用虚拟化的 可行性 数据中心X86化带来新的安全挑战 X86平台下以Linux和Windows 系统为主，面临更多安全威胁 大量的Web等外部接口型应用 与服务，面临更多攻击 不仅是Windows，针对Linux 的攻击和病毒呈快速增长趋势 5 数据中心虚拟化带来新的安全挑战 虚拟化导致物理边界模糊 化，传统的网络边界防护 措施失效 虚拟化基础架构与管理端 的安全性成为集中风险点 安全防护策略需要跟随虚 拟机灵活迁移 主机数量爆炸式增长，虚 拟化失控会带来安全盲区 6 面对新挑战的应对思路 挑战 X86与虚拟化趋势下的服务器安全亟需加强， 传统网络边界防护措施失效 虚拟化带来新的安全风险点, 安全策略需要随 虚机迁移而灵活变化 病毒威胁随资源整合而集中转向后端存储，存 储成为病毒防护的新战场 应对 将防护边界收缩到主机自身，采用稳定低资 源消耗的主机安全防护措施 采用跨平台统一管理的防护措施，对 GuestOS和虚拟环境提供漏洞配置扫描、主 机加固、授权审计的全方位保护。 采用与NAS存储集成的防病毒解决方案，无需在主 机上部署客户端 7 Agenda Presentation Identifier Goes Here8 数据中心转型带来的安全挑战1 Symantec数据中心安全解决方案2 数据中心安全建设的最佳实践3 - 服务器安全解决方案 - 虚拟化环境安全解决方案 - NAS存储防病毒安全解决方案 服务器安全解决方案 9 服务器安全保护需求特点 服务器需要的是与客户端不同的安全 支持更广泛的操作系统 锁定的安全，高性能，监控与预警，事件审计 文件文件 服务器服务器 邮件邮件 服务器服务器 应用应用 服务器服务器 LooseLoose PrivilegesPrivileges SystemSystem DevicesDevices BufferBuffer OverflowOverflow BackBack DoorDoor 10101011010101 10101011010101 10101011010101 数据库数据库 服务器服务器 Presentation Identifier Goes Here11 完整的服务器安全解决方案 损害发生后，能够审计分析出问题并有 效取证 当违规操作或者恶意入侵正在发生，能 及时发现并有效预警 检查服务器是否存在安全风险和配置缺陷 ，是否符合数据中心的安全要求 事前 事中 事后 1+ 种操作系统10+ 台服务器100+ 次系统变更 1000+ 次访问 优秀的漏洞评估解决方案 预先阻止威胁发生 覆盖Web应用（包含应用扫描）、数 据库、操作系统与网络设备，全面覆 盖100%的IT资产 支持凭据登录扫描（OS、DB） 6万多个检查项覆盖超过1.5万个漏洞 标准的漏洞评分算法 持续的发现虚拟化资产，创建并管理 动态的虚拟资产组 12 Control Compliance Suite Vulnerability Manager 漏洞管理 Web服务 数据库 操作系统 数据 自动化评估IT基础架构安全配置 13 Control Compliance Suite Standards Manager 配置标准管理 1.定义标准 3.分析修复 2.管理或未管理的资产 评估 自动的检测评估技术，覆盖2900个 控制项目，映射之上千个技术及流 程控制点。 预定义且分类打包的安全配置条目 ，包含例外管理 支持有代理（用于认证凭据定期变 化环境）和无代理（降低基础架构 影响）两种方式采集基础架构数据 SCSP 帮助我们保护每一个服务器 14 基于策略的行为控制广泛的平台及应用支持 实时的文件完整性监控可集成事件与分析管理 Restrict access to critical system resources Business critical applications in physical and virtual environments Out-of-the-box policies for Windows Environments Control Compliance Suite (CCS) Security Information Manager (SSIM) SCSP如何保护系统安全性 15 检测告警网络保护系统控制攻击防护 监控日志安全事件 加固并转发日志用 于归档及报告 智能的事件快速发 现与响应 基于应用限制网络 连接使用 限制由内向外和由 外向你的网络流 关闭恶意软件后门( 阻断端口) 锁定系统配置文件 和相关设置 增强系统安全策略 用户权限降级 阻止移动介质接入 限制应用程序及操 作系统行为 阻止系统缓存区溢 出及线程注入攻击 零日攻击入侵保护 应用及进程控制 实时可视化. 控制最大化. 入侵检测系统 (IDS)入侵防护系统 (IPS) 未授权的服务器访问 阻止针对服务器的内外部攻击 16 SOURCE: NIST Guide to General Server Security InternetInternet Web Server Email Server 恶意软件捕获系统中敏感数 据，修改系统安全配置 针对应用程序的缓冲区溢出 攻击，远程获取系统权限 通过后门软件的未授权访问 Application Server Database Server File Server Domain Controller Server 打开了某恶意文件，或访问 某恶意链接 未授权的权限及信息变更 未授权的服务器访问 阻止针对服务器的内外部攻击 17 SOURCE: NIST Guide to General Server Security InternetInternet Web Server Email Server 监控或锁定配置文件 恶意软件捕获系统中敏感数 据，修改系统安全配置 监控或锁定应用与进程行为 针对应用程序的缓冲区溢出 攻击，远程获取系统权限 阻止未授权的可执行程序 通过后门软件的未授权访问 Application Server Database Server File Server Domain Controller Server 打开了某恶意文件，或访问 某恶意链接 阻止不适当的服务器访问 监控或阻止访问的变更 未授权的权限及信息变更 监控访问权限的变化 SCSP的安全防护效果 黑帽子大会上抵御所有黑客攻击 在2011年黑帽子大会上，SCSP进行了攻击 防护验证，没有任何黑客能够攻克SCSP的 防护 验证过程 在互联网上放置一个没有打补丁的Windows 系统，并开放共享访问 部署SCSP，使用预定义的严格防护策略 攻击者利用任何方式进行攻击 Nexpose可以发现有10个可以利用的漏洞 缓冲区溢出和线程注入 允许黑客通过浏览器访问特定的恶意网站 黑客/攻击者包括DoD, NSA, DISA, Anonymous 18 (1): /connect/blogs/unhacked-black-hat-symantec-critical-system -protection SSIM 安全信息集中审计 数据库 日志查询和管理 全球主动预警系统 及知识管理系统 管理服务器 系统配置信息 操作系统和数据库 的注册表、配置文 件和运行程序等 系统日志信息 操作系统、数据 库、网络设备、安 全产品、应用系统 日志 系统控制信息 关键文件、程序、 权限的篡改防护及 审计信息 内容合规信息 网络、主机和存储 设备上的敏感信息 的分布和使用日志 收 集 层 安全和合规报表风险视图和工作流 第三方系统 ITIL NOC 分 析 层 展 现 层 LDAP 事前事中事后 1919 安全防护 零日攻击 系统加固 非法入侵 配置检查 注册表 配置文件 密码 CCS SM/VM 发现配置缺陷和安全漏 洞 漏洞扫描 服务器漏洞 补丁安装检查 网络设备漏洞 SCSP实时阻止入侵和违规操作 检查违规操作 用户变动 文件变动 权限变动 Symantec 服务器安全三重防护 事件收集和存储能力 收集ESM/SCSP以及 100多种操作系统、防 火墙、IDS、路由和交 换设备的日志 支持海量日志存储， 并进行加密、压缩、 HASH处理确保可以作 为取证证据 SSIM收集并关联分析系统日志 强大的关联分析能力 跨产品日志关联分析 强大的查询报告能力 内置各种法规遵从模 版 20 虚拟化环境安全解决方案 21 虚拟化环境下的常见安全问题 22 虚拟服务器防护需要更低的 资源消耗与可靠性 宿主机及管理服务器将直接 影响虚拟服务器安全 传统漏洞及配置扫描措施无 法覆盖虚拟化基础软件 虚机蔓延问题导致安全监管 失控 虚拟化的权限集中带来权限 管理与审计问题 1 2 3 4 5 虚拟化环境的主要安全需求 主机的安全在虚拟化环境下需 要降低资源消耗，与传统环境 的不同，同时具备各类操作系 统平台保护能力 vCenter被入侵将影响 整个虚拟化环境，需要 保护管理平台 底层Hypervisor存 在受攻击风险 逃逸攻击风险，攻击者通过入 侵VM后进行漏洞利用实现在 Hypervisor层的恶意代码执行 Symantec解决方案与Vmware紧密结合 24 Symantec Critical System Protection 针对 vSphere的高级 保护 Symantec Control Compliance Suite 控制并确保合规 Symantec CSP 关键系统防护解决方案 25 抵御APT攻击所使用的 各种黑客技术 对于新系统或遗留系统 提供补丁缓解功能 确保关键服务器的运行 维护时间的连续性 加固并保障虚拟化基础 架构的安全，包括宿主 机、虚拟主机及管理服 务器的监控保护。 在极低的资源占用率下 最大化虚拟主机安全性 实时的系统资源访问、 安全状态基线监控审计 减少PCI DSS, CIP-007- 3等标准的合规成本，根 据合规要求实施应用及 操作系统的加固 最大虚拟化 环境安全 阻止针对服务器 的内外部攻击 安全态势与合规 的实时可视性 虚拟化环境主机安全解决方案 通过在虚拟化各个层面的防护措施实现对整个 虚拟化环境的安全保障，Hypervisor的安全防 护通过Agent-Base或Agent-Less实现。 Guest VM加固 基于系统功能防护 减少资源消耗 Hypervisor加固 文件完整性监控 配置监控 限制网络流量 系统功能锁定 零日攻击防护 管理服务器加固 限制管理员控制 降低补丁管理风险 VM1VM2VM3 APP WINDOWS OS APP NON WINDOWS OS APP OS HypervisorManager 针对Hypervisor的安全防护与检测 27 VMware ESXi Architecture VMware ESXi VM support and Resource Management Infrastructure Agents (NTP, Syslog, etc.) VMkernel WMWare Management Framework Agentless Hardware Monitoring Agentless Systems Mgmt vCLI for Config and Support OS vCLI CSP Agent VMware ESX Architecture VMware ESX VMkernel VM Support and Resource Management Service Console Infrastructure Agents (NTP, Syslog, etc.) Hardware Monitoring Agents System Management Agents CLI Commands for Config and Support VMware Management Framework Agent-Base，提供对ESX的入侵检 测与防护，保护ESX关键程序、进程 与文件等，限制非相关资源调用 Agent-Less，在制定的VM中部署 监控软件通过vCLI接口对ESXi的配 置、访问记录等信息进行安全监控 针对vCenter的安全防护与检测 Agent Base的实现方式，在vCenter服务器上 实现IDS/IPS功能，专门根据vSphere的加固指 导所定制的防护策略， 监控并保护vSphere特 有的组件 增强应用防护能力，包括vCenter Server, vCenter Orchestrator, vCenter Update Mgr. 基础架构组件保护，e.g., SQL Express DB, Tomcat, JRE vCenter应用程序文件及敏感的目录 (certificates and logs) 基于vCenter的应用程序控制信任的网络端口 保护使用如下工具连接vCenter，包括 vSphere Client, vSphere CLI, vSphere Power CLI, vSphere Web Client 28 SCSP实现虚拟化安全架构风险最小化 29 满足VMware ESX & ESXi 宿主机的安全防护需求 满足VM主机的安全增强的防护需求 VMware vCenter 管理服务器的防护 关键需求 实现从虚拟化管理服务器、宿主机、虚拟主机至应用全方位系统防护 VM1VM2VM3 APP OS APP OS APP OS 保护所有的虚拟化生态系统，从Hypervisor, guest与管 理服务器。 最大化虚拟主机安全，并减少资源的消耗 关键价值 VMware ESX/ESXi Server CCS 与虚拟化环境集成的漏洞与配置扫描 30 虚拟化环境下的漏洞与配置管理 所有虚拟资产准确可见 快速洞察威胁暴露 风险分值准确反映资产状态 更佳的灵活性与安全保证 持续的发现 虚拟化资产 整个IT环境的综合、全面的安全风险视 有效的补救措施 创建并管理动态 的虚拟资产组 全面覆盖100% 资产范围 31 建立持续合规监控的虚拟资产 32 CCS VSM 提供虚拟化环境策略管理与审计 33 CCS Virtualization Security Manager的意义 提高你的虚拟环境的安全 从外部和内部威胁中确保管理程序的安全 在实例之间执行逻辑分离，使之变成独立的资产 细粒度的访问控制 降低宕机风险 管理实例和管理程序的配置设置 防止计划外的更改 自动化配置评估 合规需求 强制分割实例为有限的合规审计范围 详细的操作日志 配置报告 34 对关键操作的二次确认 35 CCS VSM 填充关键键平台访问访问缺口 Virtualization 平台缺口CCS VSM 解决方案 通过过共享一个root账户账户多个管理员员可以匿名登 录录主机 使用 root 密码码跳转转 (签签入/签签出) 来保障管理员 的独立性 通过过直接连连接主机，管理员可以绕过vCenter进 行访问控制和登录 控制和记录记录通过过任何连连接方法的访问访问, 建立问责 制 在多租户的环境下，管理员能够访问其他组织的 虚拟工作区 确保管理员员只能访问访问自己的组织组织的数据和应应用 程序，确保多租户下的安全 平台允许通过过默认认密码码或被破解的admin密码码 的访问访问 防止使用默认认的密码码，支持多因素身份验证验证防止 未授权的访问 当前或者曾经的管理员可以使用后台账户账户不被 发现发现的访问访问平台 控制和记录记录每个管理员账户员账户的访问访问，防止重大安 全漏洞 36 CCS VSM填充关键键平台访问访问缺口 Virtualization 平台缺口CCS VSM 解决方案 一个系统管理员可以关闭闭任何虚拟应拟应用 通过过控制资资源管理范围围 保护业务连续性 管理员员可以创创建未经经批准的虚拟拟机，这这些可能是 误误操作但对对合规规会产产生影响 通过过控制虚拟拟机创创建权权防止破坏性的结果 管理员员可以禁用安全措施如虚拟拟防火墙墙和防病 毒 通过过禁止未经经批准关闭闭虚拟拟安全措施保护安全 性 管理员复制敏感数据从一个虚拟拟机到外部存储储通过对过对虚拟资拟资源的控制保护敏感数据 管理员可以使用一个泄露的副本替代一个关键键 的虚拟拟机而没有留下轨轨迹 通过创过创建一个永久的、不可被篡篡改的操作记录记录 曝光篡改行为 管理员可以将低信任的虚拟拟工作负载负载转转成高信 任服务务器或虚拟拟子网,反之亦然 通过过防止信任等级级的混合缓解安全和合规风险 37 CCS VSM 填补补关键键日志数据缺失 日志数据提供者可操作数据不可操作数据可用性和效率 Virtualization Platform User: root Time/date Target resource name, URL Operation executed none 每个vCenter和主机有单独 的日志文件 vCenter和主机的日志格式 不统一 Control Compliance Suite Virtualization Security Manager All of the above, plus: User ID Source IP address Resource reconfigured Previous resource state New resource state Label (Production) Required privileges Evaluated rules/constraints User ID Date/time Source IP address Operation requested Operation denial Target resource name, IP address, port, and protocol Required privileges Missing privileges Evaluated rules/constraints 合并,集中管理日志覆盖 vCenter和所有主机 单一、统一的vCenter和主 机日志数据格式 日志发送到基础存储或者通 过syslog发送到SIEM 38 CSP + VSM = VM 渗透防护 来自 Vcenter外部 CSP 监视和阻止通过网络结构 的改变 CSP 监视和阻止ESX服务器的 访问篡改 来自Vcenter内部 VSM 监控和阻止访问篡改 VSM 监控和控制 VMotion 功能 39 InternetInternet Web Server Email Server VMWare ESX Server Database Server Domain Controller Server V Center V M V M Symantec与Vmware联手打造虚拟化安全 40 NAS存储防病毒安全解决方案 41 用户面临的挑战 42 NAS（Network Attached Storage) 在数据中心被广泛使用，但普遍缺乏 病毒防护 主机防病毒无法解决NAS存储感染病 毒的问题 为什么NAS需要防病毒？ NAS存储被各类终端频繁访问，容易收到病毒感染 通过备份、镜像、归档，病毒威胁会被广泛复制和传播 NAS系统可以作为攻击的发起点，容易成为黑客的目标 NAS存储中包含大量有价值的数据，企业需要妥善保护这些数据 通过NAS防病毒实现深度防御，无法被终端绕过 43 什么是SPE for NAS? 基于网络服务的病毒扫描器 支持ICAP和RPC协议（RPC仅支持Netapp） 最常用于与NetApp DataONTap 客户端集成 使用基于RPC的连接器，已内置在ONTap的CIFS协议 确定哪些文件需要扫描 读, 写, 读/写 黑白名单 是否已扫描过? 使用ICAP协议并得到厂家认证 Hitachi NAS EMC Isilon IBM Sonas and Storwize 44 SPE的工作原理 45 用户终端 NAS SPE 1. 用户向NAS请求文件访问 2. NAS 服务器向SPE发送请求扫描文件 3. SPE扫描文件并返回结果 4. NAS 服务器依据返回结果决定是否允许访问 1 4 2 3 Agenda Presentation Identifier Goes Here46 数据中心转型带来的安全挑战1 Symantec数据中心安全解决方案2 数据中心安全建设的最佳实践3 服务器安全防护完整解决方案 识别风险并开发相应的策略 SOX PCI-DSS ISO27001 等级保护 密码 服务 文件 审计 RPC 补丁