服务器整体安全防护 Proposal For Engineer V23.ppt

趋势科技 服务器整体安全防护 5 防护虚拟化服务器的安全 数据威胁59 来源于黑客与入侵 应用 服务层面39 系统 平台23 利用已知漏洞18 利用未知漏洞5 利用后门15 3 传统技术环境下的安全威胁 漏洞带来的威胁 漏洞被公布但是厂家还没提供补丁Zero day攻击服务器的重新启动会造成业务中断E g SQLinjection漏洞平均需要28天才能修复OS或应用厂家已经停止提供补丁微软在2010 7 13停止支持Windows2000 4 5 防护虚拟化服务器的安全 2 服务器安全整体安全防护三阶段 5 防护虚拟化服务器的安全 3 安全防护三阶段的实现 3 安全防护三阶段的实现 阶段一 3 安全防护三阶段的实现 阶段二 日常运营 3 安全防护三阶段的实现 阶段三 3 安全防护三阶段侧重点 业务不中断性 整体安全性 高 高 3 服务器安全整体安全防护的技术实现 通过TrendMicro服务器整体安全防护解决方案DeepSecurity的四大安全模块提供 firewall模块 提供控制访问 DPI深度包检测模块 提供监控及主动防御攻击 IntegrityMonitor模块 提供检测系统和应用程序运行状态及恢复被恶意修改的组件 LogInspection模块 审计系统事件和应用程序事件 攻击DDOS跨站脚本攻击SQL注入数据篡改 漏洞服务器操作系统漏洞服务应用漏洞程序设计漏洞 恶意代码网站挂马间谍软件恶意程序病毒 趋势科技DeepSecurity核心安全防护模块 管理弱点账户权限合规性实时监控 进程监控日志分析审计 DeepSecurity产品组件 DeepSecurityManager SecurityCenter Alerts SecurityProfiles SecurityUpdates Reports ITInfrastructureIntegrationvCenterSIEMActiveDirectoryLogcorrelationWebservices 15 DeepSecurityAgent DeepSecurityVirtualAppliance DeepSecurityAgent DeepSecurity架构 TODO DeepSecurity 对运行关键业务和其他服务器平台提供针对性的 基于主机的保护 保护 17 5 防护虚拟化服务器的安全 4 服务器安全应用的最佳实践 服务器分类 按照应用分类WebServer DBServer 邮件服务器 OA应用服务器 文件服务器 生产服务器等等按照重要性分类不可停机 可短暂停机或可停机 正式上线前的小范围测试环节 正式上线步骤 针对服务器主要安全策略应用 1 核心应用进程监控 发现异常立刻通知管理员 进行相应的处理 2 对Web应用 部署XSS攻击防护策略3 对数据库应用 部署SQLInjection防护策略4 对系统 服务 程序漏洞进行主动防护5 对各类事件进行实时监控6 对服务器进行访问控制7 对核心文件和目录进行监控8 对系统操作进行审计9 对DDOS攻击进行防护 推荐扫描 对被保护的服务器进行分析 以确定 操作系统 补丁情况等安装的应用程序和版本深度数据包过滤规则 免受未打补丁的漏洞攻击作为补丁 修补程序和更新建议扫描 推荐分配的新规则建议规则取消不再需要的系统补丁支持预定义的DPI 完整性检查 日志审计规则 Classification3 29 2020 23 1 核心应用进程监控 发现异常立刻通知管理员 进行相应的处理 2 对Web应用 部署XSS攻击防护策略 3 对数据库应用 部署SQLInjection防护策略 4 对系统 服务 程序漏洞进行主动防护 如下图 选择所有和MS08 067相关的DPI条目可以对该漏洞进行主动防护 5 对各类事件进行实时监控 6 对服务器进行访问控制 7 对核心文件和目录进行监控 8 对系统操作进行审计 9 对DDOS攻击进行防护 建立服务器安全事件管理流程从服务器安全事件角度出发 从管理员监控角度出发 设定服务器安全管理KPI 为整个服务器安全管理设定不同目标的KPI 分阶段实施 不断提高服务器安全等级 例如 5 防护虚拟化服务器的安全 Hypervisor 新的模型所有虚拟机共享资源虚拟机和应用程序随时可能移动或变更 虚拟环境面临新的威胁 旧的模型每个物理环境相对独立安全产品保护服务器和应用程序 虚拟服务器需要专业的防护 虚拟技术给服务器带来新的威胁攻击方式 新的挑战 未激活的虚拟机资源冲突虚拟系统扩展虚拟系统间的通讯vMotion虚拟机迁移 38 问题1 未激活的VMs没有保护 39 未激活的VMs包括VM模板和备份 不能运行扫描客户端过时的AV签名 App OS ESXServer App OS App OS App OS App OS 未激活的VMs 活动的VMs 问题2 所有的系统扫描 40 ESXServer OS App AV TypicalAVConsole 3 00amScan 资源冲突现有的AV解决方案不支持VMwareAV扫描在同一台主机同一时刻进行问题服务器的性能降低没有隔离恶意软件 问题3 VM扩展 41 ESXServer 管理VM扩展安全弱点复制得很快安全设置配置的瓶颈缺乏的可见度 或结合起来 虚拟主机增加管理的复杂性 未激活 激活 New 问题4 内部VM通讯 42 Inter VMtrafficNIDS NIPS发现不了VM内部的信息交互新一代的VMs的安全需要防止对虚拟交换机的改变 OS App AV OS OS OS NetworkIDS IPS vSwitch vSwitch Dormant Active 问题5 VM迁移 43 vMotion vCloud 重新配置 繁琐在同一台服务器上的VM有不同的安全需求VMs在云计算 IaaS 中没有被保护 OS App AV OS NetworkIDS IPS vSwitch vSwitch Dormant 44 DeepSecurityVirtualAppliance 虚拟机的安全防护 CoordinatedSecurityApproach客户端不显示Agent图标 可以卸载恢复到之前的状态 自动保护虚拟机 VMwarevSphere4VMsafe