Symantec-云计算及虚拟化环境下的安全

PresentationIdentifierGoesHere,1,云计算及虚拟化环境下的安全,AaronLin林晓明,SystemsEngineer,虚拟化技术几乎无所不在,APJCoreSecurityandVirtualisationUpdateforAPJ,2,VirtualizationIsNearlyUbiquitous,January2012“TheCISOsGuideToVirtualizationSecurity”,没有什么是免费的！,APJCoreSecurityandVirtualisationUpdateforAPJ,3,漏洞依然存在,APJCoreSecurityandVirtualisationUpdateforAPJ,4,虚拟化环境下的安全焦点,PresentationIdentifierGoesHere,5,保护业务平台云的基础架构,SymantecEndpointProtection12.1,7,一个控制台一个代理,Win、OSX、Linux,Insight为后盾,无可匹敌的安全保障InsightSONAR引人瞩目的性能扫描速度更快针对虚拟环境而构建识别并管理虚拟客户端减少扫描工作量,SingleAgent,SingleConsoleWindows,Mac&Linux,Insight优化扫描技术Skipsanyfilewearesureisgood,leadingtomuchfasterscantimes,传统扫描方式Hastoscaneveryfile,1个典型的操作系统，70%的文件由于Insight技术可以被传统扫描跳过,FasterScans,8,虚拟化特性,9,VirtualClientTagging虚拟客户端标示,VirtualImageException虚拟镜像排除,SharedInsightCache缓存服务器,OfflineScanning虚拟机离线扫描,ResourceLeveling资源分布,Togetherupto90%reductionindiskIO,VirtualImageException虚拟镜像排除,Step1:Toolscansthesystem,VirtualImageException虚拟镜像排除,Step5:OptimizedscanningSkipsanyfilesthatwereidentifiedwiththeVIEtool,Step4:AdministratoractivatesAdministratorscanenabletheexclusionsordisabletheexclusionsfrombeingusedviathepolicy,SharedInsightCache缓存共享服务器,SEP12.1performance,*Expectedresults,finalnumbersarestillpending,ThetotalbenefittoacustomerrunningSEP12.1withthevirtualizationfeaturesisanestimated80%-90%reductionindiskIOforfullscansascomparedto11.x.,什么指标是影响性能的关键因素,虚拟化环境下实现了高密度的计算环境，安装在虚拟主机上的安全软件可能出现对物理主机的资源争夺，这些资源包括计算能力（CPU占用）、数据读写能力（磁盘I/O，空间）、数据缓存空间（内存资源占用）、网络通讯（网络带宽占用），所有对这些资源的重要性可以进行排序,PresentationIdentifierGoesHere,14,我们来看一些数据,TollyGroup，TrendMicro与Symantec都认可的第三方测试组织在TrendMicro的美国与中国网站上都可以找到TollyGroup关于DS7.5与Symantec、McAfee的测试对比报告。测试报告中DS7.5的性能完全优于另外两个厂商，下面是趋势提供链接的网址：,SymantecCriticalSystemProtection,15,Guest主机病毒扫描磁盘I/O影响,PresentationIdentifierGoesHere,16,TollyGroup2012年5月测试报告,PresentationIdentifierGoesHere,17,从更合理的Host主机角度验证磁盘I/O，ON-Demand，SEP极大优势,TollyGroup2012年5月测试报告,PresentationIdentifierGoesHere,18,Host角度，CPU方面SEP也具备优势,TollyGroup2012年5月测试报告,PresentationIdentifierGoesHere,19,Host角度，On-access中SEP也具备优势,TollyGroup2012年5月测试报告,PresentationIdentifierGoesHere,20,Host角度，On-access扫描的CPU与内存情况与On-demand类似,VM安全VMware环境下利用vShield技术,VirtualClientTagging,VirtualImageException,SharedInsightCache,ResourceLeveling,OfflineImageScanning,vShieldManager,vSphere,&vCenter,Togetherupto90%reductionindiskIO,ESXiHost,Network,SVA,GVM,SEPClient,GVM,SEPClient,GVM,SEPClient,vShieldEndpoint/VMTools,病毒及网络攻击特征定义,共享缓存,LiveUpdate,下一个版本的技术更新：虚拟化基础防护,22,高级防火墙功能,DeepPacketInspectionEngineemploysIDPRegularexpressionsupportAllowscustomsignatures,DPIFirewall,网络入侵保护&浏览器入侵防护,基于策略保护的系统安全解决方案,PresentationIdentifierGoesHere,25,SymantecCSP关键系统防护解决方案,S3UniversityQ3FY12,26,CSP如何保护系统安全性,S3UniversityQ3FY12,27,检测告警,网络保护,系统控制,攻击防护,监控日志安全事件加固并转发日志用于归档及报告智能的事件快速发现与响应,基于应用限制网络连接使用限制由内向外和由外向你的网络流关闭恶意软件后门(阻断端口),锁定系统配置文件和相关设置增强系统安全策略用户权限降级阻止移动介质接入,限制应用程序及操作系统行为阻止系统缓存区溢出及线程注入攻击零日攻击入侵保护应用及进程控制,Real-TimeVisibility.MaximumControl.,入侵检测系统(IDS),入侵防护系统(IPS),未授权的服务器访问,阻止针对服务器的内外部攻击,S3UniversityQ3FY12,28,SOURCE:NISTGuidetoGeneralServerSecurity,Internet,WebServer,EmailServer,恶意软件捕获系统中敏感数据，修改系统安全配置,针对应用程序的缓冲区溢出攻击，远程获取系统权限,通过后门软件的未授权访问,ApplicationServer,DatabaseServer,FileServer,DomainControllerServer,打开了某恶意文件，或访问某恶意链接,未授权的权限及信息变更,未授权的服务器访问,阻止针对服务器的内外部攻击,S3UniversityQ3FY12,29,SOURCE:NISTGuidetoGeneralServerSecurity,Internet,WebServer,EmailServer,监控或锁定配置文件,恶意软件捕获系统中敏感数据，修改系统安全配置,监控或锁定应用与进程行为,针对应用程序的缓冲区溢出攻击，远程获取系统权限,阻止未授权的可执行程序,通过后门软件的未授权访问,ApplicationServer,DatabaseServer,FileServer,DomainControllerServer,打开了某恶意文件，或访问某恶意链接,阻止不适当的服务器访问,监控或阻止访问的变更,未授权的权限及信息变更,监控访问权限的变化,针对主机的安全防护控制过程,注册表,网络,关键文件,只读,读-写,不允许访问,所有其他的应用程序,操作系统核心功能/应用程序,明确定义允许的行为,明确定位不允许的行为,程序进程谱系命令参数用户,系统内部资源,行为控制描述(BCDs),程序集合,程序绑定规则,程序,CriticalSystemProtectionDeepDive,Real-timeVisibilityandMaximumControltoIncreaseyourSecurityPosture,监控/入侵检测,特定目标的保护,学习模式(Logonly),全面的系统保护,阶段I,阶段II,阶段III,安全保护程度,时间,启用系统的IDS检测功能，监控系统安全状态的变化实时文件完整性监控功能对关键目录文件进行监控审计,阶段IV,使用特定的入侵防护规则，在指定的用户场景下利用基本的IPS规则，在无误报产生的前提条件下开启,启用外置的服务器保护功能，并开启学习模式，只记录日志不进行实质阻断根据策略违反日志将系统的实际属需的安全策略添加到允许规则中去。形成服务器独立防护策略,取消学习模式，开启全面的服务器IPS防护策略。锁定系统资源访问，记录安全状态，确保服务器的整体安全与高可用性。,CSP系统防护演进过程,S3UniversityQ3FY12,31,经过验证的安全解决方案,Challenge:Flaghiddenonanun-patchedXPworkstationServerprotectedwithCSPout-of-theboxstrictpreventionpolicyHackers/Pen-testersfromDoD,NSA,DISA,Anonymousaskedto“Capturetheflag”AttacksTechniquesused:BufferoverflowandthreadinjectionOutcome:Noonewasabletocapturetheflag!LasthackerwantedphysicalaccesstothesystemNexposefound10exploitedvulnerabilities,32,夺旗挑战:BlackHatConference黑帽大会,2011,S3UniversityQ3FY12,当前虚拟化环境的安全需求,主机的安全在虚拟化环境下需要降低资源消耗，与传统环境的不同，同时具备各类操作系统平台保护能力,vCenter被入侵将影响整个虚拟化环境，需要保护管理平台,底层Hypervisor存在受攻击风险,逃逸攻击风险，攻击者通过入侵VM后进行漏洞利用实现在Hypervisor层的恶意代码执行,最小化虚拟化安全架构风险,CriticalSystemProtectionDeepDive,34,满足VMwareESX&ESXi宿主机的安全防护需求满足VM主机的安全增强的防护需求VMwarevCenter管理服务器的防护,关键需求,实现从虚拟化管理服务器、宿主机、虚拟主机至应用全方位系统防护,APP,OS,APP,OS,APP,OS,保护所有的虚拟化生态系统，从Hypervisor,guest与管理服务器。最大化虚拟主机安全，并减少资源的消耗,关键价值,VMwareESX/ESXiServer,虚拟化环境主机安全解决方案,通过在虚拟化各个层面的防护措施实现对整个虚拟化环境的安全保障，Hypervisor的安全防护通过Agent-Base或Agent-Less实现。,GuestVM加固基于系统功能防护减少资源消耗Hypervisor加固文件完整性监控配置监控限制网络流量系统功能锁定零日攻击防护管理服务器加固限制管理员控制降低补丁管理风险,VM1,VM2,VM3,APP,WindowsOS,APP,NonwindowsOS,APP,OS,Hypervisor,Manager,针对Hypervisor的安全防护与检测,SymantecCriticalSystemProtection,36,Agent-Base，提供对ESX的入侵检测与防护，保护ESX关键程序、进程与文件等，限制非相关资源调用,Agent-Less，在制定的VM中部署监控软件通过vCLI接口对ESXi的配置、访问记录等信息进行安全监控,针对vCenter的安全防护与检测,AgentBase的实现方式，在vCenter服务器上实现IDS/IPS功能，专门根据vSphere的加固指导所定制的防护策略，监控并保护vSphere特有的组件增强应用防护能力，包括vCenterServer,vCenterOrchestrator,vCenterUpdateMgr.基础架构组件保护，e.g.,SQLExpressDB,Tomcat,JREvCenter应用程序文件及敏感的目录(certificatesandlogs)基于vCenter的应用程序控制信任的网络端口保护使用如下工具连接vCenter，包括vSphereClient,vSphereCLI,vSpherePowerCLI,vSphereWebClient,SCSPSalesSpecialistTraining1.13.12-VirtualizationSupportUpdate,37,CSP帮助我们保护每一个服务器,S3UniversityQ3FY12,38,基于策略的行为控制,广泛的平台及应用支持,实时的文件完整性监控,可集成事件与分析管理,Restrictaccesstocriticalsystemresources,Businesscriticalapplicationsinphysicalandvirtualenvironments,Out-of-the-boxpoliciesforWindowsEnvironments,ControlComplianceSuite(CCS)SecurityInformationManager(SSIM),Symantec虚拟化基础架构安全,PresentationIdentifierGoesHere,39,Dynamic,Transparent,Beyond-PhysicalSecurityOnaHardenedInfrastructureacrossManaged/UnmanagedVMs,HardenedVirtualInfra.,40,AgentedVMs(Managed),AgentedValue-Add,Today,SecurityEffectiveness,HardenedVirtualInfra.,AgentlessProtection(AllVMs),AgentedVMs(Managed),HardenedVirtualInfra.,AgentlessProtection(AllVMs),MediumTerm,LongTerm,Agented(Managed),AgentlessBaseline,APJCoreSecurityandVirtualisationUpdateforAPJ,GRCControlsFramework,41,云计算的风险管理,实施先进的漏洞评估,预先阻止威胁发生覆盖Web应用（包含应用扫描）、数据库、操作系统与网络设备，全面覆盖100%的IT资产支持凭据登录扫描（OS、DB）6万多个检查项覆盖超过1.5万个漏洞标准的漏洞评分算法持续的发现虚拟化资产，创建并管理动态的虚拟资产组,SolvingITRiskandComplianceChallenges,42,ControlComplianceSuiteVulnerabilityManager漏洞管理,虚拟化环境下的漏洞管理,43,CCSVM部署架构,CCSVulnerabilityManager,44,自动化评估IT基础架构安全配置,SolvingITRiskandComplianceChallenges,45,ControlComplianceSuiteStandardsManager配置标准管理,1.定义标准,3.分析修复,2.管理或未管理的资产,评估,自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。预定义且分类打包的安全配置条目，包含例外管理支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集基础架构数据,BindViewandESMtechnologies,developedover12+yearsofexperience.,CCSv11SimplifiedArchitectureBriefing,21,CCSSM可扩展的结构模型,*OnlyavailableinAgentless*OnlyavailableinAgent-based,BroadestTechnicalControlsPlatformCoverage,SolvingITRiskandComplianceChallenges,47,定义并管理风险,SolvingITRiskandComplianceChallenges,48,ControlComplianceSuiteRiskManager风险管理,定义以业务平台为单元的风险目标和参考阀值将风险映射到资产、控制措施、管理或所有者身上形成多种基于风险的仪表板，提供不同呈现方式根据时间设立设立风险下降的目标数值通过不同系统呈现出的优先级修复风险,可视化直观呈现业务管理安全风险,BusinessUnitLevelViewofRisk,SYMANTECCONFIDENTIAL.Copyright2012SymantecCorporation.AllRightsReserved.,49,PresentationIdentifierGoesHere,50,其他虚拟化技术集成,虚拟主机上线前的安全风险评估与自动隔离,PresentationIdentifierGoesHere,51,修复过程,OrchestratedDataLossPrevention,PresentationIdentifierGoesHere,52,SymantecDLP未来将集成VMwarevShieldApp确保用户更容易在虚拟化环境下发现、定位并修复敏感数据暴露问题，通过vShieldApp自动将扫描发现敏感信息的虚机与其他虚机进行隔离。,IntegratedThreatIntelligence,SymantecSSIM也将在今年实现对Vmware环境的事件集成，具体通过VMwarevShieldlogmanagementcollector,SSIM将关联虚拟化主机的活动事件等，客户将可以实现对虚拟化与物理环境统一威胁响应。,PresentationIdentifierGoesHere,53,SymantecMSS（可管理的安全服务，A总说会在中国落地）同样将提供VMwarevShield日志管理收集器，允许用户通过云端服务的方式进行无缝的威胁管理。,VirtualizationSecurityManager,PresentationIdentifierGoesHere,54,PresentationIdentifierGoesHere,55,统一资源管理重新应对虚拟化环境,AaronLin,SystemsEngineer,Symantec可以提供多种IT资源管理解决方案,56,MonitorSolution,Altiris服务器资源管理,57,在全球-65%财富500强使用SymantecAltiris-包括大众,波音,各地政府，白宫,满足服务器（物理及虚拟化）标准化管理需要,AltirisServerManagementSuite7.1Overview,59,AltirisServerManagementSuite,TransitionandDecommissioning,ProblemResolution,FaultandPerformanceMonitoring,BusinessContinuity,PatchManagement,AssetIdentification,ContractManagement,DeploymentandConfiguration,ApplicationPackagingandQA,SoftwareManagement,AuditandCompliance,Retirement,Procurement,Staging,Production,管理服务器的IT生命周期,SSE+DeliveringanEffectiveTechnicalSalesPresentation:AltirisServerManagementSuite7.1,60,服务器资源管理基本架构,服务器资产信息管理,统一的服务器资产管理视图，包括Windows，Linux，UNIX，VMware与Hyper-V等平台的支持访问软件及硬件的配置信息，帮助完成系统的维护计划定制化的仪表板用于资源查看支持SNMP,WMI,WS-MAN,等协议,AltirisServerManagementSuite7.1Overview,62,软件资产信息清单,AltirisITManagementSuite7.1Overview,63,用户根据系统采集的软件清单选择需要管理的软件列表一旦该软件被选择为被管理，则可以输出软件Inventory信息，交付情况，使用信息以及对License的跟踪。,虚拟主机资产发现,Agentless管理展示VM与宿主机的从属管理Host-guest比例和资源使用报告,64,CMDB配置管理数据库,AltirisAssetManagementSuite7.1,65,在CMBD中的资产权限可根据组织单元划分不同所属的视角CMDB基于自动发现功能和管理员建立的资产管理信息，持续跟踪配置变化组织视角包括:独立的组织团体基于角色的分配管理权限分配只读权限或者是定制化权限,适应于组织需求的信息关联,创建自定义的资源类型。以图表方式展现相互联系通过将资产必要的信息进行关联降低资产管理成本包括采购时间，维保时间，资产负责人，以及各系统间的信息关联。,AltirisAssetManagementSuite7.1,66,根据数据驱动决策并跟踪绩效,AltirisServerManagementSuite7.1Overview,67,使用高级分析功能去跟踪关键绩效指标，分析趋势并生成专业报告快速的数据采集创建定制的报告内容,加速系统部署，减少镜像管理成本,支持多种系统的部署解决方案Windows、LinuxSolaris（SPARCandx86systems）Pre-OS(WinPE,Linux,DOS通过标准镜像的部署减少排错时间及系统安装时间更容易的配置BIOS,RAID,网络设置,驱动、服务等内容刀片服务器部署PXE技术支持，裸盘部署镜像或脚本部署自动的驱动检测与安装,AltirisServerManagementSuite7.1Overview,68,软件交付管理解决方案,软件的流程化管理，从资产信息、利用率跟踪到分发管理、License监控实现流程化的软件资源管控。Windows环境下的虚拟软件交付，满足需要依赖管理的软件安装部署,AltirisServerManagementSuite7.1Overview,69,覆盖操作系统及软件的补丁更新,AltirisServerManagementSuite7.1Overview,70,支持Windows,SUSEandLinux的补丁更新支持对操作系统及应用软件的补丁管理补丁安装前检测可能冲突的安全环境提供周期的补丁更新扫描，可定制化的合规报表,针对现有虚拟化环境的管理,开关机或恢复暂停的虚拟主机快照创建或删除，恢复创建虚拟主