Symantec_symposium_服务器虚拟化环境安全防护PPT演示课件

P,1,服务器虚拟化环境的安全防护,目录,聚焦服务器虚拟化,1,服务器虚拟化的安全问题,2,赛门铁克的整体解决方案,3,2,PresentationIdentifierGoesHere,由AppliedResearch进行的调查全球3,700家企业参与IT战术、IT战略和C级别专业人士参与跨行业调,P,3,2011虚拟化与云计算演进调查,关注虚拟化及云的5个方面：ServervirtualizationStoragevirtualizationDesktop/endpointvirtualizationPrivateStorage-as-a-ServicePrivateorhybridcloudcomputing,结论之一：服务器虚拟化最为成熟(45%的企业正在实施),4,PresentationIdentifierGoesHere,服务质量的挑战成为重中之重,影响服务器虚拟化决策的TOP3问题,P,5,目录,聚焦服务器虚拟化,1,服务器虚拟化的安全问题,2,赛门铁克的整体解决方案,3,6,PresentationIdentifierGoesHere,虚拟化最主要的安全威胁及解决建议（Gartner）,信息安全并不是一开始就接入到虚拟化项目2009年，40%的虚拟化项目在规划阶段没有安全团队的介入。（更早为50%）运营团队认为没有改变，具备了技能、流程；忽略了新引入的虚拟化层；新的手段、工具；培训等忽略了职责的分离、工作负载与物理实体的分离的问题；流程的变更调整虚拟化层的破坏会导致所有托管工作负荷的破坏VirtualizationLayer成为新的IT基础架构的一部分工具/流程虽然攻击界面少，但依然存在漏洞的风险像基础设施一样的对待：补丁管理、配置管理等保持该层尽可能地“瘦”关注并要求IPS厂商研究支持对于该层的攻击特征的检测不同安全级别的工作负荷存在一台物理机上，缺乏充分的隔离不同安全域的工作负荷一定程度还需要通过物理网络的隔离技术,P,7,VirtualizationPlatform,虚拟化最主要的安全威胁及解决建议（Gartner）,现有安全机制中缺乏对VM-to-VM的控制和使其通信可见的手段虚拟化厂商对VM-to-VM的通讯通过软件的虚拟网络或者虚拟交换机实现，但不透明。关注在Hypervisor层的IPS类技术和产品当下替代方案：至少应保留在物理网络层面的监控使用VM上的Host-based的防护软件工具/流程缺乏对Hypervisor/VMM层的管理访问控制手段对该层有多路径的管理手段：浏览器、命令行、管理工具、console、脚本等减少管理访问界面（路径），通过受限的区域进行访问加强管理访问操作的监控、审计工具/流程网络管理与安全管理职责分离的局面会因虚拟化而被打破管理VM与管理virtualnetworkswiches可能同是一个虚机平台系统管理员建议物理网络管理与虚拟网络管理应为同一个team,P,8,VirtualizationPlatform,目录,聚焦服务器虚拟化,1,服务器虚拟化的安全问题,2,赛门铁克的整体解决方案,3,9,PresentationIdentifierGoesHere,服务器虚拟化防护的基本原则,加固与锁定覆盖hosts,guests和Management的深度防护关注授权，认证，帐号;关注监控与审计职责的分离及最小权限原则管理员权限控制配置管理,P,10,面向“服务器虚拟化”的安全解决方案,11,虚拟化服务器的安全防护（面向技术）,虚拟化服务器的安全管理（面向运维）,提供对虚拟化服务器的管理操作：1）创建新的虚机、虚拟网络、虚拟磁盘等2）虚机的开机、关机、挂机、恢复提供对虚拟化服务器主机信息、硬件利用率等信息的监控有效的安全工作流程监管,锁定虚拟化服务器(VM/Hypervisor)的安全配置监控和审计对虚拟化服务器的操作,PresentationIdentifierGoesHere,虚拟化服务器的安全防护（面向技术）,P,12,从三个方面的防护（物理机/虚拟机）：,HostIPS,HostIPS,HostIDS,13,SymantecSCSP实时分析服务器上的蛛丝马迹,明确允许/禁止的访问,PresentationIdentifierGoesHere,可能产生风险的ESX虚拟化平台例子,错误配置的主机改变系统默认配置(例如运行虚拟网卡处于监听模式在一个虚拟交换组里面)开启了FTP服务，导致信息外泄错误设置了ESXhost(COS)中Linux防火墙规则，导致破坏了保密性和业务连续性错误配置的虚机用于测试和实验的虚拟机，休眠以后，可能错过补丁修补，导致成为整个虚拟化平台弱点,远程访问更改默认配置（如原本保留SSH以禁止直接的root访问）未添加配置项（如SSL证书，banner），导致远程用户获得非法访问权限访问控制访问控制不详尽，不适当的用户授权缺乏强有力的口令控制缺乏对COS的root帐号监测,14,SCSPProductOverview,15,VMWareESXHostandGuestOS同时保护的方案,SymantecCriticalSystemProtection,HostIncl.Hypervisor,Guest,Guest,SCSP,SCSP,SCSP,Guest,SCSP,SCSPProductOverview,16,ESXIDSPolicyDevelopmentGoals,16,IndustryBestPracticesandResearch,Feature-richCustomizablePre-setindustryleadingmonitoringcontent,Policydevelopmentgoals,SymantecCriticalSystemProtection,PresentationIdentifierGoesHere,17,SCSP中ESX4.1ConsoleOS/HypervisorIDS策略概览,17,SymantecCriticalSystemProtection,PresentationIdentifierGoesHere,SCSP中ESXConsoleOSIPS策略概览,提供ESXHostIPS策略兼容大型的虚拟化数据中心控制对关键的虚拟化文件/目录的访问控制VMware的关键命令和工具的执行控制虚拟机标准网络端口或者其他关键进程提供限制非ESX必要网络协议的使用提供一种简单的机制记录VMware重要动作日志提供最大操作兼容性的VMware系统网络规则列表提供参考清单方便进行自定义缺省的ESX设置确保整个虚拟化平台安全策略与执行的一致性,加固与防御,审计,18,PresentationIdentifierGoesHere,ESXConsoleOSIPS策略部署建议,先开启全局策略监控模式(“IDS”mode)部署和观察事件是否是从正常的ESX操作产生的添加应用程序路径到应用监控列表，以及对ESX重要文件或网络需要有写访问权的第三方工具列表观察事件结果并且做出调整为开启IPS保护功能做好准备,定制策略的覆盖范围定制Root用户的访问限制定制事件日志的颗粒度,网络控制:仅允许有限出入境地址或者子网范围进行远程系统交互定制守护进程和命令行工作的执行路径移除系统中不常用/不需要的协议定制应用程序黑名单定制文件参考列表,19,PresentationIdentifierGoesHere,面向“服务器虚拟化”的安全解决方案,20,虚拟化服务器的安全加固（面向技术）,虚拟化服务器的安全管理（面向运维）,提供对虚拟化服务器的管理操作：1）创建新的虚机、虚拟网络、虚拟磁盘等2）虚机的开机、关机、挂机、恢复提供对虚拟化服务器主机信息、硬件利用率等信息的监控有效的安全工作流程监管,锁定虚拟化平台(VM/Hypervisor)的安全配置监控和审计对虚拟化平台的操作,PresentationIdentifierGoesHere,服务器虚拟化运维管理框架及内容,网络运维，主机运维，数据运维,P,21,备份与存储虚拟化的管理和运维虚拟系统Hypervisor的管理和运维（Alti