虚拟化与云安全解决方案

虚拟化与云安全解决方案目 录一、项目概述31.项目背景32.需求分析3二、总体方案设计31.体系架构32.方案简述4三、无代理终端安全解决方案51.方案说明52.主要优势53.产品介绍7四、网络安全解决方案91.方案说明92.主要优势93.产品介绍9五、主要/应用安全解决方案91.方案说明92.主要优势93.产品介绍9六、数据安全解决方案91.方案说明92.主要优势103.产品介绍11七、附录121.vShield产品家族各组件功能比较12威睿信息技术（中国）有限公司一、 项目概述1. 项目背景/ 此处插入项目情况2. 需求分析XXXX数据中心部署了大量的x86服务器，承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展，数据中心在空间占用、能源消耗和运维管理方面的压力越来越大。采购与维护成本也有较大的增长。在没有采用虚拟化技术的情况下，资源调配很不灵活，硬件资源的总体利用率不高，存在较大的浪费。为了应对上述问题，XXXX开始实施基础架构革新，引入虚拟化与云计算技术，先后将非核心应用与核心应用迁移到了VMware的虚拟化平台，有效降低了成本，提高了资源利用率和可用性，运维效率也得到了较大提升，缓解了信息化建设所面对的诸多压力。在取得显著效益的同时，现有的基础架构在安全性方面又出现了新的挑战，传统的安全防护手段价格昂贵，对虚拟化平台不具感知能力，使用不够灵活，管理难度大，不能很好地满足新架构的需要，为了更好地满足业务发展的需要，急需采用更有针对性的虚拟化与云安全解决方案来保障虚拟化与云计算平台的安全性问题。针对用户在安全方面的需求，VMware提供了专为虚拟化与云计算平台所设计的整体安全解决方案，全面涵盖了终端安全，网络安全与数据安全，该方案可以与现有的基础架构紧密集成，简单易用，灵活高效，是目前业界最佳的云安全解决方案。二、 总体方案设计1. 体系架构VMware云安全解决方案由vShield产品家族构成，主要包括vShield Edge，vShield App，vShield Data Security和vShield Endpoint四个组成部分，统一通过vShield Manager进行集中管理，与vCenter Server的管理界面集成。这些产品组件均可以部署在VMware的虚拟化平台之上，安装简便，使用灵活，易于维护和管理。2. 方案简述下面简述一下此方案的几个主要功能，详细介绍参见后面的章节。1， 网络安全解决方案vShield Edge 逻辑边界防火墙，部署于两个虚拟网段之间，主要用于实现虚拟数据中心的边界防护的功能。在虚拟化平台之上，主机和网络之间的物理边界消失或模糊，无法部署硬件防火墙设备。vShield Edge可以很好地满足这一场景下的边界防护要求。2，主机/应用安全解决方案vShield App 主机/应用防火墙，部署于采用了VMware虚拟化技术的物理服务器之上，主要用于保护虚拟机及其上的应用程序。供助于vShield App，不需在虚拟机内部安装代理程序即可对其提供保护，vShield App可以自动感知和适应环境变化，始终确保虚拟机得到应用的保护，免受网络威胁的影响。3，终端安全解决方案vShield Endpoint 无代理终端安全产品，部署于采用了VMware虚拟化技术的物理服务器之上，通过与Trend Micro，BitDefender等主流的安全厂商合作，为用户的虚拟机提供防病毒，防入侵等安全防护。4，数据安全解决方案vShield Data Security 敏感数据发现与保护，可以基于业界的规范和企业的策略对虚拟机内部的数据进行扫描，发现敏感数据并对含有敏感数据的虚拟机进行隔离保护。三、 无代理终端安全解决方案1. 方案说明终端安全管理是一项费时费力的工作，终端分布广泛，种类繁多，难于管控。传统的终端安全防护手段需要在终端上部署代理程序，保证这些代理始终有效且能得到及时更新，是一项充满挑战的工作，很多企业为此不得不应用终端管理和网络准入控制等解决方案来保证终端的可控。虚拟化和云计算时代的到来，彻底的改变了这种局面。虚拟基础架构为企业计算环境带来了新的管控手段，使无代理安全防护成为可能。vShield Endpoint彻底革新了大家固有的如何保护客户虚拟机免受病毒和恶意软件攻击的观念。该解决方案优化了防病毒及其他端点安全保护功能，可以更高效地工作于VMware vSphere 和 VMware View 环境。vShield Endpoint 通过将病毒扫描活动从各个虚拟机卸载到安全虚拟设备来提高性能。安全虚拟设备能够持续更新防病毒特征码，为主机上的虚拟机提供无中断保护。2. 主要优势1，简化部署虚拟化技术能够帮助管理员快速而又简单地完成系统部署工作，通过虚拟机模板来部署新系统是一项轻松愉快的工作，采用无代理模式，管理员无需在模板机中部署和 更新代理程序，可以更好地保障虚拟机的合规性，减少虚拟机的体积和管理工作量。增加的工作是在每台物理服务器上部署一个安全虚拟设备（SVA），以5:1 的常规整合比为例，部署工作量减少了4/5，如果应用场景是VDI，一台服务器至少可以部署几十个虚拟桌面，部署工作量仅为代理模式的几十分之一。2，简化管理维护好终端，特别是维护好终端内部的安全代理是管理员的重要工作之一，代理模式下，管理员要随时监视各终端上代理的状态，及时发现无代理、代理功能不正常和 代理陈旧等问题。防护不到位的终端会对整个网络的安全状况造成非常大的影响。采用无代理模式，这一部分的管理工作量就不存在了。增加的工作是对安全虚拟设 备（SVA）的管理，据前述，管理工作量仅是代理模式的几分之一到几十分之一。3，避免病毒扫描风暴安全代理在执行病毒扫描操作时会占用较多的主机资源，在虚拟基础架构中，病毒扫描对性能的影响更为显著。虚拟机启动，周期性例行扫描或蠕虫病毒流行时，如果 不能对扫描行为进行有效控制，就可能导致病毒扫描风暴，严重影响业务系统的性能，甚至导致服务中断。在无代理模式下，运行于同一物理服务器上的多台虚拟机 的扫描工作统一进行调度，资源占用得到有效控制，消除了病毒扫描风暴的发生。4，减少资源占用运行在主机上的安全代理会占用主机的CPU，内存和磁盘资源，引擎和病毒定义的更新会占用网络资源。近几年来，恶意程序迅猛增长，防病毒产品和病毒定义文件 的体积越来越大，尽管安全厂商不断引入新技术来降低安全代理对主机的影响，仍然不能有效地解决这一问题。无代理模式下完全不存在这种问题，当终端数量较大时，节省的资源数量将非常可观。上图为有客户端和无客户端终端保护的资源占用对比，右图为无客户端方式，资源占用非常少。5，随时保持最新传统模式下，如果主机经常关机或离线，则安全产品无法得到及时更新，当主机再次开机或联线时，系统非常容易受到感染和破坏。0Day攻击越来越多，如果不能 保证防病毒产品和病毒定义的实时更新，防护效果就会大打折扣。采用无代理模式，只要保证安全虚拟设备（SVA）随时在线，及时更新就可以了。6，更高的密度，更低的成本前面介绍过，无代理模式可以在很大程度上节省资源占用，完全消除病毒扫描风暴，因此可以提高部署密度，节省硬件采购成本。此外，针对虚拟化平台的无代理安全防护产品，通常会提供基于物理CPU的授权模式，按这种授权方式购买产品，要比按部署节点数量来购买要经济得多。部署密度越高，性价比越高。7，更好的安全性很多恶意程序把安全产品作为攻击目标，安全产品必须具备良好的自我保护功能，但是这种自我保护功能并不是百分百有效，安全产品一旦感染了恶意代码，不仅起不 到防护作用，还会加快恶意代码的传递。无代理模式下消除了这种隐患。安全虚拟设备（SVA）采用经过整固的专用系统，安全级别较高，从而显著提升了无代理 模式下的整体安全性。8，效率更高在无代理模式下，物理主机是安全防护的基本单位，运行于一台物理主机上的全部虚拟机之上所产生的活动都由部署于该物理主机上的安全虚拟设备（SVA）负责监控。当多台虚拟机执行相同活动时，SVA可以利用缓存技术加速扫描，提高扫描效率，特别是那些重复存在于多台虚拟机中的操作系统和应用程序文件，扫描性能 会有很大提升。3. 产品介绍1，vShield Endpoint工作原理vShield Endpoint 直接嵌入到 vSphere 中，由以下这三个组件组成： 经过加强的安全虚拟设备，由 VMware 合作伙伴提供 虚拟机精简代理， 用于卸载安全事件 （包含在 VMware Tools 中） VMware Endpoint ESX 虚拟化管理程序模块，用于支持前两个组件在虚拟化管理程序层上的通信。例如，对于防病毒解决方案，vShield Endpoint 将监视虚拟机文件活动并通知防病毒引擎，然后再由引擎进行扫描并返回处置信息。该解决方案支持在访问时进行文件扫描，以及由安全虚拟设备中的防病毒引擎发起的按需（计划内）文件扫描。当需要进行修复时，管理员可以使用他们现有的防病毒和防恶意软件管理工具指定要执行的操作，同时由 vShield Endpoint 管理受影响虚拟机中的修复操作。2，vShield Endpoint主要功能特性卸载防病毒和防恶意软件负载 vShield Endpoint 使用 vShield Endpoint ESX 模块将病毒扫描活动卸载到安全虚拟设备中，通过在该设备上执行防病毒扫描提高性能。 通过瘦客户端代理和合作伙伴 ESX 模块，将文件、内存和进程扫描等任务从虚拟机卸载到安全虚拟设备中。 vShield Endpoint EPSEC 使用虚拟化管理程序层的自检功能来管理虚拟机与安全虚拟设备之间的通信。 防病毒引擎和特征码文件只在安全虚拟设备内更新，但可对 vSphere 主机上的所有虚拟机应用策略。修复 vShield Endpoint 实施防病毒策略，以指定应删除、隔离还是以其他方式处理恶意文件。 精简代理负责管理虚拟机内的文件修复活动。合作伙伴集成 EPSEC API 在虚拟化管理程序中提供对文件活动的自检，使 VMware 防病毒合作伙伴实现 vShield Endpoint 集成。基本的防病毒功能可通过此 API 提供支持。目前，可选择的合作伙伴产品包括Trend Micro的Deep Security和BitDefender的Security for Virtualized Environments。vShield Manager，策略管理和自动化 vShield Manager 提供全方位的 vShield Endpoint 部署和配置。 使用表述性状态转移 (REST) API 可以实现 vShield Endpoint 功能与各种解决方案的自定义自动集成。 提供监控报告。 vShield Manager 可用作 vCenter 插件。日志记录与审核 事件日志记录采用基于行业标准的 Syslog 格式。四、 网络安全解决方案1. 方案说明vShield Edge 是专为虚拟数据中心提供的边缘网络安全解决方案。它可提供网络安全网关服务和 Web 负载平衡等基本安全功能，以提高性能和可用性。此解决方案直接嵌入到 vSphere 中，可利用容错和高可用性等功能获得无可比拟的恢复能力。管理员可通过随附的 vShield Manager 控制台集中管理 vShield Edge，该控制台与 vCenter Server 无缝集成以便对虚拟数据中心进行统一的安全管理。此外，vShield Edge 也可与 VMware vCloud Director 协同使用，以便在多租户云计算基础架构中自动执行和加快虚拟数据中心的安全调配速度。安全管理员和虚拟基础架构管理员的职责分离使他们只能访问有限的授权资源。2. 主要优势 由于可以省去多种专用设备并可以快速调配网络网关服务，因此可以降低成本和复杂性。 利用内置的边缘网络安全解决方案及服务，可以确保策略得到执行。 每个组织或租户拥有一个边缘，因而可以提高可扩展性和性能。 可通过详细的日志记录简化 IT 遵从性工作。 利用与 VMware vCenter Server 及领先的企业安全解决方案集成的全功能界面，可以简化管理流程。3. 产品介绍1， vShield Edge 的主要用途1），整合边缘安全硬件 借助 vShield Edge，客户可以使用现有的 vSphere 资源来调配边缘安全服务，因此不需要使用边缘安全硬件在 vSphere 主机之间进行物理隔离。2），快速安全地调配虚拟数据中心边界 借助 vShield Edge，组织可在虚拟数据中心环境周边轻松创建安全、逻辑、独立于硬件的边界（即“边缘” ） ，从而更为便捷地利用多租户 IT 基础架构中的共享网络资源。3），保护共享网络中的数据机密性 vShield Edge 可对站点间 VPN 提供 256 位加密，以保护在虚拟数据中心边界内传输的所有数据的机密性。4），确保 Web 服务的性能和可用性 vShield Edge 可跨多个虚拟机集群高效管理入站 Web 流量，并且包含可供客户与边缘安全性功能一起部署或独自部署的多种 Web 负载平衡功能。5），促进遵从性管理 vShield Edge 可为企业提供证明其遵从公司策略、行业和政府法规所需的事件详细日志记录以及流量统计信息等必要的控制措施。2，vShield Edge主要功能特性说明1），防火墙 外围（第 3 层）防火墙，不需要进行网络地址转换 有状态检测防火墙，采用基于以下参数的入站和出站连接控制规则 ： IP 地址 源 / 目标 IP 地址 端口 源 / 目标端口 协议 类型（TCP 或 UDP）2），网络地址转换 以虚拟化环境为转换目标和转换源的 IP 地址转换 针对不受信任的地址伪装虚拟数据中心的 IP 地址动态主机配置协议 自动为 vSphere 环境中的虚拟机调配 IP 地址 管理员自定义的参数（例如，地址池、租期和专用 IP 地址等）3），站点间 VPN 保护虚拟数据中心（或边缘安全虚拟机）之间的通信安全 IPsec VPN，支持证书身份验证，以及基于 Internet 密钥交换 (IKE) 协议的共享密钥4），Web 负载平衡 针对包括 Web 流量 (HTTP) 在内的所有流量的入站负载平衡 循环算法 支持“粘性”会话5），边缘流量统计信息 计量虚拟数据中心资源的使用量，并确定各个租户的使用量比重 这些统计信息可通过表述性状态转移 (REST) API 进行访问，在服务提供商的计费应用程序中加以使用。6），策略管理 通过 vShield Manager 进行全面的管理 ；许多功能也可通过 vCenter Server 界面访问 界面可自定义，以便使用 REST API 进行管理 支持与企业 IT 安全管理工具集成7），日志记录与审核 基于业界标准的 syslog 格式 可通过 REST API 和 vShield Manager 用户界面进行访问 由管理员针对重要的边缘安全事件（错误、警告等）指定是启用还是禁用日志记录 ： 防火墙 ：在规则级别 NAT ：在规则级别 VPN ：站点间连接名称 Web 负载平衡器： 在池级别，含 URL 或文件夹的特定 Web 请求 DHCP：在服务级别，绑定（发布和续购）五、 主机/应用安全解决方案1. 方案说明vShield App 是一款基于虚拟化管理程序并且可识别应用程序的虚拟数据中心防火墙解决方案。管理员可以使用这款产品扫描数据中心、集群或资源池中的敏感数据，以满足法规遵从性审核的要求。vShield App直接嵌入在 VMware vSphere 中，用于防范内部网络威胁和降低企业安全范围内的策略违规风险。为实现这一点，vShield App 使用可识别应用程序、具有数据包深度检测功能并基于源和目标 IP 地址进行连接控制的防火墙技术。另外，通过允许 IT 快速创建与业务相关的安全组，利用工作流监视控制措施可帮助 IT 分析虚拟机网络流量，以及动态实施安全组策略，从而简化策略控制。管理员可通过随附的 vShield Manager 控制台集中管理 vShield App，该控制台与VMware vCenter Server 无缝集成，以便对虚拟数据中心进行统一的安全管理。vShield App还消除了对硬件和 vLAN 等旧式控制的依赖性，从而使硬件和策略剧增有所减缓，这不但经济高效，而且还能突破物理安全的局限性。2. 主要优势 可增强对虚拟机间网络通信的了解和控制。 不再需要使用专用的硬件和 VLAN 来隔离安全组。 可实现最佳的硬件资源利用率，同时保持可靠的安全性。 通过将所有虚拟机网络活动全面地记入日志，简化遵从性工作。3. 产品介绍1，vShield App的主要用途 提供可识别应用程序的保护 管理员可以为流经某一虚拟网卡的所有流量定义和实施细化的策略，从而可以在不再绕经物理防火墙的同时更清楚地了解虚拟数据中心内部的流量情况。 保持可识别更改的保护 在主机间迁移虚拟机时可以为这些虚拟机持续提供防火墙保护，从而帮助确保网络拓扑的更改不会影响应用程序的安全性。 高效管理动态策略 管理员拥有丰富的环境信息，以便随企业发展的需要定义和细化各种内部防火墙策略。 降低僵尸网络风险 安全管理员可通过为可信应用程序动态分配端口来防范僵尸网络和其他攻击。 控制对共享资源的访问 安全管理员可以基于 IP 地址限制对 vSphere 主机上的存储和备份等共享服务的访问。 促进 IT 遵从性 提高对虚拟机网络安全性的了解和控制，而日志记录和审核控制使企业可以证明其遵从内部政策和外部法规要求。2， vShield App主要功能特性1），防火墙 虚拟化管理程序级防火墙通过虚拟化管理程序检测功能在虚拟网卡级别实施入站 / 出站连接控制，以支持多主机的虚拟机。 第 2 层防火墙（也称为透明防火墙）可防范多种攻击类型，例如密码嗅探、DHCP 监听、地址解析协议 (ARP) 欺骗和下毒攻击。它还可以完全隔离 SNMP 流量。 可以根据网络、应用程序端口、协议类型（TCP、UDP）或应用程序类型实施保护。 在虚拟机迁移时提供动态保护。 基于 IP 的有状态防火墙和应用层网关支持广泛的协议，包括 Oracle、Sun 远程过程调用 (RPC)、Microsoft RPC、LDAP 和 SMTP。网关可通过仅在需要时才打开会话（端口）来提高安全性。要获取受支持协议的完整列表，请参阅VMware vShield 管理指南 。2），流量监控 管理员可以观察虚拟机之间的网络活动，以帮助定义和优化防火墙策略，识别僵尸网络，并通过详细报告应用程序流量（应用程序、会话、字节数）来保护业务流程的安全。3），安全组 管理员可以按虚拟机的虚拟网卡定义包含任意虚拟机的业务相关组。4），策略管理 vShield Manager 提供产品控制功能，其中大量功能也可通过 vCenter Server 界面访问。 管理员可以对安全组、vCenter Server 组和 TCP-5 元组（源 IP、目标 IP、源端口、目标端口、协议）实施策略。 表述性状态转移 (REST) API 为管理和实施策略提供了可编程界面。 vShield App 支持与企业级安全管理工具集成。5），IP 寻址 灵活的 IP 寻址功能能够在多个租区使用相同的 IP 地址，从而简化调配。6），日志记录与审核 日志记录采用基于行业标准的 syslog 格式。 通过 REST API 和 vShield Manager 可以访问日志记录和审核工具。 管理员可在规则级别指定是启用还是禁用防火墙的日志记录功能。六、 数据安全解决方案1. 方案说明敏感信息的意外泄露是当前很多企业所面对的主要安全威胁，保护好这些敏感信息，特别是财务数据，身份识别信息以及个人健康信息内容，是企业的重要职责。目前业界的敏感信息保护解决方案普遍比较复杂，建设与维护成本较高。为了满足企业在虚拟化与云计算环境中对敏感数据保护的需求，VMware提供了vShield Data Security敏感数据发现与保护解决方案。vShield Data Security是vShield产品家族的一员，与vShield Endpoint，vShield App和vCenter Configuration Manager一起协同工作。可以自动，连续扫描以发现敏感数据，如身份信息，信用卡信息等，并对这些敏感信息进行分类处理，以降低数据丢失和泄露的风险。2. 主要优势1，可以自动，连续地发现虚拟数据中心中的资源，扫描虚拟机中的文件以发现敏感数据。2，采用无代理方式工作，无需在虚拟机内部部署代理程序，简化管理，提高效率，降低资源占用。3，基于规则自动隔离与修复存有敏感数据的虚拟机。4，提供内容详尽的遵从性报告，帮助企业快速评估企业在敏感数据保护方面的遵从性状态（如PCI-DSS），帮助企业解决遵从性问题。5，内置超过80种遵从性模板，如PII（Personally Identifable Information），PHI（Private Health Information）等，帮助企业快速建立敏感信息保护策略。3. 产品介绍1，vShield Data Security产品架构vShield Data Security解决方案包括三个组件：管理组件，由vCenter和vShield Manager构成，管理员可以通过管理界面定义策略，管理扫描任务，查看扫描结果和报告；控制组件，vShield Data Security的控制组件与vShield Endpoint组件共存于安全虚拟机之中，负责具体执行扫描任务，存储扫描结果。扫描启动后，控制组件按顺序依次扫描虚拟机中的文件。瘦代理组件，v