新型数据中心安全防护整体解决方案

1、Agenda 1 数据中心转型带来的安全挑战1 Symantec数据中心安全解决方案2 数据中心安全建设的最佳实践3 软件定义数据中心 所有的基础设施资源都将被虚拟化并以服 务的方式提供，数据中心可通过软件实现 自动化的管控。 数据中心的转型方向 1. 抽象化. 主机、网络、存储 虚拟化 2. 资源池化. 池化整合，按需提供 3. 自动化. 模版式的自动快速部 署 几周几天几小时 20082013未来 部署 时间 2 数据中心转型的两大趋势 3 应用从UNIX小机向X86平台迁移 X86成本优势明显 应用向 LINUX迁移得到业界广泛支持 Web等外部接口型应用已基本被X86 平台垄断 部分非

2、大压力核心业务也有往X86平 台迁移的趋势 新建系统会首先考虑X86平台可行性 虚拟化技术的广泛运用 以Vmware为主流的服务器虚拟化 虚拟化帮助客户进行IT整合，提高 资源利用率，降低能耗 基于X86平台的虚拟化在企业占的 比重越来越大 新建系统会首先考虑采用虚拟化的 可行性 数据中心X86化带来新的安全挑战 X86平台下以Linux和Windows 系统为主，面临更多安全威胁 大量的Web等外部接口型应用 与服务，面临更多攻击 不仅是Windows，针对Linux 的攻击和病毒呈快速增长趋势 4 数据中心虚拟化带来新的安全挑战 虚拟化导致物理边界模糊 化，传统的网络边界防护 措施失效 虚

3、拟化基础架构与管理端 的安全性成为集中风险点 安全防护策略需要跟随虚 拟机灵活迁移 主机数量爆炸式增长，虚 拟化失控会带来安全盲区 5 面对新挑战的应对思路 挑战 X86与虚拟化趋势下的服务器安全亟需加强，传 统网络边界防护措施失效 虚拟化带来新的安全风险点, 安全策略需要随虚机 迁移而灵活变化 病毒威胁随资源整合而集中转向后端存储，存储 成为病毒防护的新战场 应对 将防护边界收缩到主机自身，采用稳定低资源 消耗的主机安全防护措施 采用跨平台统一管理的防护措施，对GuestOS 和虚拟环境提供漏洞配置扫描、主机加固、授 权审计的全方位保护。 采用与NAS存储集成的防病毒解决方案，无需在主机上

4、部署客户端 6 Agenda 7 数据中心转型带来的安全挑战1 Symantec数据中心安全解决方案2 数据中心安全建设的最佳实践3 - 服务器安全解决方案 - 虚拟化环境安全解决方案 - NAS存储防病毒安全解决方案 服务器安全解决方案 8 服务器安全保护需求特点 服务器需要的是与客户端不同的安全 支持更广泛的操作系统 锁定的安全，高性能，监控与预警，事件审计 1 0 完整的服务器安全解决方案 损害发生后，能够审计分析出问题并有 效取证 当违规操作或者恶意入侵正在发生，能 及时发现并有效预警 检查服务器是否存在安全风险和配置缺陷， 是否符合数据中心的安全要求 事前 事中 事后 1+ 种操作系

5、统10+ 台服务器100+ 次系统变更 1000+ 次访问 优秀的漏洞评估解决方案 预先阻止威胁发生 覆盖Web应用（包含应用扫描）、数 据库、操作系统与网络设备，全面覆 盖100%的IT资产 支持凭据登录扫描（OS、DB） 6万多个检查项覆盖超过1.5万个漏洞 标准的漏洞评分算法 持续的发现虚拟化资产，创建并管理 动态的虚拟资产组 1 1 Web服务 数据库 操作系统 数据 自动化评估IT基础架构安全配置 1 2 1.定义标准 3.分析修复 2.管理或未管理的资产 评估 自动的检测评估技术，覆盖2900个 控制项目，映射之上千个技术及流 程控制点。 预定义且分类打包的安全配置条目， 包含例外

6、管理 支持有代理（用于认证凭据定期变 化环境）和无代理（降低基础架构 影响）两种方式采集基础架构数据 1 3 基于策略的行为控制广泛的平台及应用支持 实时的文件完整性监控可集成事件与分析管理 Restrict access to critical system resources Business critical applications in physical and virtual environments Out-of-the-box policies for Windows Environments Control Compliance Suite (CCS) Security In

7、formation Manager (SSIM) 1 4 检测告警网络保护系统控制攻击防护 监控日志安全事件 加固并转发日志用 于归档及报告 智能的事件快速发 现与响应 基于应用限制网络 连接使用 限制由内向外和由 外向你的网络流 关闭恶意软件后门 (阻断端口) 锁定系统配置文件 和相关设置 增强系统安全策略 用户权限降级 阻止移动介质接入 限制应用程序及操 作系统行为 阻止系统缓存区溢 出及线程注入攻击 零日攻击入侵保护 应用及进程控制 实时可视化. 控制最大化. 入侵检测系统 (IDS)入侵防护系统 (IPS) 未授权的服务器访问 1 5 SOURCE: NIST Guide to Gen

8、eral Server Security Web Server Email Server 恶意软件捕获系统中敏感数 据，修改系统安全配置 针对应用程序的缓冲区溢出 攻击，远程获取系统权限 通过后门软件的未授权访问 Application Server Database Server File Server Domain Controller Server 打开了某恶意文件，或访问 某恶意链接 未授权的权限及信息变更 未授权的服务器访问 1 6 SOURCE: NIST Guide to General Server Security Web Server Email Server 监控或锁定配

9、置文件 恶意软件捕获系统中敏感数 据，修改系统安全配置 监控或锁定应用与进程行为 针对应用程序的缓冲区溢出 攻击，远程获取系统权限 阻止未授权的可执行程序 通过后门软件的未授权访问 Application Server Database Server File Server Domain Controller Server 打开了某恶意文件，或访问 某恶意链接 阻止不适当的服务器访问 监控或阻止访问的变更 未授权的权限及信息变更 监控访问权限的变化 SCSP的安全防护效果 黑帽子大会上抵御所有黑客攻击 在2011年黑帽子大会上，SCSP进行了攻击 防护验证，没有任何黑客能够攻克SCSP的 防护

10、 验证过程 在互联网上放置一个没有打补丁的Windows 系统，并开放共享访问 部署SCSP，使用预定义的严格防护策略 攻击者利用任何方式进行攻击 Nexpose可以发现有10个可以利用的漏洞 缓冲区溢出和线程注入 允许黑客通过浏览器访问特定的恶意网站 黑客/攻击者包括DoD, NSA, DISA, Anonymous 1 7 (1): http:/ system-protection SSIM 安全信息集中审计 数据库 日志查询和管理 全球主动预警系统 及知识管理系统 管理服务器 系统配置信息 操作系统和数据库 的注册表、配置文 件和运行程序等 系统日志信息 操作系统、数据库、 网络设备、安

11、全产 品、应用系统日志 系统控制信息 关键文件、程序、 权限的篡改防护及 审计信息 内容合规信息 网络、主机和存储 设备上的敏感信息 的分布和使用日志 收 集 层 安全和合规报表风险视图和工作流 第三方系统 ITIL NOC 分 析 层 展 现 层 LDAP 事前事中事后 18 1 8 安全防护 零日攻击 系统加固 非法入侵 配置检查 注册表 配置文件 密码 CCS SM/VM 发现配置缺陷和安全漏 洞 漏洞扫描 服务器漏洞 补丁安装检查 网络设备漏洞 SCSP实时阻止入侵和违规操作 检查违规操作 用户变动 文件变动 权限变动 Symantec 服务器安全三重防护 事件收集和存储能力 收集ES

12、M/SCSP以及 100多种操作系统、防 火墙、IDS、路由和交 换设备的日志 支持海量日志存储， 并进行加密、压缩、 HASH处理确保可以作 为取证证据 SSIM收集并关联分析系统日志 强大的关联分析能力 跨产品日志关联分析 强大的查询报告能力 内置各种法规遵从模 版 19 虚拟化环境安全解决方案 2 0 虚拟化环境下的常见安全问题 2 1 虚拟服务器防护需要更低的 资源消耗与可靠性 宿主机及管理服务器将直接 影响虚拟服务器安全 传统漏洞及配置扫描措施无 法覆盖虚拟化基础软件 虚机蔓延问题导致安全监管 失控 虚拟化的权限集中带来权限 管理与审计问题 1 2 3 4 5 主机的安全在虚拟化环境

13、下需 要降低资源消耗，与传统环境 的不同，同时具备各类操作系 统平台保护能力 vCenter被入侵将影响 整个虚拟化环境，需要 保护管理平台 底层Hypervisor存 在受攻击风险 逃逸攻击风险，攻击者通过入 侵VM后进行漏洞利用实现在 Hypervisor层的恶意代码执行 Symantec解决方案与Vmware紧密结合 2 3 Symantec Critical System Protection 针对 vSphere的高级 保护 Symantec Control Compliance Suite 控制并确保合规 2 4 抵御APT攻击所使用的 各种黑客技术 对于新系统或遗留系统 提供补丁

14、缓解功能 确保关键服务器的运行 维护时间的连续性 加固并保障虚拟化基础 架构的安全，包括宿主 机、虚拟主机及管理服 务器的监控保护。 在极低的资源占用率下 最大化虚拟主机安全性 实时的系统资源访问、 安全状态基线监控审计 减少PCI DSS, CIP-007- 3等标准的合规成本，根 据合规要求实施应用及 操作系统的加固 最大虚拟化 环境安全 阻止针对服务器 的内外部攻击 安全态势与合规 的实时可视性 通过在虚拟化各个层面的防护措施实现对整个 虚拟化环境的安全保障，Hypervisor的安全防 护通过Agent-Base或Agent-Less实现。 Guest VM加固 基于系统功能防护 减少

15、资源消耗 Hypervisor加固 文件完整性监控 配置监控 限制网络流量 系统功能锁定 零日攻击防护 管理服务器加固 限制管理员控制 降低补丁管理风险 APP WINDOWS OS APP NON WINDOWS OS APP OS HypervisorManager 2 8 满足VMware ESX & ESXi 宿主机的安全防护需求 满足VM主机的安全增强的防护需求 VMware vCenter 管理服务器的防护 关键需求 实现从虚拟化管理服务器、宿主机、虚拟主机至应用全方位系统防护 VM1VM2VM3 APP OS APP OS APP OS 保护所有的虚拟化生态系统，从Hypervi

16、sor, guest与管 理服务器。 最大化虚拟主机安全，并减少资源的消耗 关键价值 VMware ESX/ESXi Server CCS 与虚拟化环境集成的漏洞与配置扫描 2 9 虚拟化环境下的漏洞与配置管理 所有虚拟资产准确可见 快速洞察威胁暴露 持续的发现 虚拟化资产 风险分值准确反映资产状态 更佳的灵活性与安全保证 创建并管理动态 的虚拟资产组 整个IT环境的综合、全面的安全风险视 有效的补救措施 全面覆盖100% 资产范围 3 0 建立持续合规监控的虚拟资产 3 1 CCS VSM 提供虚拟化环境策略管理与审计 3 2 CCS Virtualization Security Mana

17、ger的意义 提高你的虚拟环境的安全 从外部和内部威胁中确保管理程序的安全 在实例之间执行逻辑分离，使之变成独立的资产 细粒度的访问控制 降低宕机风险 管理实例和管理程序的配置设置 防止计划外的更改 自动化配置评估 合规需求 强制分割实例为有限的合规审计范围 详细的操作日志 配置报告 3 3 CSP + VSM = VM 渗透防护 来自 Vcenter外部 CSP 监视和阻止通过网络结构 的改变 CSP 监视和阻止ESX服务器的 访问篡改 来自Vcenter内部 VSM 监控和阻止访问篡改 VSM 监控和控制 VMotion 功能 3 8 Web Server Email Server VMW

18、are ESX Server Database Server Domain Controller Server V Center V M V M Symantec与Vmware联手打造虚拟化安全 3 9 NAS存储防病毒安全解决方案 4 0 用户面临的挑战 4 1 NAS（Network Attached Storage) 在数据中心被广泛使用，但普遍缺乏 病毒防护 主机防病毒无法解决NAS存储感染病 毒的问题 为什么NAS需要防病毒？ NAS存储被各类终端频繁访问，容易收到病毒感染 通过备份、镜像、归档，病毒威胁会被广泛复制和传播 NAS系统可以作为攻击的发起点，容易成为黑客的目标 NAS存

19、储中包含大量有价值的数据，企业需要妥善保护这些数据 通过NAS防病毒实现深度防御，无法被终端绕过 4 2 什么是SPE for NAS? 基于网络服务的病毒扫描器 支持ICAP和RPC协议（RPC仅支持Netapp） 最常用于与NetApp DataONTap 客户端集成 使用基于RPC的连接器，已内置在ONTap的CIFS协议 确定哪些文件需要扫描 读, 写, 读/写 黑白名单 是否已扫描过? 使用ICAP协议并得到厂家认证 Hitachi NAS EMC Isilon IBM Sonas and Storwize 4 3 SPE的工作原理 4 4 用户终端 NAS SPE 1. 用户向NA

20、S请求文件访问 2. NAS 服务器向SPE发送请求扫描文件 3. SPE扫描文件并返回结果 4. NAS 服务器依据返回结果决定是否允许访问 1 4 2 3 Agenda 4 5 数据中心转型带来的安全挑战1 Symantec数据中心安全解决方案2 数据中心安全建设的最佳实践3 服务器安全防护完整解决方案 识别风险并开发相应的策略 SOX PCI-DSS ISO27001 等级保护 密码 服务 文件 审计 RPC 补丁 web 端口 法规配置 漏洞 事前漏洞发现事后审计 证明有效性并判定趋势 查询报告 收集记录 关联分析 监控并预警问题 系统监控 文件监控 日志监控 安全锁定 事中监控防护 监控预警 限制网络连接 锁定配置文件 锁定用户权限 CCS VM + ccs sm SCSPSSIM 虚拟化环境安全完整解决方案 WindowsLinux 宿主机完整性监控，