新型数据中心安全防护整体解决方案v课件

新型数据中心安全防护解决方案

1Agenda数据中心转型带来的安全挑战1Symantec数据中心安全解决方案2数据中心安全建设的最佳实践32软件定义数据中心所有的基础设施资源都将被虚拟化并以服务的方式提供，数据中心可通过软件实现自动化的管控。数据中心的转型方向1.抽象化.主机、网络、存储虚拟化2.资源池化.池化整合，按需提供3.自动化.模版式的自动快速部署几周几天几小时

20082013未来部署时间3数据中心X86化带来新的安全挑战X86平台下以Linux和Windows系统为主，面临更多安全威胁大量的Web等外部接口型应用与服务，面临更多攻击不仅是Windows，针对Linux的攻击和病毒呈快速增长趋势5数据中心虚拟化带来新的安全挑战虚拟化导致物理边界模糊化，传统的网络边界防护措施失效虚拟化基础架构与管理端的安全性成为集中风险点安全防护策略需要跟随虚拟机灵活迁移主机数量爆炸式增长，虚拟化失控会带来安全盲区6面对新挑战的应对思路7服务器安全解决方案9服务器安全保护需求特点服务器需要的是与客户端不同的安全支持更广泛的操作系统锁定的安全，高性能，监控与预警，事件审计文件

服务器邮件服务器应用服务器

Loose

PrivilegesSystem

DevicesBuffer

OverflowBack

Door数据库服务器完整的服务器安全解决方案损害发生后，能够审计分析出问题并有

效取证当违规操作或者恶意入侵正在发生，能

及时发现并有效预警检查服务器是否存在安全风险和配置缺陷，是否符合数据中心的安全要求事前事中事后1+种操作系统10+台服务器100+次系统变更1000+次访问…11PresentationIdentifierGoesHere自动化评估IT基础架构安全配置ControlComplianceSuiteStandardsManager配置标准管理1.定义标准3.分析修复2.管理或未管理的资产评估自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。预定义且分类打包的安全配置条目，包含例外管理支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集基础架构数据13SCSP帮助我们保护每一个服务器基于策略的行为控制广泛的平台及应用支持实时的文件完整性监控可集成事件与分析管理RestrictaccesstocriticalsystemresourcesBusinesscriticalapplicationsinphysicalandvirtualenvironmentsOut-of-the-boxpoliciesforWindowsEnvironmentsControlComplianceSuite(CCS) SecurityInformationManager(SSIM)14SCSP如何保护系统安全性检测告警网络保护系统控制攻击防护监控日志安全事件加固并转发日志用于归档及报告

智能的事件快速发现与响应基于应用限制网络连接使用限制由内向外和由外向你的网络流关闭恶意软件后门(阻断端口)锁定系统配置文件和相关设置增强系统安全策略用户权限降级阻止移动介质接入限制应用程序及操作系统行为阻止系统缓存区溢出及线程注入攻击零日攻击入侵保护应用及进程控制实时可视化.控制最大化.入侵检测系统(IDS)入侵防护系统(IPS)15阻止针对服务器的内外部攻击SOURCE:NISTGuidetoGeneralServerSecurityInternetWeb

ServerEmail

ServerApplication

ServerDatabase

ServerDomain

Controller

Server17SCSP的安全防护效果黑帽子大会上抵御所有黑客攻击在2011年黑帽子大会上，SCSP进行了攻击防护验证，没有任何黑客能够攻克SCSP的防护验证过程在互联网上放置一个没有打补丁的Windows系统，并开放共享访问部署SCSP，使用预定义的严格防护策略攻击者利用任何方式进行攻击Nexpose可以发现有10个可以利用的漏洞缓冲区溢出和线程注入允许黑客通过浏览器访问特定的恶意网站黑客/攻击者包括DoD,NSA,DISA,Anonymous(1):18SSIM安全信息集中审计数据库日志查询和管理全球主动预警系统及知识管理系统—管理服务器系统配置信息操作系统和数据库的注册表、配置文件和运行程序等系统日志信息操作系统、数据库、网络设备、安全产品、应用系统日志系统控制信息关键文件、程序、权限的篡改防护及审计信息内容合规信息网络、主机和存储设备上的敏感信息的分布和使用日志收集层安全和合规报表风险视图和工作流第三方系统ITILNOC分析层展现层LDAP事前事中事后1919虚拟化环境安全解决方案21虚拟化环境下的常见安全问题虚拟服务器防护需要更低的资源消耗与可靠性宿主机及管理服务器将直接影响虚拟服务器安全传统漏洞及配置扫描措施无法覆盖虚拟化基础软件虚机蔓延问题导致安全监管失控虚拟化的权限集中带来权限管理与审计问题1234522虚拟化环境的主要安全需求主机的安全在虚拟化环境下需要降低资源消耗，与传统环境的不同，同时具备各类操作系统平台保护能力vCenter被入侵将影响整个虚拟化环境，需要保护管理平台底层Hypervisor存在受攻击风险逃逸攻击风险，攻击者通过入侵VM后进行漏洞利用实现在Hypervisor层的恶意代码执行SymantecCSP关键系统防护解决方案抵御APT攻击所使用的各种黑客技术对于新系统或遗留系统提供补丁缓解功能确保关键服务器的运行维护时间的连续性加固并保障虚拟化基础架构的安全，包括宿主机、虚拟主机及管理服务器的监控保护。在极低的资源占用率下最大化虚拟主机安全性实时的系统资源访问、安全状态基线监控审计减少PCIDSS,CIP-007-3等标准的合规成本，根据合规要求实施应用及操作系统的加固最大虚拟化环境安全阻止针对服务器的内外部攻击安全态势与合规的实时可视性25虚拟化环境主机安全解决方案通过在虚拟化各个层面的防护措施实现对整个虚拟化环境的安全保障，Hypervisor的安全防护通过Agent-Base或Agent-Less实现。GuestVM加固基于系统功能防护减少资源消耗Hypervisor加固文件完整性监控配置监控限制网络流量系统功能锁定零日攻击防护管理服务器加固限制管理员控制降低补丁管理风险

VM1VM2VM3APPWindows

OSAPPNonwindowsOSAPPOSHypervisorManagerSCSP实现虚拟化安全架构风险最小化VM1VM2VM3APPOSAPPOSAPPOSVMwareESX/ESXiServer29CCS与虚拟化环境集成的漏洞与配置扫描30虚拟化环境下的漏洞与配置管理31建立持续合规监控的虚拟资产32CCSVSM提供虚拟化环境策略管理与审计33CCSVirtualizationSecurityManager的意义提高你的虚拟环境的安全从外部和内部威胁中确保管理程序的安全在实例之间执行逻辑分离，使之变成独立的资产细粒度的访问控制降低宕机风险管理实例和管理程序的配置设置防止计划外的更改自动化配置评估合规需求强制分割实例为有限的合规审计范围详细的操作日志配置报告34对关键操作的二次确认35CCSVSM填充关键平台访问缺口Virtualization平台缺口CCSVSM解决方案通过共享一个root账户多个管理员可以匿名登录主机使用root密码跳转(签入/签出)

来保障管理员的独立性通过直接连接主机，管理员可以绕过vCenter进行访问控制和登录控制和记录通过任何连接方法的访问,建立问责制在多租户的环境下，管理员能够访问其他组织的虚拟工作区确保管理员只能访问自己的组织的数据和应用程序，确保多租户下的安全平台允许通过默认密码或被破解的admin密码的访问

防止使用默认的密码，支持多因素身份验证防止未授权的访问当前或者曾经的管理员可以使用后台账户不被发现的访问平台控制和记录每个管理员账户的访问，防止重大安全漏洞36CCSVSM填充关键平台访问缺口Virtualization平台缺口CCSVSM解决方案一个系统管理员可以关闭任何虚拟应用通过控制资源管理范围保护业务连续性管理员可以创建未经批准的虚拟机，这些可能是误操作但对合规会产生影响通过控制虚拟机创建权防止破坏性的结果管理员可以禁用安全措施如虚拟防火墙和防病毒通过禁止未经批准关闭虚拟安全措施保护安全性管理员复制敏感数据从一个虚拟机到外部存储通过对虚拟资源的控制保护敏感数据管理员可以使用一个泄露的副本替代一个关键的虚拟机而没有留下轨迹通过创建一个永久的、不可被篡改的操作记录曝光篡改行为管理员可以将低信任的虚拟工作负载转成高信任服务器或虚拟子网,反之亦然通过防止信任等级的混合缓解安全和合规风险37CCSVSM填补关键日志数据缺失日志数据提供者可操作数据不可操作数据可用性和效率VirtualizationPlatformUser:rootTime/dateTargetresourcename,URLOperationexecutednone每个vCenter和主机有单独的日志文件vCenter和主机的日志格式不统一ControlComplianceSuiteVirtualizationSecurityManagerAlloftheabove,plus:UserIDSourceIPaddressResourcereconfiguredPreviousresourcestateNewresourcestateLabel(Production)RequiredprivilegesEvaluatedrules/constraintsUserIDDate/timeSourceIPaddressOperationrequestedOperationdenialTargetresourcename,IPaddress,port,andprotocolRequiredprivilegesMissingprivilegesEvaluatedrules/constraints合并,集中管理日志覆盖vCenter和所有主机单一、统一的vCenter和主机日志数据格式日志发送到基础存储或者通过syslog发送到SIEM38CSP+VSM=VM渗透防护来自Vcenter外部CSP监视和阻止通过网络结构的改变CSP监视和阻止ESX服务器的访问篡改来自Vcenter内部VSM监控和阻止访问篡改VSM监控和控制VMotion功能InternetWeb

ServerEmail

ServerVMWareESXServerDatabase

ServerDomain

Controller

ServerVCenterVMVM39Symantec与Vmware联手打造虚拟化安全40NAS存储防病毒安全解决方案41用户面临的挑战NAS（NetworkAttachedStorage)在数据中心被广泛使用，但普遍缺乏病毒防护主机防病毒无法解决NAS存储感染病毒的问题42为什么NAS需要防病毒？43什么是SPEforNAS?基于网络服务的病毒扫描器支持ICAP和RPC协议（RPC仅支持Netapp）最常用于与NetAppDataONTap客户端集成使用基于RPC的连接器，已内置在ONTap的CIFS协议确定哪些文件需要扫描读,写,读/写黑白名单是否已扫描过?使用ICAP协议并得到厂家认证HitachiNASEMCIsilonIBMSonasandStorwize44SPE的工作原理用户终端NASSPE1.用户向NAS请求文件访问2.NAS服务器向SPE发送请求扫描文件3.SPE扫描文件并返回结果4.NAS服务