虚拟化架构安全_SEP-SCSP

1虚拟化架构安全JimmyLiuSystemEngineerAgendaInformationSecurity’sEnvironment-Technical2虚拟化架构的安全风险1虚拟化架构的安全建议2案例介绍3虚拟化中的安全问题•虚机平台的补丁、配置管理是否考虑到？•如何对离线虚机进行补丁管理、配置变更、病毒定义更新和防火墙规则？TheHydraqTargetedAttack3虚拟化中的安全问题•离线虚机会成为攻击的目标；–做个快照的同时快照了数据；–给离线虚机打补丁是不可能的，至少启动时先要启动成隔离状态，打补丁；–虚机需要加密保护，防止非授权访问；–偷一套虚机简单到就是拷走一个文件；–存储安全变得非常重要；TheHydraqTargetedAttack4虚拟化中的安全问题•虚机架构时需要建立虚拟交换机，谁来控制–是否要做隔离？–流量怎么控制？–如何防止监听？TheHydraqTargetedAttack5虚拟化中的安全问题•虚机是移动的，可以切换的–安全策略要绑定在逻辑层，而非物理层；TheHydraqTargetedAttack6AgendaInformationSecurity’sEnvironment-Technical7虚拟化架构的安全风险1虚拟化架构的安全建议2案例介绍3针对服务器的常见攻击ProtectionSuiteEnterpriseEditionforServers8DomainControllerServerWebServerFileServerDatabaseServerApplicationServerEmailServerInternet通过邮件附件、文件链接的方式成为进入内网入口未经授权的访问未经授权对配置、权限进行篡改恶意软件安装后获取信息，修改配置后门导致未经授权的访问应用漏洞攻击获取访问权限SOURCE:NISTGuidetoGeneralServerSecurity(July2010)SCSP可以做什么?•实时监控与审计•日志和事件报表•实时的合规性强制•跟踪、监控用户的访问•文件完整性监控•入侵检测和入侵防护•减少补丁更新•用户访问控制•恶意软件防护•系统加固•应用程序控制•配置信息监控合规(e.g.PCI)安全ProtectionSuiteEnterpriseEditionforServers9Policy-basedapproachmonitoringandprotectionProactiveattackpreventionHighavailabilityandperformanceSCSP针对服务器的防护ProtectionSuiteEnterpriseEditionforServers10DomainControllerServerWebServerFileServerDatabaseServerApplicationServerEmailServerInternet通过邮件附件、文件链接的方式成为进入内网入口未经授权的访问未经授权对配置、权限进行篡改恶意软件安装后获取信息，修改配置后门导致未经授权的访问应用漏洞攻击获取访问权限监控、锁定文件和配置监控、锁定应用的行为阻止非授权的应用程序执行监控访问权限的修改监控、阻止访问配置的修改阻止不恰当的访问√√√√√√SCSPProductOverview11SCSP针对关键应用系统的多层次防护NetworkProtection(HostIPS)ExploitPrevention(HostIPS)SystemControls(HostIPS)Auditing&Alerting(HostIDS)SymantecCriticalSystemProtection5.2•限止应用的行为•保护系统防止缓存溢出•入侵防御阻止零日攻击•应用程序白名单•记录安全事件•关联、转发日志用于归档和报表•智能、快速的事件响应动作•关闭后门(blockports)•基于应用限制网络通信•限制进站、出站的网络通信•锁定系统、应用的配置•强制安全策略•逐步降低用户的权限•阻止移动介质的使用12VMWareESX主机、虚拟系统与SCSPChallenges–虚拟系统存在漏洞从而受到恶意软件攻击和数据丢失的风险–风险：错误的主机和虚拟机配置、有问题的虚拟机、远程连接访问、访问控制–恶意软件通过对主机的攻击，进一步攻击虚拟机–在主机和虚拟机上，关键服务可能受到攻击，从而影响应用的可用性–需要满足合规性要求并呈现结果SCSPBenefits–实时监控、报告在主机和虚拟机上受到的攻击–保护ESX控制台系统和虚拟机系统的安全，包括防火墙、外设控制、配置和系统锁定、管理访问控制、文件系统保护–专门基于Vmware的加固策略–针对PCI合规要求的最佳实践–针对不同的应用服务器提供配置模板SymantecCriticalSystemProtectionConsoleOS/HypervisorGuestGuestGuest虚拟化下防病毒问题传统防病毒都使用相同扫描引擎在虚拟环境中分别独立的进行扫描，这样导致虚拟环境的共享资源和终端的性能下降到难以忍受的地步，尤其是文件存储成为了共享资源的瓶颈。SEP12.1AmberVirtualizationFeatures14这被称为杀毒风暴。Symantec虚拟化防病毒特点•VirtualImageException–运行用户对所有”基准镜像”的文件不执行扫描。•SharedInsightCache–一台独立的服务器用于客户端共享扫描结果，运行客户端对已被其他客户端扫描过的文件跳过扫描。•VirtualClientTagging–客户端能识别是否处于虚拟平台并能将虚拟平台信息发送到SEPM。这些信息能被用来搜索和报表。SEP12.1AmberVirtualizationFeatures15VirtualImageException防病毒性能比较ContextOptimizedScanning-SEPAmberleverageInsight™toonlyscanuntrustedfiles(ineachguest)-SEPTopazappliessameapproachout-of-guestTraditionalScanning-vShield1.0requiresscanofeveryfile-Next-genvShieldrequiredtofilterscansOnatypicalsystem,80%ofactiveapplicationscanbeskipped!16VirtualEndpointSecurityVirtualImageException虚拟镜像排除工具VirtualImageException(VIE)是一个工具，能让管理员方便的设置虚拟机的文件的跳过扫描的属性。–必须在虚拟机中运行(VMware,Citrix,ofHyper-V)，不支持物理机。–支持XP,Vista,Windows7和Windows2008R2–命令行方式执行，静默执行–能生成详细的日志和报告–在SEPM中提供配置页面开/关VIE的排除，分别针对自动防护和自定义扫描。SEP12.1AmberVirtualizationFeatures17工具介绍•该工具位于EE版本的安装目录下的Tools\VirtualImageExcption目录vietool.exeSEP12.1AmberVirtualizationFeatures18流程介绍步骤1:工具扫描系统20SEP12.1AmberVirtualizationFeatures流程介绍步骤1:工具扫描系统步骤2:搜集所有发现的文件步骤3:为所有的文件添加排除标识21SEP12.1AmberVirtualizationFeatures流程介绍步骤4管理员设置管理员可以在病毒和间谍软件防护策略中分别对自动防护和自定义扫描设置开/关排除22SEP12.1AmberVirtualizationFeatures工具扫描系统SEP12.1AmberVirtualizationFeatures23•命令格式如下：vietool.exec:--generate表明对c盘运行，生成排除标识。会给出运行结果和错误报告VIE工作原理SEP12.1AmberVirtualizationFeatures24左图是工具运行前的，右图是运行后的，能看到文件添加了一个属性BaseImgFileSharedInsightCache缓存服务器该服务器提供一个公共的访问接口给所有的虚拟机，通过向服务器提交对相似文件的查询，能大量的减少虚拟机扫描的IO读写。当配置了缓存服务器并在SEPM中设置生效后，每次当SEP客户端试图扫描一个文件时，它首先将该文件的hash值和当前的病毒定义版本作为一个数据包发送给缓存服务器，缓存服务器在缓存中查询，如果有该文件的信息并且病毒定义版本相同，表明该文件已经被其他客户端扫描并确认无毒，缓存服务器通知SEP不需要扫描该文件。如果没有查询到，表明该文件为未知文件，需要扫描。SEP会扫描该文件，如果无毒，也将该文件的hash值和当前的病毒定义版本发送给服务器，以后该文件将被跳过。如果有毒，执行杀毒操作，并不通知缓存服务器。如果查询到该文件有记录但是病毒定义较老，需要扫描，SEP扫描该文件，并将更新的数据发送给服务器。SEP12.1AmberVirtualizationFeatures25SharedInsightCache–图解26VMClusterESXServerVMVMVMVMVMVMESXServerVMVMVMVMVMVMFileHashDefVerResultAE32D…2011.1...CleanB923E…2011.1…CleanF9123…2011.1…CleanC3FDA…2010.2…CleanSharedInsightCacheServer(SIC)SEP12.1AmberVirtualizationFeatures策略配置界面SEP12.1AmberVirtualizationFeatures31VirtualClientTagging虚拟客户端标识–内建于客户端，不需单独安装。–支持VMwareESX/i,MicrosoftHyper-V,CitrixXen–客户端在启动时检查并将结果发送到SEPM–虚拟状态和平台信息可以在报告中查阅，客户属性中也能检索到。–主要用于发现客户端是虚拟平台时，将其配置使用VIE和缓存服务器，或者移动到特定的虚拟客户端组。SEP12.1AmberVirtualizationFeatures34该标识能赋予管理员发现sep客户端是否在虚拟环境中运行的能力AgendaInformationSecurity’sEnvironment-Technical38虚拟化架构的安全风险1虚拟化架构的安全建议2案例介绍3中国区案例TheHydraqTargetedAttack39广东移动中国移动集团南方基地外资银行交通银行银联等Thankyou!SYMANTECPROPRIETARY/CONFIDENTIAL–INTERNALUSEONLYCopyright©2010SymantecCorporation.Allrightsreserved.JimmyLiu（刘昌锋）Mobile:13305518721Email:Jimmy_Liu@symantec.com40