2-Symantec_symposium_服务器虚拟化环境安全防护_weiyan

PresentationIdentifierGoesHere1服务器虚拟化环境的安全防护SymantecSymposium2011目录聚焦服务器虚拟化1服务器虚拟化的安全问题2赛门铁克的整体解决方案3SymantecSymposium2011•由AppliedResearch进行的调查•全球3,700家企业参与•IT战术、IT战略和C级别专业人士参与•跨行业调PresentationIdentifierGoesHere32011虚拟化与云计算演进调查关注虚拟化及云的5个方面：•Servervirtualization•Storagevirtualization•Desktop/endpointvirtualization•PrivateStorage-as-a-Service•PrivateorhybridcloudcomputingSymantecSymposium201117%19%20%24%24%21%19%20%22%21%19%21%16%20%19%23%21%21%20%21%20%20%24%15%15%0%10%20%30%40%50%60%70%80%90%100%Q12:您的企业对以下方面分别持何种态度1-Notconsidering2-Indiscussion/planningphase3-Intrials4-Implementing5-Haveimplemented结论之一：服务器虚拟化最为成熟(45%的企业正在实施)SymantecSymposium2011服务质量的挑战成为重中之重•影响服务器虚拟化决策的TOP3问题PresentationIdentifierGoesHere5性能安全可靠性SymantecSymposium2011目录聚焦服务器虚拟化1服务器虚拟化的安全问题2赛门铁克的整体解决方案3SymantecSymposium2011虚拟化最主要的安全威胁及解决建议（Gartner）•信息安全并不是一开始就接入到虚拟化项目–2009年，40%的虚拟化项目在规划阶段没有安全团队的介入。（更早为50%）–运营团队认为没有改变，具备了技能、流程；–忽略了新引入的虚拟化层；——新的手段、工具；培训等–忽略了职责的分离、工作负载与物理实体的分离的问题；——流程的变更调整•虚拟化层的破坏会导致所有托管工作负荷的破坏–VirtualizationLayer成为新的IT基础架构的一部分——工具/流程–虽然攻击界面少，但依然存在漏洞的风险–像基础设施一样的对待：补丁管理、配置管理等–保持该层尽可能地“瘦”–关注并要求IPS厂商研究支持对于该层的攻击特征的检测•不同安全级别的工作负荷存在一台物理机上，缺乏充分的隔离–不同安全域的工作负荷一定程度还需要通过物理网络的隔离技术PresentationIdentifierGoesHere7VirtualizationPlatformSymantecSymposium2011虚拟化最主要的安全威胁及解决建议（Gartner）•现有安全机制中缺乏对VM-to-VM的控制和使其通信可见的手段–虚拟化厂商对VM-to-VM的通讯通过软件的虚拟网络或者虚拟交换机实现，但不透明。–关注在Hypervisor层的IPS类技术和产品–当下替代方案：•至少应保留在物理网络层面的监控•使用VM上的Host-based的防护软件——工具/流程•缺乏对Hypervisor/VMM层的管理访问控制手段–对该层有多路径的管理手段：•浏览器、命令行、管理工具、console、脚本等–减少管理访问界面（路径），通过受限的区域进行访问–加强管理访问操作的监控、审计——工具/流程•网络管理与安全管理职责分离的局面会因虚拟化而被打破–管理VM与管理virtualnetworkswiches可能同是一个虚机平台系统管理员–建议物理网络管理与虚拟网络管理应为同一个teamPresentationIdentifierGoesHere8VirtualizationPlatformSymantecSymposium2011目录聚焦服务器虚拟化1服务器虚拟化的安全问题2赛门铁克的整体解决方案3SymantecSymposium2011服务器虚拟化防护的基本原则•加固与锁定•覆盖hosts,guests和Management的深度防护•关注授权，认证，帐号;•关注监控与审计•职责的分离及最小权限原则•管理员权限控制•配置管理PresentationIdentifierGoesHere10SymantecSymposium2011面向“服务器虚拟化”的安全解决方案11虚拟化服务器的安全防护（面向技术）虚拟化服务器的安全管理（面向运维）1.提供对虚拟化服务器的管理操作：1）创建新的虚机、虚拟网络、虚拟磁盘等2）虚机的开机、关机、挂机、恢复2.提供对虚拟化服务器主机信息、硬件利用率等信息的监控3.有效的安全工作流程监管1.锁定虚拟化服务器(VM/Hypervisor)的安全配置2.监控和审计对虚拟化服务器的操作SymantecSymposium2011虚拟化服务器的安全防护（面向技术）PresentationIdentifierGoesHere12•从三个方面的防护（物理机/虚拟机）：HostIPSHostIPSHostIDSSymantecSymposium201113SymantecSCSP实时分析服务器上的蛛丝马迹SymantecIPScreatesa“shell”aroundeachprogram&servicethatdefinesacceptablebehavior如何工作…EmailClientOfficeBrowser…MailWebDatabase…DNARPCPrintSpoolerCoreOSServicesApplicationServicesInteractivePrograms文件创建、修改、删除文件设置创建、修改、删除设置系统操作主机操作系统系统、应用和安全日志系统日志&TextLogs1.2.3.1.2.3.Symantec收集器收集事件，并且同IDS签名库（或自定义签名）进行比较一旦满足策略，产生动作记录事件到本地的SCSP日志发送到管理控制台明确允许/禁止的访问SymantecSymposium2011可能产生风险的ESX虚拟化平台例子•错误配置的主机–改变系统默认配置(例如运行虚拟网卡处于监听模式在一个虚拟交换组里面)–开启了FTP服务，导致信息外泄–错误设置了ESXhost(COS)中Linux防火墙规则，导致破坏了保密性和业务连续性•错误配置的虚机–用于测试和实验的虚拟机，休眠以后，可能错过补丁修补，导致成为整个虚拟化平台弱点•远程访问–更改默认配置（如原本保留SSH以禁止直接的root访问）–未添加配置项（如SSL证书，banner），导致远程用户获得非法访问权限•访问控制–访问控制不详尽，不适当的用户授权–缺乏强有力的口令控制–缺乏对COS的root帐号监测SymantecSymposium201115VMWareESXHostandGuestOS同时保护的方案SymantecCriticalSystemProtectionHostIncl.HypervisorGuestGuestGuest•由于网络和安全域管理变得模糊，虚拟系统很容易受到恶意攻击和数据丢失•恶意软件可以利用的虚拟机层，发动攻击到GuestOS，影响安全的关键服务的可用性•提供法规遵从的证明挑战•同时监控虚拟化平台hypervisor/GuestOS的安全性问题•锁定ESXhypervisorandGuestOS安全配置，并且进行分层访问控制•完全覆盖了Vmware最佳安全实践针对虚拟化平台配置•最小的系统性能影响•便于遵从合规要求，提供对文件完整性监控SCSP带来的好处SymantecSymposium2011CompletePolicy16ESXIDSPolicyDevelopmentGoals16IndustryBestPracticesandResearchFeature-richCustomizablePre-setindustryleadingmonitoringcontentPolicydevelopmentgoalsSymantecCriticalSystemProtectionSymantecSymposium201117SCSP中ESX4.1ConsoleOS/HypervisorIDS策略概览17SymantecCriticalSystemProtection•完全实现和覆盖了VMware加固手册中对系统架构的要求，确保安全最大化提供业界领先VMwareESX平台加固内容的实时监控•通过威胁全景知识库，形成更高级别的ESXConsoleOS环境的安全态势提供附加的VMware特定的监控功能提供管理员统一的控制台设置规则/内容/逻辑/行为•对GuestOS的多个sym-link卷的多文件进行监控•产生相同事件类型的时候生成单个事件提供虚拟文件系统环境的调优SymantecSymposium2011SCSP中ESXConsoleOSIPS策略概览•提供ESXHostIPS策略兼容大型的虚拟化数据中心–控制对关键的虚拟化文件/目录的访问–控制VMware的关键命令和工具的执行–控制虚拟机标准网络端口或者其他关键进程–提供限制非ESX必要网络协议的使用–提供一种简单的机制记录VMware重要动作日志–提供最大操作兼容性的VMware系统网络规则列表–提供参考清单方便进行自定义缺省的ESX设置•确保整个虚拟化平台安全策略与执行的一致性加固与防御审计SymantecSymposium2011ESXConsoleOSIPS策略部署建议•先开启全局策略监控模式(“IDS”mode)–部署和观察事件是否是从正常的ESX操作产生的–添加应用程序路径到应用监控列表，以及对ESX重要文件或网络需要有写访问权的第三方工具列表–观察事件结果并且做出调整•为开启IPS保护功能做好准备–定制策略的覆盖范围–定制Root用户的访问限制–定制事件日志的颗粒度–网络控制:仅允许有限出入境地址或者子网范围进行远程系统交互–定制守护进程和命令行工作的执行路径–移除系统中不常用/不需要的协议–定制应用程序黑名单–定制文件参考列表SymantecSymposium2011面向“服务器虚拟化”的安全解决方案20虚拟化服务器的安全加固（面向技术）虚拟化服务器的安全管理（面向运维）1.提供对虚拟化服务器的管理操作：1）创建新的虚机、虚拟网络、虚拟磁盘等2）虚机的开机、关机、挂机、恢复2.提供对虚拟化服务器主机信息、硬件利用率等信息的监控3.有效的安全工作流程监管1.锁定虚拟化平台(VM/Hypervisor)的安全配置2.监控和审计对虚拟化平台的操作SymantecSymposium2011服务器虚拟化运维管理框架及内容•网络运维，主机运维，数据运维PresentationIdentifierGoesHere21基础管理和运维虚拟化管理和运维安全管理和运维•备份与存储虚拟化的管理和运维•虚拟系统Hypervisor的管理和运维（Altiris）•虚拟系统映像管理和运维（生成、发布、备份等）（Altiris）•虚拟机工作流管理（Altirisworkflow）•物理机及虚拟机病毒及补丁管理（Altiris）•虚拟机系统安全配置监控与审计管理（SCSP）•Hypervisor的安全配置管理及运维（SCSP）制度流程作业计划Thankyou!SYMANTECPROPRIETARY/CONFIDENTIAL–INTERNALUSEONLYCopyright©2011SymantecCorporation.Allrightsreserved.22