1.1.1服务器安全解决方案TrendMicroDeepSecurity发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断,符合包括PCI在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。DeepSecurity解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制:1.基于主机的IDS/IPS防护未知漏洞,被未知攻击防护已知攻击防护零日攻击,确保未知漏洞不会被利用2.Web应用防护防护web应用程序的弱点和漏洞防护Web应用程序的历史记录支持PCI规范。3.应用程序控制侦测通过非标准端口进行通讯相关协议限制和设定哪些应用程序能通过网络被访问侦测和阻断恶意软件通过网络进行访问4.基于主机的防火墙5.一致性检查和监控重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等)监控制定的目录灵活并且主动实用的监控审计日志和报表6.日志检查和审计搜集操作系统和应用程序的日志,便于安全检查和审计可疑行为侦测搜集安全行为相关的管理员设定1.1.1.1产品特点数据中心服务器安全架构必须解决不断变化的IT架构问题,包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式,DeepSecurity解决方案可帮助:1.1.1.1.1通过以下方式预防数据泄露和业务中断在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器针对Web和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击帮助您识别可疑活动及行为,并采取主动或预防性的措施1.1.1.1.2通过以下方式实现合规性满足六大PCI合规性要求(包括Web应用程序安全、文件完整性监控和服务器日志收集)及其他各类合规性要求提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间1.1.1.1.3通过以下方式支持降低运营成本提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本效益地实施未预定的补丁为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客户端的必要性及相关成本1.1.1.1.4全面易管理的安全性DeepSecurity解决方案使用不同的模块满足了关键服务器和应用程序的防护要求:DeepSecurity模块据中心要求深度数据包检查防火墙完整性监控日志审计IDS/IPSWeb应用程序防护应用程序控制服务器防护–预防已知攻击和零日攻击–安装补丁之前对漏洞进行防护●●●〇Web应用程序防护–预防SQL注入、跨站点脚本攻击及强力攻击等Internet攻击–满足PCIDSS6.5要求-Web应用程序防火墙●●〇●虚拟化安全–预防已知攻击和零日攻击–安装补丁之前对漏洞进行防护–VMwarevCenter集成增强了可见性和管理●〇●●〇可疑行为检测–预防侦察扫描–检测是否在不合适的端口上使用允许的协议–针对可能发出攻击信号的操作系统及应用程序错误发出警报–针对关键操作系统及应用程序更改发出警报〇●●●●云计算安全–使用防火墙策略隔离虚拟机器–预防已知攻击和零日攻击–安装补丁之前对漏洞进行防护●〇●●●合规性报告–有关对关键服务器所做的所有更改的可见性和审计记录–检查和关联重要安全事件并将其转发到日志记录服务器,以便进行补救、报告和存档–有关配置、检测到的活动及已阻止的活动的报告〇●〇〇●●●=基本〇=优势1.1.1.2产品模块及功能DeepSecurity解决方案使您能够部署一个或多个防护模块,提供恰好适度的防护以满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机,也可以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个DeepSecurity代理部署到服务器或虚拟机,该DeepSecurity代理由DeepSecurity管理器软件集中管理,并在物理、虚拟和云计算环境之间保持一致。1.1.1.2.1深度数据包检查(DPI)引擎实现入侵检测和防御、Web应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流(包括SSL通信流)中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行,以保护操作系统和企业应用程序的漏洞。它可保护Web应用程序,使其免受应用层攻击,包括SQL注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息,包括攻击者、攻击时间及意图利用的漏洞。发生事件时,可通过警报自动通知管理员。DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。1.1.1.2.2入侵检测和防御(IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进行防护,以提供及时保护,使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞(如Microsoft披露的漏洞),使其免受无数次的漏洞攻击。DeepSecurity解决方案对超过100种应用程序(包括数据库、Web、电子邮件和FTP服务器)提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则,无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上:智能规则通过检测包含恶意代码的异常协议数据,针对攻击未知漏洞的漏洞攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件,类似于传统的防病毒软件,都使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是Microsoft主动保护计划(MAPP)的现任成员,DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft收到漏洞信息。这种提前通知有助于预测新出现的威胁,并通过安全更新为双方客户快速有效地提供更及时的防护。1.1.1.2.3WEB应用程序安全DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击,在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。根据客户要求进行的一项渗透测试,我们发现,部署DeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。1.1.1.2.4应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。1.1.1.2.5防火墙减小物理和虚拟服务器的受攻击面DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信,并阻止其他所有端口和协议,降低对服务器进行未授权访问的风险。其功能如下:虚拟机隔离:使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤:通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于IP的协议:通过支持全数据包捕获简化了故障排除,并且可提供宝贵的分析见解,有助于了解增加的防火墙事件–TCP、UDP、ICMP等。侦察检测:检测端口扫描等活动。还可限制非IP通信流,如ARP通信流。灵活的控制:状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题,此问题可能出于正常情况,也可能是攻击的一部分。预定义的防火墙配置文件:对常见企业服务器类型(包括Web、LDAP、DHCP、FTP和数据库)进行分组,确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告:通过详细的日志记录、警报、仪表板和灵活的报告,DeepSecurity防火墙软件模块可捕获和跟踪配置更改(如策略更改内容及更改者),从而提供详细的审计记录。1.1.1.2.6完整性监控监控未授权的、意外的或可疑的更改DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件(如目录、注册表项和值),以检测可疑行为。其功能如下:按需或预定检测:可预定或按需执行完整性扫描。广泛的文件属性检查:使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控,包括:内容、属性(如所有者、权限和大小)以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作,并提供警报。此功能适用于PCIDSS10.5.5要求。可审计的报告:完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog将事件转发到安全信息和事件管理(SIEM)系统。安全配置文件分组:可为各组或单个服务器配置完整性监控规则,以简化监控规则集的部署和管理。基准设置:可创建基准安全配置文件用于比较更改,以便发出警报并确定相应的操作。灵活实用的监控:完整性监控模块提供了灵活性和控制性,可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外,还可根据独特的要求灵活创建自定义规则。1.1.1.2.7日志审计查找日志文件中隐藏的重要安全事件并了解相关信息使用DeepSecurity日志审计软件模块可收集并分析操作系统和应用程序日志,以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。这些事件随后会转发到一个SIEM系统或集中式的日志记录服务器,以便进行关联、报告和存档。DeepSecurity代理还会将事件信息转发到DeepSecurity管理器。日志审计模块的部分优势如下:可疑行为检测:该模块可检测服务器上可能发生的可疑行为。收集您的整个环境中的事件:DeepSecurity日志审计模块能够收集许多事件并将其关联起来,这些事件包括:MicrosoftWindows、Linux和Solaris平台间的事件;来自Web服务器、邮件服务器、SSHD、Samba、MicrosoftFTP等的应用程序事件;自定义应用程序日志事件。关联不同事件:收集各种警告、错误和信息事件并将其关联起来,包括系统消息(如磁盘已满、通信错误、服务事件、关机和系统更新)、应用程序事件(如帐户登录/注销/故障/锁定、应用程序错误和通信错误)、管理员操作(如管理员登录/注销/故障/锁定、策略更改和帐户更改)。有关合规性的可审计报告:可生成安全事件的完整审计记录,以帮助满足合规性要求,如PCI10.6。1.1.1.3产品原理及架构DeepSecurity解决方案架构包含三个组件:DeepSecurity代理,部署在受保护的服务器或虚拟机上。DeepSecurity管理器,提供集中式策略管理、发布安全更新并通过警报和报告进行监控。安全中心,是一种托管门户,专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新,然后由DeepSecurity管理器定期发布这些更新。1.1.1.3.1工作原理DeepSecurity代理接收来自DeepSecurity管理器的安全配置,通常是一个安全配置文件。该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。只需通过执行建议的扫描即可确定对服务器分配哪些规则,此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。对所有规则监控活动都创建事件,随后这些事件将发送到DeepSecurity管理器,或者同时也发送到SIEM系统。DeepSecurity代理和DeepSecurity管理器之间的所有通信都受到相互验证的SSL所保护。DeepSecurity管理器对安全中心发出轮