赛门铁克虚拟化安全解决方案

1赛门铁克数据中心安全解决方案赛门铁克数据中心安全解决方案2数据中心变革与趋势赛门铁克数据中心安全解决方案如何从传统的数据中心发展到软件定义数据中心3服务模式和服务内容评估现有基础架构、IT资产、人员和技术现有资源的整合人员组织的整合技术的整合网络虚拟化服务器虚拟化存储虚拟化桌面虚拟化应用虚拟化服务模式和内容详细设计应用架构和功能设计弹性化设计分布式计算能力应用技术和平台的选择安全性资源调配的自动化服务的自动化度量标准优化服务指标和资源消耗的优化基础架构虚拟化阶段（IaaS）应用平台云化阶段（PaaS&SaaS）赛门铁克数据中心安全解决方案软件定义数据中心（SDDC）4SOFTWARE-DEFINEDDATACENTER所有的基础设施资源都将被虚拟化并以服务的方式提供，数据中心可通过软件实现自动化的管控。赛门铁克数据中心安全解决方案数据中心虚拟化的应用路线安全解决方案实际应用切入点这是安全问题虚拟化应用主要困扰来自于安全与合规5赛门铁克数据中心安全解决方案愿景:为软件定义数据中心提供全面可靠的安全服务驱动力成本速度灵活性抵抗力安全税合规要求复杂性数据中心未来是软件定义，这将会是动态和应用为中心的。数据中心安全计算资源和存储虚拟化网络虚拟化软件定义服务公有云与私有云资源Software-DefinedDataCenter应用与安全策略自动化与服务管理6赛门铁克数据中心安全解决方案7SymantecDataCenterSecurity|无代理恶意代码防护|物理或虚拟服务器的安全防护||VMwareNSX无缝集成|基于安全标记的自动化工作流|赛门铁克数据中心安全解决方案赛门铁克数据中心安全解决方案—保护虚拟化基础架构8CCSVSMCCSVMCCSSMSDCSSecurityZoneSecurityZone通过NSX集成，提供无代理的恶意软件防护；基于Agen-based的方式为物理或虚拟主机提供安全加固无代理恶意软件防护虚拟或物理主机加固DCSManagervCenter及云管理平台vCLISecurityZone通过集中的管理平台管理部署安全策略或收集日志关键系统保护管理服务器通过安全虚拟设备提供了针对VMware基础架构的无代理恶意软件防护,并为软件定义的数据提供安全业务流程和自动化工作流程策略。最低性能影响的客户端代理为物理和虚拟服务器提供基于策略服务器安全监控和保护基于安全标记的自动化工作流主要价值SVAVMwareNSX赛门铁克数据中心安全解决方案主机安全主机安全加固过的安全基础设施VM最大化虚拟机安全VM最大化虚拟机的安全VM高级安全需求安全控制需要依赖于特定的操作系统或者网络基础设施安全部署到每一个节点上，将会增加部署成本和安全消耗扩展将会持续加大安全消耗交付一个服务在软件定义数据中心安全部署作为一个虚拟主机(靠近工作负责)动态扩展满足增加的负载需求(通过增加更多SVAs)9SVA基本安全传统的安全方式软件定义数据中心安全9赛门铁克数据中心安全解决方案赛门铁克数据中心安全解决方案赛门铁克DataCenterSecurity6.0产品架构SymantecDataCenterSecuritySuiteSDCS:ServerAdvancedIDS/IPS(Servers)SDCS:ServerAgent-lessAVIDS/IPS(vSphere)SCSPClientEditionIDS/IPS(Clients)赛门铁克数据中心安全解决方案赛门铁克DataCenterSecurity产品架构1111赛门铁克数据中心安全解决方案12ScaleoutProtectionScaleupProtection赛门铁克DataCenterSecurity安全防护架构WindowsVMWindowsVMLinWindows,Linux,Unix®SymantecAdvancedAgentWindows®VMVMwarevSphere®&VMwareNSX™SymantecSecurityVirtualApplianceLinux®VMAdvancedAgentAdvancedAgentAdvancedAgentVirtualServers(VM’s)PhysicalServers赛门铁克数据中心安全解决方案赛门铁克DCS:Server6.0可缩放的安全防护•集成到Vmware最新NSX技术–提供无Agent的病毒防护–赛门铁克文件信誉技术–自动化伸缩满足数据中心增长•强化VMware的网络与服务虚拟化安全–集成安全策略到统一安全管理平台，可用弹性控制安全部署1313赛门铁克数据中心安全解决方案DataCenterSecurity:ServerAdvanced6.0可伸缩的安全防护•加大数据中心安全控制能力–新一代的SCSP产品功能•将会服务器加固过程–根据安全策略提供规则向导•保护技术；智能白名单、进程、基本–无需事先了解服务器应用程序•应用程序的发现与信誉机制–选择应用程序和沙箱保护方式•应用程序配置文件•开箱即用的默认沙箱•针对特定复杂应用定制的沙箱技术例如：(domaincontroller,database,mailandweb)•所有已经存在SCSP的功能1414赛门铁克数据中心安全解决方案15DataCenterSecurity:ServerAdvanced6.0审计与告警功能系统控制网络保护弱点防护保护应用程序白名单：加强传统的白名单技术提供内置的应用程序与系统级别的应用防护应用为中心的安全模型：简化服务器加固模型，引入策略向导和保护模式，摆脱原先以技术规则为主设置沙箱与进程访问控制：增加新的进程访问控制的策略提供开箱可用策略保护.如下关键应用（Web,Email,Database,andDomainControllerservers）赛门铁克数据中心安全解决方案提供实时的可视化管理与控制满足合规要求16提供针对0-day攻击与APT攻击的安全防护让安全满足软件定义数据中心的体系结构16加固过期的系统并且提供化解攻击方案赛门铁克数据中心安全解决方案赛门铁克DataCenterSecurity的价值分析17CCSVirtualizationSecurityManager|实时监控vCenter账号|细粒度的基于角色和资源的授权管理||完整的审计记录|加强的双因素认证|关键操作的二次认证审核|赛门铁克数据中心安全解决方案赛门铁克虚拟安全管理解决方案—提供虚拟化安全集中管理与审计18CCSVSMCCSVMCCSSMSDCS赛门铁克CCSVSM提供对宿主机和vCenter维护配置过程中的用户识别、权限控制、操作审计，还可以提供宿主机的安全配置基线评估与自动修复。•实时监控及检测可疑vCenter账号行为•基于角色或资源的细粒度授权管理，确保职责分离和最小授权等原则•提供完整的操作审计日志，实现对用户行为的审计和追溯。•集成双因素认证，强化对虚拟化平台的访问保护•对关键操作的二次认证审核，防止误操作或权限滥用等风险主要价值赛门铁克数据中心安全解决方案19数据中心的虚拟化安全管理解决方案之概述赛门铁克CCSVSM虚拟化安全管理控制平台作为虚拟化架构的网关访问设备，有效降低数据中心虚拟化安全风险密度，减少虚拟化数据中心发生潜在灾难性的安全事故的可能性，并提供虚拟化环境下的可见性和全方位控制。赛门铁克数据中心安全解决方案20数据中心的虚拟化安全管理解决方案之界面赛门铁克数据中心安全解决方案21数据中心的虚拟化安全管理解决方案之功能特征赛门铁克CCSVSM为安全及法规遵从管理、策略强制和操作审计提供了集中统一的控制点，并详细记录所有虚拟化基础架构的访问和变更等操作。CCSVSM的管理员可以基于用户角色定义详细的访问控制策略，包括能够访问的个体的虚拟化对象（虚拟机、网络或存储等）或限制仅能访问与工作相关的虚拟化资源。赛门铁克数据中心安全解决方案数据中心的虚拟化安全管理解决方案22赛门铁克CCSVirtualizationSecurityManager消除下一代数据中心所面临的风险集中化问题，从而促进更广泛的虚拟化应用，更快速的采用私有云平台。赛门铁克数据中心安全解决方案23VSMVSMVirtualApplianceProtectsVMwareInfrastructureVSMforinspectionZagatoVirtualAppliance赛门铁克数据中心安全解决方案数据中心的虚拟化安全管理解决方案之部署架构颗粒度的访问控制策略•GroupswithinAD,Usedfoauthenticationandauthorization•RoleswithinVSM,Privileges:PoweronVM/CreatevSwitch•ObjectswithinvCenter,Images,Networks,Hosts24赛门铁克数据中心安全解决方案配置安全评估与审计日志25赛门铁克数据中心安全解决方案操作日志详细记录26赛门铁克数据中心安全解决方案27赛门铁克数据中心安全解决方案数据中心的虚拟化安全管理解决方案之二次审批28CCSStandardManager|实时监控及检测vCenter账号|细粒度的基于角色和资源的授权管理||完整的审计记录|与vCenter紧密集成|关键操作的二次认证审核|赛门铁克数据中心安全解决方案赛门铁克虚拟安全管理解决方案—提供虚拟化服务器安全管理29CCSVSMCCSVMCCSSMSDCSSecurityZoneSecurityZone在关键业务服务器上部署CCSSM的代理，对其进行配置基线检查及合规审计虚拟化关键业务服务器配置检查及合规审计CCSSM管理平台SecurityZone管理服务器虚拟化部署管理服务器•虚拟化服务器的合规审计•虚拟化服务器的安全测量•虚拟化服务器的配置检查主要功能赛门铁克数据中心安全解决方案数据中心配置管理管理解决方案301.定义标准3.分析修复2.管理或未管理的资产评估•自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。•预定义且分类打包的安全配置条目，包含例外管理•支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集基础架构数据赛门铁克数据中心安全解决方案31数据中心配置管理管理解决方案赛门铁克数据中心安全解决方案数据中心配置管理管理解决方案32agentSymantecCCSStandardManager虚拟关键服务器的安全测量agentagent支持主流的操作系统和应用的配置评估虚拟化服务器的合规审计虚拟化服务器的安全测量虚拟化服务器的配置检查赛门铁克数据中心安全解决方案33查看结果调度策略运行时间定制模块添加模块创建策略数据中心配置管理管理解决方案CCSSM实现策略遵从，提供虚拟化安全配置最佳实践赛门铁克数据中心安全解决方案自动化评估IT基础架构安全配置341.定义标准3.分析修复2.管理或未管理的资产评估•自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。•预定义且分类打包的安全配置条目，包含例外管理•支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集基础架构数据赛门铁克数据中心安全解决方案35CCSVulnerabilityManager|虚拟化基础架构的漏洞扫描|虚拟化环境下资产自动识别||基于安全域的动态部署模型|与vCenter紧密|动态虚拟资产分组|赛门铁克数据中心安全解决方案赛门铁克虚拟安全管理解决方案—提供虚拟化环境漏洞管理36CCSVSMCCSVMCCSSMSDCSSecurityZoneSecurityZone每个安全域内部署一套扫描引擎，扫描各个区域的安全风险虚拟化漏洞扫描引擎SecurityZone通过集中的漏洞管理服务器收集每区域的漏洞扫描情况，同时集成vCenter虚拟化漏洞扫描管理服务器VMManagerCCSVM支持基于安全域的动态部署CCSVM支持对虚拟化基础架构漏洞的扫描CCSVM自动发