企業(yè)虛擬化環(huán)境中的安全防護(hù)

1虛擬化簡(jiǎn)介

    1．1虛擬化的基本概念

    早在上世紀(jì)60年代，美國(guó)的計(jì)算機(jī)學(xué)術(shù)界就開(kāi)始了虛擬技術(shù)的萌芽。1959年6月在國(guó)際信息處理大會(huì)上，克里斯托弗的一篇《計(jì)算機(jī)分時(shí)應(yīng)用》的論文，被認(rèn)為是虛擬化技術(shù)的最早論述。

    所謂虛擬化，是指將單臺(tái)電腦／服務(wù)器軟件環(huán)境分割為多個(gè)獨(dú)立分區(qū)，每個(gè)分區(qū)均可以按照需要模擬電腦／服務(wù)器的一項(xiàng)技術(shù)。它的技術(shù)實(shí)質(zhì)是通過(guò)中間層次實(shí)現(xiàn)計(jì)算資源的管理和再分配，使資源利用實(shí)現(xiàn)最大化。

    以市場(chǎng)占有率來(lái)說(shuō)，目前提供企業(yè)虛擬化的主要產(chǎn)品有VMware的vShpere、微軟Hyper-V以及Ctrix的XenServer／XenDesktop等，此次課題研究將圍繞市場(chǎng)占有率最高、普及最廣的VMware廠(chǎng)家的虛擬化技術(shù)展開(kāi)。

    1．2虛擬化的優(yōu)勢(shì)

    虛擬化之所以成為IT領(lǐng)域的新寵，必有其不可取代的獨(dú)到之處，那么其魅力究竟何在呢?

    1．2．1降低運(yùn)營(yíng)成本

    在過(guò)去的物理系統(tǒng)中，如果出現(xiàn)硬件老化或機(jī)房擴(kuò)建的需求時(shí)，企業(yè)必須花費(fèi)一筆不小的費(fèi)用用于新設(shè)備的采購(gòu)，而在選擇虛擬化方案后，IT設(shè)備的采購(gòu)費(fèi)用花銷(xiāo)不再是令人頭疼的問(wèn)題。虛擬化軟件提供的資源共享，將原先眾多的硬件設(shè)備整合到虛擬化環(huán)境中，這資源池的概念為用戶(hù)降低了機(jī)房的運(yùn)維成本：

    (1)大大縮減了用戶(hù)每年在硬件采購(gòu)與機(jī)房運(yùn)營(yíng)成本(包括供電、制冷和場(chǎng)地)；

    (2)另一方面，隨著VMware在更多低成本硬件上得到認(rèn)可，以及該套件不斷擴(kuò)展以適應(yīng)最苛刻的企業(yè)工作負(fù)載條件，VMware Infrastructure帶來(lái)的成本節(jié)約空間將越來(lái)越大。

    1．2．2提高硬件資源效率

    隨著網(wǎng)絡(luò)環(huán)境的過(guò)度膨脹，加上服務(wù)器的空間、耗電、散熱成本不斷提高，CPU等資源利用率過(guò)低，使得虛擬機(jī)廠(chǎng)家開(kāi)始將目標(biāo)放在“單個(gè)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)環(huán)境。”這樣可以讓每一個(gè)系統(tǒng)服務(wù)(如數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)服務(wù)器)在單個(gè)的操作系統(tǒng)上運(yùn)行，而多個(gè)操作系統(tǒng)可以在同一臺(tái)物理服務(wù)器上并行運(yùn)行，不但保持了服務(wù)間隔，更讓前面的問(wèn)題迎刃而解。

    1．2．3管理的優(yōu)勢(shì)

    虛擬化提供的功能可以將IT管理人員再度合并。一個(gè)人管理上千臺(tái)服務(wù)器不再是夢(mèng)想，不但可以讓機(jī)器有高效性，公司的人事也可以有高效性，當(dāng)然，完善的管理功能必須創(chuàng)建在良好的架構(gòu)之上。

    1．2．4高可用性

    在服務(wù)器合并之后，大家發(fā)現(xiàn)虛擬機(jī)的功能不僅于此。由于虛擬機(jī)的硬件在抽象化之后，比物理機(jī)的應(yīng)用更有彈性。再加上特殊的硬件和設(shè)計(jì)之后企業(yè)最在乎高可用性(High Availability)。冗余、負(fù)載均衡、副本等從前必須靠復(fù)雜技術(shù)或是昂貴設(shè)備才能解決的問(wèn)題，使用虛擬化可以一并解決。

    此外，虛擬化更可以解決當(dāng)前設(shè)備無(wú)法解決的問(wèn)題，包括動(dòng)態(tài)主機(jī)遷移、快捷刪除數(shù)據(jù)、統(tǒng)一桌面管理，甚至是創(chuàng)建永遠(yuǎn)不會(huì)藍(lán)屏的企業(yè)集成環(huán)境。

2虛擬化環(huán)境中的安全隱患

    虛擬化的眾多好處，讓人們認(rèn)為系統(tǒng)管理員在虛擬化架構(gòu)實(shí)施后便能高枕無(wú)憂(yōu)，可惜的是現(xiàn)實(shí)狀況告訴用戶(hù)這一切只是我們對(duì)于虛擬化效果的過(guò)度期望——虛擬化技術(shù)打破了傳統(tǒng)系統(tǒng)的架構(gòu)后，在解放管理員于繁雜的管理維護(hù)工作的同時(shí)，也為系統(tǒng)安全帶來(lái)了新的威脅。由于設(shè)計(jì)虛擬化方案的專(zhuān)家一般并不是非常了解安全防護(hù)知識(shí)，導(dǎo)致整個(gè)虛擬化設(shè)計(jì)方案中，都沒(méi)有特別考慮到安全防護(hù)的環(huán)節(jié)。

    可以看出，在新的虛擬化架構(gòu)中，人、流程和技術(shù)必須進(jìn)行相應(yīng)的調(diào)整。因此，我們必須全面地了解這個(gè)技術(shù)獨(dú)有的新風(fēng)險(xiǎn)和安全挑戰(zhàn)。接下來(lái)的章節(jié)將闡述虛擬化環(huán)境的幾個(gè)主要的安全問(wèn)題。

    2．1隔離

    為了安全地整合服務(wù)器，實(shí)現(xiàn)在一臺(tái)物理服務(wù)器上運(yùn)行多個(gè)虛擬機(jī)，虛擬化使用邏輯隔離來(lái)提供物理獨(dú)立的感覺(jué)。我們無(wú)法再通過(guò)網(wǎng)線(xiàn)和其他物理對(duì)象來(lái)確定主機(jī)是否分隔，我們依靠的是虛擬機(jī)管理程序和其他基于軟件的組件來(lái)確認(rèn)這一點(diǎn)。當(dāng)工作負(fù)載是來(lái)自共享同一個(gè)硬件的擁有不同可信任級(jí)別的用戶(hù)時(shí)，這會(huì)變得越來(lái)越重要。為了正確地包含信息，管理員必須特別地關(guān)注影響虛擬機(jī)和網(wǎng)絡(luò)隔離的配置設(shè)備，同時(shí)持續(xù)地監(jiān)控整個(gè)基礎(chǔ)架構(gòu)中可能導(dǎo)致敏感數(shù)據(jù)泄漏的變更。

    2．2服務(wù)器生命周期和變更控制

    補(bǔ)丁管理和變更控制對(duì)于保持操作平穩(wěn)和安全運(yùn)行是至關(guān)重要的。它可以通過(guò)及時(shí)申請(qǐng)重要安全修復(fù)來(lái)實(shí)現(xiàn)。事實(shí)上， 許多IT組織已經(jīng)圍繞服務(wù)器維護(hù)建立了一個(gè)精密、科學(xué)的環(huán)境，這是非常重要的。毫無(wú)疑問(wèn)，組織每年都會(huì)投入大量的時(shí)間和精力來(lái)維護(hù)數(shù)據(jù)中心的服務(wù)器。虛擬化的出現(xiàn)改變了游戲規(guī)則，從而增加了復(fù)雜性。服務(wù)器不再持續(xù)地運(yùn)行；而虛擬機(jī)是可以停止、啟動(dòng)、暫停甚至重新返回最初的狀態(tài)的。主機(jī)所配置和部署的速度也顯著提高。過(guò)去需要花費(fèi)數(shù)小時(shí)才能完成的配置，現(xiàn)在只需幾秒或幾分鐘就可以完成。其結(jié)果就是形成了一個(gè)高度動(dòng)態(tài)的環(huán)境，主機(jī)可以在不需要監(jiān)控的情況下快速地引入到數(shù)據(jù)中心，而安全漏洞可以被忽視或根據(jù)虛擬機(jī)的狀態(tài)被重新引入。安全專(zhuān)業(yè)人員必須全面地了解哪些虛擬機(jī)是正在部署的，哪些是目前正在運(yùn)行的，最后一次打補(bǔ)丁是什么時(shí)候以及它們的擁有者是誰(shuí)。

    2．3虛擬機(jī)移動(dòng)性

    移動(dòng)性，在虛擬化語(yǔ)言中指的是虛擬機(jī)自動(dòng)將其本身和資源重定位到另一個(gè)位置。

    圖1虛擬機(jī)移動(dòng)性示意圖

    這個(gè)被高度認(rèn)可的功能也可能產(chǎn)生一些問(wèn)題。在一個(gè)傳統(tǒng)的數(shù)據(jù)中心中，物理服務(wù)器“A”可能被放置在第5行第8個(gè)機(jī)架的插槽3上。而在一個(gè)混合數(shù)據(jù)中心，虛擬機(jī)“B”則無(wú)法簡(jiǎn)單地定位。作為資源池的一部分，服務(wù)器“B”可能分布在多個(gè)物理資源上。如果配置了移動(dòng)性，虛擬機(jī)可以重新定位到另外一臺(tái)物理服務(wù)器上，不管是作為災(zāi)難預(yù)備的自動(dòng)化過(guò)程的一部分或是用于響應(yīng)性能閾值。虛擬機(jī)的移動(dòng)性意味著增加數(shù)據(jù)中心的靈活性，減少時(shí)間和開(kāi)支，但是它同時(shí)也引進(jìn)了類(lèi)似于筆記本電腦和大型動(dòng)態(tài)主機(jī)配置協(xié)議(D H C P)環(huán)境的安全問(wèn)題。

    針對(duì)于傳統(tǒng)服務(wù)器和網(wǎng)絡(luò)的靜態(tài)策略和其他安全機(jī)制可能很容易混淆。安全產(chǎn)品可以在多個(gè)物理和虛擬環(huán)境中智能地操作，并通過(guò)整合平臺(tái)和管理API實(shí)現(xiàn)基礎(chǔ)架構(gòu)感知，從而使管理員能夠?qū)Ω鞣N安全區(qū)域的虛擬機(jī)移動(dòng)性進(jìn)行控制。

    2．4虛擬網(wǎng)絡(luò)安全性

    網(wǎng)絡(luò)和服務(wù)器不再是數(shù)據(jù)中心內(nèi)兩個(gè)獨(dú)立區(qū)分的層。虛擬化會(huì)造成一些復(fù)雜網(wǎng)絡(luò)環(huán)境，它們?cè)诜��?wù)器本身的界限是完全虛擬化的。這些虛擬網(wǎng)絡(luò)會(huì)促進(jìn)服務(wù)器中的虛擬機(jī)通信，同時(shí)共享物理交換機(jī)和其他傳統(tǒng)網(wǎng)絡(luò)裝置所使用的許多相同特性。在數(shù)據(jù)中心，用于表示l臺(tái)服務(wù)器的一個(gè)物理端口可能表示10臺(tái)或者上百臺(tái)虛擬服務(wù)器，并且對(duì)于我們?nèi)绾伪ＷC數(shù)據(jù)中心網(wǎng)絡(luò)安全造成巨大影響。在同一臺(tái)物理服務(wù)器中，虛擬機(jī)之間的網(wǎng)絡(luò)流量并不會(huì)離開(kāi)主機(jī)，也不會(huì)被物理網(wǎng)絡(luò)中的傳統(tǒng)網(wǎng)絡(luò)安全裝置檢測(cè)到。這些盲點(diǎn)，特別是在不同信任層的虛擬機(jī)中，必須通過(guò)運(yùn)行在虛擬基礎(chǔ)架構(gòu)中的附加保護(hù)層進(jìn)行妥善地保護(hù)。

    2．5操作職責(zé)的分離

    職責(zé)分離和最小特權(quán)的策略是很重要的安全原則，它們可用于限制IT管理員管理資源和執(zhí)行日常任務(wù)的權(quán)限。服務(wù)器管理往往是由服務(wù)器管理員負(fù)責(zé)的，而網(wǎng)絡(luò)管理是由網(wǎng)絡(luò)管理員負(fù)責(zé)，安全專(zhuān)業(yè)人員則與兩個(gè)團(tuán)隊(duì)一起工作，同時(shí)還負(fù)責(zé)。

    他們自己的特定任務(wù)。虛擬化已經(jīng)改變了這些部門(mén)的自然邊界和分界線(xiàn)。服務(wù)器和網(wǎng)絡(luò)任務(wù)都可以通過(guò)一個(gè)虛擬管理控制臺(tái)進(jìn)行管理，從而帶來(lái)了必須克服的新的運(yùn)營(yíng)挑戰(zhàn)。組織必須清晰定義正確的身份和訪(fǎng)問(wèn)管理策略，允許管理員和安全專(zhuān)業(yè)人員正確地維護(hù)和保證虛擬環(huán)境安全，而不會(huì)向無(wú)關(guān)人員分配過(guò)多權(quán)限。

    2．6軟件附加層

    由于數(shù)據(jù)中心引進(jìn)了虛擬化，因此實(shí)現(xiàn)軟件也需要額外的代碼——從控制虛擬機(jī)的管理控制臺(tái)到提供技術(shù)基礎(chǔ)的虛擬機(jī)管理程序。同樣地，由于x86虛擬化的某些普遍性、可達(dá)性和相對(duì)的不成熟，因此也出現(xiàn)了一些與虛擬化軟件相關(guān)的新漏洞。此外，從供應(yīng)商到漏洞分析和發(fā)布是高度機(jī)密的。很多信息披露可以歸咎于虛擬化軟件堆棧所打包的第三方代碼，而供應(yīng)商正在采取措施減少他們的軟件的足跡和對(duì)無(wú)法控制代碼的依賴(lài)。然而，毫無(wú)疑問(wèn)，無(wú)故障代碼大部分都是做不到的，特別是在供應(yīng)商將復(fù)雜功能整合到他們的平臺(tái)上的情況下。組織必須將虛擬化作為他們最重要的應(yīng)用程序，同時(shí)提供恰當(dāng)?shù)姆雷o(hù)以便應(yīng)付這些風(fēng)險(xiǎn)。

    總結(jié)出虛擬化環(huán)境中的這些常見(jiàn)安全隱患后，下面我們就將列舉出幾個(gè)常見(jiàn)的安全防護(hù)解決方案，并對(duì)每個(gè)方案的特點(diǎn)作出相應(yīng)解釋與說(shuō)明。

3常見(jiàn)的虛擬化安全防護(hù)解決方案

    3．1 vShield

    對(duì)于想要充分利用云計(jì)算的優(yōu)勢(shì)，同時(shí)又不想犧牲安全性、控制力或遵從性的公司而言，VMware vShield安全解決方案系列可為其虛擬數(shù)據(jù)中心和云計(jì)算環(huán)境提供全面的保護(hù)。vShirld可提供網(wǎng)絡(luò)入侵防范，將用于端點(diǎn)的防病毒和惡意軟件防護(hù)性能提高一個(gè)數(shù)量級(jí)上，提高敏感數(shù)據(jù)的可見(jiàn)性和控制力，并且促進(jìn)整個(gè)企業(yè)內(nèi)的IT遵從性實(shí)現(xiàn)，從而幫助公司加強(qiáng)應(yīng)用程序和數(shù)據(jù)的安全。

    3．1．1基本功能

    1)保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用程序的安全

    vShield解決方案使客戶(hù)可以輕松地為同一虛擬數(shù)據(jù)中心內(nèi)分屬不同信任級(jí)別的應(yīng)用程序(例如生產(chǎn)和開(kāi)發(fā)、財(cái)務(wù)和銷(xiāo)售、機(jī)密和非機(jī)密應(yīng)用程序等)提供支持。vShield中的虛擬化管理程序級(jí)防火墻可以確保對(duì)所有部署的應(yīng)用程序都實(shí)施正確的分段和信任區(qū)域。

    2)保護(hù)虛擬桌面部署的安全

    通過(guò)與VMware View集成，vShield可以為虛擬端點(diǎn)和應(yīng)用程序提供更有效的防病毒和防惡意軟件保護(hù)。為實(shí)現(xiàn)這一點(diǎn)，它將防病毒和防惡意軟件功能從各個(gè)虛擬機(jī)卸載到用于保護(hù)主機(jī)及主機(jī)上的所有虛擬機(jī)的安全虛擬機(jī)上。這種方法既簡(jiǎn)化了安全管理的過(guò)程，又加強(qiáng)了對(duì)防病毒“風(fēng)暴”、性能瓶頸和僵尸網(wǎng)絡(luò)攻擊的防范。

    圖2保護(hù)虛擬桌面部署的安全

    vShield還可以通過(guò)全面的網(wǎng)絡(luò)隔離以及防火墻、虛擬專(zhuān)用網(wǎng)(VPN)和動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)等一系列網(wǎng)關(guān)服務(wù)，幫助組織圍繞虛擬桌面基礎(chǔ)架構(gòu)創(chuàng)建邏輯安全邊界。

    3)通過(guò)敏感數(shù)據(jù)發(fā)現(xiàn)功能降低違規(guī)風(fēng)險(xiǎn)

    組織可以使用vShield App with Data Security準(zhǔn)確地發(fā)現(xiàn)和報(bào)告非結(jié)構(gòu)化文件中的敏感數(shù)據(jù)。借助80多個(gè)預(yù)定義的國(guó)家／地區(qū)和行業(yè)特定的法規(guī)模板，它可以快速識(shí)別和報(bào)告敏感數(shù)據(jù)泄漏。此外，它通過(guò)將數(shù)據(jù)發(fā)現(xiàn)功能卸載到虛擬設(shè)備來(lái)提高性能。

    4)保護(hù)多租戶(hù)環(huán)境的安全

    vShield解決方案可通過(guò)創(chuàng)建為虛擬數(shù)據(jù)中心提供完全網(wǎng)絡(luò)隔離的邏輯安全區(qū)域，使企業(yè)和云計(jì)算服務(wù)提供商可以輕松支持多租戶(hù)IT環(huán)境，并安全地共享網(wǎng)絡(luò)資源。vShield還可以精確地控制和提供詳盡的網(wǎng)關(guān)流量信息，此外還可提供VPN服務(wù)，用于保護(hù)虛擬數(shù)據(jù)中心之間的通信保密性和完整性。

    圖3保護(hù)多租戶(hù)環(huán)境的安全

    3．2趨勢(shì)科技Deep Security

    趨勢(shì)科技的Deep Security正是針對(duì)VMware開(kāi)放的API端口，將自身的防毒處理整合到虛擬化平臺(tái)中，主要特點(diǎn)是能夠加快查毒效率、并且終端無(wú)需安裝代理。

    Deep Security解決方案架構(gòu)包含三個(gè)組件：Deep Security代理，部署在受保護(hù)的服務(wù)器或虛擬機(jī)上。

    Deep Security管理器，提供集中式策略管理、發(fā)布安全更新并通過(guò)警報(bào)和報(bào)告進(jìn)行監(jiān)控。

    安全中心，是一種托管門(mén)戶(hù)，專(zhuān)業(yè)漏洞研究團(tuán)隊(duì)針對(duì)新出現(xiàn)的威脅通過(guò)該門(mén)戶(hù)開(kāi)發(fā)規(guī)則更新，然后由Deep Security管理器定期發(fā)布這些更新。

    3．2．1工作原理

    Deep Security代理接收來(lái)自Deep Security管理器的安全配置，通常是一個(gè)安全配置文件。該安全配置包含對(duì)服務(wù)器強(qiáng)制執(zhí)行的深度數(shù)據(jù)包檢查、防火墻、完整性監(jiān)控及日志審計(jì)規(guī)則。只需通過(guò)執(zhí)行建議的掃描即可確定對(duì)服務(wù)器分配哪些規(guī)則，此過(guò)程將掃描服務(wù)器上已安裝的軟件并建議需要采用哪些規(guī)則保護(hù)服務(wù)器。對(duì)所有規(guī)則監(jiān)控活動(dòng)都創(chuàng)建事件，隨后這些事件將發(fā)送到Deep Security管理器，或者同時(shí)也發(fā)送到SIEM系統(tǒng)。Deep Security代理和Deep Seeurity管理器之間的所有通信都受到相互驗(yàn)證的SSL所保護(hù)。

    Deep Security管理器對(duì)安全中心發(fā)出輪詢(xún)，以確定是否存在新的安全更新。存在新的更新時(shí)，Deep Security管理器將獲取該更新，然后便可通過(guò)手動(dòng)或自動(dòng)方式將該更新應(yīng)用于需要其額外保護(hù)的服務(wù)器。Deep Security管理器和安全中心之間的通信也受到相互驗(yàn)證的SSL所保護(hù)。DeepSecurity管理器還連接到IT基礎(chǔ)架構(gòu)的其他元素，以簡(jiǎn)化管理。Deep Security管理器可連接到VMware vCenter，也可連接到Microsoft ActiveDirectory等目錄，以獲取服務(wù)器配置和分組信息。Deep Security管理器還擁有Web服務(wù)API，可用于程式化地訪(fǎng)問(wèn)功能。

    安全中心對(duì)漏洞信息的公共和私有源都進(jìn)行監(jiān)控，以保護(hù)客戶(hù)正在使用的操作系統(tǒng)和應(yīng)用程序。

    3．2．2主要功能模塊

    1)Deep Security管理器

    Deep Security解決方案提供實(shí)用且經(jīng)過(guò)驗(yàn)證的控制，可解決棘手的安全問(wèn)題。有關(guān)操作且具有可行性的安全不僅讓您的組織獲知安全事件，還可幫助了解安全事件。在許多情況下，這種安全就是提供有關(guān)事件發(fā)起者、內(nèi)容、時(shí)間和位置的信息，以便組織可以正確理解事件然后執(zhí)行相應(yīng)操作，而不僅僅是告訴組織安全控制本身執(zhí)行了什么操作。Deep Security管理器軟件滿(mǎn)足了安全和操作雙重要求，其功能如下：

    (1)集中式的、基于Web的管理系統(tǒng)：通過(guò)一種熟悉的、資源管理器風(fēng)格的用戶(hù)界面創(chuàng)建和管理安全策略，并跟蹤記錄威脅以及為響應(yīng)威脅而采取的預(yù)防措施。

    (2)詳細(xì)報(bào)告：內(nèi)容詳盡的報(bào)告記錄了未遂的攻擊，并提供有關(guān)安全配置和更改的可審計(jì)歷史記錄。

    (3)建議掃描：識(shí)別服務(wù)器和虛擬機(jī)上運(yùn)行的應(yīng)用程序，并建議對(duì)這些系統(tǒng)應(yīng)用哪些過(guò)濾器，從而確保提供事半功倍的正確防護(hù)。

    (4)風(fēng)險(xiǎn)排名：可根據(jù)資產(chǎn)價(jià)值和漏洞信息查看安全事件。

    (5)基于角色的訪(fǎng)問(wèn)：可使多個(gè)管理員(每個(gè)管理員具有不同級(jí)別的權(quán)限)對(duì)系統(tǒng)的不同方面進(jìn)行操作并根據(jù)各自的角色接收相應(yīng)的信息。

    (6)可自定義的儀表板：使管理員能夠?yàn)g覽和追溯至特定信息，并監(jiān)控威脅及采取的預(yù)防措施。可創(chuàng)建和保存多個(gè)個(gè)性化視圖。

    (7)預(yù)定任務(wù)：可預(yù)定常規(guī)任務(wù)(如報(bào)告、更新、備份和目錄同步)以便自動(dòng)完成。

    2)Deep Security代理

    Deep Security代理是Deep Security解決方案中的一個(gè)基于服務(wù)器的軟件組件，實(shí)現(xiàn)了IDS／IPS、Web應(yīng)用程序防護(hù)、應(yīng)用程序控制、防火墻、完整性監(jiān)控以及日志審計(jì)。它可通過(guò)監(jiān)控出入通信流中是否存在協(xié)議偏離、發(fā)出攻擊信號(hào)的內(nèi)容或違反策略的情況，對(duì)服務(wù)器或虛擬機(jī)實(shí)行防御。必要時(shí)，Deep Security代理會(huì)通過(guò)阻止惡意通信流介入威脅并使之無(wú)效。

    3)安全中心

    安全中心是Deep Security解決方案中不可或缺的一部分。它包含一支由安全專(zhuān)家組成的動(dòng)態(tài)團(tuán)隊(duì)，這些專(zhuān)家在發(fā)現(xiàn)各種新的漏洞和威脅時(shí)便提供及時(shí)快速的響應(yīng)，從而幫助客戶(hù)對(duì)最新威脅做到防患于未然；同時(shí)，安全中心還包含一個(gè)用于訪(fǎng)問(wèn)安全更新和信息的客戶(hù)門(mén)戶(hù)。安全中心專(zhuān)家采用一套由復(fù)雜的自動(dòng)化工具所支持的嚴(yán)格的六步快速響應(yīng)流程：

    (1)監(jiān)控：對(duì)超過(guò)100個(gè)公共、私有和政府?dāng)?shù)據(jù)源進(jìn)行系統(tǒng)化的持續(xù)監(jiān)控，以識(shí)別新的相關(guān)威脅和漏洞，并將其關(guān)聯(lián)起來(lái)。安全中心研究人員利用與不同組織的關(guān)系，獲取有關(guān)漏洞的早期(有時(shí)是預(yù)發(fā)布)信息，從而向客戶(hù)提供及時(shí)、準(zhǔn)確的防護(hù)。這些來(lái)源包括Microsoft、Oracle及其他供應(yīng)商顧問(wèn)、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。

    (2)確定優(yōu)先級(jí)：然后根據(jù)客戶(hù)風(fēng)險(xiǎn)評(píng)估及服務(wù)等級(jí)協(xié)議確定漏洞的優(yōu)先級(jí)，以做進(jìn)一步分析。

    (3)分析：對(duì)漏洞執(zhí)行深入分析，確定需要采取的必要防護(hù)措施。

    (4)開(kāi)發(fā)和測(cè)試：然后開(kāi)發(fā)出可對(duì)漏洞實(shí)行防護(hù)的軟件過(guò)濾器以及可推薦過(guò)濾器的規(guī)則，并進(jìn)行廣泛的測(cè)試，以便最大限度地降低誤測(cè)率，并確保客戶(hù)能夠快速、順利地部署這些過(guò)濾器和規(guī)則。

    (5)交付：將新過(guò)濾器作為安全更新交付給客戶(hù)。當(dāng)新的安全更新發(fā)布時(shí)，客戶(hù)將通過(guò)Deep SeCurity管理器中的警報(bào)立即收到通知。然后就可以將這些過(guò)濾器自動(dòng)或手動(dòng)應(yīng)用于相應(yīng)的服務(wù)器。

    (6)通信：通過(guò)可提供有關(guān)新發(fā)現(xiàn)安全漏洞的詳細(xì)描述的安全顧問(wèn)，可實(shí)現(xiàn)與客戶(hù)之問(wèn)的持續(xù)通信。3．3 lBM VSP

    3．3．1 IBM安全防護(hù)解決方案架構(gòu)

    在每臺(tái)VMware ESX服務(wù)器上部署IBM Virtual Server Protection虛擬化防護(hù)系統(tǒng)軟件，在虛擬環(huán)境的基礎(chǔ)設(shè)施邊界部署IBM GX系列網(wǎng)絡(luò)入侵防護(hù)設(shè)備。

    3．3．2 IBM安全防護(hù)系統(tǒng)功能概述表1 IBM安全防護(hù)系統(tǒng)功能概述

表1 IBM安全防護(hù)系統(tǒng)功能概述

    三者都能有效地解決因?yàn)橥瑫r(shí)開(kāi)啟病毒掃描而引發(fā)的“防病毒風(fēng)暴”的問(wèn)題。

    vShield解決方案能夠提供自適應(yīng)的安全防護(hù)機(jī)制，安全防護(hù)策略可跟隨虛擬機(jī)在主機(jī)之間移動(dòng)；通過(guò)一個(gè)綜合性框架，vShield可以為虛擬數(shù)據(jù)中心和云計(jì)算環(huán)境提供全方位保護(hù)——主機(jī)、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)和端點(diǎn)；vShield可以保護(hù)虛擬數(shù)據(jù)中心的應(yīng)用程序使其不受網(wǎng)絡(luò)攻擊的侵?jǐn)_，公司可以監(jiān)視和控制虛擬機(jī)之間的網(wǎng)絡(luò)通信——策略執(zhí)行是基于VMware vCmterTM容器和vShield安全組等邏輯結(jié)構(gòu)進(jìn)行，而不是僅基于P地址等物理結(jié)構(gòu)，因此十分靈活。

    趨勢(shì)科技作為專(zhuān)門(mén)的安全解決方案廠(chǎng)家，DeepSecurity能提供相對(duì)更加專(zhuān)業(yè)與深入的安全防護(hù)，以單個(gè)解決方案提供包括狀態(tài)型防火墻、入侵檢測(cè)和防御、應(yīng)用層防火墻功能、文件和系統(tǒng)完整性監(jiān)控以及日志審計(jì)等所有功能；在快速?gòu)V泛的部署過(guò)程中也表現(xiàn)良好；并且能跨平臺(tái)提供完整功能，與IT基礎(chǔ)架構(gòu)更加緊密地集成。

    而IBM虛擬基礎(chǔ)架構(gòu)安全性提供了虛擬環(huán)境感知，同時(shí)形成了一個(gè)透明的即插即用威脅保護(hù)解決方案，從而解決與虛擬機(jī)蔓延和移動(dòng)性、虛擬網(wǎng)絡(luò)可見(jiàn)性缺乏相關(guān)的安全性問(wèn)題。通過(guò)整合虛擬平臺(tái)，IBM提供了整體的網(wǎng)絡(luò)級(jí)別的入侵防御和虛擬環(huán)境審計(jì)，從而減少了客戶(hù)操作系統(tǒng)中的網(wǎng)絡(luò)流量分析需求。通過(guò)這種方法，企業(yè)可以控制每個(gè)客戶(hù)0S的安全性，從而清除了冗余資源消耗，降低了安全管理復(fù)雜性。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：企業(yè)虛擬化環(huán)境中的安全防護(hù)

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/1083947742.html