《云安全无代理技术解决方案.pptx》由会员分享,可在线阅读,更多相关《云安全无代理技术解决方案.pptx(74页珍藏版)》请在悟道方案网上搜索。
1、云安全无代理技术解决方案,议程,服务器整合,整合扩张 & 桌面虚拟化,公共云,数据损毁,多租户,虚拟机的安全级别混杂,数据存取权限,边界的消失,法规遵从,随时启动的防护间隙,资源冲突,1,2,4,7,8,9,10,11,虚拟化使用比例,不同可信级别无法合并,以主机为基础的安全策略难以部署,虚拟机之间的相互攻击,提供相对应技术解决以上所有虚云历程所会碰到的问题,5,6,3,服务供应商的责任,12,云历程的安全问题,服务器整合,整合扩张 & 桌面虚拟化,公共云,数据损毁,多租户,虚拟机的安全级别混杂,数据存取权限,边界的消失,法规遵从,随时启动的防护间隙,资源冲突,1,2,4,7,8,9,10,1
2、1,虚拟化使用比例,不同可信级别无法合并,以主机为基础的安全策略难以部署,虚拟机之间的相互攻击,提供相对应技术解决以上所有虚云历程所会碰到的问题,5,6,3,服务供应商的责任,12,云历程的安全问题,安全风险: Stage 1,1,安全风险: Stage 1,可信 ?,2,3,?,?,?,?,安全风险: Stage 1,服务器整合,整合扩张 & 桌面虚拟化,公共云,数据损毁,多租户,虚拟机的安全级别混杂,数据存取权限,边界的消失,法规遵从,随时启动的防护间隙,资源冲突,1,2,4,7,8,9,10,11,虚拟化使用比例,不同可信级别无法合并,以主机为基础的安全策略难以部署,虚拟机之间的相互攻击
3、,提供相对应技术解决以上所有虚云历程所会碰到的问题,5,6,3,服务供应商的责任,12,云历程的安全问题,Active,4,安全风险: Stage 1,安全风险: Stage 2,5,?,?,?,安全风险: Stage 2,6,典型的病毒扫描,3:00am扫描,安全风险: Stage 2,7,管理困扰: Stage 2,8,管理困扰: Stage 2,9,管理困扰: Stage 2,10,服务器整合,整合扩张 & 桌面虚拟化,公共云,数据损毁,多租户,虚拟机的安全级别混杂,数据存取权限,边界的消失,法规遵从,随时启动的防护间隙,资源冲突,1,2,4,7,8,9,10,11,虚拟化使用比例,不同
4、可信级别无法合并,以主机为基础的安全策略难以部署,虚拟机之间的相互攻击,提供相对应技术解决以上所有虚云历程所会碰到的问题,5,6,3,服务供应商的责任,12,云历程的安全问题,安全风险: Stage 3,11,安全风险: Stage 3,12,安全风险: Stage 3,13,1001001101101100,安全风险: Stage 3,14,100110111000101,100110111000101,迈向云端全程护航,20,15,安全风险: Stage 3,议程,虚拟化系统,现有虚拟化安全解决方案,传统安全解决方案:每个虚拟机上安装了防毒软件并设置统一的安全策略网络安全解决方案,防病毒风
5、暴,24,传统安全软件如何造成“防病毒风暴“?定期扫描CPUIO网络硬盘病毒库更新网络IO病毒库于内存所常驻重复的内存使用,激活,重新激活,安全策略过期,虚拟机必须带有已配置完整的客户端和最新的病毒库,25,新生成虚拟机,休眠,快照、还原的威胁和安全风险,攻击在虚拟器之中发生,每个虚拟机都是安全漏洞,补丁管理,病毒库更新,安裝新VM,配置客户端,管理成本随着系统总量上升,需要管理的终端数量增长,27,议程,Windows 系统,如何解决云的安全问题,应在虚拟化系统底层解决安全问题,QQWord游戏浏览器,Windows底层安全防护,无代理虚拟化安全,IDS / IPS,应用程序防护,应用程序控
6、制,防火墙,深度包检测,完整性监控,防恶意程序,安全虚拟机,Guest VM,OS,集中管理接口,vShield Endpoint Library,vShield Endpoint ESX Module,预设扫描接口,实时扫描接口,Guest Driver,EPsec Interface,VI Admin,安全管理员,VMware内部接口,安全产品接口,清除、修复接口,缓存 & 过滤,REST,状态监控,无代理云安全工作原理VMware,vNIC,vSwitch,vNIC,vNIC,vNIC,EPSecVmsafe API,ESX 4Hypervisor,无代理云安全工作原理VMware,De
7、ep Security 组件,控制台虚拟平台,安全虚拟机,和虚拟环境直接集成,实现方式,vShieldEndpoint,安全虚拟机,VMware APIs,vCenter集成,防病毒,无代理部署,无代理部署,入侵检测,Web 应用防护,虚拟补丁,防火墙,Deep Security,完整性监控,vSphere 虚拟环境,融入 VMware 的生态系统环境,无代理虚拟化安全解决方案功能详解,补丁管理的困惑,技术支持终止,零日攻击,补丁管理,补丁风险,补丁部署成本,漏洞被公布,但是厂商还没提供相关补丁进行修补操作系统或应用软件厂商已经停止提供修复补丁服务器的补丁部署,往往需要重新启动,会造成业务中断
8、,虚拟补丁的原理,DPI,代码设计缺陷数据库安全漏洞系统漏洞服务器管理缺失,虚拟补丁解决方案的价值,解决由于更打补丁造成的业务中断和蓝屏等现象,从而降低运维风险,解决非Windows系统漏洞威胁,反应快速,可缓解关键服务器和桌面暴露于新漏洞威胁的情况,有效避免泄露事件发生,降低运维成本,满足合规要求,定制化补丁,为停止支持的操作系统和应用程序提供补丁防护,从而延长旧有系统的使用寿命,节省升级或改造成本,虚拟补丁解决方案的价值,虚拟补丁解决方案组成,对公有云的支持,Amazon Web Services 和 VMware vCloud 的支持自适应的安全政策,横向管理混合云资产即时、自动防护所有
9、云中产物,数据中心,物理,虚拟,公有云,私有云,多租户的安全自助服务(安全即服务),强大功能让 Deep Security 转变为一个服务Deep Security 即服务(Deep Security as a Service )每个组合都有独立的“虚拟 DSM”可延伸,可定制适用服务提供商和使用云的企业,10/22/2017,Confidential | Copyright 2012 TrendMicro Inc.,2,多租户的安全架构实例,中国某集团总公司,总部虚拟化资源池项目组,北京分公司,系统管理部门,信息安全管理部门,上海分公司,广东分公司,江苏分公司,系统管理部门,信息安全管理部门
10、,系统管理部门,信息安全管理部门,系统管理部门,信息安全管理部门,多租户的安全架构实例,多租户的安全架构实例,vCloud,vCenter,ESXi,VM,VM,VM,DSVA,ESXi,VM,VM,VM,DSVA,ESXi,VM,VM,VM,DSVA,ESXi,VM,VM,VM,DSVA,Deep Security Manager,总公司系统管理账户,北京分公司系统管理账户,上海分公司系统管理账户,广东分公司系统管理账户,总公司安全管理账户,北京分公司安全管理账户,上海分公司安全管理账户,广东分公司安全管理账户,中国某集团总公司虚拟化资源池,系统组管理员,软件定义网络(SDN)支持VMwar
11、e NSX,NSX Manager,NSX管理界面,vCenter,安全合作伙伴,合作伙伴安全产品管理界面,Deep Security,安全管理员,其他合作伙伴产品,ESX,ESX,ESX,安全产品注册到NSX Service,NSX 建立部署的范围设定使用的安全服务实施部署的行为,简化部署和配置,对云实现弹性防护,防护层之间协作,极大提高新业务实施效率,电信级的解决方案,性能提升 防病毒、完整性扫瞄优化性能提升至20倍提升! 尤其在 VDI 环境中更深层无代理部署使软件和漏洞扫描策略得以自动管理基于虚拟主机 Hypervisor 完整性检控,提供启动时的保护,高性能,VM Tools Thi
12、n Driver,防护超过22种平台,保护超过56种应用/服务系统,灵活适应各种环境,Deep Security,多平台的支持,混合数据中心的支持,Trend Micro27%,Top ratings for Virtualization Security,市场占有率NO.1,解决方案:无代安全具备虚拟环境感知能力,基于虚拟器整体资源所分发的安全任务有效避免资源争夺,解决方案:基于虚拟器部署的安全虚拟机实时使用最新威胁特征库,解决方案:与虚拟化平台所集成的虚拟环境感知安全解决方案,解决方案:与虚拟环境管理平台VMware vCenter 集成,自动侦测安全层级不足的虚拟器,不存在传统安全解决方
13、案的问题,53,议程,全面的安全防护,IDS / IPS,应用程序防护,应用程序控制,防火墙,深度包检测,完整性监控,攻击防护及虚拟补丁,细粒度访问控制,未知威胁监控,无代理恶意代码防护,防恶意程序,底层无代理虚拟化防护,减少云主机对云平台的影响,从而保护云平台的安全性,提高投资回报率,可以实现底层与虚拟系统所打造的安全软件,每台物理服务器安装一次提升硬件服务器使用率简化安全管理具备自动继承的保护性能状况:有客户端 VS 无客户端,VM CPU Rate (有客户端),VM CPU Rate (无客户端),Security VM,防病毒完整性监控,VMware 环境的无代理安全 防病毒之外,其
14、他的安全防护,VM,VM,VM,传统部署,安全虚拟机,VM,VM,VM,无代理安全,VM,入侵检测虚拟补丁,防火墙Web 应用防护,Deep Security 使用安全虚拟机部署,VM,VM,VM,VM,VM,VM,旁路部署解决方案,保证业务连续性,降低管理的复杂度,无代理,易管理,平台安全管理、安全与应用分离、业务管理于平台分离,安全虚拟机,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,议程,运营商案例移动,运营商案例电信,成功案例公有云,建立安全即服务理念,和运营商一起为其虚拟朱主机用户提供增值安全服务,成功案例 私有云,随着广西移动数据业务的快速发展,服务器数量和网络规模不
15、断扩大,加之与多种网络互联日益复杂,潜在网络威胁和风险都在逐步加大。据了解,目前广西移动数据业务系统尚未实施集中安全防护策略,业务系统和网络不但对外接口众多,同时又都各自为政,各业务平台安全防护水平参差不齐。而这些服务器所承载的核心包括了公司知识产权等诸多数据,必须依靠服务器的稳定运行,业务才能获得高速发展的动力。,中国第一大 DIY 零售店,欧洲第二大将57个分店,数万台的终端转换为 VDI 架构巨大的终端管理成本简化管理硬件整合多个解决方案集成综合的安全终端补丁管理,成功案例桌面虚拟化,国际零售业:整合 57 个分店和数据中心,中国第二大酿酒厂过上百个虚拟终端后,为虚拟环境优化的安全需求持
16、续增加近耗尽的虚拟资源池虚拟化构架的安全释放虚拟资源,同时提升安全性,青岛啤酒,IT数据中心,营销中心,物流中心,制造中心,成功案例 安全的数据中心,主站点,上线系统,2厂备份站点,成都3厂站点,金融行业,政府行业,制造行业,企业及其他,长春民政,其他行业用户,众多成功案例,Q&A,KVM平台虚拟化解决方案,QEMU,防毒bkd 驱动,防毒引擎,用户虚拟机 VM,虚拟机驱动,QEMU,网络流量重定向驱动,用户虚拟机 VM,虚拟机驱动,NIC,Bridge,KVM Hypervisor,安全管理程序,网络安全引擎,系统安全配置以及安全日志数据库,信息安全服务中心,和虚拟环境直接集成,Hyper-
17、V,Hyper-V平台虚拟化解决方案,Security API Framework,Driver,安全虚拟机,Driver,Driver,Driver,Pattern Loaded,Client,Virus Logs/Security Policy Management,File Server,XEN平台虚拟化解决方案原理,提供全球独一无二的“无代理”安全防护最大化虚拟机密度,与 VMware 密切合作的解决方案,73,提升安全性通过提供最安全的虚拟化基础设施,与API和认证计划,全面提升虚拟化通过基于VMware平台提供安全解决方案,以充分发挥其效率,成功案例云基础设施安全, 降低硬件成本 全球29个数据中心整合为2个 (第三个为灾难) 项目命名为 Next Generation Data Center (下一代数据中心)有效“整合服务器” 是战略目标,美国国际集团:整合 29 个数据中心, 在虚拟环境上所碰到的新挑战 网关无法透视虚拟器 传统安全不适应新环境 整合率 虚拟环境构架的解决方案和管理优势 平滑升级 物理、虚拟混合部署 管理简化, vSphere v5 每个物理 ESX 部署一个DSVA (安全虚拟机),以主机为单位的管理一次部署、多层防护: 无代理防病毒 虚拟补丁 完整性监控 不仅整合数据中心、同时整合多个安全软件,