新型数据中心安全防护解决方案.pptx

《新型数据中心安全防护解决方案.pptx》由会员分享，可在线阅读，更多相关《新型数据中心安全防护解决方案.pptx（49页珍藏版）》请在悟道方案网上搜索。

1、新型数据中心安全防护解决方案,1,Agenda,2,数据中心转型带来的安全挑战,1,XX数据中心安全解决方案,2,数据中心安全建设的最佳实践,3,数据中心的转型方向,几周,几天,几小时,2008,2013,未来,部署 时间,3,数据中心转型的两大趋势,4,应用从UNIX小机向X86平台迁移,X86成本优势明显 应用向 LINUX迁移得到业界广泛支持 Web等外部接口型应用已基本被X86平台垄断 部分非大压力核心业务也有往X86平台迁移的趋势 新建系统会首先考虑X86平台可行性,虚拟化技术的广泛运用,以Vmware为主流的服务器虚拟化 虚拟化帮助客户进行IT整合，提高资源利用率，降低能耗 基于X

2、86平台的虚拟化在企业占的比重越来越大 新建系统会首先考虑采用虚拟化的可行性,数据中心X86化带来新的安全挑战,X86平台下以Linux和Windows系统为主，面临更多安全威胁 大量的Web等外部接口型应用与服务，面临更多攻击 不仅是Windows，针对Linux的攻击和病毒呈快速增长趋势,5,数据中心虚拟化带来新的安全挑战,虚拟化导致物理边界模糊化，传统的网络边界防护措施失效 虚拟化基础架构与管理端的安全性成为集中风险点 安全防护策略需要跟随虚拟机灵活迁移 主机数量爆炸式增长，虚拟化失控会带来安全盲区,6,面对新挑战的应对思路,7,Agenda,Presentation Identifie

3、r Goes Here,8,数据中心转型带来的安全挑战,1,XX数据中心安全解决方案,2,数据中心安全建设的最佳实践,3,服务器安全解决方案 虚拟化环境安全解决方案 NAS存储防病毒安全解决方案,服务器安全解决方案,9,服务器安全保护需求特点,服务器需要的是与客户端不同的安全 支持更广泛的操作系统 锁定的安全，高性能，监控与预警，事件审计,文件 服务器,邮件 服务器,应用 服务器,Loose Privileges,System Devices,Buffer Overflow,Back Door,数据库 服务器,Presentation Identifier Goes Here,11,完整的服务

4、器安全解决方案,损害发生后，能够审计分析出问题并有 效取证,当违规操作或者恶意入侵正在发生，能 及时发现并有效预警,检查服务器是否存在安全风险和配置缺陷，是否符合数据中心的安全要求,事前,事中,事后,1+ 种操作系统10+ 台服务器100+ 次系统变更1000+ 次访问,优秀的漏洞评估解决方案,预先阻止威胁发生 覆盖Web应用（包含应用扫描）、数据库、操作系统与网络设备，全面覆盖100%的IT资产 支持凭据登录扫描（OS、DB） 6万多个检查项覆盖超过1.5万个漏洞 标准的漏洞评分算法 持续的发现虚拟化资产，创建并管理动态的虚拟资产组,12,Control Compliance Suite V

5、ulnerability Manager 漏洞管理,自动化评估IT基础架构安全配置,13,Control Compliance Suite Standards Manager 配置标准管理,1.定义标准,3.分析修复,2.管理或未管理的资产,评估,自动的检测评估技术，覆盖2900个控制项目，映射之上千个技术及流程控制点。 预定义且分类打包的安全配置条目，包含例外管理 支持有代理（用于认证凭据定期变化环境）和无代理（降低基础架构影响）两种方式采集基础架构数据,SCSP 帮助我们保护每一个服务器,14,基于策略的行为控制,广泛的平台及应用支持,实时的文件完整性监控,可集成事件与分析管理,Restr

6、ict access to critical system resources,Business critical applications in physical and virtual environments,Out-of-the-box policies for Windows Environments,Control Compliance Suite (CCS)         Security Information Manager (SSIM),SCSP如何保护系统安全性,15,检测告警,网络保护,系统控制,攻击防护,监控日志安全事件 加固

7、并转发日志用于归档及报告  智能的事件快速发现与响应,基于应用限制网络连接使用 限制由内向外和由外向你的网络流 关闭恶意软件后门(阻断端口),锁定系统配置文件和相关设置 增强系统安全策略 用户权限降级 阻止移动介质接入,限制应用程序及操作系统行为 阻止系统缓存区溢出及线程注入攻击 零日攻击入侵保护 应用及进程控制,实时可视化. 控制最大化.,入侵检测系统 (IDS),入侵防护系统 (IPS),未授权的服务器访问,阻止针对服务器的内外部攻击,16,SOURCE: NIST Guide to General Server Security,Internet,Web Server,Emai

8、l Server,恶意软件捕获系统中敏感数据，修改系统安全配置,针对应用程序的缓冲区溢出攻击，远程获取系统权限,通过后门软件的未授权访问,Application Server,Database Server,File Server,Domain Controller Server,打开了某恶意文件，或访问某恶意链接,未授权的权限及信息变更,未授权的服务器访问,阻止针对服务器的内外部攻击,17,SOURCE: NIST Guide to General Server Security,Internet,Web Server,Email Server,监控或锁定配置文件,恶意软件捕获系统中敏感数据

9、，修改系统安全配置,监控或锁定应用与进程行为,针对应用程序的缓冲区溢出攻击，远程获取系统权限,阻止未授权的可执行程序,通过后门软件的未授权访问,Application Server,Database Server,File Server,Domain Controller Server,打开了某恶意文件，或访问某恶意链接,阻止不适当的服务器访问,监控或阻止访问的变更,未授权的权限及信息变更,监控访问权限的变化,SCSP的安全防护效果,黑帽子大会上抵御所有黑客攻击 在2011年黑帽子大会上，SCSP进行了攻击防护验证，没有任何黑客能够攻克SCSP的防护 验证过程 在互联网上放置一个没有打补丁的W

10、indows 系统，并开放共享访问 部署SCSP，使用预定义的严格防护策略 攻击者利用任何方式进行攻击 Nexpose可以发现有10个可以利用的漏洞 缓冲区溢出和线程注入 允许黑客通过浏览器访问特定的恶意网站 黑客/攻击者包括DoD, NSA, DISA, Anonymous,18,(1): http:/www.XX.com/connect/blogs/unhacked-black-hat-XX-critical-system-protection,SSIM 安全信息集中审计,数据库,管理服务器,收集层,第三方系统,ITIL,NOC,分析层,展现层,LDAP,事前,事中,事后,19,19,安全

11、防护 零日攻击 系统加固 非法入侵 ,配置检查 注册表 配置文件 密码 ,漏洞扫描 服务器漏洞 补丁安装检查 网络设备漏洞 ,检查违规操作 用户变动 文件变动 权限变动 ,XX 服务器安全三重防护,事件收集和存储能力 收集ESM/SCSP以及100多种操作系统、防火墙、IDS、路由和交换设备的日志 支持海量日志存储，并进行加密、压缩、HASH处理确保可以作为取证证据,强大的关联分析能力 跨产品日志关联分析 强大的查询报告能力 内置各种法规遵从模版,20,虚拟化环境安全解决方案,21,虚拟化环境下的常见安全问题,22,虚拟服务器防护需要更低的资源消耗与可靠性,宿主机及管理服务器将直接影响虚拟服务

12、器安全,传统漏洞及配置扫描措施无法覆盖虚拟化基础软件,虚机蔓延问题导致安全监管失控,虚拟化的权限集中带来权限管理与审计问题,1,2,3,4,5,虚拟化环境的主要安全需求,主机的安全在虚拟化环境下需要降低资源消耗，与传统环境的不同，同时具备各类操作系统平台保护能力,vCenter被入侵将影响整个虚拟化环境，需要保护管理平台,底层Hypervisor存在受攻击风险,逃逸攻击风险，攻击者通过入侵VM后进行漏洞利用实现在Hypervisor层的恶意代码执行,XX解决方案与Vmware紧密结合,24,XX Critical System Protection 针对 vSphere的高级保护,XX Con

13、trol Compliance Suite 控制并确保合规,XX CSP 关键系统防护解决方案,25,虚拟化环境主机安全解决方案,通过在虚拟化各个层面的防护措施实现对整个虚拟化环境的安全保障，Hypervisor的安全防护通过Agent-Base或Agent-Less实现。,Guest VM加固 基于系统功能防护 减少资源消耗 Hypervisor加固 文件完整性监控 配置监控 限制网络流量 系统功能锁定 零日攻击防护 管理服务器加固 限制管理员控制 降低补丁管理风险,VM1,VM2,VM3,APP,Windows OS,APP,Non windows OS,APP,OS,Hypervisor

14、,Manager,针对Hypervisor的安全防护与检测,27,Agent-Base，提供对ESX的入侵检测与防护，保护ESX关键程序、进程与文件等，限制非相关资源调用,Agent-Less，在制定的VM中部署监控软件通过vCLI接口对ESXi的配置、访问记录等信息进行安全监控,针对vCenter的安全防护与检测,Agent Base的实现方式，在vCenter服务器上实现IDS/IPS功能，专门根据vSphere的加固指导所定制的防护策略， 监控并保护vSphere特有的组件 增强应用防护能力，包括vCenter Server, vCenter Orchestrator, vCenter

15、Update Mgr. 基础架构组件保护，e.g., SQL Express DB, Tomcat, JRE vCenter应用程序文件及敏感的目录 (certificates and logs) 基于vCenter的应用程序控制信任的网络端口 保护使用如下工具连接vCenter，包括vSphere Client, vSphere CLI, vSphere Power CLI, vSphere Web Client,28,SCSP实现虚拟化安全架构风险最小化,29,满足VMware ESX & ESXi 宿主机的安全防护需求 满足VM主机的安全增强的防护需求 VMware vCente

16、r 管理服务器的防护,关键需求,实现从虚拟化管理服务器、宿主机、虚拟主机至应用全方位系统防护,APP,OS,APP,OS,APP,OS,保护所有的虚拟化生态系统，从Hypervisor, guest与管理服务器。 最大化虚拟主机安全，并减少资源的消耗,关键价值,VMware ESX/ESXi Server,CCS 与虚拟化环境集成的漏洞与配置扫描,30,虚拟化环境下的漏洞与配置管理,31,建立持续合规监控的虚拟资产,32,CCS VSM 提供虚拟化环境策略管理与审计,33,CCS Virtualization Security Manager的意义,提高你的虚拟环境的安全 从外部和内部威胁中确

17、保管理程序的安全 在实例之间执行逻辑分离，使之变成独立的资产 细粒度的访问控制 降低宕机风险 管理实例和管理程序的配置设置 防止计划外的更改 自动化配置评估 合规需求 强制分割实例为有限的合规审计范围 详细的操作日志 配置报告,34,对关键操作的二次确认,35,CCS VSM 填充关键平台访问缺口,Virtualization 平台缺口,CCS VSM 解决方案,通过共享一个root账户多个管理员可以匿名登录主机,使用 root 密码跳转 (签入/签出) 来保障管理员的独立性,通过直接连接主机，管理员可以绕过vCenter进行访问控制和登录,控制和记录通过任何连接方法的访问, 建立问责制,在多

18、租户的环境下，管理员能够访问其他组织的虚拟工作区,确保管理员只能访问自己的组织的数据和应用程序，确保多租户下的安全,平台允许通过默认密码或被破解的admin密码的访问,防止使用默认的密码，支持多因素身份验证防止未授权的访问,当前或者曾经的管理员可以使用后台账户不被发现的访问平台,控制和记录每个管理员账户的访问，防止重大安全漏洞,36,CCS VSM填充关键平台访问缺口,Virtualization 平台缺口,CCS VSM 解决方案,一个系统管理员可以关闭任何虚拟应用,通过控制资源管理范围 保护业务连续性,管理员可以创建未经批准的虚拟机，这些可能是误操作但对合规会产生影响,通过控制虚拟机创建权

19、防止破坏性的结果,管理员可以禁用安全措施如虚拟防火墙和防病毒,通过禁止未经批准关闭虚拟安全措施保护安全性,管理员复制敏感数据从一个虚拟机到外部存储,通过对虚拟资源的控制保护敏感数据,管理员可以使用一个泄露的副本替代一个关键的虚拟机而没有留下轨迹,通过创建一个永久的、不可被篡改的操作记录 曝光篡改行为,管理员可以将低信任的虚拟工作负载转成高信任服务器或虚拟子网,反之亦然,通过防止信任等级的混合缓解安全和合规风险,37,CCS VSM 填补关键日志数据缺失,38,CSP + VSM = VM 渗透防护,来自 Vcenter外部 CSP 监视和阻止通过网络结构的改变 CSP 监视和阻止ESX服务器的

20、访问篡改 来自Vcenter内部 VSM 监控和阻止访问篡改 VSM 监控和控制 VMotion 功能,39,Internet,Web Server,Email Server,VMWare ESX Server,Database Server,Domain Controller Server,V Center,VM,VM,XX与Vmware联手打造虚拟化安全,40,NAS存储防病毒安全解决方案,41,用户面临的挑战,42,NAS（Network Attached Storage)在数据中心被广泛使用，但普遍缺乏病毒防护 主机防病毒无法解决NAS存储感染病毒的问题,为什么NAS需要防病毒？,43

21、,什么是SPE for NAS?,基于网络服务的病毒扫描器 支持ICAP和RPC协议（RPC仅支持Netapp） 最常用于与NetApp DataONTap 客户端集成 使用基于RPC的连接器，已内置在ONTap的CIFS协议 确定哪些文件需要扫描 读, 写, 读/写 黑白名单 是否已扫描过? 使用ICAP协议并得到厂家认证 Hitachi NAS EMC Isilon IBM Sonas and Storwize,44,SPE的工作原理,45,NAS,SPE,1. 用户向NAS请求文件访问,2. NAS 服务器向SPE发送请求扫描文件,3. SPE扫描文件并返回结果,4. NAS 服务器依据

22、返回结果决定是否允许访问,Agenda,Presentation Identifier Goes Here,46,数据中心转型带来的安全挑战,1,XX数据中心安全解决方案,2,数据中心安全建设的最佳实践,3,服务器安全防护完整解决方案,CCS VM + ccs sm,SCSP,SSIM,虚拟化环境安全完整解决方案,Windows,Linux,Hypervisor,vCenter,宿主机完整性监控，vCenter保护,实现对宿主机、vCenter的操作认证授权与审计,vShield Edge/App/,扫描评估整个虚拟化环境的漏洞与安全配置缺陷,采集虚拟主机及vShield在内的各类日志信息,SPE,NAS存储防病毒,49,