虚拟化平台安全防护方案.docVIP

1.虚拟化平安挑战及防护需求

虚拟化技术的应用，帮助企业实现了资源使用及管理的集约化，有效节省了系统的资源投入本钱和管理维护本钱，但虚拟化这种新技术的应用，也不可防止给企业的平安防护及运维管理带来新的风险及问题。

总结来说，虚拟化技术面临的最大风险及挑战主要来自于这样几个方面：

网络及逻辑边界的模糊化，原有的FW等网络平安防护技术失去意义

虚拟化技术一个最大的特点就是资源的虚拟化和集中化，将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上，不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护，传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。

攻击者可以利用已有的一台虚拟主机使用权限，尝试对该虚拟平台和虚拟网络的其他虚拟主机进行访问、攻击甚至是嗅探等，因此必须通过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。

系统结构的变化导致新风险

虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层，由于不同的虚拟机主机往往承载于同一虚拟化平台效劳器，即使2台完全独立的虚拟机主机，也可能由于虚拟平台自身〔Hypervisor层〕的某些缺陷及弱点〔如虚拟平台本身的一些驱动漏洞〕，导致平安风险及攻击入侵在不同虚拟机主机之间扩散

同时，单台虚拟机的平安问题，也有可能影响整个虚拟化平台的平安；虚拟机间隔离不当，可非法访问其它VM，或者窃听VM间的通信，盗取敏感数据。

因此必须加强针对虚拟平台自身和虚拟机主机自身的平安防护。通过主机入侵检测防护系统，对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护，防止虚拟平台和虚拟主机被恶意攻击及篡改.

资源的共享化，原有平安防护技术面临新挑战

针对虚拟化环境，一台效劳器往往需要承载大量的客户端虚拟机系统，因此当所有的主机都同时进行病毒定义更新或扫描时，将形成的更新和扫描风暴势必成为一场灾难，因此如何有效降低虚拟化环境的病毒定义更新和扫描负载，直接影响到整个虚拟化平台的使用效率。因此，虚拟机效劳器平安防护软件必须引入必威体育精装版的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。

2.平安建设方案

2.1平安建设方案概述

虚拟化平台的虚拟网络平安：通过在虚拟机效劳器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机效劳器主机的网络访问控制及隔离、入侵攻击防护、系统加固及审计等功能，弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟效劳器自身防护

虚拟化Guest效劳器平安：该方案针对虚拟出来的效劳器的平安防护同样可以做到针对虚拟环境中的虚拟物理效劳器自身的防护，并且能适应虚拟环境下的架构变化。面对新形势下的平安威胁，无论是网络攻击，内存的缓存溢出攻击，零日威胁，都可以做到实时的平安防护。

虚拟化平台底层架构平安防护：通过对VMwareESXi效劳器的事件日志的实时收集和分析，实现实时监控虚拟效劳器的文件配置改变，针对ESXi效劳器的入侵检测防护能力。通过VMware加固手册，针对vCenter效劳器，集成根据该手册定义的平安加固需求的入侵防御，入侵检测策略。由于vCenter效劳器架构与Windows效劳器上，因此同时还应该针对Windows效劳器提供足够的效劳器级别加固能力，防止通过入侵Windows而间接控制vCenter效劳器。通过对ESXi，vCenter，Windows效劳器的整体平安防护，包括入侵检测，入侵防御，主机加固等，从而实现对整个虚拟化平台具备全部控制和管理能力的虚拟化平台自身效劳器ESXi和vCenter效劳器做到完整的根底架构平安防护能力。

2.2总体网络部署架构示意图

2.3虚拟桌面无代理病毒防护

2.3.1需求概述

针对虚拟化环境，一台效劳器往往需要承载大量的虚拟主机，因此当所有的主机都发起病毒扫描时，将形成的扫描风暴势必成为一场灾难，因此如何有效降低虚拟化环境的病毒扫描负载，直接影响到整个虚拟化平台的使用效率。

结合VMWARE必威体育精装版的NSX技术架构，赛门铁克数据中心平安防护提供了针对虚拟化效劳器及桌面的无代理病毒防护，解决传统有代理防病毒方式无法适应虚拟化架构的问题，特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。

实现方案

SDCS通过提供虚拟平安设备SVA并于VMware的软件定义网络平台NSX集成，提供无代理的虚拟化效劳器病毒防护，并且通过集成，完成虚拟化架构下的自动平安策略分配到NSX定义的组，而无须关心策略分配到那个虚拟机。

SDCS提供虚拟平安设备SVA为虚拟效劳器提供无代理防病毒

SDC