1、1.虚 拟 化 安 全 挑 战 及 防 护 需 求虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面:1. 网络及逻辑边界的模糊化,原有的 FW等网络安全防护技术失去意义虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等
2、技术都失去了应有的作用。攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。2. 系统结构的变化导致新风险虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor 及虚拟网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使 2 台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor 层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散
3、同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全; 虚拟机间隔离不当,可非法访问其它 VM,或者窃听 VM 间的通信,盗取敏感数据。因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改.3. 资源的共享化,原有安全防护技术面临新挑战针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化
4、平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。2. 安 全 建 设 方 案2.1 安 全 建 设 方 案 概 述虚拟化平台的虚拟网络安全:通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护虚拟化 Guest 服务器安全: 该方案针对虚拟出来的服务器的安全防护同样可以做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变化。面对新形势下的安全威胁
5、,无论是网络攻击,内存的缓存溢出攻击,零日威胁,都可以做到实时的安全防护。虚拟化平台底层架构安全防护:通过对 VMware ESXi 服务器的事件日志的实时收集和分析,实现实时监控虚拟服务器的文件配置改变,针对 ESXi 服务器的入侵检测防护能力。 通过 VMware 加固手册,针对 vCenter 服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。由于 vCenter 服务器架构与 Windows服务器上,因此同时还应该针对 Windows 服务器提供足够的服务器级别加固能力,防止通过入侵 Windows 而间接控制 vCenter 服务器。 通过对ESXi,vCenter,
6、Windows 服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平台具备全部控制和管理能力的虚拟化平台自身服务器 ESXi 和 vCenter 服务器做到完整的基础架构安全防护能力。2.2 总 体 网 络 部 署 架 构 示 意 图2.3 虚 拟 桌 面 无 代 理 病 毒 防 护2.3.1 需求概述针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。结合 VMWARE 最新的 NSX 技术架构,赛门铁克数据中心安全防
7、护提供了针对虚拟化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。2.3.2 实现方案SDCS 通过提供虚拟安全设备 SVA 并于 VMware 的软件定义网络平台 NSX 集成,提供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策略分配到 NSX 定义的组,而无须关心策略分配到那个虚拟机。SDCS 提供虚拟安全设备 SVA 为虚拟服务器提供无代理防病毒SDCS 提供和 NSX 的自动化安全策略分配到组2.4 虚 拟 平 台 和 虚 拟 服 务 器 安 全2.4.1 需求概述在虚拟化
8、环境中,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,例如: 虚拟层的破坏会导致其上所有虚拟桌面主机的破坏 虚拟桌面主机防护薄弱,可直接影响其他租户的虚拟桌面主机 虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主机间的通信这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必须加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及威胁扩散到整个虚拟化服务平台。symantec 的 DCS-Server Advanced 解决方案,针对虚拟化平台的 Hypervisor 层及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及
9、加固功能,防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水平。2.4.2 实现方案2.4.2.1 虚拟架构保护 监视 Hypervisor 底层 server 的方法(支持当前主流的 Vmware 平台): 虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署DCS 安全监控代理 DCS 安全监控代理通过命令行或者 API 接口访问虚拟平台底层配置文件 /日志、VM 配置文件。 DCS 管理控制台上启用预定义的 虚拟平台 IDS 策略监视配置/ 日志/访问操作 针对虚拟平台配置变更可以生成预定义的监控报告 IDS 策略概要: 命令行接口(CLI)
10、登录失败和成功事件 命令行接口(CLI)命令操作记录 按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更(谁?时间?操作?变更?内容?) 按照各厂商安全加固指南监控拟平台管理组件配置文件变更(谁?时间?操作?变更?内容?) 关键的安全事件日志分析 未授权核心模块加载 USB 设备事件(发现、连接 VM) 其他告警2.4.2.2 虚拟主机(Guest OS)保护安 全 锁 定 -保 障 系 统 最 小 权 限 的 安 全 运 行 环 境服务器主机的运行环境通常比较简单和固定,且操作是可以预期的,如下: 仅需要安装、运行和访问特定 计算机环境轻易不进行变更 除必要的业务访问和操作外,不允许访
11、问其他任何资源或进行其它额外操作同时,考虑到服务器主机的特殊性(并不能总是及时更新补丁), 传统的防病毒技术(依赖于黑名单:病毒特征库)无法解决一些新型未知攻击和零日漏洞攻击的威胁,因此,针对关键服务器主机,本次建议采用更严格的基于白名单及行为特征的系统加固及防护技术。本次推荐的解决方案为赛门铁克的数据中心安全防护软件 DCS_SA(SYMC DATA CENTER SECURITY SERVER ADVANCED),DCS_SA 是业界领先的基于主机的主机安全保护和加固的解决方案,为关键服务器主机,关键业务应用提供持续的,全面的,纵深的安全防御保护。包括 端口/服务管理(网络环境锁定):限制
12、服务器主机上的端口开放和访问情况,确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的传播和扩散,并避免来自于其它设备的恶意攻击及访问(包括来自于服务器本地和安全域内部其它主机的恶意访问和攻击) 进程白名单(应用环境锁定):通过进程白名单技术,确保服务器主机只允许业务所需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致的病毒感染、恶意代码执行风险 漏洞攻击及保护(系统加固及锁定):提供针对服务器主机的系统加固锁定和攻击保护。包括缓冲区溢出、进程注入等零日漏洞攻击行为的检测及保护能力,在服务器未及时更新补丁时对服务器进行有效保护。 安全监控及告警功
13、能:通过监控和收集服务器主机操作系统日志和加固及防护系统日志,及时掌握服务器主机当前面临的威胁及风险状况以及系统任何细微变化。网 络 环 境 “锁 定 ”DCS_SA 主机防护软件提供了基于主机的防火墙访问控制功能, 可以通过策略管理服务器针对终端计算机制定统一的个人主机防火墙规则,并且自动下发到终端进行执行,且不允许终端用户随意修改。可以通过防火墙策略限定终端用户能不能访问某些特定资源、或者进行特定网络连接(如基于 IP、端口、应用程序等参数)。如下图所示:网 络 环 境 “锁 定 ”25限 定 业 务 终 端 应 用 程 序 与 特 有 的 后 台 服 务 器 IP地 址 和 端 口 进
14、行 通 讯 , 确 保网 络 环 境 安 全基 于 IP地 址的 访 问 控 制 基 于 TCP、UDP端 口 的访 问 控 制 基 于 进 出 流量 双 向 访 问控 制 基 于 程 序 路径 和 参 数 的访 问 控 制 基 于 用 户 、用 户 组 的 访问 控 制可 以 有 效 控 制 业 务 终 端 恶 意 代 码 的 传 播 和 感 染通过该功能,可以限制服务器主机上的端口开放和访问情况,确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理,有效控制恶意代码在网络内部的传播和扩散,并避免来自于其它设备的恶意攻击及访问(包括服务器本地和安全域内部其它主机的恶意访问和攻击),弥
15、补安全域边界防火墙只能监控阻止来自于安全域外部攻击的不足。应 用 环 境 “锁 定 ”DCS_SA 主机防护软件还提供了基于进程、文件级别的应用程序控制及保护功能,通过系统的自我学习功能,DCS_SA 可以自动收集并识别业务终端上运行的业务进程及服务,并根据进程的继承和调用关系,采用进程白名单技术,在确保业务进程和业务操作正常运行的前提下,阻止可信范围之外的其它应用程序的安装和运行。采集的应用及进程信息包括程序名称、发布者、签名、信誉度;通过采集的应用名称和信誉度来添加,应用程序信誉度会自动更新。同时,系统还支持将应用添加到可信升级程序,这样任何的业务应用升级,系统锁定策略不需要进行任何调整,
16、就能保证新版本的应用进程能继续稳定可靠运行,且其它安全防护及锁定能力不受影响,如下图所示:通过该功能(进程白名单技术),可以确保服务器主机只允许业务所需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致的病毒感染、恶意代码执行风险。系 统 环 境 “锁 定 ”DCS_SA 主机防护软件还提供了基于系统的加固和锁定功能,可以限制系统配置设置、文件系统以及对服务器的访问及操作。企业可以利用该功能逐一锁定服务器,并确保对面向公众和关键任务服务器执行了适当的更改控制。例如: 限制用户或程序对指定目录、文件及其它系统资源的访问及修改(例如可以禁止终端用户执行任何其它多余系统级或外部命令) 限制各
17、种外设(例如打印、传真、usb 拷贝)等功能使用,例如可以确保只有通过特定用户或业务进程才能执行打印、usb 拷贝操作,其它用户或进程无法使用相关功能等除了前文所述系统锁定机制之外,DCS_SA 主机防护软件还提供针对操作系统核心运行环境的锁定和保护,可以有效防止进程注入、内存注入等攻击行为,对这两种攻击的阻止是通过攻击原理及攻击行为来进行识别并阻断,所以无需特征库升级即可阻止已知和未知的攻击行为。众所周知,操作系统的每项进程、服务或功能都有明确的定义。这些进程每时每刻都一成不变地做着相同的工作。因此,可以将这些进程服务和功能的已知正确行为定义并预包装在服务器加固及防护系统的默认策略中。因为这
18、些保护策略了解系统每个组成部分的正确行为,所以,每个系统调用在执行之前都会由服务器加固及防护系统客户端代理程序评估系统调用并确保其有效性,然后再将其传递给操作系统的执行引擎。利用 Behavior Control Descriptions (BCDs)技术,针对系统及常见应用服务进程制定基于行为的“虚拟”Shell,限定每个应用程序允许访问的资源及其访问权限,确保相关应用程序及进程只执行了经过授权及许可的操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。此方法的最终结果是,在无需特征或补丁更新的情况下,阻止恶意程序利用零日漏洞对系统主机进行攻击。可以确保相关应用程序及进程只执行了经过授权及许可的操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。如下图所示:安 全 监 控 -实 时 监 控 及 告 警安全监控及告警模块还提供了基于主机的安全监控和入侵检测功能,安全监控模块还提供了一个由应该受到监控的最常见安全事件组成的大型知识库,在该库中提供了一些最佳实践监控规则集合。系统维护人员可以从该库中选择一组检测规则应用于一组服务器,实现针对当前一些常见安全攻击、安全风险及威胁的检测及监