1.1.1 服务器安全解决方案 Trend Micro Deep Security发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断,符合包括 PCI 在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。Deep Security 解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制:
1. 基于主机的IDS/IPS 防护未知漏洞,被未知攻击 防护已知攻击 防护零日攻击,确保未知漏洞不会被利用 2. Web应用防护 防护web应用程序的弱点和漏洞 防护Web应用程序的历史记录 支持PCI规范。 3. 应用程序控制 侦测通过非标准端口进行通讯相关协议 限制和设定哪些应用程序能通过网络被访问 侦测和阻断恶意软件通过网络进行访问 4. 基于主机的防火墙 5. 一致性检查和监控 重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等) 监控制定的目录 灵活并且主动实用的监控 审计日志和报表 6. 日志检查和审计 搜集操作系统和应用程序的日志,便于安全检查和审计 可疑行为侦测 搜集安全行为相关的管理员设定 1.1.1.1 产品特点
数据中心服务器安全架构必须解决不断变化的 IT 架构问题,包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式,Deep Security 解决方案可帮助:
1.1.1.1.1 通过以下方式预防数据泄露和业务中断
在服务器自身位置提供一道防线 – 无论是物理服务器、虚拟服务器还是
云服务器 针对 Web 和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击 帮助您识别可疑活动及行为,并采取主动或预防性的措施 1.1.1.1.2 通过以下方式实现合规性
满足六大 PCI 合规性要求(包括 Web 应用程序安全、文件完整性监控和
服务器日志收集)及其他各类合规性要求 提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间 1.1.1.1.3 通过以下方式支持降低运营成本
提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本
效益地实施未预定的补丁 为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性 以单个集中管理的软件代理提供全面的防护 – 消除了部署多个软件客户端的必要性及相关成本 1.1.1.1.4 全面易管理的安全性
Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的防护要求:
Deep Security 模块 据中心要求 深度数据包检查 防火墙 完整性监控
日志 审计
IDS/IPS Web 应用程序防护 应用
程序控制 服务器防护 – 预防已知攻击和零日攻击 – 安装补丁之前对漏洞进行防护 ● ● ● 〇
Web 应用程序防护 – 预防 SQL 注入、跨站点脚本攻击及强力攻击等 Internet 攻击 – 满足 PCI DSS 6.5 要求 - Web 应用程序防火墙
● ● 〇 ●
虚拟化安全 – 预防已知攻击和零日攻击 – 安装补丁之前对漏洞进行防护 – VMware vCenter 集成增强了可见性和管理
● 〇 ● ● 〇
可疑行为检测 – 预防侦察扫描 – 检测是否在不合适的端口上使用允许的协议 – 针对可能发出攻击信号的操作系统及应用程序错误发出警报 – 针对关键操作系统及应用程序更改发出警报
〇 ● ● ● ●
云计算安全 – 使用防火墙策略隔离虚拟机器 – 预防已知攻击和零日攻击 – 安装补丁之前对漏洞进行防护
● 〇 ● ● ●
合规性报告 – 有关对关键服务器所做的所有更改的可见性和审计记录 – 检查和关联重要安全事件并将其转发到日志记录服务器,以便进行补救、报告和存档 – 有关配置、检测到的活动及已阻止的活动的报告 〇 ● 〇 〇 ● ●
● = 基本 〇 = 优势 1.1.1.2 产品模块及功能
Deep Security 解决方案使您能够部署一个或多个防护模块,提供恰好适度的防护以满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机,也可以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个 Deep Security 代理部署到服务器或虚拟机,该 Deep Security 代理由 Deep Security 管理器软件集中管理,并在物理、虚拟和云计算环境之间保持一致。
1.1.1.2.1 深度数据包检查 (DPI) 引擎
实现入侵检测和防御、Web 应用程序防护以及应用程序控制 该解决方案的高性能深度数据包检查引擎可检查所有出入通信流(包括 SSL 通信流)中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行,以保护操作系统和企业应用程序的漏洞。它可保护 Web 应用程序,使其免受应用层攻击,包括 SQL 注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息,包括攻击者、攻击时间及意图利用的漏洞。发生事件时,可通过警报自动通知管理员。DPI 用于入侵检测和防御、Web 应用程序防护以及应用程序控制。
1.1.1.2.2 入侵检测和防御 (IDS/IPS)
在操作系统和企业应用程序安装补丁之前对其漏洞进行防护,以提供及时保护,使其免受已知攻击和零日攻击
漏洞规则可保护已知漏洞(如 Microsoft 披露的漏洞),使其免受无数次的漏洞攻击。Deep Security 解决方案对超过 100 种应用程序(包括数据库、Web、电子邮件和 FTP 服务器)提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则,无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上:
智能规则通过检测包含恶意代码的异常协议数据,针对攻击未知漏洞的漏洞攻击行为提供零日防护。 漏洞攻击规则可停止已知攻击和恶意软件,类似于传统的防病毒软件,都使用签名来识别和阻止已知的单个漏洞攻击。
由于趋势科技是 Microsoft 主动保护计划 (MAPP) 的现任成员,Deep Security 解决方案可在每月安全公告发布前提前从 Microsoft 收到漏洞信息。这种提前通知有助于预测新出现的威胁,并通过安全更新为双方客户快速有效地提供更及时的防护。
1.1.1.2.3 WEB 应用程序安全
Deep Security 解决方案符合有关保护 Web 应用程序及其处理数据的 PCI 要求 6.6。Web 应用程序防护规则可防御 SQL 注入攻击、跨站点脚本攻击及其他 Web 应用程序漏洞攻击,在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的 Web 应用程序攻击。根据客户要求进行的一项渗透测试,我们发现,部署 Deep Security 的 SaaS 数据中心可对其 Web 应用程序和服务器中发现的 99% 的高危险性漏洞提供防护。
1.1.1.2.4 应用程序控制
应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。
1.1.1.2.5 防火墙
减小物理和虚拟服务器的受攻击面 Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信,并阻止其他所有端口和协议,降低对服务器进行未授权访问的风险。其功能如下:
虚拟机隔离:使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。 细粒度过滤:通过实施有关 IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。 覆盖所有基于 IP 的协议:通过支持全数据包捕获简化了故障排除,并且可提供宝贵的分析见解,有助于了解增加的防火墙事件 – TCP、UDP、ICMP 等。 侦察检测:检测端口扫描等活动。还可限制非 IP 通信流,如 ARP 通信流。 灵活的控制:状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题,此问题可能出于正常情况,也可能是攻击的一部分。 预定义的防火墙配置文件:对常见企业服务器类型(包括 Web、LDAP、DHCP、FTP 和数据库)进行分组,确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。 可操作的报告:通过详细的日志记录、警报、仪表板和灵活的报告,Deep Security 防火墙软件模块可捕获和跟踪配置更改(如策略更改内容及更改者),从而提供详细的审计记录。
1.1.1.2.6 完整性监控
监控未授权的、意外的或可疑的更改 Deep Security 完整性监控软件模块可监控关键的操作系统和应用程序文件(如目录、注册表项和值),以检测可疑行为。其功能如下:
按需或预定检测:可预定或按需执行完整性扫描。 广泛的文件属性检查:使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控,包括:内容、属性(如所有者、权限和大小)以及日期与时间戳。还可监控对 Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作,并提供警报。此功能适用于 PCI DSS 10.5.5 要求。 可审计的报告:完整性监控模块可显示 Deep Security 管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过 Syslog 将事件转发到安全信息和事件管理 (SIEM) 系统。 安全配置文件分组:可为各组或单个服务器配置完整性监控规则,以简化