XXX服务器虚拟化安全解决方案范文录1、环境概述42、面临安全威胁42、1、针对操作系统漏洞的攻击42、2、针对应用的攻击42、3、虚拟化带来新的威胁42、4、统一管理和审计53、安全防护需求64、安全防护方案64、1、架构设计74、2、方案部署104、3、功能模块105、和传统防护方案的区别146、方案价值141、环境概述XXX目前对部分应用系统进行了虚拟化，情况概述如下：l4台物理服务器，每台服务器采用4个6核CPUl 每一个虚拟服务器采用3核CPU 标准配置l 总共有32台虚拟服务器2、面临安全威胁2、1、针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装Windows Server操作系统，众所周知，微软操作系统每年都会发现大量的漏洞，利用这些漏洞：l 大量的蠕虫病毒、木马攻击感染，导致系统异常或者是不能正常运行l 黑客利用漏洞进行攻击，窃取机密资料或者是导致系统异常由于服务器应用系统的重要性，通常来讲对于发现的漏洞都没有进行及时的修复，补丁的安装都需要经过严格的测试之后才能够进行部署，但是在实际修复的这段时间内，服务器就会面临大量利用漏洞的攻击。

2、2、针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务，类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统，这些应用系统都是由大量代码构成的，通常这些服务也都有大量的代码级漏洞，这些漏洞由于被黑客或者是商业间谍等破坏分子利用，窃取应用系统上面的机密数据，或者是导致应用不能正常对外提供服务。

2、3、虚拟化带来新的威胁当对物理服务器进行虚拟化之后，除了物理服务器所面临的来自恶意程序、黑客攻击之外，虚拟化之后，在部署使用安全软件的时候，会遇到一些新的问题：l 硬件资源利用率受到限制当完成服务器虚拟化之后，为了保护虚拟服务器的安全运行，通常都会在每一个虚拟服务器上面安装安全软件，比如防病毒、防火墙、入侵防护等等，运行这些安全软件需要占用相同的CPU、内存等硬件资源，对于做虚拟化的物理服务器来说，其硬件资源的利用率降低，有相当部分的硬件资源要来运行虚拟服务器的安全软件。

l 后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件，会随着虚拟服务器数量增加造成对后端存储的负荷越来越大，最终会影响到虚拟服务器的运行速度。

l 物理边界模糊当服务器虚拟化之后，每台物理服务器上面运行了8个虚拟服务器系统，在虚拟化环境里面，使用靠可用性功能之后，这8个系统并不是固定的，而是有可能在几台物理服务器之间进行自动切换。

那么当需要对不同的虚拟服务器进行不同的安全防护的时候，以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求2、4、统一管理和审计服务器的管理不仅仅是基本的安全防护，同时也需要进行受到攻击后的追溯以及取证，这就需要根据一些法规要求，对系统以及应用的日志进行统一收集，一旦服务器上面的操作触发了事先设定条件，就上传日志，便于事后管理和审计3、安全防护需求通过对XXX服务器虚拟环境的了解，以及面临的威胁分析，目前XXX服务器虚拟化存在的安全需求有几下几点：1、对虚拟化操作系统提供全面的安全防护：防病毒、防火墙、深度数据包检测等2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击3、针对虚拟化的特色，提供无代理安全防护，节省物理服务器硬件资源，提高虚拟服务器的搭载密度4、对Windows服务器进行系统、应用的日志审计4、安全防护方案趋势科技根据XXX服务器虚拟化的安全需求，为其使用趋势科技深度防护系统Deep Security进行防护：安全防护需求功能设计趋势科技解决方案针对操作系统漏洞的攻击1、基本病毒防护功能，拦截利用漏洞的病毒攻击感染2、深度数据包检测技术，全面拦截利用系统漏洞的攻击趋势科技深度防护系统Deep Security针对应用的攻击1、深度数据包检测技术，拦截利用应用的攻击虚拟化带来新的威胁1、直接构建基于Vmware虚拟化平台的安全防护（包括防病毒、防火墙、深度数据包检测技术）统一管理和审计1、对Windows平台的日志进行收集2、对重要的应用进行日志收集4、1、架构设计Deep Security 解决方案架构包含三个组件：l Deep Security 代理，部署在受保护的服务器或虚拟机上。

l Deep Security 管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控。

l 安全中心，是一种托管门户，专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新，然后由Deep Security 管理器定期发布这些更新。

Deep Security 代理接收来自 Deep Security 管理器的安全配置，通常是一个安全配置文件。

该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。

只需通过执行建议的扫描即可确定对服务器分配哪些规则，此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。

对所有规则监控活动都创建事件，随后这些事件将发送到 Deep Security 管理器，或者同时也发送到 SIEM 系统。

Deep Security 代理和 Deep Security 管理器之间的所有通信都受到相互验证的 SSL 所保护。

Deep Security 管理器对安全中心发出轮询，以确定是否存在新的安全更新。

存在新的更新时，Deep Security 管理器将获取该更新，然后便可通过手动或自动方式将该更新应用于需要其额外保护的服务器。

Deep Security 管理器和安全中心之间的通信也受到相互验证的 SSL 所保护。

Deep Security 管理器还连接到 IT 基础架构的其他元素，以简化管理。

Deep Security 管理器可连接到 VMware vCenter，也可连接到 Microsoft Active Directory 等目录，以获取服务器配置和分组信息。

Deep Security 管理器还拥有 Web 服务 API，可用于程式化地访问功能。

安全中心对漏洞信息的公共和私有源都进行监控，以保护客户正在使用的操作系统和应用程序。

l Deep Security 管理器Deep Security 解决方案提供实用且经过验证的控制，可解决棘手的安全问题。

有关操作且具有可行性的安全不仅让您的组织获知安全事件，还可帮助了解安全事件。

在许多情况下，这种安全就是提供有关事件发起者、内容、时间和位置的信息，以便组织可以正确理解事件然后执行相应操作，而不仅仅是告诉组织安全控制本身执行了什么操作。

Deep Security 管理器软件满足了安全和操作双重要求，其功能如下：l 集中式的、基于 Web 的管理系统：通过一种熟悉的、资源管理器风格的用户界面创建和管理安全策略，并跟踪记录威胁以及为响应威胁而采取的预防措施。

l 详细报告：内容详尽的详细报告记录了未遂的攻击，并提供有关安全配置和更改的可审计历史记录。

l 建议扫描：识别服务器和虚拟机上运行的应用程序，并建议对这些系统应用哪些过滤器，从而确保提供事半功倍的正确防护。

l 风险排名：可根据资产价值和漏洞信息查看安全事件。

l 基于角色的访问：可使多个管理员（每个管理员具有不同级别的权限）对系统的不同方面进行操作并根据各自的角色接收相应的信息。

l 可自定义的仪表板：使管理员能够浏览和追溯至特定信息，并监控威胁及采取的预防措施。

可创建和保存多个个性化视图。

l 预定任务：可预定常规任务（如报告、更新、备份和目录同步）以便自动完成l Deep Security代理Deep Security 代理是Deep Security 解决方案中的一个基于服务器的软件组件，实现了IDS/IPS、Web 应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。

它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况，对服务器或虚拟机实行防御。

必要时，Deep Security 代理会通过阻止恶意通信流介入威胁并使之无效。

l 安全中心安全中心是 Deep Security 解决方案中不可或缺的一部分。

它包含一支由安全专家组成的动态团队，这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应，从而帮助客户对最新威胁做到防患于未然；同时，安全中心还包含一个用于访问安全更新和信息的客户门户。

安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程：l 监控：对超过100 个公共、私有和政府数据源进行系统化的持续监控，以识别新的相关威胁和漏洞，并将其关联起来。

安全中心研究人员利用与不同组织的关系，获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、准确的防护。

这些来源包括Microsoft、Oracle 及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm 以及 Securiteam。

l 确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以作进一步分析。

l 分析：对漏洞执行深入分析，确定需要采取的必要防护措施。

l 开发和测试：然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器的规则，并进行广泛的测试，以便最大限度地降低误测率，并确保客户能够快速、顺利地部署这些过滤器和规则。

l 交付：将新过滤器作为安全更新交付给客户。

当新的安全更新发布时，客户将通过 Deep Security 管理器中的警报立即收到通知。

然后就可以将这些过滤器自动或手动应用于相应的服务器。

l 通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问，可实现与客户之间的持续通信。

4、2、方案部署l 安装1个Deep Security控制管理台l 在4台物理服务器上面分别安装DSVA（针对VMware Esx的安全虚拟系统）4、3、功能模块Deep Security 解决方案使您能够部署一个或多个防护模块，提供恰好适度的防护以满足不断变化的业务需求。

您可以通过部署全面防护创建自我防御的服务器和虚拟机，也可以从完整性监控模块着手发现可疑行为。

所有模块功能都通过单个 Deep Security 代理部署到服务器或虚拟机，该Deep Security 代理由 Deep Security 管理器软件集中管理，并在物理、虚拟和云计算环境之间保持一致。

l 防病毒1)对病毒、蠕虫、木马、间谍软件等各种各样的恶意程序进行检测和清除2) 基于传统的物理服务器进行有代理的病毒防护3)在虚拟平台上面，实现底层的无代理的病毒防护l 深度数据包检查 (DPI) 引擎实现入侵检测和防御、Web 应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括 SSL 通信流）中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。