虚拟化的安全叶润国.pptVIP

离线虚拟机安全检测项目 在虚拟机脱机情况下，直接对虚拟机磁盘进行安全检测 实现对离线虚拟机的批量、集中和统一杀毒 实现对离线虚拟机中OS和应用的统一补丁管理 实现对虚拟机中用户数据的集中备份和恢复 基于虚拟磁盘SDK实现离线虚拟机杀毒和补丁管理 Vmware VDDK Qcow2 SDK 谢谢 欢迎讨论 周边安全其实就是虚拟域边界的安全。 内部安全其实就是虚拟域内部的安全。 终端安全其实是确保虚拟机自身安全。 数据安全其实就是确保数据存储安全。 * 传统的的安全产品在解决虚拟化环境安全时存在的问题。 1）为了实现流量监控，不得不采取多个物理资源池。否则找不到安全域的边界。无法部署边界安全产品。 2）安全域域内访问控制问题。 3）管理配置复杂，先前的基于网元的管理不再合适。 * * BMC芯片 依赖于KVMOverIP * Security modules overview * * * * * 第一种是利用虚拟机内部的加密驱动来实现数据加密。这种方法的好处是对虚拟化平台透明，易于实现跨平台，缺点是由于加密驱动和虚拟机处于同一权限级别，安全性稍低； 第二种是利用虚拟化层中的加密驱动来实现数据加密。这种方法好处是实现了与虚拟机的安全隔离，加密可靠， 但缺点是对虚拟化平台的依赖性较高。 第三种是利用虚拟化服务器和共存存储SAN之间的加密网关实现数据加密。这种方法好处是不依赖于具体的虚拟化平台，并且安全性高，缺点是加密网关很容易成为整个系统的性能瓶颈。 * * Hyper-V和Xen没有讲。很多都是微软平台。 1.国内的公司更多的是安全解决方案，而不是产品（?） 2.更关注公司的面向虚拟化的安全产品。 3.加密技术可能存在困扰。PKI和IBC技术。应该谈到身份认证技术。 4.3A类，建议引入IBC密钥管理机制。 5.九宫格。与方物的合作关系。保镖和人之间的关系。人要迁移，保镖也必须跟着迁移。人到哪里，保镖必须到哪里。 虚拟化的安全 青山（叶润国） 核心研究院 2012-07-20 启明星辰技术大练兵 虚拟化环境安全需求 数据安全 确保数据存储的安全 确保数据传输的安全 确保数据处理的安全 数据安全保护 传统安全产品解决虚拟化安全 虚拟化环境安全产品解决方案设想 ESX/Hypver-V/KVM/Fronware APP OS APP OS VMware vCenter/SCVMM/oVirt/FronwarevCenter 云安全产品管配平台 (VSecManager) APP OS APP OS APP OS APP OS APP OS APP OS SAN 域间访问控制 域内访问控制 虚拟终端安全 用户数据安全 Vmware的虚拟化安全产品套件 正在研发的云管配平台产品 云管配服务器(vSecManager) 安全产品 虚拟器件库 管理中心 虚拟化平台 虚拟化管理中心(vCenter) Web Browser 泰合团队：实现一个可对启明星辰的虚拟化安全产品进行自动部署、集中管理和集中监控的安全管理平台。 第一版情况：支持VMWare vsphere；支持vUTM和vTDS管理 域间访问控制解决方案 通过VLAN等技术实现虚拟域的隔离 然后通过网关形式虚拟安全产品实现两个或多个隔离的虚拟域之间的通信和访问控制。 Vmware vshield Edge Venustech vUTM vDS vSW vSW APP OS APP OS APP OS APP OS Tenant A (VLAN101) public network public network ESX1 ESX2 vShield edge网关 一个标准虚拟机；拥有内外网卡；路由模式；端口组网络安全；提供边界防护安全服务。 访问控制：vUTM虚拟机形态安全网关 虚拟化和云计算研究课题介绍 基于内省API的虚拟安全产品研究 安全虚拟机为特权虚拟机，通过虚拟化层内省API实现对其它虚拟机的安全监控 允许安全虚拟机对其它虚拟机CPU、内存、网络流和磁盘I/O进行监控 安全虚拟机可高效实现各种安全功能，包括FW、HIPS、NIPS、AV等 IDS / IPS Web 应用程序保护 应用程序控制 防火墙 深度包检测 日志审计 保护 Web 应用安全漏洞 减低攻击层面. 防止 DoS 产品瑕疵 监察扫描 从海量数据中 优化以及辨识 重要安全事件 完整性监控 在重要系统目录，文件，注册表项中检测恶意和未经授权的更改 病毒查杀 测并拦截恶意软件（网络威胁，病毒和蠕虫，木马） 侦测和阻止透过安全漏洞 发动的已知跟零日攻击 在应用程序访问网络的过程中提供更高的可视性以及监控 Vmsafe based DeepSecurity产品 本项目在研情况 目前正和北航合作。