Elastershield方案.pdfVIP

目 录 第一章 概述 2 1. 虚拟化安全面临威胁分析 2 11. 虚拟化基础防护必要性 4 12. 天云趋势虚拟化安全解决产品 4 一、虚拟化安全部署方案 6 1. 平台部署方案 6 2. 虚拟安全方案集中管理 6 二、Elastershield介绍 6 1. Elastershield架构 6 2. Elastershield部署及整合 7 3. Elastershield主要优势 7 4. Elastershield模块及功能 8 三、ElasterShield的不同之处 11 1 1. 概述 企业大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展， 数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外，还 包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理 的费用，相当昂贵。 如果这些服务器的利用率不高，对企业来说，无疑是一种巨大的浪费。 在相关业务中，这些关键应用系统已经开展使用服务器虚拟化解决方案。这解决企业信 息化建设目前现有的压力，同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使能够能够获得在效率、成本方面的显著收益以及在综合数据中心更具 环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时，数据中心的虚拟系统面 临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT 资源方 面存在大量特殊挑战，最终将抵消虚拟化的优势。尤其在虚拟化体系结构将从根本上影响如 何对于关键任务应用进行设计、部署和管理情况下，用户需要考虑哪种安全机制最适合保护 物理服务器和虚拟服务器。 天云趋势云管理平台可以整合数据中心的计算资源、存储资源和网络资源，为 IT 资源 的统一整合、管理与分配提供有力的技术支持，天云趋势自主研发的一套 Elastershield 安 全管理软件，用于针对虚拟环境安全防护。包括入侵检测和防护、防火墙等针对服务器防御 以及现在可以部署的恶意软件防护。所用架构主要是利用虚拟化厂商目前在其平台上增加的 附加能力进行管理，还可通过云管理平台 ElasterStack 针对异构虚拟化进行安全防护。 Elastershield 安全防护用以提高在虚拟化环境中关键任务应用的安全性。提供给真正用户的 解决方案以应对云计算环境的挑战。 1. 虚拟化安全面临威胁分析 传统环境下的网络安全拓扑图，在网络出口处部署有防火墙，防毒墙，上网行为管理等 安全设备，用来隔离内外网，过滤来自外网的恶意程序，规范内网用户的上网行为，同时在 DMZ 区使用防火墙隔离，部署IDS 监控对服务器的非法访问行为，在服务器上部署防病毒 软件，保护核心服务器的安全运行。 虚拟化在资源利用率、高可用性、高扩展性上有着诸多优势，实现虚拟化后，直观的来 看，是将多台服务器集中到了一台主机内，这一台主机同时运行了多个操作系统，提供不同 的应用和服务；系统管理员根据需要可以非常方便的添加新的应用服务器； 2 根据传统的安全设计模型，需要在每个操作系统中安装防毒软件，在网络层部署入防火 墙、侵检测或入侵防御系统，但是在这种在传统方式下合理的设计，在虚拟环境下会面临一 些新的问题： 未激活的虚拟机，物理机下关闭计算机后CPU 停止运行，网络关闭，理论上不会有数 据的交互，操作系统也就不存在被感染的可能；但是在虚拟环境下，CPU，网络，底层的 ESX 都在工作中，关闭的操作系统类似于物理环境下的一个应用程序，尽管这个“应用程 序”没有运行，但仍然有被病毒感染的可能； 资源的冲突，防毒软件在启用预设扫描后，当到了指定时间，会同时进行文件扫描的动 作，这个时候防毒软件对CPU 和内存的占用急剧增加，当系统资源被耗尽的时候就会导致 服务器down 机； 管理复杂度，由于虚拟化的便利性，系统管理员可以非常方便的根据模板生成新的系统， 这些新系统要打补丁，进行病毒代码的更新，也会增加安全管理的复杂度；