XXX服务器虚拟化安全解决方案.doc

资料 XXX 服务器虚拟化安全解决方案 XXX 趋势科技（中国）有限公司 编写者 苏鹏 (趋势科技销售工程师) 成稿时间 2011/4/13 文档控制 仅限于XXX和趋势科技交流使用 文档修订记录 日期 修改人 版本 修改内容概要 2011/4/13 苏鹏 V1 初稿 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc290414558 1. 环境概述 PAGEREF _Toc290414558 \h 4 HYPERLINK \l _Toc290414559 2. 面临安全威胁 PAGEREF _Toc290414559 \h 4 HYPERLINK \l _Toc290414560 2.1. 针对操作系统漏洞的攻击 PAGEREF _Toc290414560 \h 4 HYPERLINK \l _Toc290414561 2.2. 针对应用的攻击 PAGEREF _Toc290414561 \h 4 HYPERLINK \l _Toc290414562 2.3. 虚拟化带来新的威胁 PAGEREF _Toc290414562 \h 4 HYPERLINK \l _Toc290414563 2.4. 统一管理和审计 PAGEREF _Toc290414563 \h 5 HYPERLINK \l _Toc290414564 3. 安全防护需求 PAGEREF _Toc290414564 \h 6 HYPERLINK \l _Toc290414565 4. 安全防护方案 PAGEREF _Toc290414565 \h 6 HYPERLINK \l _Toc290414566 4.1. 架构设计 PAGEREF _Toc290414566 \h 7 HYPERLINK \l _Toc290414567 4.2. 方案部署 PAGEREF _Toc290414567 \h 10 HYPERLINK \l _Toc290414568 4.3. 功能模块 PAGEREF _Toc290414568 \h 10 HYPERLINK \l _Toc290414569 5. 和传统防护方案的区别 PAGEREF _Toc290414569 \h 14 HYPERLINK \l _Toc290414570 6. 方案价值 PAGEREF _Toc290414570 \h 14 环境概述 XXX目前对部分应用系统进行了虚拟化，情况概述如下： 4台物理服务器，每台服务器采用4个6核CPU 每一个虚拟服务器采用3核CPU标准配置 总共有32台虚拟服务器 面临安全威胁 针对操作系统漏洞的攻击 海事局目前的虚拟服务器都安装Windows Server操作系统，众所周知，微软操作系统每年都会发现大量的漏洞，利用这些漏洞： 大量的蠕虫病毒、木马攻击感染，导致系统异常或者是不能正常运行 黑客利用漏洞进行攻击，窃取机密资料或者是导致系统异常 由于服务器应用系统的重要性，通常来讲对于发现的漏洞都没有进行及时的修复，补丁的安装都需要经过严格的测试之后才能够进行部署，但是在实际修复的这段时间内，服务器就会面临大量利用漏洞的攻击。 针对应用的攻击 虚拟服务器操作系统上面构建各种各样的应用及服务，类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统，这些应用系统都是由大量代码构成的，通常这些服务也都有大量的代码级漏洞，这些漏洞由于被黑客或者是商业间谍等破坏分子利用，窃取应用系统上面的机密数据，或者是导致应用不能正常对外提供服务。 虚拟化带来新的威胁 当对物理服务器进行虚拟化之后，除了物理服务器所面临的来自恶意程序、黑客攻击之外，虚拟化之后，在部署使用安全软件的时候，会遇到一些新的问题： 硬件资源利用率受到限制 当完成服务器虚拟化之后，为了保护虚拟服务器的安全运行，通常都会在每一个虚拟服务器上面安装安全软件，比如防病毒、防火墙、入侵防护等等，运行这些安全软件需要占用相同的CPU、内存等硬件资源，对于做虚拟化的物理服务器来说，其硬件资源的利用率降低，有相当部分的硬件资源要来运行虚拟服务器的安全软件。 后台资源冲突 每个虚拟服务器操作系统上面单独安装安全软件，会随着虚拟服务器数量增加造成对后端存储的负荷越来越大，最终会影响到虚拟服务器的运行速度。 物理边界模糊 当服务器虚拟化之后，每台物理服务器上面运行了8个虚拟服务器系统，在虚拟化环境里面，使用靠可用性功能之后，这8个系统并不是固定的，而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候，以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求 统一管理和审计 服务器的管理不仅仅是基本的安