虚拟化与云安全解决方案
目录
一、项目概述 (2)
1.项目背景 (2)
2.需求分析 (2)
二、总体方案设计 (2)
1.体系架构 (2)
2.方案简述 (3)
三、无代理终端安全解决方案 (4)
1.方案说明 (4)
2.主要优势 (4)
3.产品介绍 (6)
四、网络安全解决方案 (7)
1.方案说明 (7)
2.主要优势 (8)
3.产品介绍 (8)
五、主要/应用安全解决方案 (11)
1.方案说明 (11)
2.主要优势 (12)
3.产品介绍 (12)
六、数据安全解决方案 (15)
1.方案说明 (15)
2.主要优势 (16)
3.产品介绍 (16)
七、附录 (18)
1.vShield产品家族各组件功能比较 (18)
威睿信息技术(中国)有限公司
一、项目概述
1. 项目背景
//// 此处插入项目情况
2. 需求分析
XXXX数据中心部署了大量的x86服务器,承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心在空间占用、能源消耗和运维管理方面的压力越来越大。采购与维护成本也有较大的增长。在没有采用虚拟化技术的情况下,资源调配很不灵活,硬件资源的总体利用率不高,存在较大的浪费。
为了应对上述问题,XXXX开始实施基础架构革新,引入虚拟化与云计算技术,先后将非核心应用与核心应用迁移到了VMware的虚拟化平台,有效降低了成本,提高了资源利用率和可用性,运维效率也得到了较大提升,缓解了信息化建设所面对的诸多压力。
在取得显著效益的同时,现有的基础架构在安全性方面又出现了新的挑战,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,使用不够灵活,管理难度大,不能很好地满足新架构的需要,为了更好地满足业务发展的需要,急需采用更有针对性的虚拟化与云安全解决方案来保障虚拟化与云计算平台的安全性问题。
针对用户在安全方面的需求,VMware提供了专为虚拟化与云计算平台所设计的整体安全解决方案,全面涵盖了终端安全,网络安全与数据安全,该方案可以与现有的基础架构紧密集成,简单易用,灵活高效,是目前业界最佳的云安全解决方案。
二、总体方案设计
1. 体系架构
VMware云安全解决方案由vShield产品家族构成,主要包括vShield Edge,vShield App,vShield Data Security和vShield Endpoint四个组成部分,统一通过vShield Manager进行集中管理,与vCenter Server的管理界面集成。这些产品组件均可以部署在VMware的虚拟化平台之上,安装简便,使用灵活,易于维护和管理。
2. 方案简述
下面简述一下此方案的几个主要功能,详细介绍参见后面的章节。
1,网络安全解决方案vShield Edge 逻辑边界防火墙,部署于两个虚拟网段之间,主要用于实现虚拟数据中心的边界防护的功能。在虚拟化平台之上,主机和网络之间的物理边界消失或模糊,无法部署硬件防火墙设备。vShield Edge可以很好地满足这一场景下的边界防护要求。
2,主机/应用安全解决方案vShield App 主机/应用防火墙,部署于采用了VMware 虚拟化技术的物理服务器之上,主要用于保护虚拟机及其上的应用程序。供助于vShield App,不需在虚拟机内部安装代理程序即可对其提供保护,vShield App可以自动感知和适应环境变化,始终确保虚拟机得到应用的保护,免受网络威胁的影响。 3,终端安全解决方案vShield Endpoint 无代理终端安全产品,部署于采用了VMware虚拟化技术的物理服务器之上,通过与Trend Micro,BitDefender等主流的安全厂商合作,为用户的虚拟机提供防病毒,防入侵等安全防护。
4,数据安全解决方案vShield Data Security 敏感数据发现与保护,可以基于业界的规范和企业的策略对虚拟机内部的数据进行扫描,发现敏感数据并对含有敏感数据的虚拟机进行隔离保护。
三、无代理终端安全解决方案
1. 方案说明
终端安全管理是一项费时费力的工作,终端分布广泛,种类繁多,难于管控。传统的终端安全防护手段需要在终端上部署代理程序,保证这些代理始终有效且能得到及时更新,是一项充满挑战的工作,很多企业为此不得不应用终端管理和网络准入控制等解决方案来保证终端的可控。虚拟化和云计算时代的到来,彻底的改变了这种局面。虚拟基础架构为企业计算环境带来了新的管控手段,使无代理安全防护成为可能。
vShield Endpoint彻底革新了大家固有的如何保护客户虚拟机免受病毒和恶意软件攻击的观念。该解决方案优化了防病毒及其他端点安全保护功能,可以更高效地工作于VMware vSphere? 和VMware View?环境。
vShield Endpoint 通过将病毒扫描活动从各个虚拟机卸载到安全虚拟设备来提高
性能。安全虚拟设备能够持续更新防病毒特征码,为主机上的虚拟机提供无中断保护。
2. 主要优势
1,简化部署
虚拟化技术能够帮助管理员快速而又简单地完成系统部署工作,通过虚拟机模板来部署新系统是一项轻松愉快的工作,采用无代理模式,管理员无需在模板机中部署和更新代理程序,可以更好地保障虚拟机的合规性,减少虚拟机的体积和管理工作量。增加的工作是在每台物理服务器上部署一个安全虚拟设备(SVA),以5:1 的常规整合比为例,部署工作量减少了4/5,如果应用场景是VDI,一台服务器至少可以部署几十个虚拟桌面,部署工作量仅为代理模式的几十分之一。
2,简化管理
维护好终端,特别是维护好终端内部的安全代理是管理员的重要工作之一,代理模式下,管理员要随时监视各终端上代理的状态,及时发现无代理、代理功能不正常和代理陈旧等问题。防护不到位的终端会对整个网络的安全状况造成非常大的影响。采用无代理模式,这一部分的管理工作量就不存在了。增加的工作是对安全虚拟设备(SVA)的管理,据前述,管理工作量仅是代理模式的几分之一到几十分之一。
3,避免病毒扫描风暴
安全代理在执行病毒扫描操作时会占用较多的主机资源,在虚拟基础架构中,病毒扫描对性能的影响更为显著。虚拟机启动,周期性例行扫描或蠕虫病毒流行时,如果不能对扫描行为进行有效控制,就可能导致病毒扫描风暴,严重影响业务系统的性能,甚至导致服务中断。在无代理模式下,运行于同一物理服务器上的多台虚拟机的扫描工作统一进行调度,资源占用得到有效控制,消除了病毒扫描风暴的发生。
4,减少资源占用
运行在主机上的安全代理会占用主机的CPU,内存和磁盘资源,引擎和病毒定义的更新会占用网络资源。近几年来,恶意程序迅猛增长,防病毒产品和病毒定义文件的体积越来越大,尽管安全厂商不断引入新技术来降低安全代理对主机的影响,仍然不能有效地解决这一问题。无代理模式下完全不存在这种问题,当终端数量较大时,节省的资源数量将非常可观。
上图为有客户端和无客户端终端保护的资源占用对比,右图为无客户端方式,资源占用非常少。
5,随时保持最新
传统模式下,如果主机经常关机或离线,则安全产品无法得到及时更新,当主机再次开机或联线时,系统非常容易受到感染和破坏。0Day攻击越来越多,如果不能保证防病毒产品和病毒定义的实时更新,防护效果就会大打折扣。采用无代理模式,只要保证安全虚拟设备(SVA)随时在线,及时更新就可以了。
6,更高的密度,更低的成本
前面介绍过,无代理模式可以在很大程度上节省资源占用,完全消除病毒扫描风暴,因此可以提高部署密度,节省硬件采购成本。此外,针对虚拟化平台的无代理安全防护产品,通常会提供基于物理CPU的授权模式,按这种授权方式购买产品,要比按部署节点数量来购买要经济得多。部署密度越高,性价比越高。
7,更好的安全性
很多恶意程序把安全产品作为攻击目标,安全产品必须具备良好的自我保护功能,但是这种自我保护功能并不是百分百有效,安全产品一旦感染了恶意代码,不仅起不到防护作用,还会加快恶意代码的传递。无代理模式下消除了这种隐患。安全虚拟设备(SVA)采用经过整固的专用系统,安全级别较高,从而显著提升了无代理模式下的整体安全性。
8,效率更高
在无代理模式下,物理主机是安全防护的基本单位,运行于一台物理主机上的全部虚拟机之上所产生的活动都由部署于该物理主机上的安全虚拟设备(SVA)负责监控。当多台虚拟机执行相同活动时,SVA可以利用缓存技术加速扫描,提高扫描效率,特别是那些重复存在于多台虚拟机中的操作系统和应用程序文件,扫描性能会有很大提升。
3. 产品介绍
1,vShield Endpoint工作原理
vShield Endpoint 直接嵌入到vSphere 中,由以下这三个组件组成:
?经过加强的安全虚拟设备,由VMware 合作伙伴提供
?虚拟机精简代理,用于卸载安全事件(包含在VMware Tools 中)
?VMware Endpoint ESX? 虚拟化管理程序模块,用于支持前两个组件在虚拟化管理程序层上的通信。
例如,对于防病毒解决方案,vShield Endpoint 将监视虚拟机文件活动并通知防病毒引擎,然后再由引擎进行扫描并返回处置信息。该解决方案支持在访问时进行文件扫描,以及由安全虚拟设备中的防病毒引擎发起的按需(计划内)文件扫描。当需要进行修复时,管理员可以使用他们现有的防病毒和防恶意软件管理工具指定要执行的操作,同时由vShield Endpoint 管理受影响虚拟机中的修复操作。
2,vShield Endpoint主要功能特性
卸载防病毒和防恶意软件负载
?vShield Endpoint 使用vShield Endpoint ESX 模块将病毒扫描活动卸载到安全虚拟设备中,通过在该设备上执行防病毒扫描提高性能。
?通过瘦客户端代理和合作伙伴ESX 模块,将文件、内存和进程扫描等任务从虚拟机卸载到安全虚拟设备中。
?vShield Endpoint EPSEC 使用虚拟化管理程序层的自检功能来管理虚拟机与安全虚拟设备之间的通信。
?防病毒引擎和特征码文件只在安全虚拟设备内更新,但可对vSphere 主机上的所有虚拟机应用策略。
修复
?vShield Endpoint 实施防病毒策略,以指定应删除、隔离还是以其他方式处理恶意文件。
?精简代理负责管理虚拟机内的文件修复活动。
合作伙伴集成
?EPSEC API 在虚拟化管理程序中提供对文件活动的自检,使VMware 防病毒合作伙伴实现vShield Endpoint 集成。基本的防病毒功能可通过此API 提供支持。目前,可选择的合作伙伴产品包括Trend Micro的Deep Security和BitDefender的Security for Virtualized Environments。
vShield Manager,策略管理和自动化
?vShield Manager 提供全方位的vShield Endpoint 部署和配置。
?使用表述性状态转移(REST) API 可以实现vShield Endpoint 功能与各种解决方案的自定义自动集成。
?提供监控报告。
?vShield Manager 可用作vCenter 插件。
日志记录与审核
?事件日志记录采用基于行业标准的Syslog 格式。
四、网络安全解决方案
1. 方案说明
vShield Edge 是专为虚拟数据中心提供的边缘网络安全解决方案。它可提供网络安全网关服务和Web 负载平衡等基本安全功能,以提高性能和可用性。此解决方案直接嵌入到vSphere 中,可利用容错和高可用性等功能获得无可比拟的恢复能力。
管理员可通过随附的vShield Manager 控制台集中管理vShield Edge,该控制台与vCenter Server 无缝集成以便对虚拟数据中心进行统一的安全管理。
此外,vShield Edge 也可与VMware vCloud?Director 协同使用,以便在多租户云
计算基础架构中自动执行和加快虚拟数据中心的安全调配速度。安全管理员和虚拟基础架构管理员的职责分离使他们只能访问有限的授权资源。
2. 主要优势
?由于可以省去多种专用设备并可以快速调配网络网关服务,因此可以降低成本和复
杂性。
?利用内置的边缘网络安全解决方案及服务,可以确保策略得到执行。
?每个组织或租户拥有一个边缘,因而可以提高可扩展性和性能。
?可通过详细的日志记录简化IT 遵从性工作。
?利用与VMware vCenter?Server 及领先的企业安全解决方案集成的全功能界面,可以简化管理流程。
3. 产品介绍
1,vShield Edge 的主要用途
1),整合边缘安全硬件—借助vShield Edge,客户可以使用现有的vSphere 资源来调配边缘安全服务,因此不需要使用边缘安全硬件在vSphere 主机之间进行物理隔离。
2),快速安全地调配虚拟数据中心边界—借助vShield Edge,组织可在虚拟数据中心环境周边轻松创建安全、逻辑、独立于硬件的边界(即“边缘”),从而更为便捷地利用多租户IT 基础架构中的共享网络资源。
3),保护共享网络中的数据机密性—vShield Edge 可对站点间VPN 提供256 位加密,以保护在虚拟数据中心边界内传输的所有数据的机密性。
4),确保Web 服务的性能和可用性—vShield Edge 可跨多个虚拟机集群高效管理入站Web 流量,并且包含可供客户与边缘安全性功能一起部署或独自部署的多种Web 负载平衡功能。
5),促进遵从性管理—vShield Edge 可为企业提供证明其遵从公司策略、行业和政府法规所需的事件详细日志记录以及流量统计信息等必要的控制措施。
2,vShield Edge主要功能特性说明
1),防火墙
?外围(第3 层)防火墙,不需要进行网络地址转换
?有状态检测防火墙,采用基于以下参数的入站和出站连接控制规则:–IP 地址—源/ 目标IP 地址
–端口—源/ 目标端口
–协议—类型(TCP 或UDP)
2),网络地址转换
?以虚拟化环境为转换目标和转换源的IP 地址转换
?针对不受信任的地址伪装虚拟数据中心的IP 地址动态主机配置协议
?自动为vSphere 环境中的虚拟机调配IP 地址
?管理员自定义的参数(例如,地址池、租期和专用IP 地址等)
3),站点间VPN
?保护虚拟数据中心(或边缘安全虚拟机)之间的通信安全
?IPsec VPN,支持证书身份验证,以及基于Internet 密钥交换(IKE) 协议的共享密钥
4),Web 负载平衡
?针对包括Web 流量(HTTP) 在内的所有流量的入站负载平衡
?循环算法
?支持“粘性”会话
5),边缘流量统计信息
?计量虚拟数据中心资源的使用量,并确定各个租户的使用量比重
?这些统计信息可通过表述性状态转移(REST) API 进行访问,在服务提供商的计费应用程序中加以使用。
6),策略管理
?通过vShield Manager 进行全面的管理;许多功能也可通过vCenter Server 界面访问
?界面可自定义,以便使用REST API 进行管理
?支持与企业IT 安全管理工具集成
7),日志记录与审核
?基于业界标准的syslog 格式
?可通过REST API 和vShield Manager 用户界面进行访问
?由管理员针对重要的边缘安全事件(错误、警告等)指定是启用还是禁用日志记录:
–防火墙:在规则级别
–NAT :在规则级别
–VPN :站点间连接名称
–Web 负载平衡器:在池级别,含URL 或文件夹的特定Web 请求
–DHCP:在服务级别,绑定(发布和续购)
五、主机/应用安全解决方案
1. 方案说明
vShield App 是一款基于虚拟化管理程序并且可识别应用程序的虚拟数据中心防火墙解决方案。管理员可以使用这款产品扫描数据中心、集群或资源池中的敏感数据,以满足法规遵从性审核的要求。
vShield App直接嵌入在VMware vSphere? 中,用于防范内部网络威胁和降低企业安全范围内的策略违规风险。为实现这一点,vShield App 使用可识别应用程序、具有数据包深度检测功能并基于源和目标IP 地址进行连接控制的防火墙技术。
另外,通过允许IT 快速创建与业务相关的安全组,利用工作流监视控制措施可帮助IT 分析虚拟机网络流量,以及动态实施安全组策略,从而简化策略控制。管理员可通过随附的vShield Manager 控制台集中管理vShield App,该控制台与VMware vCenter Server 无缝集成,以便对虚拟数据中心进行统一的安全管理。
vShield App还消除了对硬件和vLAN 等旧式控制的依赖性,从而使硬件和策略剧增有所减缓,这不但经济高效,而且还能突破物理安全的局限性。
2. 主要优势
?可增强对虚拟机间网络通信的了解和控制。
?不再需要使用专用的硬件和VLAN 来隔离安全组。
?可实现最佳的硬件资源利用率,同时保持可靠的安全性。
?通过将所有虚拟机网络活动全面地记入日志,简化遵从性工作。
3. 产品介绍
1,vShield App的主要用途
?提供可识别应用程序的保护—管理员可以为流经某一虚拟网卡的所有流量定义和实施细化的策略,从而可以在不再绕经物理防火墙的同时更清楚地了解虚拟数据中心内部的流量情况。
?保持可识别更改的保护—在主机间迁移虚拟机时可以为这些虚拟机持续提供防火墙保护,从而帮助确保网络拓扑的更改不会影响应用程序的安全性。
?高效管理动态策略—管理员拥有丰富的环境信息,以便随企业发展的需要定义和细化各种内部防火墙策略。
?降低僵尸网络风险—安全管理员可通过为可信应用程序动态分配端口来防范僵尸网络和其他攻击。
?控制对共享资源的访问—安全管理员可以基于IP 地址限制对vSphere 主机
上的存储和备份等共享服务的访问。
?促进IT 遵从性—提高对虚拟机网络安全性的了解和控制,而日志记录和审核控制使企业可以证明其遵从内部政策和外部法规要求。
2,vShield App主要功能特性
1),防火墙
?虚拟化管理程序级防火墙通过虚拟化管理程序检测功能在虚拟网卡级别实施入
站/ 出站连接控制,以支持多主机的虚拟机。
?第2 层防火墙(也称为透明防火墙)可防范多种攻击类型,例如密码嗅探、DHCP 监听、地址解析协议(ARP) 欺骗和下毒攻击。它还可以完全隔离SNMP 流量。
?可以根据网络、应用程序端口、协议类型(TCP、UDP)或应用程序类型实施保护。
?在虚拟机迁移时提供动态保护。
?基于IP 的有状态防火墙和应用层网关支持广泛的协议,包括Oracle、Sun 远程过程调用(RPC)、Microsoft RPC、LDAP 和SMTP。网关可通过仅在需要时才打开会话(端口)来提高安全性。要获取受支持协议的完整列表,请参阅《VMware vShield 管理指南》。
2),流量监控
?管理员可以观察虚拟机之间的网络活动,以帮助定义和优化防火墙策略,识别僵尸网络,并通过详细报告应用程序流量(应用程序、会话、字节数)来保护业务流程的安全。
3),安全组
?管理员可以按虚拟机的虚拟网卡定义包含任意虚拟机的业务相关组。
4),策略管理
?vShield Manager 提供产品控制功能,其中大量功能也可通过vCenter Server 界面访问。
?管理员可以对安全组、vCenter Server 组和TCP-5 元组(源IP、目标IP、源端口、目标端口、协议)实施策略。
?表述性状态转移(REST) API 为管理和实施策略提供了可编程界面。
?vShield App 支持与企业级安全管理工具集成。
5),IP 寻址
?灵活的IP 寻址功能能够在多个租区使用相同的IP 地址,从而简化调配。
6),日志记录与审核
?日志记录采用基于行业标准的syslog 格式。
?通过REST API 和vShield Manager 可以访问日志记录和审核工具。
?管理员可在规则级别指定是启用还是禁用防火墙的日志记录功能。
六、数据安全解决方案
1. 方案说明
敏感信息的意外泄露是当前很多企业所面对的主要安全威胁,保护好这些敏感信息,特别是财务数据,身份识别信息以及个人健康信息内容,是企业的重要职责。目前业界的敏感信息保护解决方案普遍比较复杂,建设与维护成本较高。
为了满足企业在虚拟化与云计算环境中对敏感数据保护的需求,VMware提供了vShield? Data Security敏感数据发现与保护解决方案。vShield Data Security是vShield 产品家族的一员,与vShield Endpoint,vShield App和vCenter Configuration Manager一起协同工作。可以自动,连续扫描以发现敏感数据,如身份信息,信用卡信息等,并对这些敏感信息进行分类处理,以降低数据丢失和泄露的风险。
2. 主要优势
1,可以自动,连续地发现虚拟数据中心中的资源,扫描虚拟机中的文件以发现敏感数据。
2,采用无代理方式工作,无需在虚拟机内部部署代理程序,简化管理,提高效率,降低资源占用。
3,基于规则自动隔离与修复存有敏感数据的虚拟机。
4,提供内容详尽的遵从性报告,帮助企业快速评估企业在敏感数据保护方面的遵从性状态(如PCI-DSS),帮助企业解决遵从性问题。
5,内置超过80种遵从性模板,如PII(Personally Identifable Information),PHI(Private Health Information)等,帮助企业快速建立敏感信息保护策略。
3. 产品介绍
1,vShield Data Security产品架构
vShield Data Security解决方案包括三个组件:
管理组件,由vCenter和vShield Manager构成,管理员可以通过管理界面定义策略,管理扫描任务,查看扫描结果和报告;
控制组件,vShield Data Security的控制组件与vShield Endpoint组件共存于安全虚拟机之中,负责具体执行扫描任务,存储扫描结果。扫描启动后,控制组件按顺序依次扫描虚拟机中的文件。
瘦代理组件,vShield Data Security所需的瘦代理包含在VMware Tools之中,无需另外安装代理程序。
2,vShield Data Security安全策略构成
安全策略有三个组成部分:敏感数据定义,扫描区域定义,扫描对象定义。
敏感数据的定义规则主要基于两个部分,第一部分是产品内置的法规和标准,vShield Data Security内置了超过80种敏感数据检测模板,涵盖身份证,驾照,银行卡,信用卡等信息;第二部分是企业自定义内容,可以利用正规表达式来增加对敏感内容的定义,如18号身份证的正则表达式为:
^[1-9]\d{5}[1-9]\d{3}((0\d)|(1[0-2]))(([0|1|2]\d)|3[0-1])\d{4}$
手机号的正则表达式为:^(1(([35][0-9])|(47)|[8][0126789]))\d{8}$
扫描区域定义:默认情况下,vShield Data Security扫描整个vSphere基础架构。您可以从扫描中排除数据中心、群集或资源池。
扫描对象定义:可以根据文件大小、文件修改日期或文件扩展名等条件限制要监控的文件。
3,vShield Data Security分析结果报告
vShield Data Security提供两种报告- 违反的法规和违反策略文件清单。管理员可以在数据中心、群集、资源池或虚拟机级别生成报告。
在违反的法规报告中,可以了解到虚拟数据中心中的文件违反了哪些策略内容,以及违反次数。
在文件清单报告中,可以看到违反策略的文件信息,如文件路径及文件名,所在虚拟机,违反法规及扫描时间等。可以将报告导出成CSV文件。
七、附录
1. vShield产品家族各组件功能比较
所有vShield产品组件均按照受保护的虚拟机数量进行授权,可选购的模块包括以下几种:
1),vShield Endpint,仅包含防病毒,防恶意软件等终端安全防护功能,需要结合Trend Micro,BitDefender等安全厂商的产品一同使用。
2),仅vShield Edge,仅包含防火墙,VPN,负载平衡,NAT和DHCP等功能。
3),vShield App(包含vShield Endpoint)包含主机/应用保护及终端安全功能。
4),vShield App with Data Security,在上述组件的基础上增加了敏感数据发现功能。
5),vShield Bundle,包含vShield产品家族的全部功能。
上述产品以25个虚拟机为一个包进行销售。
网络基础架构及数据中心规划方案 2016年11月
目录 一.网络建设需求 (3) 1.1 目标架构: (3) 1.2设计目标: (3) 二. 规划方案 (4) 2.1 方案拓扑 (4) 2.2 架构说明 (5) 2.3 为什么选用Vmware虚拟化技术(整个方案的重点) (6) 2.4 VMware方案结构 (7) 2.4.1 基础架构服务层 (7) 2.4.2 应用程序服务层 (9) 2.4.3 虚拟应用程序层 (14) 2.4.4 数据备份 (15) 2.4.5 具体方案陈述 (20) 2.5 VMWARE方案带来的好处 (21) 2.5.1 大大降低TCO (21) 2.5.2 提高运营效率 (23) 2.5.3 提高服务水平 (24) 三. 项目预算 (24) 总述
为推进公司信息化建设,以信息化推动公司业务工作改革与发展,需要在集团总部建设新一代的绿色高效能数据中心网络。 一.网络建设需求 1.1 目标架构: 传统组网观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建企业网络的,这是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是由封装完好、相互耦合松散、但能够被标准化和统一调度的“服务”组成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。最终形成底层资源对于上层应用就象由服务构成的“资源池”,需要什么服务就自动的会由网络调用相关物理资源来实现。 1.2设计目标: 扩展性: 架构设计能应对集团未来几年的发展以及满足整合分公司资源的需要; 简化管理 使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的减少了物理资源的直接调度,使维护管理的难度和成本大大降低。 高效复用 得物理资源可以按需调度,物理资源得以最大限度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用降低了,而每个业务得到的服务反而更有充分的资源保证了。 网络安全:
云计算环境虚拟化层面安全风险分析 中国工商银行股份有限公司数据中心(上海)刘方明 【期刊名称】中国金融电脑 【年(卷),期】2015(000)011 【总页数】3 云计算技术的发展为金融机构提供了一个全新的信息系统架构。云计算技术对大量用网络连接的计算资源进行统一调度和管理,按需向用户提供服务,实现资源共享,降低运营成本。“云计算”以其低成本、高效率、高可靠性等特点,为金融机构后续科技发展提供了动力和方向。美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)在云计算中明确定义了三种服务模式:软件即服务(Software as a Service,SaaS)、平台即服务(Platform as a Service,PaaS)和基础架构即服务(Infrastructure as a Service,IaaS)。PaaS和IaaS源于SaaS,可以直接通过SOA/Web Services向平台用户提供服务,也可以作为SaaS模式的支撑平台间接向最终用户服务。同时NIST也定义了云计算提供的四种部署模型:公有云(Public Cloud),私有云(Private Cloud),社区云(Community Cloud)和混合云(Hybrid Cloud)。通常,大型金融机构会选择自己建设私有云,中、小型金融机构会选择租用公有云或混合云,以便降低IT基础资源投入和运维成本。 云计算的发展主要依赖虚拟化技术的发展。相对传统的架构,云计算环境由于大规模使用了虚拟化技术,面临着新的安全风险和挑战。云计算环境虚拟化层面需要考虑以下六方面的安全性:Hypervisor层、虚拟机层、虚拟网络层、虚拟机移动性、恶意代码和虚拟机可用性。
信息化系统 安全运维服务方案
目录
概述 服务范围和服务内容 本次服务范围为局信息化系统硬件及应用系统,各类软硬件均位于局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 系统现状 网络系统 局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、局政务公开等应用系统提供网络平台,为市领导及局各处室提供互联网服务。外网安全加固措施:服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
虚拟化解决方案
虚拟化解决方案 深圳市深信服科技有限公司 11月
第一章需求分析 1.1高昂的运维和支持成本 PC故障往往需要IT管理员亲临现场解决,在PC生命周期当中,主板故障、硬盘损坏、内存没插紧等硬件问题将不断发生,而系统更新、补丁升级、软件部署等软件问题也非常多,对于IT 管理员来说,其维护的工作量将是非常大的。同时,桌面运维工作是非常消耗时间的,而这段时间内将无法正常进行网上工作,因此也会影响到工作效率。最后,从耗电量方面来讲,传统PC+显示器为250W,那么一台电脑将产生高达352元/年【0.25(功耗)*8(每天8小时工作)*0.8(电费,元/千瓦时)*240(工作日)】本机能耗成本,而电脑发热量也比较大,在空间密集的情况下,散热的成本也在逐步上升。 因此,IDC预测,在PC硬件上投资10元,后续的运营开销将高达30元,而这些投资并不能为学校带来业务方面的价值,也即投入越大,浪费越多。 1.2 不便于进行移动办公 传统的PC模式将办公地点固定化,只能在办公室、微机房等固定区域进行办公,大大降低了工作的效率和灵活性,无法适应移动化办公的需求。
1.3数据丢失和泄密风险大 信息化时代,其数据存储和信息安全非常重要,在信息系统中存储着大量的与工作相关的重要信息。可是传统PC将数据分散存储于本地硬盘,PC硬盘故障率较高,系统问题也很多,这使得当出现问题时数据易丢失,同时由于数据的分散化存储,导致数据的备份及恢复工作非常难以展开,这些都是棘手的问题。另外,PC/笔记本上的资料能够自由拷贝,没有任何安全策略的管控,存在严重的数据泄密风险。 综上所述,桌面云解决方案是业界IT创新技术,当前已在众多行业机构得到广泛应用。经过基于服务器计算模式,将操作系统、应用程序和用户数据集中于数据中心,实现统一管控。此方案可经过革新的桌面交付模式,解决当前桌面管理模式中存在的运维难、不安全、灵活性差等问题,实现高效、便捷、防泄密的经济效益。
桌面虚拟化解决方案 目录 一、需求分析 (2) 二、Vmware View桌面虚拟化解决方案 (2) 三、瘦客户机优点 (6) 四、配置选型: (6) 五、案例介绍――-特鼎金属工业(昆山)有限公司 (7) 1.需求概述: (7) 2.方案概述: (8) 3.方案拓扑图: (8) 六、飞鸟优势 (9) 1.发展历程 (9) 2.公司资质 (9) 3.典型客户 (10) 4.实验室 (10)
一、需求分析 此次项目需求客户端预计在30个左右 客户端设计要求服务器能对客户端提供高可用、持续的桌面应用服务 桌面应满足日常的办公,满足AUTOCAD软件需求 方案要求能够对数据安全提供有效的保护保护。 二、Vmware View桌面虚拟化解决方案 ? 2.1方案优点 VMware View桌面虚拟化构建基于服务器的桌面解决方案,不仅可以解决PC桌面面临的各种难题,还能优化可用性、可管理性、总体拥有成本和灵活性。借助View桌面虚拟化,在使用VMware ESX软件虚拟化的服务器上运行的虚拟机中,可以构建完整的桌面环境-操作系统、应用程序和配置。管理员可使用VMware vCenter集中管理环境中的所有虚拟机。最终用户可使用远程显示软件,从PC或瘦客户端(Thin Client)访问其桌面环境。 利用VMware ESX 的功能和vCenter Server 的管理功能,View桌面虚拟化实现了标准化的虚拟硬件,并为物理VMware ESX 主机硬件提供了严格筛选的硬件兼容性列表(HCL),有效减少了设备驱动程序不兼容的问题。借助VMware ESX 可扩展的CPU 调度功能以及VMware Distributed Resource Scheduler (DRS) 的多主机平衡功能,性能波动现象也明显减少。VMware ESX 可以直接暂停并重新调度虚拟机,而无需考虑客户操作系统内部的线程活动。这使得资源共享更加确定,可显著改善用户在View桌面虚拟化环境中的体验。 与基于Terminal Server 的集中式计算不同,View桌面虚拟化可为每位用户提供一个独立的虚拟机来进行桌面计算。单独运行Citrix、Terminal Server 或任何多用户操作系统都算不上View桌面虚拟化。通过为每位用户提供自己的操作系统,View桌面虚拟化提供了企业部署集中式桌面所需的稳定性和性能管理功能。 VMware View是一个企业级桌面虚拟化解决方案,它与VMware vSphere 5协同工作,可提供一个完整的端到端View桌面虚拟化解决方案,此解决方案不仅能增强控制能力和可管理性,简化虚拟桌面的管理、调配和部署;还可以提供令用户备感亲切的桌面体验,用户能够通过View Manager安全而方便地访问虚拟桌面,升级和修补工作都从单个控制台集中进行,因此可以有效地管理数百甚至数千个桌面,从而节约时间和资源。数据、信息和知识财产将保留在数据中心内。该方案具有下列优势: 集控制能力和可管理性于一身 由于桌面在数据中心运行,因此管理员可以更轻松地对其进行部署、管理和维护。 令最终用户备感亲切的体验 用户可以灵活访问与普通PC 桌面功能相同的个性化虚拟桌面。 集成VMware vSphere 5 View桌面虚拟化集成了VMware vSphere 5 的备份、故障切换和灾难恢复功能,并将这些优势扩展到桌面。 降低总体拥有成本(TCO) View桌面虚拟化可以降低管理和能源成本并延长终端的使用寿命,因而可以实现较低的总体拥有成本。
编订:__________________ 单位:__________________ 时间:__________________ 电力行业信息化建设网络安全解决方案(正式) Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-3326-20 电力行业信息化建设网络安全解决 方案(正式) 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行具体、周密的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 0 引言 网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合,一个较好的安全措施往往是多种方法适当综合的应用结果。 1 电力信息网安全防护框架 根据电力企业的特点,信息安全按其业务性质一般可分为四种:一种为电网运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统,火电厂分布控制系统(DCS,BMS,DEH,CCS),水电厂计算机监控系统,变电所及集控站综合自动化系
统,电网继电保护及安全自动装置,电力市场技术支持系统。第二种为电力营销系统,电量计费系统,负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构,从电力信息网安全需求上进行分析,提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。根据电力信息网共分为四级网的方式,每一级为一层,层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全的特点,分析各相关业务系统的重要程度和数据流程、目前状况和安全要求,将电力企业信息系统分为四个安全区:实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。
云服务安全风险分析研究 陕西省网络与信息安全测评中心 2012年5月
一、目前云服务应用现状 云计算是近几年来逐渐兴起的新理念,旨在使计算能力和存储资源简化,变得像公共自来水或者电一样易用,最终实现用户只要连接上网路即可方便地使用并按量付费的目标。云计算不仅提供了灵活高速的计算能力,而且还提供了庞大的存储资源,采用云计算的企业不需要像传统企业一样构建自己专用的数据中心便可以在云平台上运行各种各样的业务系统。云计算所采用的创新计算模式,可以使用户通过互联网随时获得近乎无限的计算能力和丰富多样的信息服务,便于用户对计算能力和存储等服务取用自由、按量付费。所以,众多IT巨头纷纷投入到云计算的建设之中。 1.知名云计算服务 测评中心对目前国内外云服务应用现状进行了调研,发现包括亚马逊、IBM、Google、微软等IT巨头都陆续推出了云计算服务,以求在这个影响未来IT应用模型的市场中找到自己的位置。比较知名的云计算服务有: 第一,亚马逊的在线存储服务(S3)。S3服务对新型企业和用户的强大吸引力在于这项服务能够与亚马逊的其它在线服务联系在一起,如弹性的云计算和亚马逊的SimpleDB服务。使用这三项服务,新型企业能够节省大量的存储开支,并且可能节省客户的时间和金钱; 第二,google和IBM在大学开设云计算课程,IBM发布云计
算商业解决方案,推出“蓝云”计划; 第三,继Windows Azure操作系统和云计算数据库SQL Azure 开始收费后,微软近期宣布,Windows Azure平台AppFabric也将投入商用。从2010年4月9日开始,全球用户都可以购买AppFabric用以实现云计算和云计算应用程序的轻松通信。 此外,还有Vmware公司的云操作系统vmware vsphere等等。 2.云计算发展和安全事故 下面列举一些云计算服务发展过程中出现的安全事故,包括亚马逊、Google、微软等都没能幸免,让人们对云计算安全不无担忧,若不能为云计算架构加入更强大的安全措施来确保其安全性,将会对用户数据以及与数据相关的人带来安全和隐私风险。在这种背景下,进行云计算服务下的潜在安全风险分析就变得非常必要了。 二、云服务下信息系统面临的风险与安全需求分析 1.数据安全 在传统的企业数据中心中,服务提供商只提供机架和网络,而包括服务器、防火墙、软件和存储设备等都由企业自行负责。用户对所有的物理设备和软件系统有完全的控制权,企业不论是不顾成本自建数据中心还是租用机房,通过物理隔离的方式都可以避免未授权用户接触到自己的服务器和数据。而云计算环境下,企业自身的数据都在云中,而云本身的构架又是不透明的,从而会产生一种不信任的心理。这不仅仅是一个商业问题,其中涉及
1.1售后服务方案 1.1.1技术支持 1.1.1.1系统维护和技术支持的目标 本公司拥有一支受过良好培训且富有经验的技术支持服务队伍,对系统运行中可能出现的技术问题完全有能力做好完整、及时、贴身的技术服务。 在售后服务和技术支持过程中,我公司、设备生产厂商与用户三者之间是一种相互配合的关系,我公司将在项目进行和售后服务过程中协调并努力解决各方面的问题,依托公司多年的网络运维经验及运维流程规范,为用户创造可靠的在线业务环境。 1.1.1.2系统维护和技术支持的范围 所有与本项目有关的软件、硬件、网络都在售后服务和技术支持的范围内。 1.1.1.3系统维护和技术支持的原则 我公司十分重视客户的需求,为客户切实解决问题。将在项目进行的任何一个阶段均会详细考虑用户的实际情况,保护用户的软硬件投资。为用户提供详实、周到的解决方案和全方位的技术支持,确保项目的硬件、软件系统在整个项目生命周期内所有的技术问题均可以得到我公司的帮助和支持。工程建设完成后,我公司将全面支持系统平稳运行,在系统维护中应坚持以下原则: ●确保客户需求的满足; ●确保系统的实用性; ●确保故障过程中的快速响应; ●确保用户投资的保护; ●确保客户满意度为100%。 1.1.1.4系统维护期 项目提交给用户方并进行试运行之日起,即进入了售后服务期。我公司会对
项目所提供的所有硬件设备根据厂商提供的标准保修期限进行保修。对于在保修期内正常使用过程中出现的设备损坏,我们将会对设备提供免费的上门维修服务,对于由于非正常使用造成的设备损坏或保修期后的设备损坏,仅收取所损坏的零部件的更换或维修费用、相应的运输费用。 1.1.1.5安全咨询、通告服务概况 我公司将尽可能从各种渠道收集全世界已经发布和未公开发布的安全漏洞,为用户提供尽量全面的安全知识、安全技术咨询服务,为用户解决安全问题,并为用户主动提供最新的安全技术动态信息,从人员安全技术提高的角度来解决安全问题。 安全动态、安全漏洞咨询服务。我公司将提供最新安全动态、安全新闻以及安全漏洞咨询服务,客户可以随时随地拨打技术支持热线进行相关信息的咨询; 安全产品咨询、通告服务。我公司提供安全相关产品的咨询服务,用户可以随时随地拨打技术支持热线咨询安全相关产品的安全体系、产品功能、产品更新信息以及安全服务等。 1.1.1.6技术服务的内容 由于本项目的特殊性、重要性,对服务的要求从地域性、及时性等方面都非常高,必须做到服务能随叫随到,因此建立一个完善的全方位支持服务体系是为了保证本项目的顺利实施及安全使用,保障该项目的正常使用,及时得到设备维护和技术支持服务。建立此服务体系既是用户服务的需要,也是培养用户自己的网络管理维护人员的一个办法,通过用户网管人员参与该项目的实施及服务,与集成商、厂商的各个层面的机构与人员的合作,既锻炼了自己,提高了技术能力,也能更好的保障项目的服务质量,更加方便本项目的建设和利用,发挥最大效益。 本次招标项目不同于其它系统,必须是一个永不停顿的系统,因此对系统的技术支持就显得更加重要,考虑到本项目的特殊性,我们针对整个项目的运营制定了两套技术支持计划: 1)常规技术支持服务计划
云计算安全风险分析和服务综述 姓名:高畅 学号:1501211 学院:计算机科学与工程学院 专业:计算机系统结构(1515)
摘要 围绕云计算安全需求,分析云计算平台、数据等方面现有的安全风险,以及可信访问控制、数据安全、虚拟化安全、云资源访问控制等云计算安全关键技术,在此基础上提出云安全基础服务、云安全应用服务等云计算安全服务解决思路,为当前云计算安全发展提供参考。 关键词 云计算安全;可信访问控制技术;数据安全技术;虚拟化安全技术;云资源访问控制技术。
1.引言 根据相关调查和统计,云用户对云计算的安全需求主要集中在以下方面:特权用户的接入云服务商对外部的可审查性,云服务商对不同位置的数据进行 监控,数据的隔离以及数据的恢复数据的可用性等。云用户应用云计算和访问 云资源时需要进行身份鉴别和认证,用户在使用过程中还需要经过云服务以及 云应用程序等的授权。在云计算系统中,需要保证多个数据存储区的机密性、 数据的完整性、可用性等。 2.云计算安全风险分析 2.1云计算平台安全风险 2.1.1针对系统可靠性的隐患 由于“云”中存储大量的用户业务数据、隐私信息或其他有价值信息,因此 很容易受到攻击,这些攻击可能来自于窃取服务或数据的恶意攻击者、滥用 资源的合法云计算用户或者云计算运营商内部人员,当遇到严重攻击时,云计 算系统将可能面临崩溃的危险,无法提供高可靠性的服务。 2.1.2安全边界不清晰 因为虚拟化技术是实现云计算的关键技术,实现共享的数据具有无边界性,服务器及终端用户数量都非常庞大,数据存放分散,因此无法像传统网络一样 清楚地定义安全边界和保护措施,很难为用户提供充分的安全保障。 2.2数据安全风险 2.2.1数据隐私 当终端用户把自己的数据交付给云计算提供商之后,数据的优先访问权已
信息化系统安全运维服务 方案设计 The pony was revised in January 2021
信息化系统 安全运维服务方案
目录 1概述......................................... 错误!未定义书签。 服务范围和服务内容......................... 错误!未定义书签。 服务目标................................... 错误!未定义书签。2系统现状..................................... 错误!未定义书签。 网络系统................................... 错误!未定义书签。 设备清单................................... 错误!未定义书签。 应用系统................................... 错误!未定义书签。3服务方案..................................... 错误!未定义书签。 系统日常维护............................... 错误!未定义书签。 信息系统安全服务........................... 错误!未定义书签。 系统设备维修及保养服务..................... 错误!未定义书签。 软件系统升级及维保服务..................... 错误!未定义书签。4服务要求..................................... 错误!未定义书签。 基本要求................................... 错误!未定义书签。
Deep-Security虚拟化安全解决方案
XXX 虚拟化安全解决方案
趋势科技(中国)有限公司 2011年9月
目录 第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)
第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。 在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量
第1章项目需求 1. 办公桌面虚拟化:支持120个用户,主要是OA,邮件,Office ,杀毒软件:Trends : 2. 图形桌面虚拟化:8个用户; 3.希望每个桌面能够接入研发网/互联网(OA网),OA可以打印,发邮件。 第2章系统整体技术框架 2.1设计遵循的原则 2.1.1安全性 集中控制、保护和维护知识产权可以极大地降低数据丢失和被盗的风险。采用XenDesktop数据在没有得到特别授权的情况下不会离开数据中心,满足了合规性和安全要求。 2.1.2及时性 在任何地方都能以最快的速度为所有用户交付桌面。 2.1.3持续性和高可靠性 应用负载管理、服务器自动恢复和故障转移实现了高可用性,带来了“永远在线”的用户体验。 2.1.4高效性 XenDesktop大大降低了网络带宽需求,缓解了网络延时,这是由于在服务器上虚拟化应用以后,只有鼠标操作、键盘敲击和屏幕更新等数据经网络传输。
2.2XenDesktop技术原理 ●验证-采用虚拟化技术,用户几乎可通过任何设备(PC,笔记本,智能手持设备)访问其虚拟桌面。用 户只要输入认证信息,就会获得与办公室桌面设备一致的虚拟桌面。 ●代理和桌面置备-身份验证通过后,桌面交付控制器(DDC)就可识别用户身份,然后动态置备虚拟桌 面。用户尝试连接前,系统就开始桌面配置了,从而确保用户能及时访问虚拟桌面,同时有效利用能源、托管式基础架构以及简化的集中化桌面管理。 ●桌面交付-一旦确认用户身份,系统就会通过ICA协议为其交付桌面环境。作为用户验证阶段的一部分, 系统将应用用于控制用户环境的策略,例如,如果用户通过家用PC建立连接的话,用户上传文件的能力就会受到限制。此外,XenDesktop还可利用单一桌面镜像以流技术将虚拟桌面经局域网交付到标准化PC或桌面设备,该镜像由系统管理员在数据中心集中管理,真正实现了简单的集中化桌面管理。此外,即使出现自然或人为灾害,用户也能在任何地方远程访问其公司桌面和虚拟应用,从而确保了业务连续性。 2.3系统具备的功能 由于本方案基于XenDesktop自身提供的功能构建,所以应用系统应具备的所有功能都是XenDesktop中自有功能。本节列出每个功能类型和所对应的功能。
企业信息化建设安全解决方案1 企业信息化建设安全解决方案 (天威诚信) (版本:1.0) 北京天威诚信电子商务服务有限公司 2013年3月 目录 1前言(1) 1.1概述(1) 1.2安全体系(1) 1.3本文研究内容(2) 2**集团企业信息化现状(2) 2.1**集团企业信息化现状(2) 2.1.1**集团现状......................................................................... 错误!未定义书签。 2.1.2**集团信息化现状(2) 2.1.3主要系统现状及存在问题(3)
2.1.4其他问题(4) 2.2**集团企业信息化系统需求分析(4) 2.2.1网络需求分析(4) 2.2.2系统需求分析: (5) 2.2.3安全需求分析第二章**集团企业信息化现状(7) 2.2.4安全管理策略(10) 3**集团企业信息化及安全整体解决方案(13) 3.1**企业信息规划总体方案(13) 3.1.1系统设计原则及进度安排(13) 3.1.2**集团网络拓扑图(13) 3.1.3**集团整体网络概述(13) 3.2网络建设(14) 3.2.1中心机房及其配套设施建设(14) 3.2.2中国实业集团与**集团公司的连接(14) 3.2.3各实业分公司网络与**集团公司连接(14) 3.2.4网络建设方案总结(14) 3.3系统建设(16)
3.3.1财务系统(16) 3.3.2人力资源管理系统(16) 3.3.3门户、OA系统(16) 3.3.4门户系统建设(17) 3.3.5业务管理和运营支撑系统(17) 3.3.6企业信息化管理(17) 3.4安全建设(17) 3.4.1网络边界安全防护(17) 3.4.2入侵检测与防御(18) 3.4.3安全漏洞扫描和评估(20) 3.4.4防病毒系统(20) 3.4.5终端监控与管理(21) 4结束语(22) 4.1论文工作总结(22) 4.2本方案不足之处(22) 1前言 1.1概述
服务器虚拟化安全风险及防范措施 发表时间:2019-07-09T16:49:23.027Z 来源:《科学与技术》2019年第04期作者:郭金海[导读] 近年来,随着云计算技术的飞速发展,虚拟化技术已成为网络技术的发展趋势。虚拟化技术基本上集中了物理服务器的所有硬件、软件、数据、存储、网络资源,并按逻辑分配计算资源。长城汽车股份有限公司河北省汽车工程技术研究中心 071000 摘要:近年来,随着云计算技术的飞速发展,虚拟化技术已成为网络技术的发展趋势。虚拟化技术基本上集中了物理服务器的所有硬件、软件、数据、存储、网络资源,并按逻辑分配计算资源。它是实现动态架构和优化资源分配的解决方案。IBM将虚拟化定义为资源的 逻辑表示,以透明的方式提供抽象的底层资源,而不受物理约束。常用的虚拟化技术包括服务器虚拟化、软件虚拟化和基础设施虚拟化。一般来说,虚拟化是指服务器虚拟化,也称为系统虚拟化,它可以将物理硬件与操作系统分开,允许多个具有不同操作系统的虚拟服务器在同一物理服务器上独立并行运行,并使服务器的底部完成。将部门的物理资源进行抽象,形成逻辑资源池,为上层虚拟机提供标准接口。相应的硬件资源可以根据实际需要从资源池中转移,形成虚拟机。管理员可以根据实际情况调整或恢复资源,实现物理资源共享、资源动态管理、不同虚拟机之间相互独立的特点。 关键词:服务器;虚拟化安全;预防措施 1服务器虚拟化中常见的安全风险分析 1.1虚拟化项目最初不涉及信息安全 根据Gartner会议的调查数据,大约40%的虚拟化部署项目是在初始架构和规划阶段进行的,不涉及信息安全团队。通常,由于虚拟机易于备份和恢复,操作团队忽略了信息安全。事实上,虚拟化技术参数被引入到虚拟机管理器中,这不仅增加了安全风险的另一个维度,而且当出现安全问题时,位置分析往往比物理服务器的处理更重要。增加复杂性。 1.2底层虚拟化平台的隐患影响到所有托管虚拟机 物理服务器通过虚拟化平台进行虚拟化。与人类编写的任何软件一样,虚拟化平台不可避免地会包含可能被利用的嵌入式和未检测到的漏洞。近年来,vmware、kvm、xen等世界知名的虚拟化平台不断暴露出安全漏洞,而这种虚拟化攻击仍然是未知的。当黑客成功入侵虚拟机时,首先可以利用虚拟化平台的漏洞尝试控制虚拟化系统的底层进程,进行逃逸攻击,在主机服务器中执行恶意代码,导致主机服务器上的所有虚拟机都被黑客控制,obtain访问主机服务器网络的权限,并尝试获取证书、个人隐私和其他敏感度。 1.3将不同安全等级的虚拟机置于同一物理服务器,未进行有效隔离 为了节省成本和提高效率,业务软件系统服务器正朝着全虚拟化方向发展,其中包括更关键和更敏感的业务系统,这些系统需要部署在高安全性虚拟机中。当这些高安全级别的虚拟机与同一物理服务器上的低安全级别的虚拟机共存且未与网络完全隔离时,虚拟机的安全级别不仅相互影响,而且还受到低安全级别虚拟机的影响。 1.4缺乏对管理程序的安全访问控制 虚拟机管理器(VMM)是虚拟化技术的基础技术。它提供了虚拟机规划、部署、管理和虚拟基础设施优化等端到端功能,因此必须严格控制对VMM的访问。在网络配置中,如果没有适当的安全访问控制,入侵者可以通过IP地址直接连接到VMM,即使入侵者不能暴力破解VMM的登录密码,也可以发起DDOS(分布式拒绝服务)攻击。如果VMM资源耗尽,在VMM上运行的所有虚拟机也将崩溃。 1.5数据安全风险 在服务器虚拟化环境中,不同虚拟服务器的数据存储在共享的物理存储设备中。如果没有严格的数据隔离措施,数据跟踪将有泄漏敏感信息的风险。在虚拟化平台中,管理员可以轻松地创建、删除和迁移虚拟机。这些功能为平台管理和灾难恢复备份提供了便利。但是,这些操作将在系统中留下痕迹,因为在删除或迁移虚拟机之后,存储空间将在被回收并重新分配到其他虚拟机之后释放。很难确保敏感信息仍然存在,这也存在安全风险。 2服务器虚拟化的安全防范措施 2.1部署网络安全产品 为确保虚拟机能够安全稳定的运行,需要部署必要的网络安全产品。通过安装网络杀毒软件和恶意软件防护程序,能够有效防止虚拟机受到病毒入侵及恶意软件的攻击,并且要做到及时更新病毒库和恶意代码库。但需要考虑到宿主硬件的性能问题,避免由于运行在同一台物理服务器上的虚拟机同时运行杀毒软件,造成物理资源占用过载从而影响到正常运行的问题。部署网络防火墙,通过限制访问宿主服务器和虚拟机的IP地址和端口号,遵循最小权限访问原则,最大程度防止网络攻击,保证虚拟机运行环境的安全可靠。 2.2有效的补丁更新计划 在服务器虚拟化环境中,需要管理的虚拟机数量比传统模式时大幅增长,更新补丁的工作量也成倍增加,这就需要制定详尽的补丁管理计划表,来应对服务器虚拟化环境中繁重的更新补丁工作,以便有计划、分步骤的对所管理的虚拟机进行补丁更新。确保既能及时有效地对所有虚拟机更新补丁,又不会因大量虚拟机同时更新补丁而对宿主服务器造成资源占用负担。 2.3监测虚拟机间网络流量 安装网络流量监测产品,对多个点的虚拟网络流量进行采集,然后用网络性能监控管理系统对所采集的数据包进行深度分析。通过网络流量监测产品,对同一物理服务器内虚拟机间流量、不同物理服务器上虚拟机间流量和虚拟机到物理基础设施流量实现可视化管理,做到能够实时监控服务器及网内异常流量,第一时间找到问题流量源并解决问题。 2.4隔离不同安全等级的虚拟机 在虚拟化网络架构中部署虚拟安全网关,把虚拟化网络划分为内部区域和外部区域,所有虚拟业务都包含在内部区域,将不同安全等级的业务系统使用VLAN划分不同的安全域,在虚拟安全网关上配置虚拟机的网关,将网关指向核心交换机,所有宿主服务器的流量引至虚拟安全网关,实现虚拟机在不同安全域中的有效隔离。在同一个安全域中的所有虚拟机面临着同样的安全风险,所以需要把不同安全等级的虚拟机隔离在不同的安全域中,这样即使一个安全域受到攻击,也不会波及其它安全域。 2.5配置访问控制管理
企业信息化管理解决方案 为解决成都新朝阳生物化学有限公司网络无序话, 根据成都新朝阳生物化学有限公司信息化建设的总体设计,需要对公司全网路由器、VPN设备进行及时有效的配置,监控和管理,我们采用思科公司提供的Ciscoworks VMS网络管理系统。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具,防火墙,以及基于网络、主机的入侵检测系统(IPS),保护公司信息化资料安全实现提高生产率和降低运营成本。 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案 1.1、安全建设 1.2、网络边界安全防护 网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL),可以将其用作一个“预过滤器",筛分不要的信息流,路由器的ACL只能作为防火墙系统的一个重要补充,对于复杂的安全控制,只能通过防火墙系统来实现。 公司服务器,首先通过二层交换机接入到主备用ASA5550防火墙,由防火墙控制所有用户的访问权限,关闭非使用端口,开启服务器所承载oA、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区,连接省电信公司收发公文的转接器,建立一高于DMZ区低于内网的管理区,用于管理机的接入。 在内网防火墙之外采用两台cisco 3750三层交换机做路由控制,接入本大楼内分公司网络及实业本部网络,由其控制访问服务器、分公司VPN及外网路由。与地市分公司的Internet VPN采用Cisco ASA5520防火墙,同时提供拨号VPN接入,外网访问通过Amaranten F600防火墙控制后接入公网网络,同时提供备用拨号VPN接入。外网WEB服务器接在Amaranten F600防火墙DMZ区,对外开启tcp 80 http 服务。 通过制定相应的安全策略,防火墙允许合法访问,拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口,防火墙制定合理的策略保证合法和必要的访问,拒绝非法入侵。 我们通过配置Amaranten F600防火墙实现以下功能: ●可以通过IP地址、协议、端口等参数进行控制,使得在内网中的部分 用户可以访问外网,而其他用户不能通过防火墙访问Internet。 _对网络流量进行精确的控制,对一个或一组IP地址、端口、应用协议 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽,又可以设置最大带宽防止对网络资源的过度占
XXX服务器虚拟化安全解决方案范文 录 1、环境概述 42、面临安全威胁 42、1、针对操作系统漏洞的攻击 42、2、针对应用的攻击 42、3、虚拟化带来新的威胁 42、4、统一管理和审计 53、安全防护需求 64、安全防护方案 64、1、架构设计 74、2、方案部署104、3、功能模块105、和传统防护方案的区别1 46、方案价值14 1、环境概述XXX目前对部分应用系统进行了虚拟化,情况概述如下:l4台物理服务器,每台服务器采用4个6核CPUl 每一个虚拟服务器采用3核CPU 标准配置l 总共有32台虚拟服务器 2、面临安全威胁 2、 1、针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:l 大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行l 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。 2、2、针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数
据,或者是导致应用不能正常对外提供服务。 2、3、虚拟化带来新的威胁当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题:l 硬件资源利用率受到限制当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。l 后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。l 物理边界模糊当服务器虚拟化之后,每台物理服务器上面运行了8个虚拟服务器系统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求 2、4、统一管理和审计服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计 3、安全防护需求通过对XXX服务器虚拟环境的了解,以及面临的威胁分析,目前XXX服务器虚拟化存在的安全需求有几下几点: 1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测等 2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击 3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高虚拟服务器的搭载密度
目录 第1章解决方案整体构架 (2) 1.1. 思杰虚拟桌面解决方案简介 (2) 第2章基于VM的托管VDI桌面方式 (4) 2.1. VDI方式的技术原理如下图所示: (4) 2.1.1.1. VDI方式带来很多好处,包括: (4) 2.1.2. VDI方式构架示意 (5) 2.1.3. 用户体验 (6) 2.2. VDI方式容量估算及方案所需软硬件列表 (7) 2.2.1. 容量估算 (7) 2.2.2. 软硬件配置列表 (7) 2.2.2.1. Citrix软件清单 (7) 2.2.2.2. 其他软件 (8) 2.2.2.3. 硬件清单 (9) 第3章使用无盘工作站方式 (9) 3.1. 本地流桌面(无盘工作站)原理 (9) 3.2. 无盘方式总体结构 (11) 3.3. 服务器配置及其他硬件需求 (12) 3.4. Citrix软件清单 (12) 3.5. 其他软件 (13)
第1章解决方案整体构架 整体解决方案的思路是,将前端传统的PC替换成易于集中管理的瘦客户端和无盘工作站,数据集中乃至所有的操作系统和应用全部集中存储于后台服务器上。要达到这样的效果,桌面虚拟化是理想的解决方案。 通过桌面虚拟化,能够快速、安全地向整个企业交付单个应用或完整桌面。用户可使用任何设备随时访问他们的桌面,获得良好的用户体验。 利用桌面虚拟化,IT部门只需管理操作系统、应用和用户配置文件的单一实例,动态地加以组合,提高业务灵活性并简化桌面管理。 1.1.思杰虚拟桌面解决方案简介 思杰是桌面虚拟化解决方案领域中的领导者。不同岗位上的员工需要不同类型的桌面。有些员工要求简洁实用和标准化的桌面,有的员工则看重卓越性能和个性化。 思杰的XenDesktop桌面虚拟化结合了思杰特有的FlexCast?交付技术,可通过单一解决方案满足各种要求。利用FlexCast,IT部门能够交付各种虚拟桌面–每种桌面都经过专门定制,可满足每位用户的性能、安全性和灵活性要求。 思杰的虚拟桌面的FlexCast技术,包含了以下几种技术,用户可以根据其自身需求,选择合适的技术: 托管共享桌面(即发布共享的Windows服务器的桌面)可提供封闭、经过简化的标准环境,提供一组核心应用,适合不需要–或者不允许–个性化定制的任务型员工。这种模式最多可在一台服务器上支持500位用户,与任何其他虚拟桌面技术相比都可以大大节约成本。 基于VM的托管VDI桌面提供个性化Windows桌面体验,通常适用于办公室工作人员–能够通过任何网络安全地交付给任何设备。这种方案结合了集中管理和全面用户个性化定制的优点,每台服务器一般能支持60到70个桌面。