虚拟化安全课件.pptx

《虚拟化安全课件.pptx》由会员分享，可在线阅读，更多相关《虚拟化安全课件.pptx（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、虚拟化安全交流内容大纲l 虚拟化发展l 虚拟化面临的安全威胁l 虚拟化安全解决思路虚拟化发展虚拟化发展20世纪50年代充分利用硬件资源IBM 7044计算机计算机 虚拟化雏形虚拟化雏形虚拟化的价值降低管理成本提高资源利用率提高稳定性更大的灵活性服务器整合更多的人们对虚拟化的担心“人们对虚拟化最担心的问题是 安全.”Frank Gens,IDC,Senior VP&Chief Analyst虚拟化面临最大的挑战虚拟化面临的安全威胁 物理主机、系物理主机、系统故障故障1如何保障物理主机、系如何保障物理主机、系统可用性可用性一个篮子多个鸡蛋，提高了效率如何确保篮子的安全呢？Hypervisor新出现

2、的软件层，肯定具有安全漏洞，需要打补丁和配置VMGuset OSAppAppHypervisor自身完整性自身完整性Hypervisor安全漏洞安全漏洞可用性可用性安全配置不当安全配置不当Dom0Driverinterface虚虚拟化底化底层自身安全自身安全问题 虚拟化底层安全2虚拟机逃逸打破了Sandbox危机到大厦逃逸的影响信息泄露服务中断后门，Hypervisor、VM（1）（3）（2）VMM自身安全自身安全问题VMwareXenHyper-VVMM自身安全自身安全问题漏洞漏洞 数据安全数据安全3虚虚拟服服务器的数据安全器的数据安全一个虚拟机就是一个文件夹VMGuset OSAppHyp

3、ervisorVMGuset OSAppVMGuset OSAppHypervisorVM动态迁移传统安全策略不能感知、跟随和调整动态迁移数据明文传输内存中信息泄露vMotionStorage vMotion虚虚拟服服务器的数据安全器的数据安全当虚拟机共享或者重新分配硬件资源时会造成很多的安全风险。信息可能会在虚拟机之间被泄露。例如，如果虚拟机占用了额外的内存，然而在释放的时候没有重置这些区域，分配在这块内存上的新的虚拟机就可以读取到敏感信息。HypervisorCPUMemoryNICGhost OSGhostOSGhostOSDom0伪物理地址到机器地址映射表伪物理地址到机器地址映射表虚虚

4、拟服服务器的数据安全器的数据安全VMGuset OSAppHypervisorVMGuset OSAppVMGuset OSAppHypervisorVMGuset OSAppvSwitch在vSwitch中的网络流量不可见传统安全防护措施失效，无法进行流量监测、过滤打破了以前的区域边界，无法进行隔离VM之间的攻击不能防范虚虚拟机网机网络流量不可流量不可见 虚拟机之间攻击/流量不可见4NetworkFW/IDS/IPS虚拟机虚拟机网络流量不可见网络流量不可见攻击在虚拟机之中发生 激活 重新激活,安全策略过期 虚拟机必须带有已配置完整的客户端和最新的病毒库快照、快照、还还原的威原的威胁胁和和漏洞

5、漏洞风险风险新生成虚拟机休眠 启动防护间隙5 防病毒风暴防病毒风暴 资源争夺6传统安全软件如何造成“防病毒风暴“？定期扫描CPUIO网络硬盘病毒库更新网络IO病毒库于内存所常驻重复的内存使用 安全安全管理管理成本成本增增加加 虚拟机安全管理复杂7补丁管理病毒库更新安裝新VM配置客户端传统安全管理方式来管理新架构已经落后如何在新如何在新环境中建立安全架构、机境中建立安全架构、机制和防制和防护措施措施传统IT威威胁、弱点、弱点新威新威胁、新弱点、新弱点流量不可流量不可见边界消失界消失离离线VM数据泄露数据泄露恶意代意代码、DDoS后后门、Rootkit传统的安全的安全问题依旧存在依旧存在新技新技术

6、引入新引入新问题FWAnti-DDoSPatch 管理管理传统的防的防护手段不能适手段不能适应新新环境境新型防新型防护体系体系如何构建如何构建风险依然存在依然存在虚拟化安全解决思路虚拟化安全解决方案解决方案解决方案高高可用、备份可用、备份Hypervisor自身安全加固自身安全加固安全区域划分安全区域划分针对于虚拟化的新型防护针对于虚拟化的新型防护架构架构访问控制、分级管理访问控制、分级管理针对虚拟化的管理工具针对虚拟化的管理工具目标目标面向虚拟和物理环境的一致安全策略面向虚拟和物理环境的一致安全策略享受虚拟化的所有经济优势享受虚拟化的所有经济优势物理主机、系统故障硬硬件件容容错错FT未受保护

7、未受保护自动自动重新启动重新启动连续连续0%10%100%使用使用 HA 物理主机、系物理主机、系统故障故障1虚拟主机虚拟主机备份服务器虚拟机虚拟机 物理主机、系物理主机、系统故障故障1物理主机、系统故障一次性一次性备备份份虚虚拟访拟访客系客系统统1运行运行应应用程序用程序服服务务器的器的 虚虚拟主机主机 备份份服服务务器器 几秒钟内即可全面恢复 Exchange、SQL、SharePoint 和 Active Directory 数据：单个邮箱/电子邮件/私有或公共文件夹/日历项目/任务/用户帐户或属性/SQL 数据库备备份存份存储储 数据安全数据安全3一次性备份，满足各种恢复选择要求虚拟机

8、完整恢复应用程序恢复应用程序全面恢复文件/文件夹全面恢复重定向恢复使用代理不使用代理几乎没有或无 I/O 影响恢复整个访客计算机全面恢复数据全面恢复应用程序数据管理视图与 vStorage API 进行了集成提高虚拟性能恢复整个访客虚拟机 管理视图与 vStorage API 进行了集成及时漏洞修补三网分离，锁定管理层网络访问设置和执行针对底层的严格访问控制策略定期的日志审计Hypervisor自身安全Hypervisor应用程序应用程序操作系统操作系统虚拟机虚拟机应用程序应用程序操作系统操作系统虚拟机虚拟机应用程序应用程序操作系统操作系统虚拟机虚拟机 虚拟化底层安全2安全区域划分 网络网络I

9、NTERNETDMZApp数据库数据库基础架构基础架构-服务器、网络服务器、网络-存储存储VMMVMMVMMVMM虚拟基础架构虚拟基础架构-Hypervisor-虚拟交换机虚拟交换机区域区域边界边界-内部安全措施内部安全措施-边缘安全措施边缘安全措施vApp-DMZ-内部分区内部分区 虚拟机之间攻击/流量不可见4基于虚拟化的新型防护架构Hypervisor应用程序应用程序操作系统操作系统虚拟机虚拟机应用程序应用程序操作系统操作系统虚拟机虚拟机非法访问非法访问黑客攻击黑客攻击木马程序木马程序病毒病毒/蠕虫蠕虫DDoS漏洞漏洞应用程序应用程序操作系统操作系统虚拟机虚拟机“虚拟防火墙虚拟防火墙”IP

10、SIDS主机保护主机保护病毒扫描病毒扫描补丁管理补丁管理配置配置与变更审查与变更审查 资源争夺6 虚拟机安全管理复杂7 启动防护间隙5 虚拟机之间攻击/流量不可见4 数据安全数据安全3 虚拟化底层安全2Windows 系统系统解决虚拟化安全问题的架构思路应在虚拟化系统应在虚拟化系统底层底层解决安全问题解决安全问题QQWord游戏游戏浏览器浏览器Windows底层底层安全防护安全防护vNICvSwitchvNICvNICvNICVMsafe APIvShield Endpoint API虚拟化层 针对虚拟化层的防护安全虚拟机基于虚拟化的底层防护示意1.使用存取控制(access control)

11、2.使用加密技术3.禁用不需要或不使用的virtual devices4.使用网络分段和访问控制列表，阻止其他所有接入.OVF.OVF.OVF 数据安全数据安全3虚拟机文件安全强制实施职责分离和最小权限的能力安全原则安全原则在在 VI VI 中的实施中的实施最低特权角色只具有必需的特权职责分离角色只适用于必需的对象管理管理员操作操作员用用户AnneHarryJoe管理访问控制 虚拟化底层安全2 虚拟机安全管理复杂7利用虚拟化相关的管理工具快速查看计算机安全状态每个热图条目都可单击，以指标图的形式显示更详细的视图每台计算机的安全事件总数以安全事件类型排序以安全事件类型排序安全分析（热图）利用虚拟化相关的管理工具安全分析（排名分析）以下分类中排名靠前的事件：所有事件入侵阻止防火墙Web 信誉完整性监控防恶意软件按计算机查看排名靠前的事件内容大纲l 虚拟化发展l 虚拟化面临的安全威胁l 虚拟化安全解决思路坚持不懈我们正在做得更好！成都岷扬信息技术有限公司谢谢谢谢