虚拟化世界的安全保障.ppt

* 安全区物理划分 Internet 应用LAN Internet VM VM VM 管理控制台 hypervisor Web 区 应用程序区 Internet VM VM VM hypervisor 管理控制台 数据库区 Internet VM VM VM hypervisor 管理控制台 管理服务器 管理LAN * 采用物理安全设备的安全区虚拟划分 管理控制台 服务管理接口 Internet 应用 LAN 管理服务器 VM Web 服务器 Web 区 VM VM 应用程序服务器 VM 应用程序区 VM VM 数据库服务器 VM 数据库区 VM VM hypervisor 管理LAN * 全面颠覆 — “安全非军事区 (DMZ)” hypervisor 管理服务器 VM VM 虚拟 FW/N-IPS 应用程序服务器 数据库服务器 VM VM VM VM 管理控制台 Web 应用程序 数据库 Intranet Internet Internet 应用 LAN 管理LAN VM VM VM * 如何保护 Hypervisor？ 锁定管理层网络访问 确保及时更新补丁程序 执行针对虚拟机严格访问控制策略 Hypervisor 应用程序 操作系统 虚拟机 应用程序 操作系统 虚拟机 应用程序 操作系统 虚拟机 * 虚拟化安全服务解决方案 解决方案 架构与设计规划 虚拟基础架构配置核查 虚拟基础架构安全测试 策略与流程差异分析 优势 面向虚拟和物理环境的一致安全策略 享受虚拟化的所有经济优势 * * * * * * * * * * * * * * * * * * 专为虚拟化环境设计的安全工具，“还在非常早期的发展阶段。” * * * * * ——虚拟化世界的安全保障 虚拟化安全威胁和挑战 1 2 VMware的安全策略 3 虚拟化安全产品解决方案 4 虚拟化安全最佳实践 感谢您长期关注与支持！ 虚拟化安全威胁和挑战 1 * 2009年10大安全威胁和漏洞排名 No.1: 虚拟系统的安全和漏洞 * 虚拟化对数据中心安全性的影响 抽象和整合 ↑节约资金成本和运营成本 ↓需要保护新的基础架构层 ↓攻击或错误配置会带来较大影响 交换机和服务器组合为一台设备 ↑灵活性 ↑节约成本 ↓缺少虚拟网络可视性和控制能力 ↓各自为政的管理方式受到冲击 * 虚拟化对数据中心安全性的影响 更快的服务器部署速度 ↑IT 响应速度 ↓未知配置的系统剧增 ↓过程定义较差 虚拟机移动性 ↑提高了服务级别 ↓标识与物理位置分离 ↓传统的安全模型被打破 虚拟机移动性 ↑提高了服务级别 ↓标识与物理位置分离 虚拟机封装 ↑轻松实现业务连续性 ↑一致的部署 ↑独立于硬件 ↓过时的离线系统 ↓离线系统的防病毒及补丁更新 VMware的安全策略 2 * VMware的安全策略 自我描述、自我配置的安全性 虚拟化的独特优势 安全性虚拟化 .OVF 安全的虚拟机管理程序体系结构 平台安全强化功能 平台安全性 针对部署和配置的说明性指导 集成到企业的现有策略、流程和工具中 安全的操作 * 平台安全性—虚拟化层 精简虚拟化：在小型软件包中提供高安全性 * 平台安全性—平台安全强化 完善的内存保护功能 内核模块完整性 数字签名 模块签名 磁盘上的完整性 TPM（可信平台模块） * 平台安全性—网络分段 具有专用虚拟局域网功能的虚拟交换机 客户虚拟机之间的专用虚拟局域网流量隔离 上行链路上的公共主虚拟局域网 PVLAN(专用虚拟局域网） 支持同一交换机上的虚拟机之间的第2层隔离（即使虚拟机在同一子网上） 虚拟机的流量通过上行链路转发，不会被另一虚拟机看到 虚拟机间的通信仍可以在第三层进行 * 安全的操作—访问控制 安全原则 在 VI 中的实施 最低特权 角色只具有必需的特权 职责分离 角色只适用于必需的对象 管理员 操作员 用户 Anne Harry Joe 强制实施职责分离和最小权限的能力 * 安全的操作—配置文件 主机配置文件 网络连接 存储 VMotion 服务 防火墙 用户和用户组 安全性 内存保留 集群 参考主机 1 2 3 4 5 主机配置文件可减少设置时间，并允许您管理配置的一致性和正确性。 * 安全的操作—遵从性 * 安全性虚拟化— vShield Zones vShield Zones vShield Zones Vmware Infrastructure Vmware Infrastructure vCenter Server vShield Manager * 安全性虚拟化— vShield Zones OS APP OS APP OS APP OS APP O