亚信Deep Security云安全软件
jijin 2017-09-27

更好更有效的为业务服务是IT发展的核心动力,在虚拟基础架构建设过程中,传统的安全问题仍然存在,而由于架构变革带来的新的安全问题以及传统安全问题的新的处理方式,是必须注重和解决的关键环节。只有充分考虑了安全层面、达到信息系统安全保障基准的基础架构,方能为业务服务发挥最大的支撑能力,助力业务不断发展。

  1.虚拟基础架构中的底层安全防护

   考虑到虚拟基础架构平台上操作系统的高密度、易迁移等特性,如采用传统的安全防护方式,会带来系统资源的额外占用、容易导致防病毒风暴、并且操作和维护相对复杂繁琐。因此,虚拟基础架构中在主机防护层面应考虑采用适应虚拟环境特征的威胁防护系统,通过免代理的底层安全防护方式取代传统的基于操作系统的安全防护,将提供防病毒、防火墙、入侵检测、完整性检查、日志审计等多重安全机制,有效发现并阻止针对系统、应用的攻击,同时无缝满足虚拟机迁移的特征。

   在虚拟化层安装虚拟防护设备,借助与虚拟化管理中心的安全API接口,对计算节点网卡至虚拟机接口之间的信息交换进行安全检测,使得每台计算节点的虚拟防护设备都能够深度保护架设在该计算节点之上的虚拟机运行安全,发现并阻止针对系统、应用的攻击。底层安全防护原理如下图所示:

   底层安全防护机制从网络安全、主机安全、应用安全、数据安全等层面进行全方面的集中保护,同时这些保护均采用无代理方式的以适应虚拟环境特征,在符合虚拟基础架构整体整合率指标的基础上,全面增强平台的安全性,提升其与信息安全等级保护等的符合度,并且可以避免多套安全系统的引入,形成统一的管理和保护,大大提升虚拟环境中的安全体验。

   2.虚拟基础架构中的虚拟补丁漏洞防护

   近年来,针对漏洞的攻击越来越多,安全漏洞的危害范围正在逐步扩大。面对层出不穷的漏洞,越来越多的用户明显地感觉到漏洞问题已经开始极大地威胁和损害己方的信息安全及正常的管理运营。因此,在虚拟基础架构中该如何有效避免受到漏洞的戕害成为另一 个需要着重考虑的安全环节。在实际生产环境中针对漏洞打补丁并非一件容易的事情,如果没有经过应用测试就打补丁,很可能导致应用的不稳定或者中断,漏洞防护成为一件极其耗时耗力却又风险重重的工作。在这种背景环境下,虚拟补丁机制应运而生。虚拟补丁修复使用基于主机的过滤器来检测和清理网络流量,在恶意软件危及易受攻击的目标之前,在不中断应用程序和业务运营的情况下,高效地修正或阻止有可能会攻击漏洞的应用程序输入流。虚拟补丁修复一般基于主机的安全功能,其工作原理不是修改可执行程序(结果会造成质量保证和软件资产管理方面的复杂性),而是针对网络流检测入站流量并保护应用程序免受攻击,尽管尚未对漏洞进行永久补丁修复。

   在虚拟基础架构环境下,虚拟补丁技术通过相关接口在虚拟网卡和虚拟交换机之间建立嵌套层,所有进出虚拟机的流量都可以通过安全虚拟机进行过滤,对于漏洞攻击包进行阻挡,从而实现漏洞防护的作用,这样虚拟机就不需要实际安装补丁。                    

   在虚拟基础架构环境下,虚拟补丁技术通过相关接口在虚拟网卡和虚拟交换机之间建立嵌套层,所有进出虚拟机的流量都可以通过安全虚拟机进行过滤,对于漏洞攻击包进行阻挡,从而实现漏洞防护的作用,这样虚拟机就不需要实际安装补丁。