趋势 VMware 虚拟化环境安全解决方案
虚拟化环境安全面临的挑战在虚拟化环境中,很容易重建、修改、复制和移动虚拟机。使用云计算、公共云和私有云之后,新的虚拟机能自动进行设置、重新配置,甚至自动迁移。这使得管理员在追踪、维护和实施一致性的安全策略时变得异常困难。因此,有必要采用相应措施来应对此类动态数据中心。

传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内的网络通信由虚拟交换机进行控制,当同一主机上的虚拟机遭受恶意软件攻击时,网络中传统的 IDS/IPS 设备将可能检测不到异常的情况。

实时确保“即时启动”虚拟机的安全并不断对其进行更新,几乎是无法实现的。处于休眠状态的虚拟机最终将严重偏离安全基准,以至于仅仅启动它们便会引入大量安全漏洞。为了降低这种风险,必须提供一种解决方案,在完全受保护的状态下配置和管理虚拟机,无论最后一次病毒特征库或补丁更新何时完成,整个虚拟系统都能一直处于安全状态。

病毒扫描或病毒库更新等占用资源较多的操作会快速导致系统(CPU、内存、网络和磁盘I/O)负荷激增。使用不具有虚拟化感知能力的传统安全解决方案部署于虚拟化环境时,将导致虚拟机密度大量降低。在单台主机上仅能运行5至15台虚拟机,而不是15台至45台虚拟机。这将严重影响任何虚拟化或云计算项目的投资收益率(ROI)。


在虚拟化环境中,使用防恶意软件和漏洞屏蔽解决方案来保护应用程序和系统是必不可少的。通过部署与虚拟环境底层系统无缝集成的无代理安全解决方案,这样,之前处于休眠状态但现在已激活的虚拟机变可以立刻获得最新的防护。
通过部署与虚拟化底层系统无缝集成的无代理安全解决方案,拦截并检查虚拟机内部网络通信。考虑到系统和应用程序漏洞是攻击的主要目标,因此该安全解决方案必须具有屏蔽虚拟机漏洞的功能。
通过部署具有虚拟化感知能力的安全解决方案,可以消除资源竞争并使用预设的和基于任务的安全策略,确保在高峰和非高峰时段服务器效率为最高。
通过部署与虚拟化环境底层系统无缝集成的无代理安全解决方案,可以最大程度上降低需要安装和管理的客户端数量,并保证无论该虚拟机位于何处,对其的安全策略,防护和配置,都能持续遵从合规要求。
最有效的方法是使用具有虚拟机监控程序内视功能(可以监控进入/流出虚拟机的所有通信)的解决方案,将安全功能直接集成到虚拟化平台中。
方案收益- 降低 IT 固定资产和运营成本
- 增加业务灵活性
- 改善业务连续性
- 改善桌面管理
Deep Security 无代理部署模式
- 与 VMware vSphere 集成能提供“无代理”安全防护,并最大化虚拟机密度,将安全性最大化的同时,还能提升虚拟机服务器整体性能。
- 处于休眠状态的虚拟机在激活后能立即受到保护
- 解决虚拟资源竞争
- 侦测并组织虚拟机互相攻击
- 与客户端模式结合,虚拟机在迁移至未安装 Deep Security 的虚拟服务器上时,仍能受到保护。
- 无论虚拟机上运行的是何种操作系统或应用都可防护。无代理部署模式减轻了IT多个客户端版本的管理复杂度。
Deep Security 虚拟补丁技术
- 执行推荐扫描(手动或预设)
- 扫描在服务器上运行的应用程序和操作系统、监测通用漏洞披露(CVE)
- 生成安全报告,并推荐使用安全策略(虚拟补丁)
- 虚拟补丁能自动启动,或有管理员按需手动启动
Deep Security 如何降低成本
Deep Security 有助于节省更多的运营成本和资本支出。可以减少与服务器补丁安装相关的工作负载和成本。由于具有虚拟化感知能力的安全将产生较高的虚拟机密度,因此虚拟化项目的投资收益率(ROI)较高。