Symantec, 软件定义数据中心的护航者.docx

《Symantec, 软件定义数据中心的护航者.docx》由会员分享，可在线阅读，更多相关《Symantec, 软件定义数据中心的护航者.docx（10页珍藏版）》请在三一办公上搜索。

1、Symantec ,软件定义数据中心的护航者在云计算、虚拟化、大数据、Openstack这些概念不断出现并逐渐改变我们IT环境时，我们也在 不断的思考如何利用这些新技术改善IT服务的效率，适应业务发展的需要。而从目前看SDDC软件定 义的数据中心将是未来云计算的终极形态，将云计算中的弹性服务、资源池化、按需服务等观念更加深 层次、全面的在数据中心环境中交付。但随着数据中心架构的改变，为数据中心提供的安全防护框架也 需要适应环境的变化。Symantec早已认识到这一趋势并开始向用户提供适用于新型数据中心安全架构 的解决方案，通过软件定义的安全服务实现数据中心安全资源的有效配置。在谈论未来数据中心

2、的安全 之前，我们有必要从传统安全视角出发，重新思考、定义数据中心以及服务器的安全。传统数据中心的安全思维现实生活中数据中心的变化很多是对现有数据中心的迁移或者扩展，当然也有很多用户在新建全新 的数据中心以满足业务发展需要。也就是说大多数情况中我们并不是重新设计数据中心的安全架构，而 是在考虑如何迁移现有的数据中心安全控制措施。这里先来看看传统数据中心安全是如何思考的。传统数据中心安全常常会考虑两个基本因素：边界防护与主机安全，边界安全是信息安全从业者总 能快速找到的解决方案，在数据中心网络总出口处，通过HA集群组成的防火墙或NIPS系统提供对数 据中心的保护，看似非常合理的解决方案，这是因为

3、网络汇聚了共性的网络安全需求，采用统一的访问 控制策略似乎是一种最为简洁的方案，这里并不是想否定现有这种方案的价值，但这确存在大量的局限。 因为越大的边界控制范围就意味着越少的共性需求，安全管理员很难有时间为不同的应用或服务提供不 同的、定制化的安全资源，这导致数据中心的安全边界所提供的安全价值并不高，即便是NIPS基于漏 洞的入侵防护系统也存在这样的问题。我们到底是否有能力在数据中心边界建设交付所有不同应用及服 务的安全资源？这个答案是否定的。除此之外还存在其他问题，边界安全无法了解或处理发生在服务器中的安全事件，如对系统配置、 关键文件的恶意篡改、内部人员对资源的恶意利用与恶意软件等，这些

4、问题也将数据中心的安全需求转 向另一个传统因素，终端防病毒软件，它的存在帮助我们解决了数据中心内部或者外部传播、感染恶意 软件的问题。早期的用户习惯让我通过使用解决桌面终端安全问题的方法去解决数据中心的服务器节点 安全。这样足够了吗？这样至少不是最合理的方案!因为将服务器与桌面终端对比，我们会发现不论从 使用目的、维护场景、系统类别、安全等级都不相同，这种情况下利用适合于桌面的防病毒软件区保护 服务器，即使部署上可行，也一定不是最适合的。详细的原因后面再谈。谈到这里其实我们还规避一个很重要的问题：谁需要这些安全资源？传统环境中的确很少思考这个 问题，在对公众服务的数据中心场景下，数据中心的管理

5、方是资源提供方，而资源提供方是不能强制资 源的使用者接受相应的安全控制。即使是面向企业内部的数据中心，数据中心的安全管理员也需要根据 不同业务或应用的需求分配安全控制资源。说的直白点，我是否需要安全保护是取决了我的业务安全需求，数据中心安全的管理员不能强迫我使用某一种安全服务或安全控制策略，传统的数据中心安全思维 也完全忽视了这些问题的重要性，只是聚焦在共性的安全需求上。在目前云计算大行其道的背景下，公 有云、私有云、混合云都将面对多租户的场景，这也将以前这些我们并不重视的问题变得更加凸显。重新思考服务器的安全服务器是数据中心中计算资源的核心来源，也用于连接网络资源、存储资源，是数据中心中业务

6、交 付的重要支撑，然而实际情况是安全措施常常以桌面终端安全的标准衡量服务器安全。近年来所发生的 安全事件看到服务器是网络入侵者最主要的目标，而针对桌面终端的入侵常常是下一步对服务器渗透的 跳板，而敏感数据则是入侵者的目标，根据2013年Verizon数据泄露调查报告54%的用户数据失窃发 生在服务器上( )。同时通过APT目标性攻击方式入侵服 务器越来越常见，根据Symantec ISTR 18互联网安全威胁报告18期，2012全年的APT攻击较前年 增长 42% ( )，同时新出现的漏洞数量与零 日漏洞数量较前两年都看不到任何下降趋势。现实中主机没有暴露安全问题，不意味着没有安全风险， 以最

7、近被暴露的Operation Windigo恶意代码为例，目前可能已感染超过上万台主机，这类恶意代码专 门针对Linux服务器，可以劫持服务器、感染访问服务器的计算机，窃取信息等。这些服务器被用于发 送大量垃圾信息，重定向用户到恶意网页。由于隐蔽性用户通常无法快速发现，而目前多数用户在 Linux主机上可能没有任何安全措施，包括防病毒软件，这些在告诉我们需要引起足够的重视。关于通过桌面终端防病毒标准保护服务器是否可信，这个问题之前有过讨论，防病毒并不是最适合 的服务器安全措施，本质原因是应用场景和安全目标的不同。下面的表格简单对比了两种场景的区别：笔记本及桌面终端应用场景服务器应用场景用户经常

8、需要下载文件、主动访问互联网较少的场景需要文件下载，系统被动响应用户请求经常性的对应用程序进行变更及调整一旦业务上线，很少情况需要变更系统环境及应用提供多种应用程序及相关功能单台服务器执行相对较少的应用或任务经常需要接入不同的网络环境数据中心接入网络环境单一灵活性及效率是首要目标可用性及稳定性是首要目标可能会存储企业相关敏感数据可能会存储大量的客户敏感数据以Window操作系统为主多种操作系统平台Window, Linux, Unix总结上述的对比，服务器的安全目标相比笔记本及桌面终端需要更高的稳定性，同时服务器的应用 环境相比之下需要较少的变更，业务应用及任务都更加单一，所以更适合服务器安全

9、的是主动的安全控 制措施，基于白名单为基础，标识已知的可信应用，限制不可信的系统行为。同时可以满足更广泛的平 台支持、对主机的资源占用更加小，满足稳定性需求。而防病毒软件是一种黑名单为主的安全措施，基 于已知的恶意文件或行为采取控制或隔离措施，这种方法属于被动的安全控制，它可以满足更多灵活的 业务场景需求，笔记本及桌面终端则是适合的场景，但将其用于服务器环境，却不是最佳选择。服务器为确保安全稳定、高可用的运行目标还需要满足系统配置变更监控、关键文件的恶意篡改保 护、内部人员对资源的恶意利用限制、系统日志及状态监控等多种安全需求，这些也是单一防病毒软件无法提供的。综上所述，服务器安全单一使用防病

10、毒软件只可以交付最基本的安全控制，还需要其它方 法去加固服务器，特别是对关键的应用系统。数据中心安全需要的是综合多种安全控制措施并协同工作， 从而实现按需的针对不同业务系统交付不同级别的安全防护资源。下一代数据中心变更的方向下面来看一下数据中心的变革，这才是我们真真需要更加关心的内容。企业IT环境在近年中出现了很多大的变化，云计算是数据中心变更中最主要的主题，NIST曾给云计算定义过5个关键词：弹性 计算、资源池化、按需的自服务、宽带接入、服务可测量。这些概念中最重要的就是弹性计算与资源池 化，这意味着IT资源的交付可以更快的适应企业业务的发展与变化，新的应用上线可以快速配置所需 资源、应用下

11、线可以快速释放资源占用，计算资源的扩展与回收变得更加便捷，同时用户所需资本开支 将更少，资源利用更为充分，这也是为什么越来越多的用户选择将计算资源虚拟化的原因。传统以物理 设备的资源分隔方式将逐步被以资源逻辑分隔方式所取代，这种分隔将将不只出现在计算资源的划分上， 同样将改变存储、网络、安全的资源的交付方式。而软件定义的数据中心将是发展的最终目标。什么是软件定义的数据中心，标准的定义是数据中心的所有基础架构被虚拟化并以服务的方式交付， 同时数据中心可通过软件自动化的管理及控制。为什么需要引入软件定义的数据中心？其实通过服务器 虚拟化已经大大提升了资源部署、运维的效率，可以在几分钟时间内为某个应

12、用提供一个虚拟机。但任 何应用的部署不仅仅是个虚拟机创建的任务，常常还需要另外的时间来配置网络、存储、安全、管理等 一系列的操作，才真正投入运营。SDDC的价值是将传统服务器虚拟化的优势移植到各个环节，来加速 应用的部署过程，不仅仅在服务器资源的调配方面实现弹性和自动化，也将这些优势带给数据中心的存储、网络、安全、运维等，让整个数据中心变得更加智能化。下图简要描绘SDDC的框架:SDDC中最重要的几个部分：计算、存储、网络资源虚拟化、业务自动化管理与流程编排，目前很岳 EmuseQpoE(DQEtcMfosSoftware Defined ServicesNetwork Virtualizat

13、ionpMEoqmEopl爵乾 c-目前SDDC正迎接着快速发展的时代，分析机构预期SDDC的市场增长在2013至2018年时间段 内将有68.7%的年复合增长率CAGR。VMware在2013年VMworld大会上发布了收购Nicira后整合 的软件产品NSX，在集成了 vCNS (vClould Networking and Security)后提供2-7层的虚拟网络管理能 力，包括逻辑交换机、逻辑路由器、逻辑防火墙、逻辑负载均衡及VPN等。SDS方面VMware在 2014年提供了 Virtual SAN,同时在未来还将发布Virtual Volumes。当然不止VMware，越来越多的

14、IT 厂商参与到SDDC的发展中，Cisco也收购了 Insieme Networks而推出的SDN产品，将应用中心基础 设施(Application Centric Infrastructure，ACI)在Nexus交换机中实现，使虚拟网络与实体网络的关 系更加紧密。上图中列出了参与SDDC市场的主要厂商。Symantec同样在研究部署SDDC中的安全管理解决方案，为用户扫清在数据中心变更过程的障碍， Symantec在目前可以向用户提供基于NSX平台的恶意代码防护安全服务，帮助用户保护VMware的 虚拟化环境，未来Symantec还会更适用于Hyper-V，Xen，KVM平台的安全解决方

15、案，在SDN的集 成方面不但会与VMware NSX进行合作，还会进一步与ACI进行集成，对于开源系统OpenStack未来 也将逐步提供安全支撑。数据中心中软件定义的安全服务数据中心的变革是为了满足IT在支持实际业务时的成本、响应速度、灵活性方面的需求，但由于 安全的复杂性、合规要求、管理成本的存在会大大影响数据中心变革与发展的速度。以目前服务器虚拟 化为例，当管理员根据应用需要完成了虚拟主机的快速部署后，并不是意味着业务可以快速上线，用户 还需要考虑对当前的虚拟主机进行必要的保护，以及使用什么样的安全策略。如果在当前数据中心中使用的是传统的控制措施，管理员首选需要解决基于物理设备的策略如何

16、与被保护资源之间静态映射的问 题，同时当资源发生动态变化，例如虚拟机迁移vMotion时、虚拟主机由于业务变更增加或减少时都需 要继续确保，安全策略可以持续的覆盖或者跟踪被资源的变化，提供无缝安全控制。SDDC所带来的不 是安全控制措施本身的变化，而是安全控制交付方式、调配方式的变化。在未来的数据中心中，安全交付的方式同样将依赖于软件定义的方式，以服务的形式向不同的受保 护资源进行交付，包括计算资源、存储资源及网络资源，在数据中心中所有基础架构硬件资源被虚拟化 后抽象为逻辑的对象，安全服务能力将不直接交付给物理资源，而是服务于抽象后的逻辑对象。数据中 心的管理员唯一需要关心的是，哪些虚拟资源需

17、要什么类型及级别的安全服务能力，而对不同级别安全 服务能力的定义由安全管理员完成，安全管理与数据中心管理员的工作内容相互独立，而不是像现在一 样需要安全管理人员清晰的了解数据中心的所有资源分配及架构。应用及业务的所有者可以灵活的选择 其所需要的安全措施的提供厂商、控制措施的类型及不同等级安全防护策略。在SDDC中安全控制措施交付方式相较于传统方式将发生本质的变化，这些变化中有几个最为关 键的：安全控制软件化、安全控制下沉、分等级的防护措施与安全流程自动化。分别来解释这几点。 安全控制的软件化，是指在数据中心的会越来越少的依赖于硬件的安全设备，安全控制通过软件的 方式交付至受保护资源，传统环境中

18、物理安全设备的出现频率较大，但在SDDC中很多控制措施 可以通过软设备（S oft Appliance）的方式交付，除去部分专用的数据网络安全设备，大多数安全 能力都可以承载在软设备中，即由数据中心的基础架构提供安全能力交付的支撑。 安全控制的下沉，就像我们前面提过的传统数据中心安全中最为重视的是边界安全，在边界控制上 考虑整个数据中心通用的安全需求，但这种方式的控制粒度较大，管理员无法灵活的为数据中心的 不同应用定义有效且贴近业务特点的安全策略。且由于SDN的快速发展，集中的网络安全控制将 逐步被分布的虚拟设备所代替，传统边界安全控制在数据中心最外围，而未来将下沉并分布在不同 虚拟对象的接入

19、环境，按需的提供安全控制能力。另一种场景中即是还存在边界控制，其控制策略 将直接与虚拟对象组（或虚拟应用）进行捆绑，安全服务直接交付至受保护的逻辑对象组，不直接 作用于物理对象，安全策略跟随逻辑对象的变化而变化，这实际上也是控制下沉的体现。总而言之 安全控制将在SDDC中越来越贴近工作负载（Workload）o 分等级的防护措施，数据中心的安全控制交付的变更是为了适用数据中心计算环境的变化，而灵活 性与按需的服务才是真正的价值所在，在数据中心根据应用的需求规划不同级别的防护措施，对于 基本安全服务可能处于Always On的状态，对于高级安全加固服务可能只对部分重要的资产对象 实施，从资产的价

20、值区分安全受保护需求。与此同时受保护对象也逐步发生着变化，从对单一虚拟 资产的保护到虚拟资产组的保护到虚拟应用的保护，换句话说就是把安全能力交付给一个虚拟主机， 还是具备相同属性的虚拟资产组，还是具备依赖关系的一类资产而形成的虚拟应用。当然最理想的 管理方式是将安全服务能力直接推送至所需的应用，而不用关心应用中到底有什么组件。下图解释 了安全服务基于服务等级交付方式的变化。分等级的安全服务在公有云中更凸显其增值价值。- VM Maximum Guest SecurityMaximum G jest Security5ervkLevels| Eld | SilueT| 启 rrmm |安全流程自

21、动化，是SDDC资源服务自动化配置与编排在安全侧的延伸，传统数据中心中如果我们要实现不同解决方案之间的联动，必须要借助于第三方流程自动化编排软件，需要学习新的流程 编写语言，例如当在一个主机中发现恶意软件，管理员期望自动化的切换该主机连接的网络，改变 防火墙策略，减少对其他资源的影响可能，并快速标识与修复该威胁，这并不是件容易的事情，但 从SDDC角度来看，由于所有安全服务资源都依赖于统一的交付、调配平台，事件变得很简单了， 例如在VMware NSX中集成防病毒服务时，防病毒服务在发现某一虚拟主机出现问题后，后根据 配置为该主机分配标签，基于该标签，系统可以自动的分配安全策略，如限制该主机的

22、访问并接入 修复区域，在问题解决后再自动移除该标签，恢复原有的安全策略。安全流程的自动化实现完全得 益于在数据中心中实施软件定义的安全服务与统一的交付平台。目前来看VMware是SDDC的先行者，在vSphere的环境中通过NSX的服务编排器(service composer)可以实现对多类安全服务的调配管理，包括防火墙服务、入侵检测服务、漏洞管理服务、 恶意代码服务等。当这些服务注册在NSX并发布策略后，管理员可以一键操作对相应的资产组下发安 全服务策略，其中部分服务的实现方式也在发生变化，例如漏洞管理将逐渐由终端服务替代网络服务的 方式实现，不再通过网络扫描判断系统漏洞，而直接使用终端服务

23、检测虚拟主机本地文件判断漏洞的存 在，从这个意义上漏洞扫描不在需要虚拟主机在开机状态才能进行扫描、也不存在防火墙及内网隔离的 问题、本地漏洞检测不再需要登录凭据，这些都是软件定义数据中心带来的巨大改进。Symantec将在多个方面提供数据中心的安全部署，为软件定义数据中心提供服务器安全、存储安 全、SDN网络安全的相关服务，分别保护数据中心的计算、存储与网络资源，同时还将提供集中的策 略管理与服务编排平台，满足以应用为中心的数据中心安全服务交付。所提供的安全能力将包括威胁防 护、敏感数据安全、应用及系统加固、统一风险评估等多个类别。SymantecDCS数据中心服务器安全解决方案Data Ce

24、nter Security(DCS)是Symantec针对数据中心安全市场所提供的新一代安全解决方案，用户可以通过DCS解决在虚拟化及物理环境中所面临的安全威胁。DCS架构参考下图：在虚拟化环境中DCS: Server通过SVA （Security Virtual Appliance）交付主机恶意代码安全防护 服务，并在vSphere环境中提供基础架构保护，包括vCenter平台加固与ESXi主机监控服务。对于安 全需求较高的主机（无论是虚拟主机还是物理主机）提供基于本地代理Advanced Agent的主机安全加 固能力，区别对待不同重要性的虚拟主机。下面介绍所提供的各种安全能力： 提供在V

25、Mware vSphere环境中与NSX服务编排器集成的恶意代码防护能力DCS服务器安全解决方案提供面向SDDC的恶意代码防护能力交付，在vSphere5.5环境中（ESXi支持版本5.1-5.5）配合NSX Manager，DCS: Server可以可将恶意代码防护服务注册至NSX 服务列表中，同时根据实际需要发布安全安全策略，DCS: Server支持On-Access及On-Demand的恶 意代码检测能力，即可通过访问修改文件触发文件扫描或根据用户需要手段或周期性扫描。NSX自动 将DCS: Server提供的安全服务以SVA （安全虚拟设备）下发到集群，受保护虚拟主机中无需代理软 件

26、，数据中心管理员只需要为已定义好的安全组分配相应策略即可，只有安全管理员需要登录DCS平 台，数据中心管理员只负责安全与资产组的映射，职责相互隔离。策略中还可定义告警触发方式，通过 VM Tag标记目前被恶意代码感染的主机，根据定义的标记可实现与其他安全措施的联动使用，从而提 升安全管理的效率。恶意代码防护服务的交付跟随虚拟资源组的变化而变化，业务的上线时间将不在受 到复杂的安全措施及策略配置所影响。Symantec DCS: Server提供了业界领先的恶意代码防护技术， 可作为数据中心的基础安全服务交付给所有的系统使用，作为一种永不下线的安全服务无缝保护所有数 据中心的Windows主机。

27、 提供针对VMware vSphere基础机构环境安全加固与ESXi主机安全监控DCS: Server还提供了对vSphere环境的加固保护，vSphere环境相对物理环境需要额外的基础架 构，包括vCenter等相关管理服务器，ESXi宿主机。从安全的角度新引入的资产都有可能带来新的脆 弱性及威胁，vSphere的组件也不例外，Symantec为此提供了基于策略的安全加固组件帮助用户保护 vSphere数据中心环境。数据中心虚拟化、软件定义化带来的最大的变化就是资源管理的高度集中。一 旦这种管理集中化遭遇威胁造成的损失不可估计，所以vSphere环境的加固也有很强的必要性。DCS: Serv

28、er参考了 VMware vSphere官方加固建议，提供基于代理的安全防护机制保护vCenter等管理服 务器，确保管理平台不受网络入侵的影响，同时通过部署虚拟监控主机对所有ESXi服务器进行周期性监控，通过VMware vCLI接口虚拟监控主机可以获取所有ESXi主机的活动日志信息、配置变更信息， 通过对这些信息的检测实现vSphere环境的整体入侵检测与防护，为用户提供安全可用的软件定义数 据中心基础架构。基于主机代理的系统安全加固与锁定能力，包括主机入侵检测与系统资源最小化防护。DCS: Server在虚拟服务器防护方面提供了两方面功能，一方面是上面提及的集成NSX的恶意代 码防护，另

29、一方面则是这里所提到的系统安全锁定防护，这种防护措施基于操作系统代理部署，建议部 署于关键业务的虚拟或物理服务器，提供主动的安全防护措施，本文前面有提到桌面终端安全与服务器 安全在目标与维护场景的对比，DCS: Server所提供的主动防护功能更加用于保护服务器。首先对系统 资源、可用性影响更小，没有入侵特征及病毒定义的更新必要，对单个服务器CPU占用不高于3%， 内存消耗少于40MB（windows环境，Linux/ Unix环境小于80MB）。DCS: Server安全防护基于白名 单机制，不同于防病毒等黑名单机制，更加适用于功能任务相对单一、维护变更较少的服务器环境。 DCS: Serv

30、er可有效抵御零日漏洞的攻击，减少补丁管理的成本。要说明DCS: Server基于代理的最小权限锁定防护的原理，首先需要了解操作系统安全的本质，大 多数应用只需要有限的资源以完成相关工作，但大多数程序拥有远远超出其自身要求的资源，恶意的入 侵攻击常常利用这些空隙逐步完成系统的渗透。例如当一个存在溢出漏洞的应用被攻击者利用后，攻击 者可以以运行该应用的用户的身份在系统中执行任意命令，这里的空隙是：确保该应用正常工作实际上 不需要太多的权限，而系统却为该应用分配了过多的不必要资源。这几乎是所有网络入侵后的本质原因。 DCS: Server是如何实现保护的呢？ DCS: Server可控制系统中每个

31、应用、服务或者后台进程对操作系 统资源的访问，对于已知的程序与应用，默认策略提供其工作所需的必要资源使其稳定工作的白名单。 对于未知的第三方应用及进程，限制其对操作系统的核心资源的访问（黑名单机制），从而实现对系统 的快速保护，而不用去了解每一个应用程序的所需的必要资源。DCS: Server的另一个好处是可以针对当前系统应用自定义必要的限制策略（可以基于应用的路径 定义，可以基于应用程序的签名或者其发布者进行定义），在实际环境中常常会发现某个应用程序存在 漏洞，但由于应用可用性要求或者应用只能在该版本下运行导致无法对该漏洞进行补丁更新，这时 DCS: Server就可提供基于自定义应用的保护

32、策略，实现对该应用的最小化资源权限保护，相对于补丁 安全成本更低风险更小，因为DCS: Server的策略可以回退，而补丁安装失败一般是不可回退的。这一 点对系统的可用性至关重要。DCS: Server在一些特殊场景中还可用于白名单保护，通过收集被保护主机上的所有可执行程序， 基于Symantec的insight全球信誉系统了解每个程序的安全信誉等级，验证可执行文件哈希值，并只 允许信任的程序执行，从而从更本上杜绝恶意代码或网络入侵攻击。基于DCS: Server的基本策略模板 （基本安全保护、系统安全加固、系统应用白名单）安全管理员可以快速完成系统的防护策略，实现不 同级别的安全控制能力，与

33、集成在NSX环境中恶意代码防护能力相互补充。Symantec DCS: Server提供了一套按需的数据中心安全防护套件，交付VMware SDDC环境中的 安全服务集成与基础架构保护。这只是Symantec面向数据中心安全整合的一部分，Symantec还提供 有数据中心服务器安全管理套件SMS，与数据中心数据保护套件SPE，同时在不久的将来Symantec 还将陆续提供与数据中心环境更加紧密结合的安全防护组件，包括与SDN集成的网络安全服务，数据 中心统一安全评估。这些安全交付能力也将在更多的平台上适用，包括Hyper-V，Xen，KVM，ACI， Openstack等。确保用户在数据中心转型的过程中不受安全问题的阻拦，通过多种类型的安全服务能力 帮助用户搭建面向快速应用交付、弹性化、智能化的软件定义数据中心。