虚拟化与私有云安全

1 Confidential
RSA虚拟化安全解决方案
司马丽维
大中华区高级信息安全系统构架师
M.Sc., MBA, CISSP
Sunny.sima@rsa.com
RSA, EMC信息安全部

2© Copyright 2010 EMC Corporation. All rights reserved.
来源：在北美5个城市执行的 EMC论坛实时柱状图。 10/09
―是的，在所有情
况下”
24%
―在某些情况下解
决了，但是仍然
存在差距”
43%
―没有，在事后才
引入安全措施‖
22%
―企业在没有安全
措施的情况下向
前推进‖
11%
问题
您的IT安全措施在实施虚拟化和私有云之前解决了与它们
相关的风险了吗？
为什么不好?
潜在价值受到限制
数据泄露可能性提高
问题
您的IT安全措施在实施虚拟化和私有云之前解决了与它们相关的风险
了吗？

Gartner 风险 RSA如何提供协助
未在虚拟化项目的初期引入信息安全措施安全措施虚拟化评估
虚拟化层的风险会导致其所有上层系统的风险 RSA enVision
虚拟化层的数据泄漏可以导致所有托管应用的
数据泄漏
RSA DLP
不同信任等级的工作负载都被合并到一台单独
的物理服务器上而没有进行足够的隔离
RSA DLP 套件
RSA enVision
对管理程序/VMM层以及管理工具的管理性访问
缺乏充分的控制
RSA SecurID
网络和安全控制的职责分离可能会存在潜在的
损失
RSA SecurID
Gartner:
数据中心虚拟化项目中最常见的安全风险*
* http://www.gartner.com/it/page.jsp?id=1322414

向100% 虚拟化挺进
RSA：虚拟环境的安全措施和合规性
加速
集成能够加速关键任
务的应用采用虚拟化
的安全控制措施
融合
为物理和虚拟环境制
定一个安全策略
发展
为虚拟化寻找更先进
的安全解决方案

利用虚拟化转变安全措施
端到端信任和可视链
VM 层
虚拟基础设施
(包括管理程序)
APP
OS
APP
OS
APP
OS
存储计算机网络
• 完整的硬件和管理程序监控，确保可信
的计算环境
(e.g., Intell/VMware/RSA PoC)
信任区 DMZ
•随虚拟机而移动的逻辑安全区
(如 VMware vShield 区虚拟防火墙)
• 深入的可
视性和统
一的报告
(e.g. RSA
enVision,
RSA
Archer)
•深嵌在虚拟基础设施中的安全控制措
施
(如, 用于深入安全自省的VMsafe APIs)
统一控制点
统一报告
效率,
灵活
RSA’s Vision

使用案例
RSA 用于虚拟化安全的功能

生产系统应用补丁
未授权的管理员
保护管理控制台
使用案例
敏感数据丢失、泄露

案例
保护您的管理控制台
管理 LAN
ESX 服务控制台vCenter 服务器
Vblock 管理控制台
通过VPN进入到您管理
LAN的远程桌面
SSL VPN 支持 RSA
SecurID

安全网络
案例
敏感数据丢失、泄露
虚拟桌面
禁止 USB 或只允许使用安全USB
不能访问互联网 (执行vShield区)
在流程的全部过程中用RSA enVision 记录日志
RSA DLP防数据丢失的层层防护
敏感数据绝不会脱离
数据中心的控制
不含有敏感数据
的笔记本电脑
能访问敏感数据
的虚拟桌面
含有敏感数据
的应用
SSL + SecurID

一种常见的应用补丁的方法就是在测试环境中尝试
在虚拟世界中，您可以克隆系统，数据和所有内容
案例
克隆虚拟环境1这在生产环境中将会是一件非常困难和耗费时间的事，但在
虚拟环境中却相当简单测试补丁2
将补丁应用之生产系统3是否为授权流程程
序？
测试环境是否得到充分
的保护和控制？
谁访问了测试环境中的
数据？
虚拟机在使用后
是否销毁？
生产主机测试主机
HR 应用服务器 VM
HR 数据库服务器 VM
HRDB
姓名, SSN, DoB, 等
HRDB
姓名, SSN, DoB,等
补丁补丁

生产物理主机测试物理主机
HRDB
HRDB
补丁补丁
克隆虚拟环境1 测试补丁2将补丁应用之生产系统3
克隆VM
RSA enVision能够记录vCenter的
管理活动，如克隆VM
补丁得到应用
如果测试环境得到了妥善的保护，
那么它也会被RSA enVision所监控
VM被克隆
补丁被应用
RSA enVision
如果这是与政策相违背的
，我们可以向安全分析师
发出告警
补丁被应用
VM 被删除
案例

PCI 物理主机 PCI 物理主机
RSA enVision
存储管理
Windows VM
交易 DB
信用卡号
交易管理
应用
在 PCI 环境中，您需要验证
只有授权的管理员才能修改
系统
如果权限设置不当，未授权的管
理员就可以移动虚拟机
VM 被
kpbrady移动
授权的
PCI 管理员?
活动
目录
RSA enVision记录执行了哪些活
动，以及这些活动是由谁执行的
RSA enVision可以根据核查授权PCI管理员的
“监视列表”
如果管理员未经授权，RSA enVision 可以向
安全分析师发送告警
案例
非授权的管理员

RSA 的虚拟化安全功能

保护
信息安全
监控
基础设施
保护
身份
加速任务关键虚拟化
如果您可以„
…对IT环境中的所有活动进行监控和报告——包括物
理和虚拟?
…知道虚拟化环境中敏感信息究竟发生了什么?
…在允许访问虚拟桌面和服务器之前，100% 确信用户
和管理员的身份？

保护虚拟信息基础设施的安全
EMC 咨询
RSA虚拟环境安全实践
信息基础设施身份
RSA SecurID
EMC Ionix
服务器配置管理软件
RSA
数据丢失防护套件
对 VMware View, ESX
服务控制台和 vSphere
管理助手的双因素认证
虚拟基础设施集中的配
置和补丁管理
发现和保护虚拟桌面和
服务器中的敏感信息
enVision  Archer
监控政策，GRC 和报告
合规性

RSA（EMC）安全咨询服务
战略实施设计操作领域
度量标准政策合规性部署规划路线图事件
响应
SOC 服务台范围
安全战略虚拟桌面安全政策制定私有云安全
专业
领域
解决方案
组成部分
安全评估
虚拟化环境
安全措施
VDI
环境
安全地管理虚拟化
最佳实践
和保障措施
世界级
虚拟化
最佳
实践
行之有效
的方法
信息安全
专业意见

RSA SecurID 和认证管理系统
双因素
认证
VMware View
用户身份
令牌的多种形
式因素
管理员访问
vSphere
管理助手
ESX 服务控
制台

RSA 数据丢失防护套件
第三方执行控制措施
策略管理系统管理报告和仪表板事件工作流程
RSA DLP
企业管理系统
发现内容存储库中的敏感
数据
对敏感数据执行控制措施
DLP 数据中心
监控所有的流量以检测敏
感数据
对敏感传输执行控制措施
DLP 网络
发现敏感数据并监控用户
的动作
对数据和用户动作执行控
制措施
DLP 终端
政策事件

简化合规性
法规和内部政策的合
规性报告
审计报告
增强安全性
实时的安全告警和分
析
取证调查
告警/关联
优化IT和网络运营
整个基础设施的IT监
控
可视性
网络基线
专用数据库
(IPDB)
RSA enVision 日志管理平台
RSA enVision
服务器存储
应用/数据库安全设备网络设备

VMware环境中的enVision
• 运行在RSA enVision 收集器设备上
的VI客户端会向vCenter服务器调用
API。
• 唯一一个通过无缝的、无代理连接
从VMware环境中收集2种不同日志的
SIEM
– vCenter 日志
– ESX/ESXi 服务器日志
– 涵盖 380 种不同的消息格
式
• 易于分析，实施和更改VMware环境
中的控制措施

中国参考案例

SecurID – 企业

enVision - FSI

enVision – 电信和其他

为什么选择 RSA?
集中式的政策管理方法
基础设施集中管理关键的安全服务
能帮助您管理风险的服务
在虚拟化过程中帮助您打造成熟流程的服务
身份，基础设施和信息的可视性
能同时对物理和虚拟IT环境进行监控，审计和报告
利用市场领先的产品保护VMware 的安全
从虚拟桌面到数据中心，并在VCE Vblock上验证
内置的专业意见
…法规，威胁和最佳实践。由专家团队制定.

谢谢!

27 Confidential
Thank You
Question & Answer Session

虚拟化与私有云安全

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (9)

Ähnlich wie 虚拟化与私有云安全

Ähnlich wie 虚拟化与私有云安全 (20)

Mehr von ITband

Mehr von ITband (20)

虚拟化与私有云安全