演化的数据中心安全 - trend micro ·...
TRANSCRIPT
演化的数据中心安全“智能优化”——演化的数据中心的安全目标
概述
演化的数据中心的阶段与潜能
缺乏安全支点,演化的数据中心不完美
适应化:为虚拟化而生
感知化:与云融为一体
软件化:软件定义安全
平台化:云安全平台
趋势科技在云端的领导地位
演化的数据中心,你应该知道的注意事项
为什么选择趋势科技
用户声音
目录
01
02
04
06
08
10
12
14
15
16
18
【演化的数据中心的安全核心】
适应化
感知化 软件化
平台化
数据中心是信息资源的集中地、最频繁的交换地,也是安全事件的多发地,而
威胁防护上的任何疏漏都可能导致无法弥补的损失。在数据中心从以物理服务
器为核心,向虚拟化和云计算演进,并进入由软件主宰的数据中心演化途中,
围绕其周边与内部变革后的安全管理也需随之更新。
对此,趋势科技作为全球服务器安全、虚拟化及云计算安全领导厂商,通过总
结全球数据中心用户的安全防护现状与未来需求,剖析演化的数据中心安全运
维的场景,在《演化的数据中心安全》白皮书中重点介绍了最前沿的管理理念
和虚拟化安全技能,以协助数据中心管理者通过“适应化、感知化、软件化、
平台化”的思路,完成演化的数据中心智能优化的安全目标。
概述:
演化的数据中心安全 01
数据中心安全四化
数据正在以惊人的速度增长,并且已经渗透到当今几乎每一个行业和业务职能领域。IDC预测,从
2010年到 2020年,每年创建的数字信息量持续增长,数据总量将从 4.4兆 GB成长到 44兆 GB。
而面对数据日益猛增的严峻压力与价值诱惑,数据中心一步步挖掘着自身潜能,并以“自然”的方式
发生一次次变革。
企业的 IT领导人需要使用先进的BI工具和大数据技术,分析并利用这些数据创造商业和社会价值,而
在追求收益最大化、稳健、动态、安全的道路上,数据中心的演化将经历如下三个阶段:
演化的数据中心的阶段与潜能
【演化的数据中心的演化历程】
02 演化的数据中心安全
数据中心虚拟化 数据中心云化 软件定义数据中心
● 物理服务器整合● 虚拟桌面
● 云管理平合● 多租户● 私有云(资源池)● 公有云
● 具有物理数据 中心的所有特性● SDN虚拟化网络● 存储虚拟化
计算资源虚拟化 虚拟计算资源的管理 虚拟数据中心的出现
第一阶段:数据中心虚拟化 通过整合物理服务器、实时桌面虚拟化技术,数据中心的演化迈开了第一步,即:实现资源虚拟化。
基于虚拟化技术的 x86 服务器集群,有效降低了企业 IT资源的建设成本,而虚拟化流行的最直接原
因是减少空间占用,通过省电、节能、减排让数据中心更加绿色,全面降低运营成本。另外,将桌面
作为按需交付的服务,通过集中式桌面管理与自动转移桌面计算资源,加强了 IT部门对桌面、应用
程序的统一管理和数据安全的控制。
在此阶段,还有一种现象需要关注,这便是网络威胁跨越了物理、虚拟服务器。随着企业纷纷从物理
环境迁移至集物理、虚拟和云于一体的综合环境,许多企业仍沿用之前的多种传统安全解决方案应对
当前流行的威胁形势。这可能使实际获得的性能提升与预期不符,或因操作复杂性过高等原因而埋下
安全隐患,最终的结果是企业无法集中全部资源发展虚拟化和云计算。
第二阶段:数据中心云化云化是数据中心虚拟化的延伸,其重点表现形式可以包括私有云、公有云与混合云,在打破信息边界
的同时,应用的重点是构建云管理平台、多租户等运营平台,实现“IT 即服务”的交付模式。数据
中心云化,强调虚拟资源的管理,由于云数据中心集中了大量的计算资源,通过将资源整合、池化,并
利用高度自动化的管理机制实现资源的动态分配和共享,从而在规模化的基础之上实现了对底层计算
资源的充分有效利用,降低了单位运算的资源投入成本。
第三阶段:软件定义数据中心软件定义数据中心,是迄今为止在数据中心架构中最具潜能的一次巨大变革,更是恢复能力最强和最
经济高效的云计算基础架构方法。随着计算环境的高度虚拟化和软件定义网络(SDN)、软件定义
存储(SDS)开放性的到来,资源的整合和利用率已经远远不能满足需求,并且工作负载的多样性需
要数据中心具有高度动态的特性,这个时候数据中心就需要一个全新的架构来进行资源管理和整合,而
软件定义数据中心则满足了这一需求,其标志就是虚拟数据中心的出现。
虚拟数据中心是一个全新的生态系统,不仅能提供所需的整合能力,新兴的业务程序也会在数据中心
具有弹性计算的能力。在新式应用正日益向 Web、社交网络和移动设备靠拢的时候,演化的数据中
心可以对应用后台系统经过专门设计、量体裁衣,可以处理庞大的数据量,即使 BYOD、企业社会媒
体,以及面向 Internet(Internet-Facing)的业务带来数据量的持续增加,其压力都可以被演化的
数据中心的无限扩展能力吞吐掉。
演化的数据中心安全 03
演化的数据中心应具有高度灵活、敏捷、随需扩展等一系列特点,从理论上讲,其扩展能力和性能输
出将是无限的,其能量来源于 x86标准化平台,它为演化中的生态环境提供一个强大的软件定义的
基础平台。对于现有的物理系统,包括服务器、网络、存储、安全,都可以在标准化 x86平台与相
应的组件进行软件定义,从而完成数据中心的再次进化。但作为软件定义数据中心的核心组成部分,
网络安全却是最棘手的、且未完成进化的部分。
采用“物理服务器”环境下的传统安全产品来保护“虚拟化数据中心”,IT运维人员将会在以下场景
中陷入管理的“泥潭”:
演化的数据中心的部署能力是超强的,管理员可以为任何有需求的用户在几分钟之内完成计算资
源的部署。但是,每一台服务器的安全加固时间要长出数十倍以上,管理员甚至需要几天的时间
才能交付,而这与演化的数据中心要求的高效率相差甚远。
虚拟服务器的弹性扩展突破了传统硬件服务器的限制,但是在安全防护上却遇到瓶颈,传统的硬
件安全产品的功能、扩展性不能符合 x86环境下的软件定义接口与编程要求。
由于传统的防病毒解决方案不具有虚拟化感知功能,当管理服务器请求多台虚拟机运行按需扫描
或更新病毒库时,触发了所有虚拟机同时执行功能,从而导致对物理资源的需求出现瞬间激增,
造成 CPU、内存、存储 I/O和网络拥堵的情况发生,这是我们经常说的资源争夺。
为了防止“防毒扫描风暴(AV Storms)”产生的性能影响,虚拟机的密度会被降低,而这将会
造成演化的数据中心的总体拥有成本(TCO)提升、投资回报率(ROI)大幅缩水。
缺乏安全支点,演化的数据中心不完美
04 演化的数据中心安全
●
●
●
●
由于缺乏安全管理的支点,数据中心在进化过程中并不完美,其主要原因是因为网络安全防护产品的
研发,以及用户的关注点都聚焦在“核心技术”上,但未能考虑到数据中心演化过程中必然要解耦硬
件,以达成全新的可用架构。例如:
即时启动间隔:处于休眠状态的虚拟机安全补丁或已过时,在其启动时,未能修补的漏洞很可能
被利用。
通信盲点:传统的网络安全监控设备和程序,无法全面看到虚拟机之间的通信。
虚拟机间攻击和虚拟机监控程序攻击:影响物理环境的威胁(比如恶意软件和漏洞)也可能会影
响虚拟环境,因为虚拟服务器和物理服务器运行相同的操作系统和应用程序。但物理服务器的安
全措施对虚拟服务器却不起作用。
混合信任级别虚拟机:如果关键的应用程序与数据存放在公有云或其它易受攻击的虚拟机上,控
制其安全性就会变得非常困难。
不受保护的 Web 应用程序:虚拟化和云平台在集成到现有系统中后,部署安全更新前创建的
Web 应用程序可能会暴露在风险中。
由于物理数据中心和虚拟数据中心环境的内在差异,在不断演变的 IT 环境中使用传统方式解决新问
题注定会失败。所以,在软件决定一切的未来,核心技术的进步不能代表所有,网络安全也应具备智
能优化的能力。为达成此目标,演化的数据中心的安全通路将由“适应化+感知化+软件化+平台化”
组成。
演化的数据中心安全 05
●
●
●
●
●
适应化:为虚拟化而生
在看到传统网络安全解决方案应用于虚拟化数据中心的弊端之后,我们知道,演化的数据中心的防护
体系应在不影响效能的前提下,具备与最新威胁的对抗能力。所以,实现安全智能优化的产品,就不
仅需要在操作系统、网络、应用、数据、合规性等核心安全技术方面实现创新,还必须具有“适应化”,
它必须为虚拟化而生。
那么,什么是“适应化”呢?达尔文的“进化论”可以很好的说明这一问题,只有适应环境的物种才
能够生存,而生存必有价值。这一理论可以延伸到各个领域,也包括数据中心。
过去的安全系统是对数据中心基础架构硬件,或是仅局限于服务器操作系统进行防护,但是进入演化
的数据中心以后,安全产品需要很好的适应新的系统基础架构,而庞大且繁杂的架构子项便是虚拟机。
● 抓住适应化的机遇为了节省系统资源、最大限度发挥性能价值,VMware推出了“VMsafe”、“VMware vShield
Endpoint” 等 API技术,并开放给安全厂商开发新产品。这些 API是突破性的创新技术,可强化虚
拟机(VM)中与虚拟主机(host)的安全性,而趋势科技率先利用这项创新功能,构建起一个能够
适应虚拟化环境的安全解决方案体系。
【演化的数据中心的安全组成】
06 演化的数据中心安全
演化的核心安全技术
演化的安全产品
演化的数据中心安全
● Deep Security问世趋势科技一开始就最紧密整合了“VMsafe”API和“VMware vShield Endpoint”API,推出了不
需在每一个虚拟机中安装代理程序就能提供保护的网络防护以及病毒防护技术,从而降低内存与中央
处理器的负载。而伴随“无代理”安全防护技术的成功,趋势科技也开始提供搭载该项技术的Deep
Security,它为虚拟化安全而生。随后,趋势科技在 Citrix Xen Server, Huawei FusionSphere,
Microsoft Hyper-V, 电科华云 ChinaCloud平台上都成功研发了无代理安全技术,全面实现了虚拟
化安全环境的泛化支撑。
● 无代理技术降低整体成本与其他厂商纠葛在防毒代码层面的威胁防护技术不同,趋势科技利用领先的云安全技术,在改写防毒
历史的同时,Deep Security完全抛弃了传统防毒的概念,从虚拟化底层的防护入手,其在资源消耗
方面的节省使得组织可以大幅提升虚拟机密度,降低企业的资本支出 (CAPEX)和运营支出 (OPEX)。
“适应化”给予了趋势科技的 Deep Security不断“泛化”的能力。随着用户对数据中心的安全认
知不断提升,他们希望在“自由选择”的基础上拥有可信的云端生态环境。为此,趋势科技已经携手
业内所有主流的虚拟化产品和云服务提供商,共同推进这一目标的早日达成。
【趋势科技 Deep Security 无代理安全解决方案】
演化的数据中心安全 07
VM VM VM VM VM VM VM VM VM
VM VM VM VM传统部署
无代理安全
无代理安全—防病病毒之外,其他的安全防护
● 防病毒● 完整性监控
● 入侵检测● 虚拟补丁
● 防火墙● Web应用防护
安全虚拟机
我们需要承认这个事实,过去的安全系统并不具备感知功能。安全软件对数据中心中出现的新数据
节点和计算单元是不敏感的,需要管理员人工干预,所以效率低下。在演化中的的数据中心,由于
引入了弹性计算,用户的数据节点和计算单元的变化比以前更加频繁,这要求安全系统能够主动的
感知到这些变化,并且对他们进行保护,这便是演化的数据中心安全的必要条件之一:“感知化”。
● 与云管理平台全面整合最新的 Deep Security可与 VMware vCenter NSX、Citrix XenServer、Amazon AWS、Huawei
FusionSphere、Microsoft Hyper-V、电科华云 ChinaCloud等云管理平台集成在一起,这使得任
何一个组织可以将数据中心的安全策略扩展到任意的云平台。其全面整合包括:预设安全策略、自
动感知变化、自动部署安全和多租户的支持。
感知化:与云融为一体
08 演化的数据中心安全
【趋势科技支持业界主流的云管理平台】
● 支持多租户架构在演化的数据中心内部,多租户模式是对安全防护系统进步能力的最大挑战。由于数据中心将包含大
量复杂的用户、不同的角色、私有化的应用和配置,他们对安全的要求也不尽相同,这就需要安全防
护平台全面的进行跟进。
Deep Security支持多租户架构,使得拥有演化的数据中心的企业或服务提供商可以通过它向其用户
提供与众不同、安全的多租户云环境,这包括自动感知到虚机的动态调整、感知到云租户的变化等等。
而在之前,若想将企业内部的安全策略延伸到公有云平台,会面临很多困难,许多服务提供商无法满
足这样的需求,即使在 VMware vCloud平台上也要付出许多额外的部署和管理成本。而成功实现软
件定义安全的 Deep Security,可以让每个用户在公有云平台上都有独立的、可延伸、可定制的安全
自助服务,这与 VMware推出的 vCloud SDDC 的目标高度吻合。
除此以外,Deep Security所提供的架构支撑已经与 Amazon AWS多租户形成最佳整合,并以
Deep Security as Service 的形式出现在 Amazon AWS的服务项中,租户可以自行申请安全服务,
并且管理自己的安全。
演化的数据中心安全 09
软件化:软件定义安全
数据中心正处于革命性转变阶段,而这次革命将完全改写几十年来人们对数据中心的认知。究其核心,
这一转变是由“软件”基础设施的崛起而驱动的,虚拟机、虚拟网络和存储设备能够以高速自动化的
方式分配与重新配置,不会受到非动态设置的硬件基础设施的限制。
由此可以看出,对于三个最重要的基础设施,即:服务器、网络和存储设备,皆以准备完毕,他们会
让数据中心变得更为灵活,更自动化,并且更少依赖基础物理硬件。在这样一个大背景下,所有拥有
“先知”人物的厂商都在加速研发进度与并购行动,以此达成软件定义一切的组合。
而现在的网络安全,可能是唯一一个不支持软件定义的“掉队人员”。软件定义数据中心大范畴要求
所有设备符合 SDN开发标准之上。但安全虚拟设备却意外的再次落后,传统安全系统中所包含硬件
防护墙等防护设备,并不支持 SDN标准和软件编程接口。
所有的需求融为一体,推动着安全方面实现软件化的进程,以求彻底解决硬件安全产品无法实现的功
能,即:软件定义安全。
● 过去的安全防护以物理边界为核心过去的防护方法通常是根据网络的物理拓扑情况,以及服务器上所处的安全域,以手动方式在安全域
边界构建流量监控设备,用于检测网络并发现服务器可能遭遇的攻击。但如果将这种与接入模式、部
署方式紧密耦合的防护方法,沿用到虚拟数据中心,不但安全设备部署和管理过程异常复杂,网络防
护的对象也异常僵化。
● 传统防护体系的失效“黑盒子”为代表的硬件安全设备包括了硬件、OS、内置安全软件,也只有管理员操作界面,极少
有面向应用软件的 API,这无疑把安全硬件设备和应用割裂开了。例如,传统的 IDS设备,利用交换
机的端口镜像功能,可以监控外部对 DMZ区,以及 DMZ区内部不同服务器之间的攻击行为。
但在虚拟数据中心,位于同一台虚拟器(物理服务器)上,不同虚拟机之间的通讯不再经过网络交换
10 演化的数据中心安全
机,传统的入侵检测设备因此而失效。倘若内部或外部人员实现了对某一台虚拟机的控制,就可以对
这台物理服务器上的其他虚拟机发起攻击,从而获得整个服务器群的控制权。
● 防护间隙的产生与危害一些休眠的虚拟机将会最终偏离数据中心的安全规则,并引入大量的安全漏洞。如果虚拟机在部署补
丁或更新防病毒软件期间,未处于联机状态,它将处于不受保护的休眠状态,一旦激活、联机后将会
立即受到攻击。
软件定义安全,可以对网络流量、网络行为、安全事件等信息进行自动化的采集、分析和挖掘,实现
对未知的威胁甚至是一些高级安全威胁的实时分析和建模,之后自动用建模结果指导流量定义,实现
一种动态、闭环的安全防护。另外,软件定义安全更侧重虚拟化数据中心的实时应用,它可将用户配
置的或运行中实时产生的安全功能需求,智能地转化为具体的安全资源调度策略,并通过集中管理平
台予以下发,实现安全防护的智能优化。
● 趋势科技对 SDN的支持首先,基于软件定义安全架构设计的 Deep Security,通过 SDN接口技术与 VMware NSX实现无
缝对接、完美融合。这可以让安全策略自由的从内部私有云和公有云平台之间移动,管理员将能够快
速且高水平地自动追踪资源。
其次,Deep Security一样可以监控和管理休眠的虚拟机,保持企业统一的安全基线,并实现自适应
的规则改变。另外,不影响业务中断的环境下,以最低的成本使用紧急的虚拟补丁保护企业核心应用
程序,消除防护间隙,防止数据泄露事件的发生。
例如,将Deep Security注册到 VMware NSX之后,管理员无须经过人工干预,系统将感知到新增
的 ESX服务主机,并且自动部署安全策略,在演化的数据中心频繁的动态调整中,避免安全防御间
隙的产生。
演化的数据中心安全 11
平台化:云安全平台
数据中心在演变,但各类新威胁态势也呈现“进化”之势,应对已知的威胁已经会忙中出错,更何况
还需应对各种隐蔽性高的、针对性强的高级持续性威胁(APT)带来的挑战。
演化的数据中心需要面对的“新问题”数量,病毒变种、攻击方式、新漏洞不断出现, OpenSSL的
Heartbleed和 Bash中的 Shellshock等“古老漏洞”被层层挖出,数据泄密通路防不胜防。而搭建
一个安全稳定的防御体系,不仅需要采购防火墙、VPN、IPS等安全产品来保障网络不受外界安全威
胁的侵袭,还会在防病毒、防火墙、入侵检测、数据防泄漏等产品遇到安全策略的配置问题,它们更
会产生大量不同形式的安全数据,使得整个系统的相互协作和统一管理成为安全管理的难点。而在超
负荷的工作状态下,网络安全管理稍有松懈,就可能给业务系统带来致命一击。
12 演化的数据中心安全
而平台化有助于解决网络安全管理碎片化的问题,不但是“化繁为简”的办法,更能让中小型网络的
用户也能够利用平台化形成安全功能、策略管理的“容器”,来不断弥补、扩充自身安全防护方面的
不足。
在演化中的的数据中心,需要的是集中式的、更简单但有效的安全管理,作为全方位的虚拟化安全产
品,趋势科技Deep Security最大限度满足了数据中心管理者的要求,形成了云安全平台。
另一方面,这也是 Deep Security符合适应化、拥有感知化、实现软件化的必然结果。而平台化的
价值在于它可以反过来支撑另外“三个支柱”,在于提升虚拟化和云项目投资收益率的同时,更强调
简化安全操作,进而支持安全产品软件化、感知化。
使用 Deep Security Manager,用户可以统一管理数据中心的所有环境(物理,虚拟,云)以及不
断增加的安全功能,这包括防恶意软件、防火墙、IDS/IPS、Web 应用程序防护、完整性监控、日志
检查和虚拟补丁在内的无代理防护和基于客户端的防护。
趋势科技提供对数据中心物理和虚拟主机的全程防护,对于物理服务器:基于云的自动事件白名单和
自动威胁评估后的可信事件,可降低完整性监控操作的复杂性,从而使更多的客户群体能够应用这项
技术;对于虚拟服务器:通过已在虚拟环境中提供无客户端防恶意软件和无客户端入侵防护的相同
Deep Security 虚拟设备,无客户端文件完整性监控可以消除完整性扫描风暴并大幅降低其操作的复
杂性,这些客户端可以与虚拟设备配合使用以增强深度防御。
作为您长期可以信赖的合作伙伴,趋势科技不仅是业内领先的虚拟化安全厂商,更是演化的数据中心
安全领导者。Deep Security的问世,用底层无代理技术化解了虚拟化环境中的“防毒扫描风暴”,帮
助用户放心采用虚拟化技术改造数据中心,并全面发挥云计算弹性效能带来的灵活性,以及创新业务
快速部署的优势。
演化的数据中心安全 13
趋势科技在云端的领导地位
趋势科技保持着 80%研发费用投入云安全的业内最高水准,通过在“3C领域”的不懈努力,即:云
(Cloud)、IT消费化(Consumerization)及风险控制(Control over Risk),趋势将帮助客户应对
APT高级持续性威胁、移动终端及更多的外围设备在云安全时代面临的挑战。而“3C领域”的前瞻性,则
让趋势科技在演化的数据中心安全设计方面更加精准。
趋势科技Deep Security和云安全作为演化的数据中心安全的双保险,在数据中心演化的三个阶段,都
能提供一道针对服务器和数据的深度保护屏障,帮助许多公司加速了数据中心转化过程,从而实现了
更强的安全性、更高的虚拟化投资回报率,以及更简单的管理模式。
云计算和云安全是演化的数据中心的左右翼,而大数据技术则是保护伞。当趋势科技致力于云安全技
术研发,并处于起步阶段时,便开始建立 Smart Protection Network,而率先运用大数据分析来获
得威胁情报,更确保了趋势科技在云安全技术方面的领导地位。趋势建立了数千个事件资料来源,将
数十亿笔事件导入云计算中心,并且利用大数据分析技术和智能的威胁评估技术,成为了真正可以信
赖的安全专家。
今天,来自各地的趋势科技研究人员,保持着 7×24小时的响应状态,综合应用着各种技术和数据收
集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及 TrendLabs威胁
研究中心,帮助客户远离风险。其中:
云平台保护:“云的防护盾”技术与虚拟环境进行无代理动态集成,用以保护各种企业数据中心、应
用程序系统、云应用和云服务平台本身免受恶意代码、黑客攻击、系统漏洞等威胁侵害。
云平台数据保护:通过“云中保险箱”技术中密钥与策略管理机制来保护用户存放于云的隐私和
数据不被非法窃取和利用,使得企业可以随时随地安全的使用云平台存放或者交换数据。
移动设备无边界安全访问:防护移动互联网中的移动终端、智能手机免受病毒威胁侵害,并有效
管理移动设备随时在线上的无边无界数据访问。
云计算安全威胁管理:通过智能的统一云计算安全威胁管理平台提供灵活策略管理、智能的关联
查询、以及丰富的日志审计和报表功能。
14 演化的数据中心安全
●
●
●
●
演化的数据中心,你应该知道的注意事项
数据中心演化不可逆转,唯一的问题是:当企业成功取决于更快速、更便捷、更安全的数据中心,为
什么你要坚持使用过时的防护架构?
演化的数据中心安全 15
倘若在虚拟化环境中继续沿用非专属的安全解决方
案,便会让操作和管理更加复杂,在云环境中出现“空
挡滑行”的危险,从而影响企业将关键业务应用转移至
到云环境,或升级至软件定义数据中心的信心。
针对虚拟化的精确总体拥有成
本(TCO)分析,必须包括这两
个因素:最大限度地增加每台物
理服务器的虚拟机密度,以及节
约运营成本。
传统防毒软件在演化的数据中
心,必然会出现抢占 CPU、内
存、存储 I/O和网络拥堵的情
况发生 ,“防毒扫描风暴(AV
Storms)”会造成虚拟服务器极
大地性能压力,而这会让演化的
数据中心的虚机密度不达标。
考察防护软件核心技术的同时,它
能否支持 SDN网络,将是演化的
数据中心实现智能优化的关键。
1
3
2
4
YOU should pay at tent ion to……
为什么选择趋势科技
在今日的威胁环境,信息安全厂商必须面对大数据的三重挑战:数量、变化和速度。因此,信息安全
厂商必须改变,抓住机遇、研究技术、应对危险、满足客户。
趋势科技与 VMware联合开发和创新历史
● 2010 全世界第一个无代理防毒产品
● 2011 全世界第一个无代理完整性监控技术
● 2012 全世界第一个与 vCloud 集成提供多租户安全技术
● 2013 全世界第一个对 VMWare 5.5 NSX 整合了防毒服务
演化的数据中心的成功案例趋势科技在全球数据中心服务器安全占有 31% 的市场份额(IDC报告),云安全技术和产品绝对领
先的市场地位,这让趋势科技 Deep Security成为演化的数据中心安全建设(如美国国际集团演化
的数据中心项目)的首选。
16 演化的数据中心安全
31% 1000 200002010世界第一个
2011世界第一个
2012世界第一个
2013世界第一个
全球数据中心服务器安全占有 31% 的市场份额
无代理防毒产品
无代理完整性监控技术
与 vCloud 集成提供多租户安全技术
对 VMWare 5.5 NSX 整合了防毒服务
在中国保护超 过 1000个数据中心
在 中 国 保 护 着20,000 颗以上 CPU的 vSphere 系统
美国国际集团希望将全球的 29个数据中心进行整合,其中,有效的“整合服务器”将是战略目标达
成的关键。但他们却遇到了虚拟环境上的新挑战,这包括网关无法透视虚拟器、传统安全解决方案不
适应新威胁环境、整合率较低等问题。利用趋势科技提供的无代理安全技术、虚拟补丁、完整性监控
等功能,美国国际集团不仅成功应对了整合数据中心的挑战,还整合多个安全软件,让网络安全完全
适应了演化的数据中心的管理要求。
趋势科技 Deep Security在中国趋势科技Deep Security已经在国内的金融、政府、制造业和中小企业用户中广泛应用,目前总计超
过 1000数据中心、20,000 颗以上 CPU的 vSphere 系统,在使用 Deep Security无代理安全技术
来进行防护。趋势科技Deep Security在中国的客户包括:湖南移动、东北证券、广东电网、中信证券、
江苏师范大学、张掖市公安局、云南铜业、天津中油天然气、福建大学、南宁市房产交易中心、淄矿
集团、东莞供电局、上海市普陀区科学技术委员会、江淮汽车、青岛啤酒、深圳电网等。
演化的数据中心安全 17
使用趋势科技专门对虚拟化安全环境开发的 Deep Security,并利用
其独有的‘无代理’和‘多租户’安全防护方案,能够有效解决统一资源池安
全管理上的三大难题,扫除了阻碍统一资源池发展的安全障碍,为广东电信统
一资源池建设提供了有力的保障和强大的支持!
—— 广东电信 IT运维管理部门梁先生
趋势科技 Deep Security,能够以非入侵式的方案对运营服务器提
供漏洞防御能力,有效解决了困扰多年的服务器补丁管理难题,是一套革新
性的补丁管理方案。在过去的 2011 年中,广西移动全网都没有发生因漏洞
攻击造成的生产事故。最为关键的则是,多项技术的融合使得我们通过 Deep
Security +ISMP 的方式,形成了新型网络威胁防御组合,这受到广西移动公司
乃至集团总部的一致认可。
——广西移动安全专职工程师杨先生
当确定了虚拟化平台的安全性后,在 ROI 预期目标的落地方面做到了
有设想、有规划、有保障,现在我完全可以加速虚拟化平台的建设步伐。经过
计算,以一台物理服务器能够同时运行 10 个应用服务为例,虚拟化建设可以
为公司节省 80%的服务器硬件投资成本。而在拥有了 Deep Security服务器
深度安全防护系统,可以使公司的业务运行在高效、低碳的基础之上,保障业
务运行在安全的环境之中,对云时代的到来充满了信心。
——广东电网吴先生
用户声音
18 演化的数据中心安全
开始筹建虚拟化时,我们唯一担心的就是安全防护可能在虚拟化之后
失去平衡。而通过与趋势科技的合作,我们完善的解决了这一问题。经过一段
时间的应用,我们对于趋势科技的 DeepSecurity安全产品的功能表现非常满
意,它不仅可以在服务器上实现深度安全防护,抵御病毒感染、非法入侵、数
据泄露等恶性事件的威胁,还可以让 IT运维工作轻松自如的对接在虚拟化和云
计算等新技环境之中。同时,由于大幅降低了服务器负载,虚拟机密度完全达
到设计指标,让绿色 IT的理念真正付诸于实践。
——湖南移动公司负责网络安全工程师刘先生
在经过严格的测试之后,Deep Security在恶意程序防护、访问控制、服
务器安全基线监控、补丁管理等方面表现十分优秀。这为虚拟机密度大幅提升
提供了安全防护支持,使虚拟化的成本优势得到真正发挥。在虚拟化服务器的
补丁管理和运维监控方面,Deep Security大幅减低了工程师的日常维护工作
量。尤其是虚拟补丁功能为业务系统的补丁兼容性测试工作争取到了时间,并
且还避免了因为打补丁所必须要进行的重启工作,使得业务连续性目标得以实
现。实际效果证明,我们采用趋势科技Deep Security的投资决策非常正确,这
让我们为数据中心全面升级至虚拟化架构做好了安全准备。
——东北证券网络安全负责人施先生
当确定了虚拟化平台的安全性后,在 ROI 预期目标的落地方面做到了
有设想、有规划、有保障,现在我完全可以加速虚拟化平台的建设步伐。经过
计算,以一台物理服务器能够同时运行 10 个应用服务为例,虚拟化建设可以
为公司节省 80%的服务器硬件投资成本。而在拥有了 Deep Security服务器
深度安全防护系统,可以使公司的业务运行在高效、低碳的基础之上,保障业
务运行在安全的环境之中,对云时代的到来充满了信心。
——广东电网吴先生
演化的数据中心安全 19
Deep Security为我们提供了防恶意软件、Web信誉、防火墙、入侵
阻止、完整性监控和日志检查,在简化安全操作的同时,大幅提升了虚拟化项
目的投资回报率。这些都让我们可以彻底走出虚拟化的尝试阶段,可以最大限
度的设计虚拟机密度。未来,中信证券将采用Deep Security的虚拟补丁功能,来
解决防护间隙(Instant-On Gap)的难题,让更多的业务、更多的应用汇聚于
新一代的虚拟化数据中心。
——中信证券信息技术中心
虚拟化具有与传统物理环境不同的威胁形态,之前我们可以在每个操
作系统中安装防毒软件,在网络层部署防火墙、入侵检测或入侵防御系统,但
是这种在传统方式下的合理设计,在虚拟化环境中就会面临很多新问题,因此,必
须另辟新径。而在调研、测试了大量的安全防护软件和服务器加固产品后,采
用“无代理防毒”模式的趋势科技DeepSecurity最终被我们确定为上线产品。
在正式部署 DeepSecurity之后,我们可以对所有虚机中的操作系统、应用程
序和健康状况进行统一监控,并实现了前期设计的“虚拟机密度”要求。
——江苏师范大学信息网络中心主任宋先生
趋势科技 Deep Security无代理安全解决方案,为我们提供了一种令
人欣喜的安全思路。虚拟补丁的设计帮助我们有效地解决了困扰多时的服务器
补丁管理难题。
——上海市普陀区科学技术委员会副主任王先生
20 演化的数据中心安全
趋势科技法律声明
本文提供的信息仅作常规信息和教育之用。不得且不应被解释为构成
法律意见。本文所包含的信息可能不适用于所有情况,且可能无法反
映最新情况。如果没有基于特定事实和情况提出的法律意见,不得依
靠本文所包含的任何内容或将其作为行动依据,此处的所有内容不作
其他解释。趋势科技保留随时修改本文档内容的权利,恕不另行通知。
将任何材料翻译成其他语言仅为提供方便。不保证也不暗示翻译的准
确性。如果出现任何涉及翻译准确性的问题,请参考文档的原始语言
官方版本。翻译中出现的 任何不符之处或差异都不具约束力,并且不
具任何法律效力。
虽然趋势科技会在合理的情形下,提供本文的最新准确信息,但我们
不就其准确性、流通性或完整性作任何担保或发表任何声明。您同意
自行承担关于浏览或使用和信赖本文档及其内容的风险。趋势科技不
作任何明示或暗示的担保。对于因浏览、使用或无法使用,或与使用
本文档相关,或内容中的任何错误或遗漏造成的任何后果、损失或损
害,包括直接的、间接的、特殊的、继发的、利润损失或特殊损失,趋
势科技或参与创建、制造或提供本文档的任何相关方均不承担任何责
任。使用此信息即表示接受按“原样”使用。
公共微信号 :趋势科技搜索微信号 :TMtrendmicro
趋势科技股份有限公司是全球安全软件领域领军企业,目前正努力打造一个交换数字信息零风险的世界。我们针对消费者、企
业和政府的创新解决方案提供分层式内容安全,以保护移动设备、端点、网关、服务器和云上的信息。我们所有的解决方案均
采用基于云的全球威胁情报技术趋势科技™ 云安全智能防护网络™,全球有超过 1200 名威胁情报专家为这些解决方案提供支
持。有关详细信息,请访问 www.trendmicro.com。
© 2014 趋势科技(中国)有限公司 /Trend Micro Incorporated。保留所有权利。Trend Micro 和 Trend Micro t 球徽标是
趋势科技(中国)有限公司 /Trend Micro Incorporated 的商标或注册商标。所有其他产品或公司名称可能是其各自所有者的
商标或注册商标。
演化的数据中心安全“智能优化”——演化的数据中心的安全目标