最新虚拟化安全解决方案.doc

虚拟化平安解决方案

35
XXXX
虚拟化桌面平安解决方案
作维护终端的接入需求；网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。
在中国移动集中化建设和云计算迅猛开展的大背景下，综合考虑瘦客户端相对传统终端的优势，集团公司下发了?关于中国移动瘦客户机逐步全面替代传统PC的指导意见?，明确要求：“对于新增固定终端〔传统PC〕的需求，原那么上均应采用瘦客户机方案〔其中，基于

2
TDM传统呼叫中心应停止扩容，呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案)；对于现有传统PC应依据使用寿命，逐步采用瘦客户机进行自然替换。〞
XXXX虚拟化桌面平安概述—传统平安解决方案
目前，XXXX对于虚拟化桌面的平安防护采用传统方式，也就是在每台虚拟桌面的操作系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进行补丁修补等。这种解决方案没有考虑到虚拟化技术的特殊性，存在很多的平安风险，具体分析见下文。
需求分析
传统平安在虚拟化桌面中应用面临威胁分析
虚拟化桌面根底架构除了具有传统物理效劳器的风险之外，同时也会带来其虚拟系统自身的平安问题。新平安威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前XXXX虚拟化环境内存在的几点平安隐患

3
。
虚拟机之间的相互攻击
虚拟机之间的互相攻击----由于目前XXXX仍对虚拟化环境使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而无视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的平安隐患。
随时启动的防护间歇
随时启动的防护间歇----由于XXXX目前大量使用Vmware的虚拟化桌面技术，让XXXX的运维效劳具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟时机导致防护间歇问题。如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为

5
后台效劳器组的一局部，但在这台虚拟机启动时，其包括防病毒在内的所有平安状态都较其他一直在线运行的效劳器处于滞后和脱节的地位。
管理本钱上升
系统平安补丁安装-----目前XXXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化桌面本身有一定状态恢复的功能机制。但此种做法仍有一定平安风险。。，前中后期需要大量人力，物力和技术支撑，部署本钱较大。

5
资源争夺
防病毒软件对资源的占用冲突导致AV〔Anti-Virus〕风暴----XXXX目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进行病毒防护。在防护效果上可以到达平安标准，但如从资源占用方面考虑存在一定平安风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈创造显。严重时可能导致ESX效劳器宕机。

6
通过以上的分析是我们了解到虽然传统平安设备可以物理网络层和操作系统提供平安防护，但是虚拟环境中新的平安威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的平安设备无法提供相关的防护，趋势科技提供创新的平安技术为虚拟环境提供全面的保护。
无代理虚拟化桌面平安防护的必要性
XXXX的虚拟化桌面一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切时机造访效劳器系统。XXXX针以前针对桌面端采用集中管理、集中防护的措施，通过传统平安技术在网络侧建立平安防线，如防火墙技术、防病毒技术、入侵检测技术……各种平安产品开始被一个一个地参加到平安防线中来。