狠狠撸

1
抓住云别让它把你吹跑！
郑弘卿
趋势科技产物总监

2
成立
总部
办公网点
员工数量
策略市场
领先规模
美国, 1988
东京/硅谷
23个国家
4,350
互联网内容安全
年营业额10亿美云
1000多位威胁分析专家
10个实验室. 24x7监控
事实预警新的威胁
? 在全球 40个国家设有运营机构，有 7 个全球研发中心
? 全球最大的华人创立跨国软件公司
首席执行官陈怡桦
趋势科技公司介绍

3
5年半
— 研发时间
1,200位
— 专职安全专家
7x24
— 全球5个数据中心
50,000台
— 全球服务器
1,500万美金
— 每年维护费用
5亿多美金
— 投入成本
趋势科技云安全投入

4
Agenda
云计算概况
安全问题及风险
云安全解决方案
总结

5
Agenda
云计算概况
总结

6
物理机虚拟化云计算
“?先做虚拟化? 已经是越来越多的公司IT部门在部署新的
服务器之前首先要做的事情”
— IDC
动态数据中心

7
降低 IT 支
出 50%
?
降低管理
成本
减少 IT运
费用
更大的灵
活性
减少碳
排放
更多的…
虚拟化和云计算的价值

8
合租弹性大规模扩展性
自己提取所需资源只需支付自己所需要的部分
什么是云计算?

9
“看一个快速成长的数据,云
服务一定会有可观的IT市场”
$359 B
$416 B
2009 2013
$17 B
$44 B
5%
10%
复合增长率
26%
4%
IT 云服务
本地
全球 IT 消费模式
数据来源: IDC eXchange, "IDC's New IT Cloud Services Forecast: 2009-2013",
(http://blogs.idc.com/ie/?p=543) October 2009
云计算基础建设的增长

10
Agenda
云计算概况
总结

11
数据来源: IDC eXchange, "New IDC IT Cloud Services Survey: Top Benefits and
Challenges," (http://blogs.idc.com/ie/?p=730) December 2009
“人们对云服务最但心的问题是安全.”
Frank Gens, IDC, Senior VP & Chief Analyst
云计算面临最大的挑战

12
公共云PaaS公共云IaaS 公共云SaaS服务器私有云
(虚拟化)
终端用户 (公司) 服务供应商
谁在控制?

13
服务器
桌面端
15%
30%
70%
85%
Stage 1
服务器整合
Stage 2
整合扩张 & 桌面虚拟化
Stage 3
私有云 > 公共云
虚拟化进程阶段

14
Stage 1
服务器整合
Stage 2
整合扩张与桌面虚拟化
Stage 3
Security issues & risks
1. 虚拟机之间的攻击
2. 不同安全等级混杂
3. 以主机为基础的安全
策略难以部署
除Stage 1中的问题，
还有:
4. 随时启动的防护间隙
5. 虚拟机个别管理复杂
6. 法规遵从
7. 资源冲突
除Stage 2中的问题外,
还有:
8. 边界的消失
9. 公共租赁
10. 数据存取权限
11. 数据损毁
12. 服务提供者
没有尽到责任
每个阶段的安全问题与风险

15
虚拟机之间的相互攻击1
安全风险: Stage 1

16
虚拟机的安全级别混杂2

17 Confidential
以主机为基础的安全策略难以部署3
? ????

18
Active
? ? ? ?
Dormant
? ?
Active, 安全策略过期
? ? ? ?
随时启动的防护间隙4

19
虚拟机个别管理复杂5
补丁
管理
病毒库
更新
安裝新
VM
配置
客户端

20
法规遵从
审查跟踪 ! ?
?
?
?
6

21
资源冲突
典型的病毒
扫描
3:00am扫描
7

22
边界的消失8

23
多租户9
Adult

24
数据存取权限10
10010011
01101100

25
数据销毁11
10011
01110
00101
10011
01110
00101

26
服务供应商“没有责任”
12
使用云的用户需要自己
为安全负责

27
Agenda
云计算概况
总结

28
Security issues & risks以虚拟机为基础:
- 防恶意软件
- IDS/IPS
- 防火墙
- 完整性监控
- 日志审计
Stage 1外还有：
- 虚拟化方面的主机安全
- VMsafe 虚拟设备:
- 防恶意软件
- IDS/IPS
- 防火墙
Stage 1 & 2外还有：
- 策略强制
- 数据加密
- 数据保护
Stage 1
服务器整合
Stage 2
整合扩张与桌面虚拟化
Stage 3
目前可用的解决方案

29
完美的云安全解决方案关键特征
灵活性物理机 ? 虚拟机 ? 云计算
全面性
? IDS / IPS ? Web 应用保护
? Firewall ? 完整性监控
?防恶意软件 ? 日志审计
? 数据加密 ? 策略强制
模块化许可和应用一个或多个防护模块
开放性能够整合和利用Vmware的程序接口、产物
和技术

30
防火墙
IDS / IPS
PCI
虚拟安全
防护
PCI
整合的防护方法

31
使用 vShield Endpoint 完成“无代理”防病毒
Deep Security Virtual Appliance
VM
APP
OS
Kernel
BIOS
ESX 4.1
vSphere Platform
VM
APP
OS
Kernel
BIOS
Guest VM
OS
Deep Security
Manager
vShield Endpoint
Library
Deep Security Super Agent
vShield Endpoint
ESX Module
vCenter
On Access Scans
On Demand Scans
Vshield Guest
Driver
vShield Manager 4.1
EPsec
Interface
VI Admin
Security
Admin
Remediation
Caching & Filtering
APPs
APPs
APPs
REST
Status
Monitor

32
无代理防毒: 内存使用率比较
虚拟机数量
防毒厂家 “B”
防毒厂家 “Y”
防毒厂家 “R”
VMware View 上使用 Virtual Appliance 运行虚拟桌面时内存使用比较表
? 平均在闲置状态时内存减少－ 10G
? 平均在扫描状态时内存减少－ 20G

33
无代理防毒: 网络使用率比较
Anti-Virus “B”
时间(秒)
Anti-Virus “Y”
Anti-Virus “R”
病毒库更新时对共享存储（SAN 或 NAS）造成大量 I/O 写入

34
在虚拟机上启用代理可以进一
步保护虚拟机:
? 额外的防护不可通过
VMsafe 得到
? 提升性能和扩展性
? 如果移除了安全代理，虚
拟安全防护会生效
? 虚拟机在云环境下迁移
虚拟安全防护
整合的防护: 代理和虚拟安全设备

35
典型的防病
毒扫描
3:00am扫描
传统方式
虚拟安全防护避免了资源冲突

36
新的，更好的方式虚拟安全防护
3:00am Scan6:00am Scan4:00am Scan5:00am扫描
虚拟安全防护避免了资源冲突

37
公司数据中心云服务提供商
公司
应用
公司数据
共享存储
公司控制台
Hypervisor
公司直接管理对云中数据的保护
云的安全: 数据加密

38
用户访问
应用
数据始终处于被加
密和管理状态
密钥只由自己
控制
数据
云 1
LAN 1
数据
数据中心 2
LAN 2
主机保护自
己免受攻击
云 1
LAN 2
数据中心 1
LAN 1
新的安全模型: 保护计算链条

39
共享存储的ROI提高
?
不再被服务供应商绑定
?
不用再担心附近邻居
?
不用再担心所处位置
?
整个数据链条是安全的，任何组件都可以移动

40
Agenda
云计算概况
总结

41
总结和建议
云计算带来了新的安全和合规性风险
1
? 外围防护消失
? 合租
? 数据访问权限
? 数据损毁
? 服务提供商的“没有责任”

42
总结和建议
数据中心的安全策略需要变化
2
? 为虚拟环境的隔离做有效分区
? 无论虚拟机的状态如何都要进行保护
? 对虚拟环境进行完整的监控和审计

43
总结和建议
保护云的解决方案要具备以下特点
3
?灵活: 物理机、虚拟机、云
?完整: 多重防护机制
?模块化: 提供多种部署方式
?和虚拟技术集成: VMware / vShield…
(厂商的产物计划和持续投入)

44
提升安全性
通过提供最安全的虚拟化基础设施，
与API和认证计划
全面提升虚拟化
通过基于VMware平台
提供安全解决方案，
以充分发挥其效率
更优于物理平台的
虚拟环境安全方案
趋势科技的安全和合规解决方案可以帮助公司:
? 加速和完善虚拟化进程
? 更充分的利用在虚拟化方面的投入
? 使得虚拟化方面的搁翱滨最大化

45 Confidential
Thank You
Question & Answer Session
趋势科技官方网站: http://www.trendmicro.com.cn

狠狠撸

云计算时代的新安全挑战与机会

More Related Content

云计算时代的新安全挑战与机会