虚拟技术环境下的IDC安全解决方案

　　IDC虚拟化技术发展趋势：

　　近年来，互联网的迅猛发展，为IDC(Internet Data Center因特网数据中心)的发展起到了很大的促进。但是随着IDC业务的发展，目前IDC面临着硬件数量庞大，维护成本、能源消耗、占用面积居高不下的难题。而虚拟化技术的发展，使IDC在采用虚拟化技术后，通过虚拟基础结构整合数据中心内的物理系统，使得一台物理设备可同时承载运行几台甚至几十台逻辑操作系统，极大地提高服务器等硬件设备的利用率，使IDC在业务不断发展的同时有效地降低了建设成本和运营成本。从当前的IT技术发展来看，虚拟化技术的应用将会推动IDC的业务进一步发展。

　　虚拟化环境中的安全威胁

　　IDC在发展业务的同时，所面临的安全威胁越来越严峻。大规模的攻击流量严重地侵占了的出口带宽，直接降低了IDC整体服务的可用性;层出不穷的黑客侵入行为，使IDC内托管的各主机系统面临极大的安全隐患;更严重的是，IDC内部各服务器系统向外部互联网络的访问控制相对宽松，一旦黑客控制某个主机系统，会迅速波及到整个IDC。甚至有的黑客会以此为跳板，利用IDC的内部主机和出口带宽，直接向IDC外部网络发起更大规模的攻击，干扰互联网的正常运行。

　　在IDC采用虚拟技术后，IDC内的服务器操作系统间虽然在逻辑隔离状态下独立运行的，但是在安全防护方面，除了要应对原有的各种安全威胁，如病毒、蠕虫、间谍软件、木马程序、黑客攻击与侵入等，同时还要考虑IDC在虚拟技术环境下面临的新的安全威胁：

　　1、一旦处于同一物理主机上的虚拟机服务器被黑客控制，会被立即植入各种后门、木马等恶意程序，并且畅通无阻地向该主机上的其它虚拟服务器系统进行扩散。这不仅会影响某个IDC主机系统业务的运行，还会使IDC内部其它虚拟机服务器的安全性同时受到非常大的威胁。

　　2、黑客侵入IDC后，会利用虚拟器管理器软件控制物理主机后，其中运行的虚拟机服务器也同时会完全被黑客所控制，这将导致IDC内的大量服务不可用、机密数据丢失等故障，同时黑客还有可能利用随劫持的内部主机向外部互联网发起攻击，产生多种涉及网络安全事件。

　　4、IDC内部存在使用频率不高的虚拟机服务器，其安全措施常常更新不及时。一旦重新启动后，将很容易成为黑客攻击的目标以及各种恶意软件(如病毒、蠕虫、木马等)的传播及扩散对象。

　　McAfee虚拟技术环境下IDC安全解决方案

　　为了提高当前IDC网络安全水平，应对虚拟化技术发展，McAfee推出了虚拟技术环境下的IDC安全解决方案(NIPS)，该方案可提供优异的性能(最高可达到10G处理能力)和99.999%的高可靠性，适合于IDC在高性能、高可靠性方面的要求。依据McAfee全球顶尖安全漏洞研究能力，NIPS除了可以拦截来自IDC外部的各种大流量攻击行为以及形形色色的黑客侵入行为外，还可以对IDC内部主机向外部互联网发起的流量攻击进行过滤、阻断，有效防止黑客以IDC内部主机系统为跳板，向外部互联网发起的任何流量攻击。该方案不仅可以满足IDC目前的安全需求，还能支持虚拟化技术环境下IDC的安全保障!

　　在采用McAfee的IDC整体安全方案后，IDC的安全管理可以实现在事前评估、事中检测、事后监控等多个阶段中进行管理和控制。在网络层面和虚拟机平台层面以及虚拟系统等多个层面对各种威胁进行立体化防护。具有良好的安全防护效果。

　　一、事前威胁防御

　　McAfee全球领先的Foundstone在解决方案中用于对虚拟机系统进行感知的安全评估，不仅可以对各种虚拟机系统存在的安全问题进行评估，还可以对同类产品很难触及的虚拟机管理器进行安全评估。使IDC管理维护人员在运行的过程中，对所有系统存在的安全问题了如之掌。

　　二、事中威胁管理与控制

　　l Foundstone发现的各种安全漏洞会直接通报给NIPS(网络入侵防护系统)，NIPS设备会针对IDC当前存在的安全漏洞进行更有效的防护。在内、外双向路径中保证IDC业务不受各种攻击行为的侵扰。既使IDC管理人员未能及时安装系统补丁，仍然不需要担心被黑客利用最新漏洞进行攻击，进一步提高了安全保护等级。

　　l IDC对虚拟系统的管理流量的一旦对外公开，将面临非常严重的安全问题。利用NIPS的虚拟IPS的特性，在不需要添加其它任何硬件的情况下，仍可以实现管理流量的逻辑隔离和防攻击保护，最大程度上保证IDC运营系统的安全运营。同时IDC还可以根据虚拟机安全级别的不同，将位于同一物理主机或不同主机的虚拟机间的流量引入到虚拟IPS通道中，进行入侵防护的双向过滤，有效的阻断和隔离同一物理主机或不同主机的虚拟机之间的可能攻击。提高了IDC内部设备和系统间的安全防护程度。

　　l 针对虚拟机间通讯不受控的情况，McAfee 的主机入侵检测软件(HIPS)可以对各个虚拟机系统间的流量进行访问控制和入侵防护。即使在某台虚拟机系统被感染的情况下，HIPS的防护屏障会马上启动，自动进行爆发控制，阻断安全威胁的扩散通道，最大程度的降低IDC网络内部安全影响。

　　l 针对不经常使用的虚拟机系统极易感染病毒的问题，McAfee的VSE的离线虚拟镜像产品自动地将其文件系统挂装起来，无需启动系统即可对该系统内的病毒进行查杀，同时根据运行状况自动生成病毒处理报告，提醒管理维护人员。

　　三、事后监控与报告

　　McAfee推出的的虚拟技术环境下的IDC安全方案，采用EPO(ePolicy Orchestrator)统一管理平台，一个EPO平台就可以完成配置管理、策略下发、事件管理等各种管理工作。IDC的安全管理维护人员完全可以依靠该平台强大的事件管理能力，通过该系统对各种黑客攻击、蠕虫、拒绝服务攻击、木马等事件的自动信息进行收集并自动分配工单进行处理，定期对各种安全威胁进行趋势分析，也可以根据管理需要定制各种安全事件报告。

　　McAfee IDC安全解决方案优势：

　　l 方案通过将各种安全机制的整合与联动在一起，通过统一的管理平台可以及时、高效地解决困扰IDC发展的各种安全问题。

　　l 方案将IDC虚拟环境下的网络安全层面、虚拟机管理安全层面、虚拟机安全层面的安全管理纳入到统一的管理平台中，方便易用，同时会极大的降低安全管理成本

　　l 方案通过安全威胁在各个阶段的生命周期管理，使得IDC的管理平台响应及时、运行高效，实现优质服务。

　　l 目前McAfee的各种安全产品均在虚拟机环境下经过完全测试，完全可以满足IDC虚拟机系统运行过程中的各种安全需求。

　　作为网络安全业界的翘楚，McAfee长期致力于为客户提供极具竞争力的解决方案。McAfee还是最早关注并积极参与到VMSafe计划的安全专家，持续关注未来的安全问题，将为IDC业务未来安全提供持久的动力支持。