打造多级防御体系 从容应对虚拟化安全

ZDNET安全频道报道 评论（文/毅东）在文章《赛门铁克SEP12.1以信誉洞悉企业端点安全》中，ZDNET与赛门铁克首席专家林育民与赛门铁克大中华区产品市场经理郑伟共同探讨了SEP12.1基于云安全架构的信誉技术insight。而这仅仅是SEP12.1的众多优势技术特性中的一环，在本篇中我们将与两位专家一起揭开SEP12.1中主动行为防护技术SONAR3，SONAR3如何与insight技术如何协同工作；以及对虚拟化安全的给力支持。

SONAR技术进阶 企业系统的最后一道防线

SONAR是Symantec Online Network for Advanced Response的缩写，从全拼上不难了解，SONAR技术是一种前瞻性的响应技术。作为赛门铁克的主动行为分析技术，它基于2005年收购的WholeSecurity的技术开发，用于防御0day威胁和漏洞攻击。目前SONAR技术已经演进到了第三代主动防护技术。首先让我们一起了解下SONAR技术的进阶过程，你会发现SONAR演变的细微变化，而每一次变化，都让SONAR对恶意威胁的防护更具前瞻意义。

第一代SONAR：主动防护技术可以在传统的定义可用之前检测新出现的间谍软件和病毒。

第二代SONAR：应用了实时在线智能和主动监控功能，可以在传统定义发布前检测并阻止新型威胁。

第三代SONAR：可在程序运行时对其进行检查，识别并阻止恶意行为，即便是新的和以前未知威胁的恶意行为也不例外。

我们可以看到，SONAR 3也就是本文的主角之一，已经具备了在程序运行的同时，对其行为进行识别。赛门铁克首席专家林育民表示，“SONAR是一种针对文件运行行为的侦测技术也是目前全球唯一的混合行为信誉引擎，在没有融合insight技术之前，SONAR主要关注文件运行后行为的三个方面，是否更改系统的可执行文件，是否更改系统的重要配置比如注册表，是否更改DNS域名服务器的配置。SONAR目前可以侦测400多种可疑行为。”

Insight和SONAR 3在技术上的融合，可检测新的威胁和快速变异的恶意软件。在谈及SONAR 3与insight信誉技术协同抵御安全威胁之前，林育民首先介绍了未与insight技术结合，SONAR技术所面临的问题。他提到，“SEP12.1之前的版本是没有融合Insight技术的，而这样导致的最直接问题是无法充分的发挥出SONAR的技术优势，因为无法将SONAR的行为侦测调整的过于敏感，太敏感的最直接问题就是会产生误报。在结合了insight技术后，SEP12.1可以根据文件的信誉程度来决定其行为侦测的敏感程度是高是低，以有效降低误报情况的发生。

通过SEP12.1所建立的多层防御体系，来有效防止各类的安全威胁和攻击。林育民指出，“SONAR是整个SEP12里面的最后一道安全防线，第一道防线是网络层防护，网络层防护由防火墙和入侵检测防御体系构成，防御开放端口、恶意连接、漏洞等所产生的攻击行为；第二道防线是基于信誉的过滤，对可下载文件、网站URL等由信誉决定是否对威胁进行阻挡；第三道防线是防病毒扫描，通过扫描文件的是否具有恶意代码的特征以阻挡恶意文件；第四道防线是触发SONAR行为侦测技术，对新的或未知的安全威胁进行防护。通过四道防线最终形成集网络入侵防护、信誉评级防御、文件扫描防御、行为分析防御的终端安全纵深防御机制。”

掌控云趋势 助虚拟化基础架构一臂之力

SEP12.1不仅拥有基于云的信誉技术insight，还拥有确保虚拟化基础架构安全的先进特性。根据市场调查机构Technavio的最新报告显示，2010年全球虚拟化安全管理解决方案的市场规模为3.37亿美元，预计在2014年将达到15.73亿美元，年复合成长率（CAGR）将高达46.9%。报告还指出，虚拟化安全管理解决方案市场成长的动力主要为服务器虚拟化的持续普及，以及虚拟化安全风险的持续增加。随着虚拟化技术被更广泛的应用于企业数据中心，桌面和云端，随之而产生的安全问题也越来越引起企业的关注，比如虚拟机迁移所产生的安全问题，虚拟机数量增长所引发的补丁更新问题，管理技术的新特性的使用给了黑客更多可趁之机等等。面对如此持续高增长的市场，对虚拟化安全问题的考量也逐渐成为企业选择相关安全解决方案的重要因素。SEP12.1针对虚拟化安全的解决方案，给企业在未来掌控云的趋势发展，部署虚拟化基础架构给予了足够的信心。

在林育民看来，虚拟化安全与传统安全最大的不同在于，对边界安全的定义越来越模糊。他指出，“使用虚拟化技术后，一台物理主机中包含多个虚拟机和虚拟化网络，意味着其防护边界的消失，更明确一点是边界变得模糊。所以，虚拟环境的防护边界需要定位到每个虚拟机，因为任何一个虚拟机都可能攻击相邻的虚拟机。同时在整个虚拟化环境中，对于安全厂商而言最大的挑战是病毒扫描风暴，如果多个虚拟机同时启动病毒扫描，那么物理主机的磁盘的I/O将都会被占满，直接造成其他的虚拟机无法正常运行。导致云服务会没办法保障服务质量，甚至造成服务中断。”

SEP12.1针对虚拟化环境的安全，可通过四种技术对虚拟机的安全进行防护，更好的规避病毒扫描风暴的产生。林育民指出，“第一个技术是Virtual Image Exception虚拟镜像排除，简称VIE技术，可将标准虚拟机镜像中的文件加入到白名单中，从而优化扫描。针对克隆部署的虚拟机，对具有相同标准镜像的虚拟机，直接排除扫描动作，极大降低扫描的性能开销；第二个技术是Shared Insight Cache缓存服务器，针对类似的应用，同样的文件只扫描一次。在缓存服务器上共享虚拟机之间的扫描结果；第三个技术是Virtual Client Tagging虚拟客户端标示，以识别虚拟机，创建虚拟机的特殊策略，并支持虚拟机的搜索。通过代理的方式，不论你运行是是何种虚拟机，哪一家的技术，都能够自动识别；第四个技术是Offline Scanning虚拟机离线扫描，即使虚拟机没有运行的需要，也同样能够扫描。”

通过四种虚拟化安全技术的联动和有步骤的虚拟机镜像排除流程，如图所示，以降低病毒扫描风暴的产生，使得虚拟机之间的扫描和更新随机化，防止资源使用率的增长，从而使得虚拟化环境策略能够轻松执行。

磁盘的I/O使用将是原来的1/21，CPU的使用将是原来的1/5，扫描所用时间减少5.5倍，证明SEP12.1在虚拟机上的性能有了大大提高。

SEP12.1对于企业虚拟化技术的使用而言，最大价值在于其针对VMware、Citrix和Microsoft虚拟环境进行优化，易于管理的物理和虚拟客户端，最大限度提高性能和密度，同时丝毫不会影响安全性，助企业保护虚拟化基础架构一臂之力。