服務器東西向訪問控制(物(wù)理(lǐ)機、虛拟機、Windows、Linux)
2024-02-27
業内東西向訪問控制的(de)解決方案:
1. 使用(yòng)SDN技術,虛拟化(huà)内部的(de)轉發流量不再遵循網絡規則,虛拟機連接的(de)虛拟交換機也(yě)變成廠商專有的(de)SDN交換機,該交換機的(de)轉發方式可(kě)以認爲是策略式(基于openflow轉發流表)。
該方案的(de)總體成本偏高(gāo),IT維護難度更高(gāo),不同SDN廠商軟件成熟度不一樣。适合于中大(dà)型數據中心建設場(chǎng)景。
2. 安全軟件産品技術,該方案針對(duì)每台虛拟機、物(wù)理(lǐ)機都需要安裝Agent,通(tōng)過該Agent可(kě)以實現如下(xià)功能:
1) 主機間的(de)訪問控制,允許、拒絕、僅放行某個(gè)或多(duō)個(gè)端口、允許某類協議(yì)。
2) 虛拟補丁防護,對(duì)于Linux、Windows一些高(gāo)危補丁能夠實現免安裝即可(kě)防護,通(tōng)過将針對(duì)特定漏洞的(de)數據特征策略下(xià)發到Agent,由Agent實現漏洞防護,而操作系統層無需打補丁,Linux系統也(yě)無需更新軟件。通(tōng)過統一的(de)管理(lǐ)平台即可(kě)實現全網主機的(de)安全防護策略下(xià)發。
3) 防病毒、防勒索,通(tōng)過惡意軟件特征庫實時(shí)更新,對(duì)于系統層運行的(de)軟件動作行爲分(fēn)析、軟件特征分(fēn)析,判定其行爲危險性,并做(zuò)防護隔離措施。
4) 适應性強,對(duì)于絕大(dà)多(duō)數的(de)虛拟化(huà)環境(VMware、KVM、openstack等)虛拟化(huà)、私有雲有不錯的(de)兼容性。
亞信安全Deep Security安全防護方案:
(一) 支持虛拟化(huà)、非虛拟化(huà)場(chǎng)景:
(二) 豐富的(de)客戶端系統支持:
不區(qū)分(fēn)server版本、Client版本
(三) 基于主機級策略、群組級策略集中下(xià)發:
策略分(fēn)級,下(xià)級策略默認集成父策略内容,也(yě)可(kě)對(duì)子策略内容進行精細調整:
對(duì)于分(fēn)配了(le)策略的(de)主機,仍可(kě)對(duì)其具體策略做(zuò)修改,實現差異化(huà)的(de)安全防護
(四) 安全策略、虛拟補丁(Windows、Linux、應用(yòng)漏洞等):
内置豐富的(de)防火牆策略、支持自定義安全策略。
(Windows、Linux)系統漏洞、應用(yòng)漏洞(中間件、數據庫)等等….根據服務器業務不同下(xià)發不同的(de)防護策略。即時(shí)實現防護
(五) 系統日志防護、完整性監控:
對(duì)于已被入侵或者惡意修改的(de)服務器,且被清理(lǐ)過日志的(de)操作系統,進行日志還(hái)原審查,能夠清晰地還(hái)原操作系統被入侵的(de)細節。