|
Symantec Data Center Security: Server Advanced 簡稱 : DCS SA |
|
|
|
|
|
是一套由賽門鐵克提供的專用於保護資料中心內重要伺服主機的進階防護解決方案。
這是一套已經在正式環境運行很久,專用於保護檔案伺服主機、 AD主機、郵件伺服主機、 ERP伺服主機、網頁伺服主機、SQL server主機、提款機 (ATM)、銷售點系統 (POS)、販賣機 (Kiosks)、工業控制伺服器 (ICS)等內嵌系統的防護解決方案。提供企業、零售業、政府機構、金融業、醫療保健、教育單位等重視資訊系統可用性與資訊安全性行業重要系統防護 (Critical System Protection)方案,所以 DCS SA的前一個版本的名稱也非常直覺就稱為 (Symantec Critical System Protection)-賽門鐵克重要系統防護方案簡稱 :SCSP。
為何會將 SCSP改名為 Symantec Data Center Security: Server Advanced?
拜近十年來電腦運算效能的大幅提升所賜與整體IT成本最佳化的需求、更好的 IT管理、自動化、靈活性和擴充延展性。虛擬化已經完全改變了整個 IT基礎架構,主機虛擬化、網路虛擬化、桌面虛擬化、安全虛擬化,近期的軟體定義資料中心以及雲端發展,其主要驅動力也是來自於虛擬化。所以; DCS SA就是可讓企業保護並強化其實體與虛擬伺服器,並保護與持續監控其內部部署、公用及私有雲端資料中心的安全和遵循狀態的高階防護方案。 DCS SA可針對實體與虛擬伺服器基礎架構提供安全偵測、監控和預防功能。除了針對虛擬與實體基礎架構和跨 AWS 與 OpenStack 雲端提供無代理程式型防惡意程式防護和安全監控之外,還能提供應用程式與受保護的白名單,及精密的入侵偵測和預防;檔案、系統和系統管理員鎖定;以及檔案完整性和組態監控,以保護實體與虛擬伺服器。它也支援完全強化的 OpenStack Keystone。
接下來;本文會以防護實體與虛擬伺服器、防護虛擬的基礎架構以及防護以軟體導向的資料中心等幾個面向來介紹 DCS SA,對於非伺服主機的單機作業系統及內嵌系統的防護,目前產品名稱並沒多大有改變,稱為 : Symantec Critical System Protection Client Edition,與 DCS SA採用完全相同的防護技術與機制。
為了保護實體與虛擬伺服器,過去IT 專業人員仰賴的是傳統的防護技術,例如防毒程式。儘管這些技術仍然是最基本的防禦和保護層,今日的威脅態勢確實需要強化即時和主動式的安全功能,為伺服器提供更足夠的防護能力,以滿足每個系統對於逐漸提高的機密性、完整性及可用性要求。若無法為每一台獨一無二的伺服器提供最佳化的安全性,包括:網頁、檔案、應用程式或資料庫,企業就仍將使資料中心暴露於風險之中。 |
|
|
|
DCS:SA 五大功能 |
|
一、對 VMware 環境的全方位防護 |
|
虛擬化已使得資料中心轉型,讓企業能夠以我們從未想過的方式回應業務需求。但除了業務靈活性以外,虛擬化亦帶來虛擬化專案主管未察覺的全新安全與遵循風險。事實上,最近的一項研究報告中,Gartner 引述「60% 的虛擬伺服器,比它們在2012 年所取代的實體伺服器更不安全。」1 若沒有方法可保護虛擬架構、伺服器、應用程式及其中包含了資訊的各個層級會增加資料外洩與重大企業停機時間的風險。在虛擬環境中,應用程式與作業系統所受到的網路攻擊,與實體環境是完全相同的。此外,虛擬機器管理員軟體和管理伺服器層級所面臨的風險更需要防護及監控功能。考量虛擬環境中的安全性時,務必要選擇能在整個虛擬架構中抵禦內部員工風險與外部威脅、且不會影響效能的技術。
DCS SA 與其他虛擬安全與遵循解決方案不同,可讓企業使用精細的政策導向控制,完整地保護及監控 VMware vSphere 5.x 環境。運用以最新 vSphere 最佳實務準則與強化的原則、立即可用的政策,能為橫跨 Windows 與非 Windows 虛擬機器、虛擬機器管理員軟體 (Hypervisor) 和管理伺服器等虛擬資料中心提供最佳的安全性、最高的系統運轉率,並降低資料外洩的風險與未能遵循法規的相關罰則。由於 DCS SA是非特徵型的政策導向技術,亦可讓企業在允許執行後監控列入白名單的應用程式,以不影響系統效能的方式提供零時差攻擊的防護。 |
|
- 適用於 VMware 環境的無代理程式型防惡意程式,可以免除防毒風暴 (AV Storm):一般實體主機上的各個虛擬機器同時執行防毒掃描時,會增加共用資源的負荷,系統 效能也會降低。DCS SA可針對單一主機上的所有虛擬機器使用無代理程式安全虛 擬硬體裝置 (SVA) 的單一執行個體。因此可免除惱人的防毒風暴問題、強化的掃描 快取功能,可改善無代理程式型惡意程式偵測的效能。與 Symantec DeepSight 整合,為檔案與網址提供信譽安全技術。
- 無代理程式的網路型威脅偵測與防護(網路IPS),會在資料封包檢測時運用網路自我檢查,以偵測威脅。安全系統管理員可以擁有定義套用到工作負載的多種安全政策選擇。客戶可藉由建立特定應用程式的網路IPS 政策,使網路效能最佳化並降低磁碟IOPS。
- 自動佈建安全控制項目並協調政策 - Operations Director 可將安全佈建工作流程自動化、啟用以應用程式為中心的安全服務,以及運用與Vmware NSX Service Composer (服務撰寫程式)緊密整合,讓您在完全抽象化的資源群組中,自動佈建安全控制項目並協調政策。當虛擬機器在主機之間移動時,它們的安全政策也會跟著自動套用。如此一來您就能建置快速應變的 IT即服務架構。虛擬基礎架構便可享有十分靈活的安全服務,進而減少維運開支。在新的工作負載佈建期間提供隨時待命的安全機制,減少安全風險。也可以將這些功能延伸到合作夥伴產品,例如 Palo Alto Networks NextGen Firewall。
- 統一管理主控台: Unified Management Console (UMC)。UMC 是一項最新的網頁式 主控台硬體裝置,可針對 Data Center Security 產品提供一致的管理體驗。客戶將可 在 Symantec. Data Center Security (DCS) 產品系列中使用 UMC 註冊,並設定功能、 報告及產品。
- VMware vCenter. 管理伺服器防護功能:根據 VMware 強化指南加強 vCenter 的安 全性。保護管理伺服器 vCenter 不致遭受外部攻擊與內部員工濫用,因為只要有一 個未經授權的變更,就可能危害所有相關主機和虛擬機器,進而中斷營運關鍵作業 。
- 在 VMware ESXR 與 VMware ESXi.虛擬機器管理員軟體進行整合,無需為每台虛擬機器掃描病毒以及更新病毒定義檔並提高作業成效:預先建立的政策能監控與攔截惡意活動,提供即時偵測並矯正惡意程式感染情形。
- VMware ESX 和ESXi 訪客機器防護功能:預先建立的政策能根據獨特的工作負載 (Workload)強化虛擬機器。訪客機器內檔案隔離功能,可讓系統管理員根據檔案的 建立天數設定規則,進而淘汰和清除檔案,以及根據檔案數量或檔案夾大小設定清 除資料夾的規則,並產生警示。此功能支援法規命令與內部資料保存政策。
|
|
二、防堵對伺服器的內部、外部攻擊、零時差漏洞及目標式攻擊 |
|
伺服器經常在資料洩漏的入侵、搜尋和擷取階段中,遭到網路罪犯鎖定。現今用來對付伺服器的技巧從精細的滲透技巧到內部人員無心的設定錯誤都有。DCS SA能讓企業抵禦內部與外部攻擊,如 Microsoft SQLR 注入、緩衝區溢位和漏洞攻擊,以
及惡意內部員工濫用與系統設定錯誤。藉由強化資料中心,就能阻止進一步的滲透並避免敏感資料外洩。主要功能包括: |
|
- 目標式預防政策:這項單鍵式預防政策能套用至資料外洩的情境,或做為從監控改 為預防的方式。
- 流程存取控制 (PAC) (新增):運用全方位的 IPS 防護功能,預防新型態的威脅。 PAC能對執行中的流程提供額外的控制。
- 立即可用的IDS 和IPS 政策:針對 WindowsR 環境預先建立的政策能監控與預防可 疑的伺服器活動。
- 應用程式與裝置控制:鎖住組態設定值、檔案系統與抽取式媒體的使用。
- 主機防火牆:控制進出伺服器的入埠與離埠網路流量。
- Symantec. Security Information Manager:與賽門鐵克領先市場的資安事端與事件 管理解決方案相容。
|
|
三、滿足各種平台跨系統的集中安全管理需求取得IT 遵循狀態的即時能見度 |
|
為遵循如PCI 資料安全標準3.0 (PCI DSS) 、北美電力可靠度公司 (NERC) 和其他標準規定,企業必須定期監控其環境,以瞭解是否發生違反政策並建置補償性的控制機制。DCS SA 能能以單一解決方案讓企業執行即時監控、合併事件記錄以製作報表
與分析,同時透過精細的政策導向控制機制,避免進一步的政策違規。以集中化的解決方案展現遵循能力。重要功能包括: |
|
- 即時檔案完整性監控:即時識別對檔案的變更,包括進行變更的人員與變更的內容。
- 組態監控:即時識別政策違規與可疑活動。
- 系統強化:鎖住重要伺服器的組態與設定值。
- 最低權限存取控制:使用精細的政策導向控制,限制應用程式與作業系統的行為。
- 支援各種實體與虛擬平台:支援 VMware、Windows、RedHat、Solaris、Linux、 AIX、HP-UX 和其他伺服器平台。
- IT 分析多維模型(analytics cube) 整合性(新增):運用靈活且強化的儀表板功能, 強化現有 DCS SA報表功能,達到更深入的能見度。
- 合併的事件記錄:合併並轉寄記錄,以進行長期保留、報告和鑑識分析。
- 預防檔案與系統竄改:鎖住組態、設定值與檔案。
- 補償性的HIPS 控制機制:使用政策導向的最低權限存取控制,限制應用程式與作 業系統的行為。
- Symantec. Control Compliance Suite:與賽門鐵克統一的 IT 遵循解決方案相容。
|
|
四、新舊版作業系統的修補程式風險緩和作業 |
|
將軟體修補程式套用到新舊作業系統,雖然可改善安全態勢,但同時也會造成系統停機。此外,為停產的作業系統支付延長支援的費用可能非常昂貴而無法繼續。透過 DCS SA,能減少與舊系統支援相關的維護成本,並在修補程式發佈周期間保護重要系統。客戶能藉由強化新舊系統的應用程式與作業系統,確保資料中心具備最高的安全性,系統具備最高的可用性。主要功能包括: |
|
- 系統強化:鎖住重要伺服器的組態與設定值。
- 最低權限存取控制:使用精細的政策導向控制,限制應用程式與作業系統的行為。
- 支援各種實體與虛擬平台:支援 VMware、Windows、RedHat、Solaris、Linux、 AIX、HP-UX 和其他伺服器平台.
|
|
五、為軟體導向的資料中心及雲端應用提供安全應變能力 |
|
虛擬資料中心具備高度的彈性,而且關聯的虛擬機器也不斷在變動。為了能確保安全控制功能在這種環境中仍然可以正常運作,DCS SA運用了 VMware NSX 平台延伸性和 Service Composer 整合性,發揮基礎架構中每個細節的惡意程式防護功能,例如,每部主機單一執行個體安全虛擬硬體裝置,能夠強制執行每部訪客虛擬伺服器的專屬安全政策。隨著虛擬機器在主機之間移動時,安全政策也會自動地如影隨形。 DCS SA 6.5 推出了 OpenStack Keystone 強化功能。
Keystone 是一項 OpenStack 專案,可提供 OpenStack 系列中產品專用的身分、權杖 (Token)、目錄和政策服務。 Keystone可建置 OpenStack 身分API ,進而提供使用者集中目錄,以對應至使用者可存取的 OpenStack 服務,以及提供跨雲端作業系統的通用驗證系統。 Keystone可與現有的後端目錄服務 (例如 LDAP) 整合,並支援多重驗證機制,包括標準使用者名稱與密碼認證、以 Token 為基礎的系統,以及 AWS 登入資料。該目錄也為部署於 OpenStack 雲端的所有服務提供了單一登錄檔,讓使用者與第三方工具能夠查詢,以便決定可存取的資源。 |
|
- 可讓企業持續監控其實體與虛擬基礎架構以及 AWS 與 OpenStack 雲端的安全和遵循狀態。它有助於產生遵循報告(例如 HIPAA和PCI),並支援持續監控、網路安全及IT 風險評估需求。
- 跨實體與虛擬伺服器以及 AWS 與 OpenStack 雲端,即時且有效地在應用程式層或執行個體層判別違反政策的情況及可疑活動。
- 在應用程式層或執行個體層有效地監控貴公司 AWS 與Openstack 雲端部署環境的安全和遵循狀態。
- 跨實體與虛擬伺服器以及 AWS 與 OpenStack 雲端的簡化持續監控與遵循報告作業。
- 即時偵測並且跨實體與虛擬伺服器以及 AWS 與 OpenStack 雲端盤別檔案的變更。
|
|
(來源: http://docs.openstack.org/developer/keystone/#) |
|
本產品快速支援/資源窗口: |
|
|
|
|
其它有用資訊: |
|
|
|
|
|
賽門鐵克的其它第一名解決方案: |
|
|
|
|
|
|
|