SimoneCPU漏洞的Symantec解决之道
的有关信息介绍如下:
近年来,虚拟化技术的兴起为许多企业带来了益处。例如,通过虚拟化,云服务提供商可实现更高的密度,由此转化更好的利润,而企业用户可用虚拟化来压缩在服务器硬件上的资本支出,同时提升营运效率。然而,虚拟化的发展也打破了传统的防御机制,针对虚拟化平台的安全威胁也成为企业用户急需面对的问题。 为了保护物理和虚拟服务器,IT 专家们一直以来都依靠防病毒等传统的防护技术。虽然目前这些技术在防护和安全方面仍然是非常重要的环节,但当今的安全威胁形势正变得愈加复杂,这使得对实时和主动的安全措施需求也越来越高。如果企业没有采取方法来优化单独各台服务器的安全性,那么其数据中心仍会暴露在风险中。
CS在基于代理的系统上提供的防护能力是系统安全锁定防护,这种防护措施基于操作系统代理部署,建议部署于关键业务的虚拟或物理服务器,提供主动的安全防护措施。DCS安全防护基于白名单机制,不同于防病毒等黑名单机制,更加适用于功能任务相对单一、维护变更较少的服务器环境。DCS可有效抵御零日漏洞的攻击,减少补丁管理的成本。DCS是基于代理的沙盒技术进行安全防护;应用只需要有限的资源以完成相关工作,但大多数程序拥有远远超出其自身要求的资源,恶意的入侵攻击常常利用这些空隙逐步完成系统的渗透。用户、程序、参数、行为、资源,只有从左到右是一个“通路”这样的资源访问才是允许的。相当于将系统每一个允许的行为限制在一个沙盒中,超出沙盒的资源或行为是明确禁止的。不必去穷举所有的恶意行为,只需要将明确允许的行为即可保证系统安全稳定运行。DCS系统自带了大量的沙盒,用户只需要勾选自己需要的沙盒即可完成策略配置。
对于运行核心业务或专用业务的服务器,其运行任务单一,需要业务长期、稳定、不间断的运行。因传统的基于特征库升级、打补丁等技术已经不能满足客户的业务需求。未知的威胁不断变化,基于特征库的防护无法有效防御0-Day威胁。但在这些业务单一的服务器上面,我们明确知道什么业务是运行运行的,这就是白名单技术。将系统每一个允许的程序放入一个沙箱,只允许指定的应用访问指定的系统资源,其他访问定位为非法访问。在实际环境中常常会发现某个应用程序存在漏洞,但由于应用可用性要求或者应用只能在该版本下运行导致无法对该漏洞进行补丁更新,这时DCS就可提供基于自定义应用的保护策略,实现对该应用的最小化资源权限保护,相对于补丁安全成本更低风险更小,因为DCS的策略可以回退,而补丁安装失败一般是不可回退的。这一点对系统的可用性至关重要。Symantec DCS提供了一套按需的数据中心安全防护套件,交付VMware SDDC环境中的安全服务集成与基础架构保护。这只是Symantec面向数据中心安全整合的一部分,Symantec将不断提供更多类型的安全服务能力帮助用户搭建面向快速应用交付、弹性化、智能化的软件定义数据中心。
