虛擬化安全介紹

1、產品及原理介紹 產品及原理介紹 安全軟件部署成本過高 沿用傳統(tǒng)的有代理模式，在每個虛 擬機上安裝安全軟件耗費了大部分 的系統(tǒng)資源，造成虛擬機密度極具 降低，大幅度的增加了數(shù)據(jù)中心的 建設成本。 邊界消失帶來的安全防護盲點 由于云計算邊界消失的問題，數(shù)據(jù) 中心內部“東西向”威脅成為主要 的安全問題。傳統(tǒng)的安全設備更偏 向“南北向” 內外網的防護，無法 保障數(shù)據(jù)中心安全。 層出不窮的“未知威脅” 由于數(shù)據(jù)中心的數(shù)據(jù)集中存放，成為黑 客“高價值”的獵物。攻擊者為了獲取 數(shù)據(jù)，針對數(shù)據(jù)中心的安全漏洞，不斷 變換攻擊方法，現(xiàn)有的“基于特征庫” 的安全軟件對此失效。 客戶面臨的主要安全問題 安全運維困難

2、根據(jù)等保規(guī)范，配置了許多不同廠商 的安全產品。由于產品間缺乏聯(lián)動和 統(tǒng)一管理，管理成本很高，但收效甚 微。 什么是無代理安全 虛擬化層 管理中心 “無代理安全”，無需在虛擬機內部安裝 安全軟件，而在宿主機的虛擬化層進行安 全防護。其特點是耗費系統(tǒng)資源極小，不 會對數(shù)據(jù)中心的業(yè)務造成影響?？梢源蠓?度降低數(shù)據(jù)中心的建設成本。 為什么要選用無代理安全 相比傳統(tǒng)的安全方案的優(yōu)勢： 分布式的防火墻、入侵防御等網絡防護，部署在每個計算節(jié)點上 安全軟件替代中心部署的高性能硬件設備，提供更高的可靠性和 擴展性，同時也極大的降低了安全成本。 1 2 3 4 5 不僅提供“南北向”內外網的安全，也能防護數(shù)據(jù)中心

3、內部“東 西向”的威脅。 相比SDN的網絡安全方案，不改變網絡架構，沒有流量牽引檢測 的網絡帶寬損耗。 無代理惡意軟件防護，極大的降低了安全軟件的資源損耗，降低 了數(shù)據(jù)中心的建設成本。 智能安全防護，可以根據(jù)虛擬機內部安裝的軟件及系統(tǒng)，動態(tài)的 調整安全防護策略。 網絡部署架構 “無代理安全”架構，在虛擬機外部的虛擬化層提供防護， 大幅度節(jié)省系統(tǒng)資源，可將虛擬機的密度提升300%以上。 360虛擬化防護系統(tǒng) 統(tǒng)一的云安全管理平臺，集中控管數(shù)據(jù)中心安全 及時發(fā)現(xiàn)未知威脅，可以對行為數(shù)據(jù)進行多維度的分 析，支持數(shù)據(jù)挖掘。 海量數(shù)據(jù)處理能力，將虛擬機的安全日志、行為數(shù)據(jù)發(fā) 送管理中心進行大數(shù)據(jù)分析，可

4、視化的展示。 支持幾乎所有的云計算、虛擬化平臺 1 2 3 4 5 主要的安全功能 惡意代碼防護 防火墻DDos防護 入侵防御可視化數(shù)據(jù)分析 應用控制 安全態(tài)勢感知 進程管控 VMware支持 OpenStack + KVM 支持 控制節(jié)點 支持服務 基本服務可選的服務 支持服務 網絡接口 網絡節(jié)點 網絡基本服務 網絡接口 計算節(jié)點 安全 計算 網絡 網絡接口 安全特征庫 安全信譽服務 管理中心 單點登錄 Citrix XenServer支持 安全特征庫 安全態(tài)勢感知 大屏實時顯示數(shù)據(jù)中心的運維狀況 實時的網絡分析，包括流量、連接統(tǒng)計 流量的地理位置分析 安全威脅的地理位置動態(tài)展示 數(shù)據(jù)中心流

5、量及威脅的統(tǒng)計數(shù)據(jù) 詳細的安全事件日志 1 2 3 4 5 惡意軟件防護 無需安裝軟件客戶端的模式下保護虛擬機，防止其受病 毒、間諜軟件、木馬和其他惡意軟件的侵害。 文件系統(tǒng)的實時防護，快速、全盤兩種手工文件檢測方 式。 感染的文件在虛擬機內部隔離。除去這臺虛擬機的用戶 ，其他用戶無權限讀取隔離文件，防止數(shù)據(jù)泄露問題。 高效的緩存機制，避免不同虛擬機內部的相同文件被重 復檢測。 優(yōu)化安全操作的資源調度，以避免全系統(tǒng)掃描時出現(xiàn)常 見的防病毒風暴。 惡意代碼特征庫的自動更新。 1 2 3 4 5 6 應用控制 三至七層應用防火墻，不僅可以配置傳統(tǒng)的基于IP及端 口的防火墻策略，也可以配置基于網絡應

6、用的策略。 2500多種國內主要網絡應用的內容解析及精確識別。 上網行為管理，可以針對每個虛擬機用戶統(tǒng)一配置管理 策略；阻止、放行特定的應用程序，提高工作效率。 自動更新應用解析的規(guī)則庫，不斷增加新應用的支持。 1 2 3 4 防火墻、DDoS防護 主機防火墻，配置傳基于IP及端口的防火墻策略。 同時支持內外網（南北向）、內部（東西向）的網絡隔 離。 無需額外設備和網絡調整，可以有效抵御SYN flood， ACK flood，UDP flood，ICMP flood等攻擊 配置簡單，按照每秒請求流量和報文數(shù)量設置閾值，超 過閾值時觸發(fā)流量清洗 可以對計算機配置不同的防護規(guī)則，DDoS防護不會

7、相互 影響 不僅可以防護計算機與外網間的南北向流量，還可以防 護內網的東西向流量 1 2 3 4 5 6 入侵防御 對已知的漏洞進行虛擬修補，在虛擬機系統(tǒng)及應用不 進行安全補丁升級的情況下，防御針對漏洞的攻擊。 防護SQL注入，跨站腳本攻擊及其他的利用Web應用 程序漏洞的攻擊。 7000多種針對系統(tǒng)漏洞的入侵檢測規(guī)則。 系統(tǒng)自動偵測虛擬機系統(tǒng)的內容，動態(tài)的調整用于檢 測的入侵檢測的規(guī)則庫，提高檢測的效率。 自動更新功能，及時防御針對最新漏洞的攻擊。 1 2 3 4 5 進程管控 進程監(jiān)控模式可以記錄進程運行歷史，方便建立基準規(guī) 則 支持根據(jù)進程路徑和進程名制定規(guī)則，并預置操作系統(tǒng) 信任進程列

8、表 支持白名單和黑名單方式，可針對不同的用戶場景靈活 配置管控規(guī)則 未被允許的進程將無法使用，徹底阻止勒索軟件或其他 惡意軟件執(zhí)行 支持無代理和有代理部署，可支持Windows和Linux操 作系統(tǒng) 1 2 3 4 5 可視化數(shù)據(jù)分析 支持海量的訪問日志、文件安全、防火墻、入侵檢測日志 數(shù)據(jù)的處理。 以虛擬機、操作系統(tǒng)、應用程序、攻擊類型、惡意代碼類 型、時間等多個維度對文件、網絡的海量安全數(shù)據(jù)進行關 聯(lián)性分析；并輔以多種圖表形式，對同一數(shù)據(jù)進行描述， 便于用戶理解。 支持安全事件的數(shù)據(jù)挖掘，便于管理人員及時準確的找到 攻擊源，阻斷安全威脅。 通過對行為數(shù)據(jù)的分析，快速定位未知威脅。 1 2

9、3 4 支持的平臺 WanaCrypt防護 除了殺毒軟件，還能做些什么？ WanaCrypt0r感染流程 利用漏洞進入主機，目標未安裝ms17-010補丁的PC(winxp- win8.1) 1 2 執(zhí)行payload，釋放資源，執(zhí)行mssecsvc.exe（母體） 3 掃描其他漏洞主機，利用ms17-010網絡感染其他主機 ，實現(xiàn)大規(guī)模傳播 4 解壓釋放敲詐者模塊及配置文件，執(zhí)行加密流程 分析樣本信息 樣本下載：https:/mega.nz/#!VRtRAaZD!BNcDDAsSSAyb7k3IBdTyy1E1CrOBF5RqVf7MlIFucEI 解壓密碼：hackerhouse 影響面：

10、除Windows 10外，所有未打MS-17-010補丁的Windows系統(tǒng)都可能被攻擊 功能：WannaCry利用前陣子泄漏的方程式工具包中的“永恒之藍”漏洞工具，進行網絡端口掃描攻擊，目標機器被成功 攻陷后會從攻擊機下載WannaCry進行感染，并作為攻擊機再次掃描互聯(lián)網和局域網其他機器，行成蠕蟲感染大范圍超快 速擴散。 母體為mssecsvc.exe，運行后會掃描隨機ip的互聯(lián)網機器，嘗試感染，也會掃描局域網相同網段的機器進行感染傳播，此 外會釋放敲詐者程序tasksche.exe，對磁盤文件進行加密勒索。 加密使用AES加密文件，并使用非對稱加密算法RSA 2048加密隨機密鑰，每個文

11、件使用一個隨機密鑰，理論上不可破解 修復對于云計算資源池的影響 修復建議 1. 關閉135、137、139、445，3389端口 2. 安裝 MS17-010 補丁 修復后，云計算資源池可能徹底不工作，因為 1. 137、138端口都屬于UDP端口，它們在局域網中相互傳輸文件信息時，就會發(fā)生作用。而138端口的主要作用就是提 供NetBIOS環(huán)境下的計算機名瀏覽功能 2. 139端口， NetBIOS文件及打印共享服務，關閉意味著沒法使用文件及打印機共享功能。 3. 445端口，通用Internet文件系統(tǒng)，在windows主機之間進行網絡文件共享是通過使用微軟公司自己的CIFS服務實現(xiàn)。 4

12、. 3389端口， 遠程桌面的服務端口，關閉它意味著桌面云的基礎共享桌面沒法實現(xiàn)了 我們其實能做的更多 1. 微隔離， 內網東西的網絡隔離策略，保證云計算服務正常運行 的情況下，最大限度的避免病毒及威脅的全網傳播。 2. 虛擬補丁，針對漏洞的特征，安全公司在最短的時間內制作主 機入侵防御規(guī)則，阻止針對漏洞的攻擊行為。虛擬補丁對以下 場景有效 零日攻擊，漏洞爆出后第一時間，阻斷可能的攻擊行為 。 廠商不再做支持的老產品 生產環(huán)境下無法及時升級安全補丁的系統(tǒng) 3. 數(shù)據(jù)分析和回溯，根據(jù)行為特征找到攻擊源頭。 4. 嚴格的進程管控策略，設定主機上可以執(zhí)行的程序的白名單， 禁止未經授權的程序運行。 防

13、火墻的微隔離 嚴格的內網訪問策略，關鍵的端口和服務只開放 給授權的機器。 對于采用多租服務的云計算資源池，可以有效的 保障關鍵服務的安全。 對于蠕蟲病毒，可以有效的控制感染的范圍，同 時又有保障關鍵業(yè)務的連通性。 主機的虛擬補丁功能 主機的入侵防御功能，在漏洞公布的第一時間在線更新漏洞的特征庫，阻止利用漏洞的攻擊行為 WanaCrypt使用的漏洞，在4月14日公布，4月15日虛擬補丁已經制作完成。如果用戶部署了入侵防御功能，將 可以阻斷病毒的傳播，并且能夠防御接下來利用同一漏洞的病毒的變種。 可視化的行為分析及預警 安全組件將網絡的行為發(fā)送到管理中心進行可視化的分析，對新建連接的分析，可以找到

14、大量的異常SMB的訪問行 為，并通過訪問日志，找到感染源。 產品發(fā)展方向 產品發(fā)展方向 Gartner CWPP 模型 傳統(tǒng)安全基于特征碼防護的防 護開銷巨大，但收效甚微。云 計算的防護的核心為： 1. 系統(tǒng)配置及漏洞管理 2. 網絡的可視化及微隔離 3. 系統(tǒng)完整性監(jiān)控 4. 應用控制 5. 漏洞及內存保護 統(tǒng)一的云計算安全防護 私有云 + 物理環(huán)境 + 公有云 構建新型的安全運維體系 網絡層 終端層 系統(tǒng)交互層 應用層 用戶行為 防御 檢測響應 預測 事前 事中 事后 數(shù)據(jù) 驅動 持續(xù)監(jiān)測分析 威 脅 情 報 威脅情報應用 THANKYOU 安全軟件部署成本過高 沿用傳統(tǒng)的有代理模式，在每

15、個虛 擬機上安裝安全軟件耗費了大部分 的系統(tǒng)資源，造成虛擬機密度極具 降低，大幅度的增加了數(shù)據(jù)中心的 建設成本。 邊界消失帶來的安全防護盲點 由于云計算邊界消失的問題，數(shù)據(jù) 中心內部“東西向”威脅成為主要 的安全問題。傳統(tǒng)的安全設備更偏 向“南北向” 內外網的防護，無法 保障數(shù)據(jù)中心安全。 層出不窮的“未知威脅” 由于數(shù)據(jù)中心的數(shù)據(jù)集中存放，成為黑 客“高價值”的獵物。攻擊者為了獲取 數(shù)據(jù)，針對數(shù)據(jù)中心的安全漏洞，不斷 變換攻擊方法，現(xiàn)有的“基于特征庫” 的安全軟件對此失效。 客戶面臨的主要安全問題 安全運維困難 根據(jù)等保規(guī)范，配置了許多不同廠商 的安全產品。由于產品間缺乏聯(lián)動和 統(tǒng)一管理，管

16、理成本很高，但收效甚 微。 Citrix XenServer支持 安全特征庫 應用控制 三至七層應用防火墻，不僅可以配置傳統(tǒng)的基于IP及端 口的防火墻策略，也可以配置基于網絡應用的策略。 2500多種國內主要網絡應用的內容解析及精確識別。 上網行為管理，可以針對每個虛擬機用戶統(tǒng)一配置管理 策略；阻止、放行特定的應用程序，提高工作效率。 自動更新應用解析的規(guī)則庫，不斷增加新應用的支持。 1 2 3 4 防火墻、DDoS防護 主機防火墻，配置傳基于IP及端口的防火墻策略。 同時支持內外網（南北向）、內部（東西向）的網絡隔 離。 無需額外設備和網絡調整，可以有效抵御SYN flood， ACK flood，UDP flood，ICMP flood等攻擊 配置簡單，按照每秒請求流量和報文數(shù)量設置閾值，超 過閾值時觸發(fā)流量清洗 可以對計算機配置不同的防護規(guī)則，DDoS防護不會相互 影響 不僅可以防護計算機與外網間的南北向流量，還可以防 護內網的東西向流量 1 2 3 4 5 6 可視化數(shù)據(jù)分析 支持海量的訪問