虛擬化安全介紹

1、產(chǎn)品及原理介紹 產(chǎn)品及原理介紹 安全軟件部署成本過(guò)高 沿用傳統(tǒng)的有代理模式，在每個(gè)虛 擬機(jī)上安裝安全軟件耗費(fèi)了大部分 的系統(tǒng)資源，造成虛擬機(jī)密度極具 降低，大幅度的增加了數(shù)據(jù)中心的 建設(shè)成本。 邊界消失帶來(lái)的安全防護(hù)盲點(diǎn) 由于云計(jì)算邊界消失的問(wèn)題，數(shù)據(jù) 中心內(nèi)部“東西向”威脅成為主要 的安全問(wèn)題。傳統(tǒng)的安全設(shè)備更偏 向“南北向” 內(nèi)外網(wǎng)的防護(hù)，無(wú)法 保障數(shù)據(jù)中心安全。 層出不窮的“未知威脅” 由于數(shù)據(jù)中心的數(shù)據(jù)集中存放，成為黑 客“高價(jià)值”的獵物。攻擊者為了獲取 數(shù)據(jù)，針對(duì)數(shù)據(jù)中心的安全漏洞，不斷 變換攻擊方法，現(xiàn)有的“基于特征庫(kù)” 的安全軟件對(duì)此失效。 客戶(hù)面臨的主要安全問(wèn)題 安全運(yùn)維困難

2、根據(jù)等保規(guī)范，配置了許多不同廠(chǎng)商 的安全產(chǎn)品。由于產(chǎn)品間缺乏聯(lián)動(dòng)和 統(tǒng)一管理，管理成本很高，但收效甚 微。 什么是無(wú)代理安全 虛擬化層 管理中心 “無(wú)代理安全”，無(wú)需在虛擬機(jī)內(nèi)部安裝 安全軟件，而在宿主機(jī)的虛擬化層進(jìn)行安 全防護(hù)。其特點(diǎn)是耗費(fèi)系統(tǒng)資源極小，不 會(huì)對(duì)數(shù)據(jù)中心的業(yè)務(wù)造成影響?？梢源蠓?度降低數(shù)據(jù)中心的建設(shè)成本。 為什么要選用無(wú)代理安全 相比傳統(tǒng)的安全方案的優(yōu)勢(shì)： 分布式的防火墻、入侵防御等網(wǎng)絡(luò)防護(hù)，部署在每個(gè)計(jì)算節(jié)點(diǎn)上 安全軟件替代中心部署的高性能硬件設(shè)備，提供更高的可靠性和 擴(kuò)展性，同時(shí)也極大的降低了安全成本。 1 2 3 4 5 不僅提供“南北向”內(nèi)外網(wǎng)的安全，也能防護(hù)數(shù)據(jù)中心

3、內(nèi)部“東 西向”的威脅。 相比SDN的網(wǎng)絡(luò)安全方案，不改變網(wǎng)絡(luò)架構(gòu)，沒(méi)有流量牽引檢測(cè) 的網(wǎng)絡(luò)帶寬損耗。 無(wú)代理惡意軟件防護(hù)，極大的降低了安全軟件的資源損耗，降低 了數(shù)據(jù)中心的建設(shè)成本。 智能安全防護(hù)，可以根據(jù)虛擬機(jī)內(nèi)部安裝的軟件及系統(tǒng)，動(dòng)態(tài)的 調(diào)整安全防護(hù)策略。 網(wǎng)絡(luò)部署架構(gòu) “無(wú)代理安全”架構(gòu)，在虛擬機(jī)外部的虛擬化層提供防護(hù)， 大幅度節(jié)省系統(tǒng)資源，可將虛擬機(jī)的密度提升300%以上。 360虛擬化防護(hù)系統(tǒng) 統(tǒng)一的云安全管理平臺(tái)，集中控管數(shù)據(jù)中心安全 及時(shí)發(fā)現(xiàn)未知威脅，可以對(duì)行為數(shù)據(jù)進(jìn)行多維度的分 析，支持?jǐn)?shù)據(jù)挖掘。 海量數(shù)據(jù)處理能力，將虛擬機(jī)的安全日志、行為數(shù)據(jù)發(fā) 送管理中心進(jìn)行大數(shù)據(jù)分析，可

4、視化的展示。 支持幾乎所有的云計(jì)算、虛擬化平臺(tái) 1 2 3 4 5 主要的安全功能 惡意代碼防護(hù) 防火墻DDos防護(hù) 入侵防御可視化數(shù)據(jù)分析 應(yīng)用控制 安全態(tài)勢(shì)感知 進(jìn)程管控 VMware支持 OpenStack + KVM 支持 控制節(jié)點(diǎn) 支持服務(wù) 基本服務(wù)可選的服務(wù) 支持服務(wù) 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)節(jié)點(diǎn) 網(wǎng)絡(luò)基本服務(wù) 網(wǎng)絡(luò)接口 計(jì)算節(jié)點(diǎn) 安全 計(jì)算 網(wǎng)絡(luò) 網(wǎng)絡(luò)接口 安全特征庫(kù) 安全信譽(yù)服務(wù) 管理中心 單點(diǎn)登錄 Citrix XenServer支持 安全特征庫(kù) 安全態(tài)勢(shì)感知 大屏實(shí)時(shí)顯示數(shù)據(jù)中心的運(yùn)維狀況 實(shí)時(shí)的網(wǎng)絡(luò)分析，包括流量、連接統(tǒng)計(jì) 流量的地理位置分析 安全威脅的地理位置動(dòng)態(tài)展示 數(shù)據(jù)中心流

5、量及威脅的統(tǒng)計(jì)數(shù)據(jù) 詳細(xì)的安全事件日志 1 2 3 4 5 惡意軟件防護(hù) 無(wú)需安裝軟件客戶(hù)端的模式下保護(hù)虛擬機(jī)，防止其受病 毒、間諜軟件、木馬和其他惡意軟件的侵害。 文件系統(tǒng)的實(shí)時(shí)防護(hù)，快速、全盤(pán)兩種手工文件檢測(cè)方 式。 感染的文件在虛擬機(jī)內(nèi)部隔離。除去這臺(tái)虛擬機(jī)的用戶(hù) ，其他用戶(hù)無(wú)權(quán)限讀取隔離文件，防止數(shù)據(jù)泄露問(wèn)題。 高效的緩存機(jī)制，避免不同虛擬機(jī)內(nèi)部的相同文件被重 復(fù)檢測(cè)。 優(yōu)化安全操作的資源調(diào)度，以避免全系統(tǒng)掃描時(shí)出現(xiàn)常 見(jiàn)的防病毒風(fēng)暴。 惡意代碼特征庫(kù)的自動(dòng)更新。 1 2 3 4 5 6 應(yīng)用控制 三至七層應(yīng)用防火墻，不僅可以配置傳統(tǒng)的基于IP及端 口的防火墻策略，也可以配置基于網(wǎng)絡(luò)應(yīng)

6、用的策略。 2500多種國(guó)內(nèi)主要網(wǎng)絡(luò)應(yīng)用的內(nèi)容解析及精確識(shí)別。 上網(wǎng)行為管理，可以針對(duì)每個(gè)虛擬機(jī)用戶(hù)統(tǒng)一配置管理 策略；阻止、放行特定的應(yīng)用程序，提高工作效率。 自動(dòng)更新應(yīng)用解析的規(guī)則庫(kù)，不斷增加新應(yīng)用的支持。 1 2 3 4 防火墻、DDoS防護(hù) 主機(jī)防火墻，配置傳基于IP及端口的防火墻策略。 同時(shí)支持內(nèi)外網(wǎng)（南北向）、內(nèi)部（東西向）的網(wǎng)絡(luò)隔 離。 無(wú)需額外設(shè)備和網(wǎng)絡(luò)調(diào)整，可以有效抵御SYN flood， ACK flood，UDP flood，ICMP flood等攻擊 配置簡(jiǎn)單，按照每秒請(qǐng)求流量和報(bào)文數(shù)量設(shè)置閾值，超 過(guò)閾值時(shí)觸發(fā)流量清洗 可以對(duì)計(jì)算機(jī)配置不同的防護(hù)規(guī)則，DDoS防護(hù)不會(huì)

7、相互 影響 不僅可以防護(hù)計(jì)算機(jī)與外網(wǎng)間的南北向流量，還可以防 護(hù)內(nèi)網(wǎng)的東西向流量 1 2 3 4 5 6 入侵防御 對(duì)已知的漏洞進(jìn)行虛擬修補(bǔ)，在虛擬機(jī)系統(tǒng)及應(yīng)用不 進(jìn)行安全補(bǔ)丁升級(jí)的情況下，防御針對(duì)漏洞的攻擊。 防護(hù)SQL注入，跨站腳本攻擊及其他的利用Web應(yīng)用 程序漏洞的攻擊。 7000多種針對(duì)系統(tǒng)漏洞的入侵檢測(cè)規(guī)則。 系統(tǒng)自動(dòng)偵測(cè)虛擬機(jī)系統(tǒng)的內(nèi)容，動(dòng)態(tài)的調(diào)整用于檢 測(cè)的入侵檢測(cè)的規(guī)則庫(kù)，提高檢測(cè)的效率。 自動(dòng)更新功能，及時(shí)防御針對(duì)最新漏洞的攻擊。 1 2 3 4 5 進(jìn)程管控 進(jìn)程監(jiān)控模式可以記錄進(jìn)程運(yùn)行歷史，方便建立基準(zhǔn)規(guī) 則 支持根據(jù)進(jìn)程路徑和進(jìn)程名制定規(guī)則，并預(yù)置操作系統(tǒng) 信任進(jìn)程列

8、表 支持白名單和黑名單方式，可針對(duì)不同的用戶(hù)場(chǎng)景靈活 配置管控規(guī)則 未被允許的進(jìn)程將無(wú)法使用，徹底阻止勒索軟件或其他 惡意軟件執(zhí)行 支持無(wú)代理和有代理部署，可支持Windows和Linux操 作系統(tǒng) 1 2 3 4 5 可視化數(shù)據(jù)分析 支持海量的訪(fǎng)問(wèn)日志、文件安全、防火墻、入侵檢測(cè)日志 數(shù)據(jù)的處理。 以虛擬機(jī)、操作系統(tǒng)、應(yīng)用程序、攻擊類(lèi)型、惡意代碼類(lèi) 型、時(shí)間等多個(gè)維度對(duì)文件、網(wǎng)絡(luò)的海量安全數(shù)據(jù)進(jìn)行關(guān) 聯(lián)性分析；并輔以多種圖表形式，對(duì)同一數(shù)據(jù)進(jìn)行描述， 便于用戶(hù)理解。 支持安全事件的數(shù)據(jù)挖掘，便于管理人員及時(shí)準(zhǔn)確的找到 攻擊源，阻斷安全威脅。 通過(guò)對(duì)行為數(shù)據(jù)的分析，快速定位未知威脅。 1 2

9、3 4 支持的平臺(tái) WanaCrypt防護(hù) 除了殺毒軟件，還能做些什么？ WanaCrypt0r感染流程 利用漏洞進(jìn)入主機(jī)，目標(biāo)未安裝ms17-010補(bǔ)丁的PC(winxp- win8.1) 1 2 執(zhí)行payload，釋放資源，執(zhí)行mssecsvc.exe（母體） 3 掃描其他漏洞主機(jī)，利用ms17-010網(wǎng)絡(luò)感染其他主機(jī) ，實(shí)現(xiàn)大規(guī)模傳播 4 解壓釋放敲詐者模塊及配置文件，執(zhí)行加密流程 分析樣本信息 樣本下載：https:/mega.nz/#!VRtRAaZD!BNcDDAsSSAyb7k3IBdTyy1E1CrOBF5RqVf7MlIFucEI 解壓密碼：hackerhouse 影響面：

10、除Windows 10外，所有未打MS-17-010補(bǔ)丁的Windows系統(tǒng)都可能被攻擊 功能：WannaCry利用前陣子泄漏的方程式工具包中的“永恒之藍(lán)”漏洞工具，進(jìn)行網(wǎng)絡(luò)端口掃描攻擊，目標(biāo)機(jī)器被成功 攻陷后會(huì)從攻擊機(jī)下載WannaCry進(jìn)行感染，并作為攻擊機(jī)再次掃描互聯(lián)網(wǎng)和局域網(wǎng)其他機(jī)器，行成蠕蟲(chóng)感染大范圍超快 速擴(kuò)散。 母體為mssecsvc.exe，運(yùn)行后會(huì)掃描隨機(jī)ip的互聯(lián)網(wǎng)機(jī)器，嘗試感染，也會(huì)掃描局域網(wǎng)相同網(wǎng)段的機(jī)器進(jìn)行感染傳播，此 外會(huì)釋放敲詐者程序tasksche.exe，對(duì)磁盤(pán)文件進(jìn)行加密勒索。 加密使用AES加密文件，并使用非對(duì)稱(chēng)加密算法RSA 2048加密隨機(jī)密鑰，每個(gè)文

11、件使用一個(gè)隨機(jī)密鑰，理論上不可破解 修復(fù)對(duì)于云計(jì)算資源池的影響 修復(fù)建議 1. 關(guān)閉135、137、139、445，3389端口 2. 安裝 MS17-010 補(bǔ)丁 修復(fù)后，云計(jì)算資源池可能徹底不工作，因?yàn)?1. 137、138端口都屬于UDP端口，它們?cè)诰钟蚓W(wǎng)中相互傳輸文件信息時(shí)，就會(huì)發(fā)生作用。而138端口的主要作用就是提 供NetBIOS環(huán)境下的計(jì)算機(jī)名瀏覽功能 2. 139端口， NetBIOS文件及打印共享服務(wù)，關(guān)閉意味著沒(méi)法使用文件及打印機(jī)共享功能。 3. 445端口，通用Internet文件系統(tǒng)，在windows主機(jī)之間進(jìn)行網(wǎng)絡(luò)文件共享是通過(guò)使用微軟公司自己的CIFS服務(wù)實(shí)現(xiàn)。 4

12、. 3389端口， 遠(yuǎn)程桌面的服務(wù)端口，關(guān)閉它意味著桌面云的基礎(chǔ)共享桌面沒(méi)法實(shí)現(xiàn)了 我們其實(shí)能做的更多 1. 微隔離， 內(nèi)網(wǎng)東西的網(wǎng)絡(luò)隔離策略，保證云計(jì)算服務(wù)正常運(yùn)行 的情況下，最大限度的避免病毒及威脅的全網(wǎng)傳播。 2. 虛擬補(bǔ)丁，針對(duì)漏洞的特征，安全公司在最短的時(shí)間內(nèi)制作主 機(jī)入侵防御規(guī)則，阻止針對(duì)漏洞的攻擊行為。虛擬補(bǔ)丁對(duì)以下 場(chǎng)景有效 零日攻擊，漏洞爆出后第一時(shí)間，阻斷可能的攻擊行為 。 廠(chǎng)商不再做支持的老產(chǎn)品 生產(chǎn)環(huán)境下無(wú)法及時(shí)升級(jí)安全補(bǔ)丁的系統(tǒng) 3. 數(shù)據(jù)分析和回溯，根據(jù)行為特征找到攻擊源頭。 4. 嚴(yán)格的進(jìn)程管控策略，設(shè)定主機(jī)上可以執(zhí)行的程序的白名單， 禁止未經(jīng)授權(quán)的程序運(yùn)行。 防

13、火墻的微隔離 嚴(yán)格的內(nèi)網(wǎng)訪(fǎng)問(wèn)策略，關(guān)鍵的端口和服務(wù)只開(kāi)放 給授權(quán)的機(jī)器。 對(duì)于采用多租服務(wù)的云計(jì)算資源池，可以有效的 保障關(guān)鍵服務(wù)的安全。 對(duì)于蠕蟲(chóng)病毒，可以有效的控制感染的范圍，同 時(shí)又有保障關(guān)鍵業(yè)務(wù)的連通性。 主機(jī)的虛擬補(bǔ)丁功能 主機(jī)的入侵防御功能，在漏洞公布的第一時(shí)間在線(xiàn)更新漏洞的特征庫(kù)，阻止利用漏洞的攻擊行為 WanaCrypt使用的漏洞，在4月14日公布，4月15日虛擬補(bǔ)丁已經(jīng)制作完成。如果用戶(hù)部署了入侵防御功能，將 可以阻斷病毒的傳播，并且能夠防御接下來(lái)利用同一漏洞的病毒的變種。 可視化的行為分析及預(yù)警 安全組件將網(wǎng)絡(luò)的行為發(fā)送到管理中心進(jìn)行可視化的分析，對(duì)新建連接的分析，可以找到

14、大量的異常SMB的訪(fǎng)問(wèn)行 為，并通過(guò)訪(fǎng)問(wèn)日志，找到感染源。 產(chǎn)品發(fā)展方向 產(chǎn)品發(fā)展方向 Gartner CWPP 模型 傳統(tǒng)安全基于特征碼防護(hù)的防 護(hù)開(kāi)銷(xiāo)巨大，但收效甚微。云 計(jì)算的防護(hù)的核心為： 1. 系統(tǒng)配置及漏洞管理 2. 網(wǎng)絡(luò)的可視化及微隔離 3. 系統(tǒng)完整性監(jiān)控 4. 應(yīng)用控制 5. 漏洞及內(nèi)存保護(hù) 統(tǒng)一的云計(jì)算安全防護(hù) 私有云 + 物理環(huán)境 + 公有云 構(gòu)建新型的安全運(yùn)維體系 網(wǎng)絡(luò)層 終端層 系統(tǒng)交互層 應(yīng)用層 用戶(hù)行為 防御 檢測(cè)響應(yīng) 預(yù)測(cè) 事前 事中 事后 數(shù)據(jù) 驅(qū)動(dòng) 持續(xù)監(jiān)測(cè)分析 威 脅 情 報(bào) 威脅情報(bào)應(yīng)用 THANKYOU 安全軟件部署成本過(guò)高 沿用傳統(tǒng)的有代理模式，在每

15、個(gè)虛 擬機(jī)上安裝安全軟件耗費(fèi)了大部分 的系統(tǒng)資源，造成虛擬機(jī)密度極具 降低，大幅度的增加了數(shù)據(jù)中心的 建設(shè)成本。 邊界消失帶來(lái)的安全防護(hù)盲點(diǎn) 由于云計(jì)算邊界消失的問(wèn)題，數(shù)據(jù) 中心內(nèi)部“東西向”威脅成為主要 的安全問(wèn)題。傳統(tǒng)的安全設(shè)備更偏 向“南北向” 內(nèi)外網(wǎng)的防護(hù)，無(wú)法 保障數(shù)據(jù)中心安全。 層出不窮的“未知威脅” 由于數(shù)據(jù)中心的數(shù)據(jù)集中存放，成為黑 客“高價(jià)值”的獵物。攻擊者為了獲取 數(shù)據(jù)，針對(duì)數(shù)據(jù)中心的安全漏洞，不斷 變換攻擊方法，現(xiàn)有的“基于特征庫(kù)” 的安全軟件對(duì)此失效。 客戶(hù)面臨的主要安全問(wèn)題 安全運(yùn)維困難 根據(jù)等保規(guī)范，配置了許多不同廠(chǎng)商 的安全產(chǎn)品。由于產(chǎn)品間缺乏聯(lián)動(dòng)和 統(tǒng)一管理，管

16、理成本很高，但收效甚 微。 Citrix XenServer支持 安全特征庫(kù) 應(yīng)用控制 三至七層應(yīng)用防火墻，不僅可以配置傳統(tǒng)的基于IP及端 口的防火墻策略，也可以配置基于網(wǎng)絡(luò)應(yīng)用的策略。 2500多種國(guó)內(nèi)主要網(wǎng)絡(luò)應(yīng)用的內(nèi)容解析及精確識(shí)別。 上網(wǎng)行為管理，可以針對(duì)每個(gè)虛擬機(jī)用戶(hù)統(tǒng)一配置管理 策略；阻止、放行特定的應(yīng)用程序，提高工作效率。 自動(dòng)更新應(yīng)用解析的規(guī)則庫(kù)，不斷增加新應(yīng)用的支持。 1 2 3 4 防火墻、DDoS防護(hù) 主機(jī)防火墻，配置傳基于IP及端口的防火墻策略。 同時(shí)支持內(nèi)外網(wǎng)（南北向）、內(nèi)部（東西向）的網(wǎng)絡(luò)隔 離。 無(wú)需額外設(shè)備和網(wǎng)絡(luò)調(diào)整，可以有效抵御SYN flood， ACK flood，UDP flood，ICMP flood等攻擊 配置簡(jiǎn)單，按照每秒請(qǐng)求流量和報(bào)文數(shù)量設(shè)置閾值，超 過(guò)閾值時(shí)觸發(fā)流量清洗 可以對(duì)計(jì)算機(jī)配置不同的防護(hù)規(guī)則，DDoS防護(hù)不會(huì)相互 影響 不僅可以防護(hù)計(jì)算機(jī)與外網(wǎng)間的南北向流量，還可以防 護(hù)內(nèi)網(wǎng)的東西向流量 1 2 3 4 5 6 可視化數(shù)據(jù)分析 支持海量的訪(fǎng)問(wèn)