云計(jì)算安全建設(shè)探討_第1頁
云計(jì)算安全建設(shè)探討_第2頁
云計(jì)算安全建設(shè)探討_第3頁
云計(jì)算安全建設(shè)探討_第4頁
云計(jì)算安全建設(shè)探討_第5頁
已閱讀5頁,還剩30頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

云計(jì)算安全建設(shè)探討主題云計(jì)算概述云計(jì)算的特征與面臨的安全威脅趨勢科技云安全解決之道2/3/2023Confidential|Copyright2012TrendMicroInc.1云計(jì)算基本架構(gòu)及安全配置2/3/2023Confidential|Copyright2012TrendMicroInc.2云計(jì)算和傳統(tǒng)網(wǎng)絡(luò)的區(qū)別云計(jì)算環(huán)境,基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化,存儲和計(jì)算資源高度整合,傳統(tǒng)的安全設(shè)備部署邊界正逐步消失,云計(jì)算環(huán)境下的安全部署需尋找新的模式。傳統(tǒng)邊界的安全隔離與訪問控制是傳統(tǒng)安全防護(hù)的重要原則,很大程度上依賴于各區(qū)域之間明顯清晰的區(qū)域邊界,強(qiáng)調(diào)的是針對不同的安全區(qū)域設(shè)置有差異化的安全防護(hù)策略。2/3/2023Confidential|Copyright2012TrendMicroInc.4云計(jì)算的特征2/3/2023Confidential|Copyright2012TrendMicroInc.5虛擬化的基礎(chǔ)架構(gòu)IT資源數(shù)據(jù)面向服務(wù)的體系架構(gòu)服務(wù)管理平臺各種業(yè)務(wù)應(yīng)用基于云計(jì)算的服務(wù)用戶=成本…充分利用虛擬化,標(biāo)準(zhǔn)化,動態(tài)架構(gòu)和自動化的技術(shù)…將節(jié)省下來的運(yùn)營成本投入到新的業(yè)務(wù)創(chuàng)新的領(lǐng)域+標(biāo)準(zhǔn)化自動化+靈活性虛擬化+動態(tài)架構(gòu)云計(jì)算面臨的安全威脅根據(jù)云計(jì)算安全聯(lián)盟(簡稱為CSA)在2013年5月統(tǒng)計(jì)的前三大威脅是1.數(shù)據(jù)泄漏2.數(shù)據(jù)丟失

3.帳戶劫持虛擬化引入的安全威脅多租戶引入的安全威脅2/3/2023Confidential|Copyright2012TrendMicroInc.6Hypervisor脆弱性引入的安全威脅Hypervisor(通俗理解為虛擬化核心)脆弱性不可避免從虛擬機(jī)攻擊Hypervisor虛擬機(jī)逃逸從云計(jì)算管理網(wǎng)絡(luò)攻擊Hypervisor緩沖區(qū)溢出拒絕服務(wù)2/3/2023Confidential|Copyright2012TrendMicroInc.72008-2010ESX/ESXi重要漏洞概覽2/3/2023Confidential|Copyright2012TrendMicroInc.2虛擬機(jī)逃逸介紹2/3/2023Confidential|Copyright2012TrendMicroInc.9虛擬機(jī)逃逸,是指在已控制一個(gè)VM的前提,通過利用各種安全漏洞攻擊Hypervisor典型案例:藍(lán)色藥丸、CloudBurst逃逸后果安裝Hypervisor級后門拒絕服務(wù)攻擊數(shù)據(jù)竊取控制其它虛擬機(jī)

虛擬機(jī)存儲安全威脅2/3/2023Confidential|Copyright2012TrendMicroInc.10休眠虛擬機(jī)的存儲安全威脅:虛擬機(jī)篡改、數(shù)據(jù)泄密休眠虛擬機(jī)中可能存在脆弱性和過期病毒特征庫AppOSESX/Xen/Hyper-VAppOSAppOSAppAVAppAVAppAVAppOSAppOSAppAVAppAV休眠的虛擬機(jī)活動的虛擬機(jī)虛擬機(jī)運(yùn)行安全威脅(內(nèi)部通訊)2/3/2023Confidential|Copyright2012TrendMicroInc.11同一物理機(jī)的虛擬機(jī)之間的信息交互由于在機(jī)器內(nèi)部進(jìn)行,因此,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法對虛擬機(jī)間流量進(jìn)行監(jiān)控OSAppAVOSAppAVOSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitch潛伏的活動的虛擬機(jī)運(yùn)行安全威脅(資源沖突)2/3/2023Confidential|Copyright2012TrendMicroInc.12ESX/Xen/Hyper-VOSAppAVTypicalAVConsole3:00amScan病毒掃描和補(bǔ)丁管理在同一臺主機(jī)同一時(shí)刻進(jìn)行,導(dǎo)致資源競爭.服務(wù)器性能降低和惡意軟件位于同一個(gè)權(quán)限級別,容易被惡意卸載虛擬機(jī)運(yùn)行安全威脅(虛擬機(jī)遷移)2/3/2023Confidential|Copyright2012TrendMicroInc.13虛擬機(jī)是否會遷移到一個(gè)不安全的網(wǎng)絡(luò)中虛擬機(jī)遷移過程中是否可以確保安全策略的一致OSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitch潛伏的OSAppAV活動的趨勢科技深度防護(hù)虛擬化環(huán)境無客戶端底層防護(hù)示意vNICvSwitchvNICvNICvNICVMsafeAPIvShieldAPIESX/ESXi針對虛擬化層的防護(hù)DSVA22趨勢科技深度防護(hù)2/3/2023Confidential|Copyright2012TrendMicroInc.21IDS/IPS應(yīng)用程序防護(hù)應(yīng)用程序控制防火墻深度包檢測完整性監(jiān)控日志審計(jì)偵測/阻止基于操作系統(tǒng)漏洞的已知/零日攻擊監(jiān)視/控制本機(jī)應(yīng)用程序支持所有IP-based的協(xié)議、提供細(xì)粒度過濾,并且可針對單獨(dú)的網(wǎng)絡(luò)接口偵測/阻止針對目錄/文件/鍵值的未授權(quán)/惡意修改安全事件增強(qiáng)性審計(jì)偵測/阻止基于應(yīng)用程序漏洞的已知/零日攻擊無代理模式防毒防惡意程序底層無代理防護(hù)多租戶網(wǎng)絡(luò)融合引入的安全威脅在多租戶云計(jì)算環(huán)境中,各租戶之間的物理網(wǎng)絡(luò)邊界變得模糊,可能只存在邏輯上的網(wǎng)絡(luò)邊界配置不妥,可能導(dǎo)致數(shù)據(jù)泄密多租戶為APT(高級可持續(xù)性威脅)提供更多潛在的入口2/3/2023Confidential|Copyright2012TrendMicroInc.14APT的6個(gè)階段2/3/2023Confidential|Copyright2012TrendMicroInc.15第一階段情報(bào)收集第二階段首次突破防線

第三階段幕后操縱通訊第四階段橫向移動第五階段情報(bào),資料,信息挖掘第六階段資料外傳或破壞APT攻擊的特點(diǎn)歹徒全部為維吾爾男性以偽裝的拐杖為武器混過安檢飛機(jī)起飛后拆卸拐杖,得到兇器飛機(jī)起飛后實(shí)施劫機(jī)行為2/3/2023Confidential|Copyright2012TrendMicroInc.182012年629新疆東突劫機(jī)案19APT攻擊的特點(diǎn)

攻擊有明確的目的攻擊代碼是全新的,經(jīng)過“反安全”考驗(yàn)攻擊一般由滲透開始,由內(nèi)而外滲透經(jīng)常采用社交工程學(xué)原理攻擊行為帶有連續(xù)性特征

20攻擊者帶有惡意附件的

社交工程郵件惡意C&C站點(diǎn)安博士(Ahnlab)更新服務(wù)器刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務(wù)器區(qū)Windows終端受害企業(yè)郵件成本低,且今日企業(yè)業(yè)務(wù)運(yùn)行無法缺乏郵件攻擊手法1:社交工程郵件InternalUseOnly攻擊手法2:水坑攻擊21攻擊者惡意C&C站點(diǎn)安博士(Ahnlab)更新服務(wù)器攻擊者利用合法更新機(jī)制將破壞性惡意程序快速部署到終端刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務(wù)器區(qū)Windows終端受害企業(yè)通常情況下,連接服務(wù)器需要輸入賬號和密碼。但是安博士的APC服務(wù)器是無需輸入賬號和密碼即可連接的不合格產(chǎn)品InternalUseOnly攻擊手法3:多樣化的定制惡意程序22攻擊者惡意C&C站點(diǎn)安博士(Ahnlab)更新服務(wù)器刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務(wù)器區(qū)Windows終端受害企業(yè)攻擊者為目標(biāo)環(huán)境定制惡意程序。共使用76種惡意程序,其中9種是破壞性代碼,其余67種的用途是事前滲透和監(jiān)視InternalUseOnly攻擊手法4:對服務(wù)器的定制攻擊23攻擊者惡意C&C站點(diǎn)安博士(Ahnlab)更新服務(wù)器刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務(wù)器區(qū)Windows終端受害企業(yè)取得終端上留存的服務(wù)器登入信息,進(jìn)行遠(yuǎn)程攻擊攻擊者充分了解目標(biāo)使用作業(yè)系統(tǒng),針對不同版本Unix或Linux服務(wù)器撰寫破壞性惡意程序,意圖中斷重要IT業(yè)務(wù)服務(wù)針對性攻擊的防護(hù)困難點(diǎn)針對性、定制化的攻擊針對攻擊目標(biāo)環(huán)境針對攻擊目標(biāo)的防護(hù)機(jī)制客制化的惡意軟件攻擊目標(biāo)明確量小不易發(fā)覺攻擊樣本難以取得長期、不間斷的糾纏落葉掃不盡,秋風(fēng)吹又堆只要攻擊者不放棄,威脅一直持續(xù)存在現(xiàn)有安全防護(hù)為何不足?社交工程郵件制作精巧,寄送數(shù)量少,甚至發(fā)送自信任的聯(lián)絡(luò)人,不會被認(rèn)為是垃圾郵件邊界安全設(shè)備(如防火墻、IPS等)大多針對由外向內(nèi)的攻擊,郵件、U盤、移動設(shè)備等能夠輕易繞過這些防御,直接進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部攻擊者多使用未知惡意程序,以特征碼比對為基礎(chǔ)的安全產(chǎn)品無法辨識惡意程序多由內(nèi)向外發(fā)起惡意通訊,頻率低,入侵防御設(shè)備難以發(fā)現(xiàn)異常當(dāng)攻擊者取得內(nèi)部員工賬號密碼,合法登入服務(wù)器原則上不會被記錄傳統(tǒng)的規(guī)則庫、代碼庫比對無法應(yīng)對定制化攻擊云計(jì)算安全設(shè)計(jì)國家戰(zhàn)略2/3/2023Confidential|Copyright2012TrendMicroInc.161、2、實(shí)時(shí)分析系統(tǒng):

沙盒27惡意代碼hash值惡意代碼URL惡意代碼連接地址

各種日志數(shù)據(jù)網(wǎng)絡(luò)封包信息等等EXELNKVBSSWFPDFRTFDOCPPTXLSEtc…支持文件格式文檔系統(tǒng)變動,網(wǎng)絡(luò)封包程序調(diào)用分析500+基準(zhǔn)規(guī)則虛擬環(huán)境注冊表探針內(nèi)存探針網(wǎng)絡(luò)活動探針文件系統(tǒng)探針程序探針加入TDA偵測規(guī)則中(C&CIP,SHA1/IP/Port/URL)2/3/202328Confidential|Copyright2012TrendMicroInc.威脅行為總覽連接惡意站點(diǎn)連接未評測站點(diǎn)連接高度可疑站點(diǎn)連接可疑站點(diǎn)連接已知命令與控制服務(wù)器可疑DDoS行為可疑僵尸行為文檔頭含有可執(zhí)行代碼生成執(zhí)行文件反查殺,自我保護(hù)自動執(zhí)行或更改系統(tǒng)配置欺瞞,社會工程學(xué)下載、分享或復(fù)制文件間諜行為、重定向或資料竊取異?;蚝幸阎獝阂廛浖卣餍薷倪M(jìn)程、服務(wù)或內(nèi)存Rootkit,偽裝可疑網(wǎng)絡(luò)通訊行為通過文件或代碼整個(gè)生命周期內(nèi)將會執(zhí)行的動作判斷其危害性?。?!TDA專家系統(tǒng):云安全百科介紹云安全百科MTSSPNCensusWRSThreatWrite-upTEFRSCharon威脅行為分析文件系統(tǒng)監(jiān)控注冊表監(jiān)控Windows服務(wù)監(jiān)控網(wǎng)絡(luò)報(bào)文捕獲Rootkit行為屏幕截圖首次發(fā)現(xiàn)事件最后發(fā)現(xiàn)時(shí)間流行度感染區(qū)域國家分布行業(yè)分布常用文件名常見文件路徑感染平臺信息漏洞信息威脅概要惡意軟件家族威脅變種相關(guān)博客鏈接相關(guān)威脅新聞相關(guān)垃圾郵件潛在威脅等級潛在分布感染途徑病毒名稱病毒庫版本與發(fā)布爾日期病毒別名網(wǎng)絡(luò)詳細(xì)信譽(yù)度信息每天處理超過1.9TB的數(shù)據(jù)每天從使用云安全的客戶那里接受超過290億次判斷請求每天阻攔超過40億個(gè)安全威脅每天分析超過3億個(gè)網(wǎng)址每小時(shí)對超過400萬個(gè)域名,IP地址和主機(jī)給出信譽(yù)評價(jià)每天找出超過1500萬個(gè)攻擊行為的垃圾郵件和釣魚/掛馬網(wǎng)站每天收到超過4億5000萬次文件分析請求每天阻攔超過80萬個(gè)惡意文件每天從超過6千萬個(gè)節(jié)點(diǎn)獲得信息反饋依靠大數(shù)據(jù)技術(shù),趨勢科技“安全云”每天接觸、審判幾十億個(gè)“罪犯”,精通所有壞人的“共性”,確保TDA沙盒系統(tǒng)的判斷規(guī)則庫“精確而全面”趨勢科技云安全解決之道虛擬化引入的安全威脅的解決之道--趨勢科技深度防護(hù)Hypervisor脆弱性引入的安全威脅虛擬機(jī)管理過程中引入的安全威脅多租戶引入的安全威脅的解決之道--趨勢科技TDA多租戶網(wǎng)絡(luò)物理融合引入的安全威脅多租戶數(shù)據(jù)集中存儲引入的安全威脅2/3/2023Confidential|Copyright2012TrendMicroInc.20HyperVisor不是安全的隔離手段,有些系統(tǒng)管理員利用VLAN來管理虛擬服務(wù)器,但Gartner副總裁兼院士級分析師NeilMacDonald明確指出:“VLAN和路由接入控制對于安全隔離來說都不夠充分?!盙artner出版的指南要求,必須部署某類虛擬化防火墻。NSSLabs–Q114全球第一服務(wù)反應(yīng)速度Confidential|Copyright2014TrendMicroInc.Source:https:///reports/consumer-endpoint-protection-comparative-analysis-report-socially-engineered-malware

Confidential|Copyright2014TrendMicroInc.SmartProtecti

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論