虚拟化安全介绍ppt课件

虚拟化、云计算安全介绍,虚拟化,1,.,产品及原理介绍,产品及原理介绍,2,.,安全软件部署成本过高,沿用传统的有代理模式，在每个虚拟机上安装安全软件耗费了大部分的系统资源，造成虚拟机密度极具降低，大幅度的增加了数据中心的建设成本。,边界消失带来的安全防护盲点,由于云计算边界消失的问题，数据中心内部“东西向”威胁成为主要的安全问题。传统的安全设备更偏向“南北向”内外网的防护，无法保障数据中心安全。,层出不穷的“未知威胁”,由于数据中心的数据集中存放，成为黑客“高价值”的猎物。攻击者为了获取数据，针对数据中心的安全漏洞，不断变换攻击方法，现有的“基于特征库”的安全软件对此失效。,客户面临的主要安全问题,安全运维困难,根据等保规范，配置了许多不同厂商的安全产品。由于产品间缺乏联动和统一管理，管理成本很高，但收效甚微。,3,.,什么是无代理安全,“无代理安全”，无需在虚拟机内部安装安全软件，而在宿主机的虚拟化层进行安全防护。其特点是耗费系统资源极小，不会对数据中心的业务造成影响。可以大幅度降低数据中心的建设成本。,4,.,为什么要选用无代理安全,相比传统的安全方案的优势：分布式的防火墙、入侵防御等网络防护，部署在每个计算节点上安全软件替代中心部署的高性能硬件设备，提供更高的可靠性和扩展性，同时也极大的降低了安全成本。,1,2,3,4,5,不仅提供“南北向”内外网的安全，也能防护数据中心内部“东西向”的威胁。,相比SDN的网络安全方案，不改变网络架构，没有流量牵引检测的网络带宽损耗。,无代理恶意软件防护，极大的降低了安全软件的资源损耗，降低了数据中心的建设成本。,智能安全防护，可以根据虚拟机内部安装的软件及系统，动态的调整安全防护策略。,5,.,网络部署架构,6,.,“无代理安全”架构，在虚拟机外部的虚拟化层提供防护，大幅度节省系统资源，可将虚拟机的密度提升300%以上。,360虚拟化防护系统,统一的云安全管理平台，集中控管数据中心安全,及时发现未知威胁，可以对行为数据进行多维度的分析，支持数据挖掘。,海量数据处理能力，将虚拟机的安全日志、行为数据发送管理中心进行大数据分析，可视化的展示。,支持几乎所有的云计算、虚拟化平台,1,2,3,4,5,7,.,主要的安全功能,恶意代码防护,防火墙,DDos防护,入侵防御,可视化数据分析,应用控制,安全态势感知,进程管控,8,.,VMware支持,9,.,OpenStack+KVM支持,控制节点,MariaDB,RabbitMessageMQ,Keystone,Glance,NovaManage,NeutronServer,Horizon,支持服务,基本服务,Cinder,Swift,Heat,Ceilometer,可选的服务,管理网络,MariaDB,RabbitMessageMQ,支持服务,网络接口,网络节点,MariaDB,网络基本服务,管理网络,私有网络,ML2Plugin,网络接口,Laye3Agent,DHCPAgent,外部网络,计算节点,安全,文件安全组件,管理组件,网络安全组件,计算,QEMU,安全设备,网络,Layer2Agent(OVS),网络安全插件,网络接口,管理网络,私有网络,Layer2Agent(OVS),APP,OS,APP,OS,APP,OS,APP,OS,安全特征库,安全信誉服务,管理中心,单点登录,10,.,CitrixXenServer支持,安全特征库,11,.,安全态势感知,大屏实时显示数据中心的运维状况实时的网络分析，包括流量、连接统计流量的地理位置分析安全威胁的地理位置动态展示数据中心流量及威胁的统计数据详细的安全事件日志,1,2,3,4,5,12,.,恶意软件防护,无需安装软件客户端的模式下保护虚拟机，防止其受病毒、间谍软件、木马和其他恶意软件的侵害。文件系统的实时防护，快速、全盘两种手工文件检测方式。感染的文件在虚拟机内部隔离。除去这台虚拟机的用户，其他用户无权限读取隔离文件，防止数据泄露问题。高效的缓存机制，避免不同虚拟机内部的相同文件被重复检测。优化安全操作的资源调度，以避免全系统扫描时出现常见的防病毒风暴。恶意代码特征库的自动更新。,1,2,3,4,5,6,13,.,应用控制,三至七层应用防火墙，不仅可以配置传统的基于IP及端口的防火墙策略，也可以配置基于网络应用的策略。2500多种国内主要网络应用的内容解析及精确识别。上网行为管理，可以针对每个虚拟机用户统一配置管理策略；阻止、放行特定的应用程序，提高工作效率。自动更新应用解析的规则库，不断增加新应用的支持。,1,2,3,4,14,.,防火墙、DDoS防护,主机防火墙，配置传基于IP及端口的防火墙策略。同时支持内外网（南北向）、内部（东西向）的网络隔离。无需额外设备和网络调整，可以有效抵御SYNflood，ACKflood，UDPflood，ICMPflood等攻击配置简单，按照每秒请求流量和报文数量设置阈值，超过阈值时触发流量清洗可以对计算机配置不同的防护规则，DDoS防护不会相互影响不仅可以防护计算机与外网间的南北向流量，还可以防护内网的东西向流量,1,2,3,4,5,6,15,.,入侵防御,对已知的漏洞进行虚拟修补，在虚拟机系统及应用不进行安全补丁升级的情况下，防御针对漏洞的攻击。防护SQL注入，跨站脚本攻击及其他的利用Web应用程序漏洞的攻击。7000多种针对系统漏洞的入侵检测规则。系统自动侦测虚拟机系统的内容，动态的调整用于检测的入侵检测的规则库，提高检测的效率。自动更新功能，及时防御针对最新漏洞的攻击。,1,2,3,4,5,16,.,进程管控,进程监控模式可以记录进程运行历史，方便建立基准规则支持根据进程路径和进程名制定规则，并预置操作系统信任进程列表支持白名单和黑名单方式，可针对不同的用户场景灵活配置管控规则未被允许的进程将无法使用，彻底阻止勒索软件或其他恶意软件执行支持无代理和有代理部署，可支持Windows和Linux操作系统,1,2,3,4,5,17,.,可视化数据分析,支持海量的访问日志、文件安全、防火墙、入侵检测日志数据的处理。以虚拟机、操作系统、应用程序、攻击类型、恶意代码类型、时间等多个维度对文件、网络的海量安全数据进行关联性分析；并辅以多种图表形式，对同一数据进行描述，便于用户理解。支持安全事件的数据挖掘，便于管理人员及时准确的找到攻击源，阻断安全威胁。通过对行为数据的分析，快速定位未知威胁。,1,2,3,4,18,.,支持的平台,19,.,WanaCrypt防护,除了杀毒软件，还能做些什么？,20,.,WanaCrypt0r感染流程,利用漏洞进入主机，目标未安装ms17-010补丁的PC(winxp-win8.1),1,2,执行payload，释放资源，执行mssecsvc.exe（母体）,3,扫描其他漏洞主机，利用ms17-010网络感染其他主机，实现大规模传播,4,解压释放敲诈者模块及配置文件，执行加密流程,21,.,分析样本信息,样本下载：https:/mega.nz/#!VRtRAaZD!BNcDDAsSSAyb7k3IBdTyy1E1CrOBF5RqVf7MlIFucEI解压密码：hackerhouse影响面：除Windows10外，所有未打MS-17-010补丁的Windows系统都可能被攻击功能：WannaCry利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具，进行网络端口扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快速扩散。母体为mssecsvc.exe，运行后会扫描随机ip的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播，此外会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。加密使用AES加密文件，并使用非对称加密算法RSA2048加密随机密钥，每个文件使用一个随机密钥，理论上不可破解,22,.,修复对于云计算资源池的影响,修复建议关闭135、137、139、445，3389端口2.安装MS17-010补丁修复后，云计算资源池可能彻底不工作，因为137、138端口都属于UDP端口，它们在局域网中相互传输文件信息时，就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能139端口，NetBIOS文件及打印共享服务，关闭意味着没法使用文件及打印机共享功能。445端口，通用Internet文件系统，在windows主机之间进行网络文件共享是通过使用微软公司自己的CIFS服务实现。3389端口，远程桌面的服务端口，关闭它意味着桌面云的基础共享桌面没法实现了,23,.,我们其实能做的更多,微隔离，内网东西的网络隔离策略，保证云计算服务正常运行的情况下，最大限度的避免病毒及威胁的全网传播。虚拟补丁，针对漏洞的特征，安全公司在最短的时间内制作主机入侵防御规则，阻止针对漏洞的攻击行为。虚拟补丁对以下场景有效零日攻击，漏洞爆出后第一时间，阻断可能的攻击行为。厂商不再做支持的老产品生产环境下无法及时升级安全补丁的系统数据分析和回溯，根据行为特征找到攻击源头。严格的进程管控策略，设定主机上可以执行的程序的白名单，禁止未经授权的程序运行。,24,.,防火墙的微隔离,严格的内网访问策略，关键的端口和服务只开放给授权的机器。对于采用多租服务的云计算资源池，可以有效的保障关键服务的安全。对于蠕虫病毒，可以有效的控制感染的范围，同时又有保障关键业务的连通性。,25,.,主机的虚拟补丁功能,主机的入侵防御功能，在漏洞公布的第一时间在线更新漏洞的特征库，阻止利用漏洞的攻击行为WanaCrypt使用的漏洞，在4月14日公布，4月15日虚拟补丁已经制作完成。如果用户部署了入侵防御功能，将可以阻断病毒的传播，并且能够防御接下来利用同一漏洞的病毒的变种。,26,.,可视化的行为分析及预警,安全组件将网络的行为发送到管理中心进行可视化的分析，对