虚拟化安全管理系统轻代理V70技术白皮书xxx0330.docx
《虚拟化安全管理系统轻代理V70技术白皮书xxx0330.docx》由会员分享,可在线阅读,更多相关《虚拟化安全管理系统轻代理V70技术白皮书xxx0330.docx(12页珍藏版)》请在冰豆网上搜索。
虚拟化安全管理系统轻代理V70技术白皮书xxx0330
虚拟化安全管理系统(轻代理)V7.0_技术白皮书_xxx0330
虚拟化安全管理系统V7.0(轻代理)技术白皮书地址:
北京市西城区西直门外南路26号院1号邮编:
100044l版权声明本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容,除另有特别注明,版权均为奇安信集团(指包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司)所有,受到有关产权及版权法保护。
任何个人、机构未经奇安信集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。
修订记录修订日期修订内容修订人xxx.11.08新建云安全公司目录1.引言52.产品综述62.1.产品设计目标/产品价值62.1.1.产品设计目标62.1.2.产品价值62.2.产品原理介绍72.3.产品的组成和架构72.4.产品模块间数据流程描述82.5.产品组件规格说明83.功能模块详述103.1.防病毒模块103.1.1.防病毒模块设计目标/产品价值103.1.2.防病毒模块特点与优势说明103.1.3.防病毒模块详细功能介绍103.2.Webshell扫描模块113.2.1.Webshell扫描模块设计说明113.2.2.Webshell扫描模块特点与优势说明113.2.3.Webshell扫描模块功能详述113.3.安全基线模块113.3.1.安全基线模块设计说明113.3.2.安全基线模块特点与优势说明123.3.3.安全基线模块功能详述123.4.防暴力破解模块123.4.1.防暴力破解模块设计说明123.4.2.防暴力破解模块特点与优势说明123.4.3.防暴力破解模块功能详述123.5.防火墙/入侵防御模块133.5.1.防火墙/入侵防御模块设计说明133.5.2.防火墙/入侵防御模块性能说明133.5.3.防火墙/入侵防御模块特点与优势说明143.5.4.防火墙/入侵防御模块功能详述143.6.虚拟化加固模块153.6.1.虚拟化加固模块设计说明153.6.2.虚拟化加固模块特点与优势说明153.6.3.虚拟化加固模块功能详述153.7.网卡流量统计模块153.7.1.网卡流量统计模块设计说明153.7.2.网卡流量统计模块特点与优势说明153.7.3.网卡流量统计模块功能详述154.实施部署说明174.1.虚拟化环境部署174.1.1.部署说明174.1.2.所需设备说明174.1.3.所需通讯资源说明184.1.4.实施拓扑图194.2.混合虚拟化环境204.2.1.部署说明204.2.2.所需设备说明204.2.3.所需通信资源说明214.3.物理服务器环境部署224.3.1.部署说明224.3.2.所需设备说明224.3.3.所需通信资源说明224.4.物理服务器环境和虚拟化环境混合部署234.4.1.部署说明234.4.2.所需设备说明244.4.3.所需通讯资源说明241.引言随着我国信息化进程的不断发展,云计算等技术迅速兴起,已在深刻改变传统的IT基础设施、应用、数据以及IT运营管理。
同时,新的技术出现也在考验原有安全防护体系。
首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全监测和安全运维等许多方面。
其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了信息机遇,也推进了安全服务内容、实现机制和交付方式的创新和发展。
虚拟化作为云计算的支撑技术,虚拟化的安全便是云计算安全的核心因素,随着虚拟化的逐渐普及,虚拟化及云计算面临的安全问题也越来越多,主要有以下几方面:
多虚拟化平台安全无法统一管理:
由于虚拟化建设过程中思路不尽相同,这使得企业最终的虚拟化环境错综复杂:
物理服务器与虚拟服务器共存、多种虚拟化平台、多种虚拟操作系统、多种系统应用。
在安全统一管理的要求下,这需要虚拟化安全管理系统在这种复杂情况下具备较高的兼容能力,对复杂环境进行统一管理,了解全网安全态势,从而进行针对性的规划与策略配置。
主机的木马、病毒、后门文件的风险:
第一,传统防病毒安全软件依靠已知病毒特征样本对所有文件进行详细的扫描与分析,准确率依赖于病毒样本库的覆盖面和规模,并且占用过多的物理机CPU、内存,效果差强人意。
第二,对于APT攻击束手无策。
APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击,且具有持续性及隐蔽性。
第三,传统杀毒软件不支持对于网站后门文件的扫描,无法对其进行防范。
此外,虚拟化数据中心还面临扫描风暴、杀毒风暴、升级风暴等问题。
奇安信集团从虚拟化底层的安全性出发,通过对虚拟化数据中心的特殊性研究,研发了虚拟化安全管理系统,旨在保证企业业务系统的连续性与稳定性。
2.产品综述2.1.产品设计目标/产品价值虚拟化安全管理系统旨在解决企业虚拟化环境下的安全问题,提供对宿主机、虚拟机、虚拟机应用的三层防护能力,采用低耗的技术架构,全面兼容企业物理和虚拟环境,保障企业业务系统的稳定性和连续性,为用户提供一套可跨多种虚拟化平台、具备强大防护能力的虚拟化安全解决方案。
2.1.1.产品设计目标2.1.1.1.解决病毒、木马的问题随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。
虚拟化安全管理系统集成了奇安信集团强大的杀毒模块,拥有启发引擎、脚本引擎、云查杀引擎等多种引擎,可对各种新兴变种病毒进行有效查杀与隔离。
2.1.1.2.解决多平台安全统一管理问题企业数据中心环境错综复杂:
多种虚拟化平台,多种虚拟机操作系统,物理、虚拟服务器共存,这要求安全软件具备极强的适应性、扩展性、稳定性。
虚拟化安全管理系统具有强大的环境兼容能力,可支持各种虚拟化平台以及虚拟机操作系统,并且可以对物理服务器、虚拟服务器进行统一的安全管理。
2.1.2.产品价值2.1.2.1.APT攻击防护虚拟化安全管理系统启发引擎是基于特征扫描技术的升级,在原有的特征值识别技术基础上,将反病毒样本分析专家总结的可疑程序样本经验移植到反病毒程序中,根据反编译后的程序所调用的win32函数情况来判断程序是否为病毒、恶意软件,以达到防御未知病毒、恶意软件、变形木马的目的。
2.1.2.2.全网态势监控虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统,可对物理资源池、虚拟资源池、云资源池进行统一的安全防护与集中管理,对宿主机、虚拟机、虚拟机应用提供三层防护安全架构,具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。
由于系统具有极好的兼容特性,面对复杂的企业环境,运维人员所有的操作只需要在管理控制中心上进行,时刻了解全网安全态势。
2.1.2.3.策略漂移绑定在虚拟化资源池中由于虚拟机资源的弹性可变,因此经常发生由于资源枯竭等原因导致的虚拟机从不同的安全域之间反复漂移的情况。
轻代理根植于虚拟机本身,安全策略和虚拟机无缝结合,无论虚拟机漂移至虚拟化资源池中的任何宿主机均可保证虚拟机防护策略稳定有效。
2.2.产品原理介绍虚拟化安全管理系统将安全防护功能实现在安全轻代理,安全轻代理安装在需要安全防护的主机上,并通过与控制中心之间的网络通讯实现统一管理。
控制中心还可以调用虚拟化平台的API将客户的虚拟化结构导入虚拟化安全管理系统之中,保持与虚拟化平台的结构统一。
2.3.产品的组成和架构虚拟化安全管理系统,由控制中心和轻代理两部分构成。
控制中心控制中心是虚拟化安全的管理台,部署在虚拟服务器或物理服务器,采用B/S架构,可以随时随地通过浏览器打开访问。
主要负责主机分组管理、策略制定下发、统一扫描、升级以及各种报表查询等。
轻代理部署在需要被保护的主机上,执行最终的杀毒扫描、升级等操作,并向安全控制中心发送相应的安全数据。
2.4.产品模块间数据流程描述虚拟化安全管理系统分为两大模块:
控制中心、轻代理。
模块间通讯流程图如下:
模块间通讯流程控制中心是虚拟化安全管理系统的管理中心,对轻代理集中管理,可进行策略下发、功能开启/关闭、升级包/病毒库推送等动作。
轻代理是主机防护模块,执行防护操作,对控制中心上报日志或任务结果。
轻代理的升级分为主程序升级、病毒库升级和webshell引擎升级。
其中,主程序、病毒库、webshell引擎升级时,需连接至控制中心。
控制中心会定期从奇安信云端服务器或者其他上级控制中心获取升级数据。
2.5.产品组件规格说明虚拟化安全管理系统支持的虚拟化平台列表如下:
支持的虚拟化平台VMwarevCenterCitrixXenServerH3CCASHyper-VHuaweiFusionSphere东方通虚拟化各组件建议配置要求:
组件支持操作系统CPU内存磁盘管理控制中心CentOS6.864bit4CORE16G>500G轻代理WindowsServer200332bitWindowsServer200364bitWindowsServer200832bitWindowsServer200864bitWindowsServer2008r264bitWindowsServer201264bitWindowsServer2012R264bitCentOS564bitCentOS664bitCentOS764bitRedhat564bitRedhat664bitRedhat764bitUbuntu1064bitUbuntu1264bitUbuntu1464bitSuSE964bitSuSE1064bitSuSE1164bitDebian964bitOracleLinux664bitAsianux364bitAsianux464bitDeepin15.164bitNeoKylin6.764bitNeoKylin7.064bit1CORE1G>20G具体内容,请参照《安装环境要求手册》。
3.功能模块详述3.1.防病毒模块3.1.1.防病毒模块设计目标/产品价值随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。
虚拟化安全管理系统集成了奇安信强大的杀毒模块,拥有启发引擎、脚本引擎、云查杀引擎等多种引擎,可对各种新兴变种病毒进行有效查杀与隔离。
虚拟化系统防病毒组件,通过在主机机器上安装一个主机安全代理软件,有效查杀主机上的文件、内存、进程中的恶意程序。
管理员可以通过控制中心对主机进行统一的病毒查杀管理,制定定时查杀任务,辅以我们的主动防护引擎和文件监控模块,确保虚拟化的网络安全。
3.1.2.防病毒模块特点与优势说明本产品站在特殊而复杂的企业内网环境的角度,以奇安信积累多年的奇安信杀毒技术为核心,辅以实时全面的日志上报分析能力,提供管理员对内网安全性一站式解决方案。
奇安信依靠多年在杀毒领域的技术积累,自主开发出了云查杀引擎、启发引擎、脚本引擎等杀毒引擎,各引擎在运行时可进行数据交互,对主机进行扫描结果缓存共享,在整个数据中心进行增量扫描从而提高扫描效率。
3.1.3.防病毒模块详细功能介绍快速扫描:
快速扫描系统目录、系统启动项、浏览器配置、系统登录和服务、文件和系统内存;全盘扫描:
扫描所有磁盘(当前所有挂载的)目录的文件;强大查杀:
自定义指定扫描引擎、扫描目录等进行更高效率的查杀扫描;隔离区恢复:
对主机隔离区指定时间段,指定文件路径或者文件名或者病毒文件进行恢复,恢复到原始路径。
主动防御:
通过主动防御引擎实时监测系统变化,第一时间有效防护系统。
定时查杀:
对主机进行定时扫描,降低管理员的工作量。
3.2.Webshell扫描模块3.2.1.Webshell扫描模块设计说明为更好的防护黑客攻击,降低运维成本,虚拟化安全管理系统集成了奇安信自研的webshell扫描引擎,可对各种网站后门文件进行扫描与隔离。
WebShell引擎包含了40万以上的网站后门样本和大量的后门特征码,双重机制保证对于样本的有效检测与查杀。
奇安信云端通过机器学习对WebShell引擎进行更新。
管理员可以通过控制中心对主机进行统一的webshell扫描,制定定时扫描任务。
3.2.2.Webshell扫描模块特点与优势说明本产品站在特殊而复杂的企业虚拟化环境的角度,以奇安信积累多年的webshell技术为核心,辅以奇安信自研的webshell扫描引擎和实时全面的日志上报分析能力,通过强大样本库、特征库、机器学习引擎保证强大的检测查杀能力,提供管理员对虚拟化安全性一站式解决方案。
3.2.3.Webshell扫描模块功能详述Webshell扫描:
扫描主机WEB服务目录中的文件是否存在后门。
Webshell隔离:
将扫描结果中带有后门的文件隔离Webshell删除:
对主机隔离区中的指定文件进行删除。
Webshell加白:
可以将扫描结果中的文件加白,也可将选定文件加白3.3.安全基线模块3.3.1.安全基线模块设计说明在宿主机及云主机内扫描设定的检查项,对不合规项进行统计上报,同时系统给出相应的建议操作,保障云环境的安全合规。
3.3.2.安全基线模块特点与优势说明安全基线模块针对Linux和Windows操作系统制定不同的扫描项,对操作系统上不合理的系统配置,参数配置等进行全面安全基线扫描,给出综合分数,可以直观了解当前安全状态,并可以对扫描结果进行一键修复。
3.3.3.安全基线模块功能详述基线扫描:
扫描系统的系统配置、参数、弱口令,得到系统相关内容的合规状态,并给出修复意见系统加固:
修复基线扫描出的问题3.4.防暴力破解模块3.4.1.防暴力破解模块设计说明随着网络入侵事件的不断增加以及黑客攻击水平的不断提高,主机受到暴力破解的威胁越来越多。
针对这一背景,虚拟化安全管理系统推出防暴力破解功能,意在帮助客户第一时间防御主机受到的暴力破解行为,保护虚拟化环境中的主机安全。
3.4.2.防暴力破解模块特点与优势说明用户可以灵活地自定义防护配置,有效防御远程桌面和SSH登录的暴力破解,保障主机的安全。
3.4.3.防暴力破解模块功能详述拦截暴力破解:
对暴力破解行为进行检测,并对触发主机防暴力破解规则的行为进行拦截。
IP黑名单:
自动拦截对添加至IP黑名单中的IP进行拦截。
IP白名单:
对于添加至IP白名单中的IP直接放行。
3.5.防火墙/入侵防御模块3.5.1.防火墙/入侵防御模块设计说明随着网络入侵事件的不断增加以及黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的次数日益增加,遭受攻击及时响应的时间越来越滞后。
针对这一背景,虚拟化安全管理系统推出入侵防御功能,意在帮助企业第一时间防御新型漏洞、病毒攻击,阻拦可疑的行为,保护企业网络免受攻击。
3.5.2.防火墙/入侵防御模块性能说明此部分性能说明,将按Windows和Linux两个方面进行说明。
此种情况下,客户端被安装在一个装有http服务的服务器中,打开网页等为从其它服务器访问此服务器的性能。
Linux服务器:
日常使用场景中资源消耗情况分析CPU消耗开启防火墙/入侵防御未开启防火墙/入侵防御下载大文件13.04%17.76%打开网站2.36%2.02%内存消耗开启防火墙/入侵防御未开启防火墙/入侵防御下载大文件71.60MB54.83MB打开网站20.964MB20.968MB磁盘IO消耗开启防火墙/入侵防御未开启防火墙/入侵防御下载大文件103.84MB/s104.86MB/s打开网站16kB/s5kB/s网络IO消耗开启防火墙/入侵防御未开启防火墙/入侵防御下载大文件104.86MB/s63.81MB/s打开网站183kB/s131kB/s说明:
开启防火墙/入侵防御功能前后,CPU消耗仅有0.5%-3%的差异,内存消耗仅有1MB-7MB的差异,IO消耗仅有10KB/s-20KB/s的差异日常使用场景中可忽略影响。
对网络速度的影响a)从http服务器(172.22.26.12)下载文件的速度,文件大小2.5Gurl:
http:
//172.22.26.12/XenApp_and_XenDesktop7_6.iso未开启防火墙/入侵防御开启防火墙/入侵防御下载时间57秒59秒下载速度44.6MB/s44.0MB/sb)从文件共享服务器(172.22.131.40)拷贝文件到本地的速度local:
\\172.22.131.40\newa\pl\XenApp_and_XenDesktop7_6.iso 未开启防火墙/入侵防御开启防火墙/入侵防御下载时间4分9秒4分下载速度10.2MB/s10.5MB/s说明:
开启防火墙/入侵防御功能前后,对系统网络的影响不大。
3.5.3.防火墙/入侵防御模块特点与优势说明防火墙功能可以令用户基于协议,源IP,源端口,目的IP,目的端口等条件灵活自定义安全访问控制策略,实现零信任的安全防护。
入侵防御功能通过DPI数据包检测技术,对进出服务器的网络流量进行鉴别,可以极大提高对漏洞攻击的防御以及可疑行为的拦截能力。
3.5.4.防火墙/入侵防御模块功能详述入侵攻击防御:
针对不同分组设备创建不同的入侵防御模板,在不同模板中添加相应的防御规则;主机防火墙:
针对不同的安全要求设置防火墙的策略,保护主机免受网络攻击、端口扫描等;3.6.虚拟化加固模块3.6.1.虚拟化加固模块设计说明随着虚拟化技术的普及,虚拟化逃逸成为一大类新的安全隐患。
为了防范这类安全隐患的发生,虚拟化安全管理平台开发了虚拟化加固的功能,以解决此问题。
3.6.2.虚拟化加固模块特点与优势说明依靠奇安信强大的虚拟化漏洞挖掘能力,奇安信研发了虚拟化加固引擎,它通过海量样本特征和恶意行为分析引擎可以有效防护虚拟机逃逸、恶意破坏Hypervisor等行为,独家实现Hypervisor层的安全防护。
3.6.3.虚拟化加固模块功能详述虚拟化加固:
可对指定主机进行虚拟化加固功能的一键开关操作。
虚拟化加固黑白名单:
将可执行程序加入黑白名单中,加入黑名单的程序将被直接拦截,加入白名单的可执行程序直接被放行。
3.7.网卡流量统计模块3.7.1.网卡流量统计模块设计说明在日常的管理工作中,管理员需要定期关注主机的流量变化,以便发现主机的异常问题,并进行及时处理。
基于此类情况,虚拟化安全开发了网卡流量统计的功能,以方便管理员更便捷的进行主机流量的管理。
3.7.2.网卡流量统计模块特点与优势说明网卡流量统计模块可以使管理员在控制中心清楚直观地查看各个主机网卡的流量情况,实现各主机流量的统一管理查看,极大地减少运维成本。
3.7.3.网卡流量统计模块功能详述网卡流量实时监控:
对指定主机的监控功能进行批量开关;主机流量趋势图:
查看主机在指定时间段内的网卡出入流量统计;4.实施部署说明虚拟化安全管理系统可以部署在多种不同环境之中,根据大量用户现有数据中心服务器情况,归纳出四种典型的部署场景进行详细部署说明,四种典型的场景如下:
u虚拟化环境部署u混合环境部署u物理服务器环境部署u物理服务器环境和虚拟化环境混合部署4.1.虚拟化环境部署4.1.1.部署说明本章以在50台宿主机的1500台虚拟机的VMware环境上部署虚拟化安全管理系统为例,详细介绍虚拟化安全管理系统部署前所需准备的内容,以及虚拟化管理系统相关组件安装的步骤和安装后的成功与否的验证步骤。
通过阅读本章节的内容,能在此类虚拟化环境下顺利的安装部署虚拟化安全管理系统。
4.1.2.所需设备说明4.1.2.1.软件环境准备在虚拟化环境部署虚拟化安全管理系统,需准备如下软件内容:
类别组件名称模块名称准备内容虚拟化平台虚拟化平台vCenterServerIP地址账号及密码虚拟化安全软件控制中心虚拟化全控制管理中心虚拟化安全管理系统安装程序4.1.2.2.硬件环境准备在虚拟化环境下要成功安装虚拟化安全管理系统,需准备如下硬件内容:
类型数量用途所需资源备注虚拟机1台部署虚化安全管理控制中心操作系统:
CentOS6.8VM和OS需提前开通cpu:
不低于2Core2.4Ghz内存:
不低于8GB硬盘:
不低于500GB4.1.3.所需通讯资源说明4.1.3.1.IP地址分配在现有的虚拟化环境基础上需准备以下的IP地址资源:
名称需求备注虚拟化安全管理控制中心IP地址(ipv4)4.1.3.2.网络端口开发要求类型源IP源端口目的IP目的端口功能服务器anyany控制中心8443访问控制中心服务器控制中心any外网升级服务器80更新控制中心数据服务器控制中心any私有云鉴定中心私有云鉴定中心连接鉴定中心agent主机any控制中心8080心跳、任务、云查等agent主机any控制中心8090心跳、任务、云查等控制台连接虚拟平台端口:
虚拟化平台端口协议vmware443httpsHyper-V135tcpCitrixXenServer443httpsH3CCAS8080http华为7443https东方通443https网络互连资源:
网络互联示意图如下图所示:
虚拟化安全管理系统与虚拟化管理平台、互联网、管理员间的网络互连如上图所示,各组件间的通讯说明如下:
a)虚拟化安全管理控制中心与互联网通讯,目的是连接奇安信互联网中心升级病毒特征库和进行病毒文件鉴定。
b)虚拟化安全管理控制中心与VMwarevCenter通讯,目的是获取虚拟化平台的组织架构,包含宿主机相关信息、虚拟化系统相关信息,以及虚拟化平台的管理组织结构等内容,便于安全管理员在虚拟化安全管理中心管理虚拟化安全策略。
c)虚拟化安全管理控制中心与轻代理通讯,目的是下发安全策略,扫描任务以及提供轻代理的病毒库、WebShell引擎等知识库的更新。
4.1.4.实施拓扑图虚拟化环境实施拓扑如下图所示:
4.2.混合虚拟化环境4.2.1.部署说明混合虚拟化环境即对不同的虚拟化平台混合进行管理的部署环境,以每平台一台宿主机并虚拟30台虚拟机为例介绍,此方式与虚拟化环境部署步骤唯一不同点是与虚拟化管理控制中心集成步骤不同,本节将主要介绍差异化部署内容。
4.2.2.所需设备说明软件环境准备:
混合虚拟化环境下要成功安装虚拟化安全管理系统,需准备如下软件内容:
类别组件名称产品名称准备内容虚拟化平台虚拟化平台VMwarevCenterCi
升级会员 