2015101360虛擬化安全管理系統(tǒng)-產(chǎn)品白皮書v2

1、360虛擬化安全管理系統(tǒng)V6.2?2016360企業(yè)安全集團(tuán)版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明外，所有版權(quán)均屬360企業(yè)安全集團(tuán)所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)360企業(yè)安全集團(tuán)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目錄|Contents1 .引言-2-2 .云計(jì)算安全-2-2.1 云計(jì)算安全范疇-2-2.2 虛擬化現(xiàn)狀與安全挑戰(zhàn)-2-3 .360虛擬化安全管理系統(tǒng)簡(jiǎn)介-3-3.1 產(chǎn)品概述-3-3.2 產(chǎn)品架構(gòu)-4-3.3 部署拓?fù)?5-4 .主要功能-5-4.1 多引擎病毒查殺-5-4.2 虛擬補(bǔ)丁-

2、5-4.3 虛擬化防火墻-6-4.4 威脅情報(bào)聯(lián)動(dòng)防御-6-4.5 宿主機(jī)防護(hù)-6-5 .優(yōu)秀特性-7-5.1 強(qiáng)大的跨平臺(tái)防護(hù)能力Powerfulcross-platformprotectionability-7-5.2 高效彳氐耗的查殺策略Highefficiencylowkillingstrategy-7-5.3 靈活的虛擬機(jī)漂移綁定Aflexiblevirtualmachinedriftbinding-7-5.4 有效的虛擬機(jī)訪問(wèn)控制Effectivevirtualmachineaccesscontrol-7-5.5 領(lǐng)先的Hypervisor防護(hù)LeadingtheHyperviso

3、rprotection-8-6 .客戶價(jià)值-8-6.1 混合環(huán)境統(tǒng)一管理-8-6.2 完善的立體防御體系-8-6.3 降低補(bǔ)丁修復(fù)成本-9-6.4 全面防護(hù)零日漏洞-9-7 .結(jié)語(yǔ)-9-引言云計(jì)算安全(cloudsecurity)是指云計(jì)算模式中的安全能力，是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)，在云計(jì)算的架構(gòu)下，云計(jì)算開放網(wǎng)絡(luò)和業(yè)務(wù)共享場(chǎng)景更加復(fù)雜多變，安全性方面的挑戰(zhàn)更加嚴(yán)峻，一些新型的安全問(wèn)題變得比較突出，如多個(gè)虛擬機(jī)租戶間并行業(yè)務(wù)的安全運(yùn)行、虛擬化底層的穩(wěn)定和延續(xù)性等。由于云計(jì)算采用了云服務(wù)模式，其基礎(chǔ)IT架構(gòu)發(fā)生了本質(zhì)的變化，傳統(tǒng)的IT安全方案無(wú)法對(duì)云計(jì)算環(huán)境提供有效的安全防護(hù)能力，因此企業(yè)應(yīng)

4、以新的思路來(lái)實(shí)現(xiàn)云計(jì)算環(huán)境的安全。2 .云計(jì)算安全2.1 云計(jì)算安全范疇針對(duì)云計(jì)算安全，需要考慮整體安全狀況態(tài)勢(shì)，以安全控制的手段在云計(jì)算建立過(guò)程中一層或多層上實(shí)現(xiàn)，包括IT設(shè)備的物理與網(wǎng)絡(luò)安全、系統(tǒng)安全、虛擬化安全、上層應(yīng)用安全等方面，此外，還包括人員、管理層面的安全控制。而虛擬化作為云計(jì)算的核心支撐技術(shù)，在考慮云計(jì)算安全的時(shí)，虛擬化的安全就成了優(yōu)先考慮的重點(diǎn)。2.2 虛擬化現(xiàn)狀與安全挑戰(zhàn)虛擬化軟件作為云計(jì)算的基礎(chǔ)架構(gòu)為虛擬化管理與虛擬化安全提供了一個(gè)良好的平臺(tái)，如著名的Xen、vSphere、Hyper-V等產(chǎn)品。上述虛擬化軟件利用運(yùn)行在物理服務(wù)器和操作系統(tǒng)之間的中間軟件層Hypervis

5、or,協(xié)調(diào)訪問(wèn)服務(wù)器上的所有物理設(shè)備和虛擬設(shè)備。Hypervisor也叫虛擬機(jī)監(jiān)視器(VirtualMachineMonitor),是這些虛擬化管理軟件的虛擬化技術(shù)核心。隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來(lái)越多的企業(yè)意識(shí)到Hypervisor安全是虛擬數(shù)據(jù)中心安全的首要條件。針對(duì)傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機(jī)流量的問(wèn)題。業(yè)界有些公司使用VMware公司的API開發(fā)了虛擬安全分析器，以檢測(cè)虛擬交換機(jī)流量一一在虛擬層之上的網(wǎng)絡(luò)層流量。相應(yīng)地也出現(xiàn)了虛擬網(wǎng)絡(luò)防火墻，這種防火墻基于虛擬機(jī)管理器，可認(rèn)證有狀態(tài)的虛擬防火墻，檢查所有通過(guò)虛擬機(jī)的數(shù)據(jù)分組，組織所有未經(jīng)批準(zhǔn)的連接和允許對(duì)數(shù)據(jù)分組進(jìn)行更深層次的檢查

6、，確保了虛擬機(jī)間部分通信的安全，但是對(duì)于虛擬機(jī)之間的攻擊流量的特殊性,使用虛擬化廠商的網(wǎng)絡(luò)流量分析已經(jīng)無(wú)法解決這樣的問(wèn)題。虛擬化技術(shù)是生成一個(gè)和真實(shí)系統(tǒng)行為一樣的虛擬機(jī)器，虛擬機(jī)像真實(shí)操作系統(tǒng)一樣，同樣存在軟件漏洞與系統(tǒng)漏洞。必須像對(duì)待真正的操作系統(tǒng)一樣加固虛擬機(jī)，給程序不斷地及時(shí)打補(bǔ)丁升級(jí)，以此來(lái)保證虛擬機(jī)的安全，同時(shí)宿主機(jī)的安全需要得到同等的關(guān)注。傳統(tǒng)殺病毒安全軟件可以部署在虛擬機(jī)中解決虛擬機(jī)防病毒的問(wèn)題，但傳統(tǒng)的防病毒技術(shù)依靠已知病毒特征樣本對(duì)所有文件進(jìn)行詳細(xì)的掃描與分析，準(zhǔn)確率依賴于病毒樣本庫(kù)的覆蓋面和規(guī)模，其效率受限于技術(shù)方案的局限性，往往會(huì)占用過(guò)多的物理機(jī)CPU、內(nèi)存、網(wǎng)絡(luò)資源，效

7、果差強(qiáng)人意。傳統(tǒng)的防病毒軟件可以一定程度的解決已知病毒、木馬的威脅，但對(duì)于越來(lái)越多的APT攻擊卻束手無(wú)策。APT很多攻擊行為都會(huì)利用0day漏洞進(jìn)行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。此種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。更加危險(xiǎn)的是，這些新型的攻擊和威脅主要針對(duì)大型企業(yè)、國(guó)家重要的基礎(chǔ)設(shè)施或者具有核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及安全控管措施和理念很難有效應(yīng)對(duì)APT攻擊。由于云計(jì)算與虛擬化環(huán)境自身的特性，企業(yè)需要充分考慮虛擬化的引入為企業(yè)帶來(lái)的相應(yīng)的風(fēng)險(xiǎn)，根據(jù)各個(gè)風(fēng)險(xiǎn)點(diǎn)帶來(lái)

8、的問(wèn)題及威脅建設(shè)針對(duì)性的防護(hù)方案，以保障企業(yè)數(shù)據(jù)的安全及業(yè)務(wù)系統(tǒng)的平穩(wěn)運(yùn)行。3 .360虛擬化安全管理系統(tǒng)簡(jiǎn)介3.1 產(chǎn)品概述360虛擬化安全管理系統(tǒng)是一款針對(duì)于云數(shù)據(jù)中心的虛擬化安全管理系統(tǒng)，可對(duì)物理資源池、虛擬資源池、云資源池進(jìn)行統(tǒng)一的安全防護(hù)與集中管理，對(duì)宿主機(jī)、虛擬機(jī)、虛擬機(jī)應(yīng)用提供三層防護(hù)安全架構(gòu)，具備對(duì)混合虛擬化平臺(tái)、混合操作系統(tǒng)、混合系統(tǒng)應(yīng)用環(huán)境的兼容防護(hù)能力。在虛擬化環(huán)境中出現(xiàn)的病毒風(fēng)暴、安全域混亂、宿主機(jī)安全、虛擬機(jī)之間攻擊等問(wèn)題，360虛擬化安全管理系統(tǒng)都可提供行之有效的解決辦法。最終為用戶提供一套可跨多種平臺(tái)、防護(hù)無(wú)死角的綜合虛擬化安全解決方案。3.2產(chǎn)品架構(gòu)360虛擬化

9、安全管理系統(tǒng)主要由360管控中心、安全虛擬機(jī)及輕型代理客戶端組成，產(chǎn)品架構(gòu)圖如下圖所示:3.3部署拓?fù)?60安全管理系統(tǒng)部署拓?fù)鋱D如下所示:m醞安全中心,Internet物理服務(wù)器虛擬服簍器安全虛擬機(jī)虛擬化浸源池為理福務(wù)莞集群四.主要功能4.1 多引擎病毒查殺360依靠多年在殺毒領(lǐng)域的技術(shù)積累，自主開發(fā)出了QVM人工智能引擎、云查殺引擎、AVE文件修復(fù)引擎、QEX宏病毒檢測(cè)引擎四大殺毒引擎，其中，QVM人工智能引擎依托于360云端超過(guò)100億條病毒樣本，進(jìn)行家族類可視化分析，可對(duì)未知變種病毒實(shí)現(xiàn)精準(zhǔn)的查殺與隔離。四大殺毒引擎在運(yùn)行時(shí)可進(jìn)行數(shù)據(jù)交互，對(duì)虛擬機(jī)及服務(wù)器進(jìn)行掃描結(jié)果緩存共享，在整個(gè)數(shù)

10、據(jù)中心進(jìn)行增量掃描從而提高掃描效率。4.2 虛擬補(bǔ)丁補(bǔ)丁管理一直是企業(yè)關(guān)注的核心問(wèn)題，由于企業(yè)內(nèi)部的IT環(huán)境多種多樣，在進(jìn)行補(bǔ)丁管理的時(shí)候面臨的風(fēng)險(xiǎn)也日益嚴(yán)峻，如XP系統(tǒng)的補(bǔ)丁管理、熱補(bǔ)丁帶來(lái)的物理服務(wù)器重啟風(fēng)險(xiǎn)、補(bǔ)丁空窗期等問(wèn)題。360虛擬化安全管理系統(tǒng)可以通過(guò)虛擬補(bǔ)丁的方式對(duì)存在漏洞的企業(yè)服務(wù)器操作系統(tǒng)及應(yīng)用進(jìn)行修復(fù)，由于虛擬漏洞修復(fù)模塊無(wú)需對(duì)操作系統(tǒng)及應(yīng)用進(jìn)行代碼修改，只是對(duì)于來(lái)自外部的攻擊行為進(jìn)行識(shí)別和過(guò)濾，無(wú)需重啟虛擬機(jī)或服務(wù)器，企業(yè)既無(wú)需擔(dān)心兼容性問(wèn)題也無(wú)需重啟系統(tǒng)中斷業(yè)務(wù)，因此虛擬補(bǔ)丁可以在保障企業(yè)業(yè)務(wù)系統(tǒng)連續(xù)運(yùn)行的情況下對(duì)攻擊行為進(jìn)行有效防護(hù)。4.3 虛擬化防火墻360虛擬化安

11、全管理系統(tǒng)在虛擬機(jī)內(nèi)部植入了輕量化的防火墻守護(hù)程序，該模塊可以通過(guò)管理中心進(jìn)行統(tǒng)一訪問(wèn)控制策略管理，對(duì)每臺(tái)虛擬機(jī)下發(fā)個(gè)性化訪問(wèn)控制策略，且該策略會(huì)與虛擬機(jī)進(jìn)行適配綁定，無(wú)論虛擬機(jī)在資源池中如何漂移都不會(huì)造成策略失效，甚至管理員可以根據(jù)原有安全域進(jìn)行虛擬安全域劃分，將不同的物理服務(wù)器與虛擬服務(wù)器進(jìn)行安全域劃分，從根本上解決企業(yè)在虛擬化進(jìn)程中經(jīng)常遇到的安全域無(wú)法劃分的問(wèn)題。4.4 威脅情報(bào)聯(lián)動(dòng)防御360虛擬化安全管理系統(tǒng)可以與360威脅感知平臺(tái)智能聯(lián)動(dòng)，接收威脅情報(bào)及全球威脅態(tài)勢(shì)，智能調(diào)整數(shù)據(jù)中心安全防御策略。，結(jié)合360虛擬化安全在終端上的精確防御能力，實(shí)現(xiàn)對(duì)虛擬化終端的攻擊防御。天眼威脅感知系

12、統(tǒng)在檢測(cè)出網(wǎng)絡(luò)攻擊行為之后，一方面會(huì)采用頁(yè)面報(bào)警、郵件報(bào)警的方式對(duì)攻擊行為進(jìn)行實(shí)時(shí)報(bào)警，同時(shí)，天眼威脅感知系統(tǒng)還會(huì)將報(bào)警信息實(shí)時(shí)發(fā)送給部署在終端之上的360虛擬化安全終端安全管理系統(tǒng)進(jìn)行有效聯(lián)動(dòng)。終端在接收到報(bào)警信息之后，會(huì)及時(shí)根據(jù)報(bào)警信息所提供的文件標(biāo)識(shí)對(duì)終端文件進(jìn)行更新查殺，實(shí)現(xiàn)“邊界發(fā)現(xiàn)、終端防御”的防御效果。4.5 宿主機(jī)防護(hù)當(dāng)前業(yè)界安全廠商都將安全防護(hù)的核心聚焦虛擬機(jī)安全，隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來(lái)越多的企業(yè)開始將注意力集中在提供虛擬化服務(wù)的Hypervisor層，360結(jié)合多年的安全防護(hù)經(jīng)驗(yàn)，并深入研究Hypervisor層系統(tǒng)架構(gòu)與脆弱性分析，大膽提出在Hypervisor層中植

13、入輕型代理的方式來(lái)防護(hù)宿主機(jī)安全，為虛擬化環(huán)境提供自上而下，由內(nèi)而外的整體安全防護(hù)方案。五.優(yōu)秀特性1.1 強(qiáng)大的跨平臺(tái)防護(hù)能力360虛擬化安全管理系統(tǒng)支持VMwarevSphere、MicrosoftHyper-V、H3CCAS、HuaweiFusionCompute、CitrixXenServer、RedhatEnterpriseVirtualization等多種國(guó)內(nèi)、國(guó)外虛擬化平臺(tái)，并可以對(duì)虛擬資源池以外的物理資源池或者云端資源池進(jìn)行統(tǒng)一的安全管理，形成威脅統(tǒng)一管理平臺(tái)，簡(jiǎn)化運(yùn)維成本，提高安全運(yùn)維水平。1.2 智能的虛擬機(jī)查殺策略360虛擬化安全管理系統(tǒng)在進(jìn)行病毒查殺時(shí)會(huì)進(jìn)行緩存化處理，

14、由同一虛擬機(jī)模板生成的虛擬機(jī)在進(jìn)行一次全盤掃描后，將會(huì)記錄掃描過(guò)的安全文件的特征，多臺(tái)虛擬機(jī)輕代理會(huì)共享掃描緩存，在掃描下一臺(tái)虛擬機(jī)時(shí)會(huì)僅僅掃描虛擬機(jī)中的差異化文件部分，此掃描方式將會(huì)大大提高掃描的速度并降低掃描的資源及時(shí)間消耗。并且在掃描多臺(tái)虛擬機(jī)時(shí)能夠自動(dòng)根據(jù)待掃描虛擬機(jī)集群進(jìn)行序列化查殺，只有在結(jié)束一臺(tái)虛擬機(jī)掃描時(shí)才會(huì)開始下一臺(tái)，因此可以有效避免全盤掃描導(dǎo)致的查殺風(fēng)暴等問(wèn)題。1.3 靈活的虛擬機(jī)漂移綁定在虛擬化資源池中由于虛擬機(jī)資源的彈性可變，因此經(jīng)常發(fā)生由于資源枯竭等原因?qū)е碌奶摂M機(jī)從不同的安全域之間反復(fù)漂移的情況，而使用無(wú)代理方式無(wú)法保障整體資源池中都部署安全防護(hù)策略，因此無(wú)法保障在

15、漂移后的虛擬機(jī)安全策略隨虛擬機(jī)綁定。360虛擬化管理系統(tǒng)采用獨(dú)有的輕代理部署方式，在虛擬機(jī)中植入輕型代理，輕代理安全策略和虛擬機(jī)無(wú)縫綁定，無(wú)論虛擬機(jī)漂移至虛擬化資源池中的任何宿主機(jī)均可保證虛擬機(jī)防護(hù)策略穩(wěn)定有效，提供全時(shí)的堅(jiān)實(shí)防護(hù)。1.4 有效的虛擬機(jī)訪問(wèn)控制企業(yè)在虛擬化的過(guò)程中，得到了一個(gè)高效資源利用率的IT環(huán)境，這依靠的是虛擬機(jī)漂移這一優(yōu)質(zhì)特性，但是，客戶原本的安全域劃分將隨著虛擬機(jī)漂移將被完全打破，而傳統(tǒng)的安全設(shè)備無(wú)法對(duì)這一問(wèn)題束手無(wú)策。360虛擬化安全管理系統(tǒng)具有虛擬防火墻功能，它根植于輕代理中，可依據(jù)用戶業(yè)務(wù)的需要，制定防火墻訪問(wèn)控制策略，根據(jù)安全域規(guī)格批量下發(fā)給虛擬主機(jī)后，無(wú)論虛擬

16、機(jī)漂移到任何位置，虛擬機(jī)訪問(wèn)控制策略不變，原有安全域穩(wěn)定繼承，極大方便了業(yè)務(wù)主機(jī)的安全管控工作。1.5 領(lǐng)先的Hypervisor防護(hù)360擁有東半球第一支專業(yè)的虛擬化平臺(tái)漏洞研究團(tuán)隊(duì)，已發(fā)現(xiàn)多個(gè)帶有CVE編號(hào)的虛擬化平臺(tái)漏洞，具有深厚的虛擬化安全研究底蘊(yùn)，在發(fā)現(xiàn)虛擬化平臺(tái)安全漏洞時(shí)，可在第一時(shí)間完成對(duì)虛擬化平臺(tái)漏洞的研究和防護(hù)。除此之外，通過(guò)對(duì)Hypervisor層系統(tǒng)架構(gòu)與脆弱性分析，研發(fā)出了一套針對(duì)Hypervisor層獨(dú)有的序列化檢測(cè)引擎，可有效預(yù)防Hypervisor層的零日漏洞，完善宿主機(jī)的安全防護(hù)體系。6 .客戶價(jià)值6.1 混合環(huán)境統(tǒng)一管理在虛擬化的演變過(guò)程中，客戶的IT環(huán)境會(huì)經(jīng)

17、歷從物理環(huán)境向虛擬化環(huán)境乃至云端環(huán)境演變，而且部署環(huán)境錯(cuò)綜復(fù)雜。360虛擬化安全管理系統(tǒng)采用輕代理的部署方式，可對(duì)物理資源池、虛擬資源池、云端資源池進(jìn)行統(tǒng)一的安全防護(hù)與管理，并且具備對(duì)混合虛擬化平臺(tái)、混合操作系統(tǒng)、混合系統(tǒng)應(yīng)用環(huán)境的兼容能力，降低企業(yè)運(yùn)維成本。6.2 完善的立體防御體系基于多年互聯(lián)網(wǎng)安全防護(hù)的技術(shù)積累，融合了360虛擬化攻防團(tuán)隊(duì)的研究成果，360虛擬化安全管理系統(tǒng)提出了宿主機(jī)、虛擬機(jī)、虛擬機(jī)應(yīng)用的三層防護(hù)安全架構(gòu)，從虛擬機(jī)資源池中的底層安全，到虛擬機(jī)的系統(tǒng)安全，到虛擬機(jī)內(nèi)部的應(yīng)用安全，為企業(yè)提供自內(nèi)至外、自上之下的立體防御體系。6.3 降低補(bǔ)丁修復(fù)成本補(bǔ)丁管理對(duì)于企業(yè)至關(guān)重要，

18、長(zhǎng)時(shí)間的漏洞空窗期會(huì)使企業(yè)面臨業(yè)務(wù)系統(tǒng)中斷等安全風(fēng)險(xiǎn)，但是企業(yè)中的IT環(huán)境錯(cuò)綜復(fù)雜，操作系統(tǒng)多種多樣，在進(jìn)行補(bǔ)丁管理時(shí)遇到了諸多問(wèn)題：例如WindowsXP及Server2003等操作系統(tǒng)廠商已經(jīng)不再提供技術(shù)支持；甚至有的系統(tǒng)在漏洞修復(fù)完畢后重啟系統(tǒng)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)無(wú)法正常運(yùn)行，而360虛擬化管理系統(tǒng)提供給用戶的虛擬補(bǔ)丁功能，可以在漏洞出現(xiàn)后第一時(shí)間聯(lián)合云端進(jìn)行規(guī)則更新，直接應(yīng)用到輕代理中，企業(yè)無(wú)需重啟系統(tǒng)或應(yīng)用，兼容性及穩(wěn)定更好，及時(shí)封堵了漏洞空窗期，大大降低了運(yùn)維難度。6.4 全面防護(hù)零日漏洞360補(bǔ)天平臺(tái)是全球最大的漏洞響應(yīng)平臺(tái)，可以讓廠商最快發(fā)現(xiàn)漏洞。360虛擬化安全管理系統(tǒng)通過(guò)和360補(bǔ)天平臺(tái)進(jìn)行有機(jī)聯(lián)動(dòng)，可在第一時(shí)間獲取零日漏洞信息，并且形成虛擬補(bǔ)丁對(duì)操作系統(tǒng)及應(yīng)用進(jìn)行加固。另外，360安全管理系統(tǒng)依靠360虛擬化研究團(tuán)隊(duì)的研究成果，研發(fā)了獨(dú)有的序列化檢測(cè)引擎，此引擎依托于虛擬化