1、虚拟化安全管理系统轻代理V70产品解决方案0330_虚拟化安全管理系统(轻代理)V7.0_产品解决方案_20210330虚拟化安全管理系统V7.0(轻代理) 产品解决方案 地址:北京市西城区西直门外南路26号院1号 邮编:100044 l 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容,除另有特别注明,版权均为奇安信集团(指包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司)所有,受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。 修订记录 修订日期 修订内容 修
2、订人 20_.11.05 新建 云安全公司 目 录 1 项目概述 4 1.1.项目背景 4 1.2.建设目标 4 1.3.设计原则 5 1.4.客户价值 6 2 需求分析 6 2.1 安全威胁分析 6 2.2 安全必要性分析 7 2.3 项目建设需求 8 3 建设方案 8 3.1 整体安全建设方案 8 3.2 安全能力实现 9 3.2.1 虚拟主机病毒与恶意文件防治 9 3.2.2 虚拟主机网络攻击发现与抵御 10 3.2.3 虚拟主机系统加固 10 3.2.4 虚拟化安全统一安全运维 11 3.3 部署方案 11 4 方案特色与亮点 12 4.1 完善的立体防御体系 12 4.2 未知病毒的
3、查杀能力 13 4.3 降低补丁修复成本 13 4.4 全面防护零日漏洞 13 4.5 混合环境统一管理 14 4.6 安全能力领先性 14 5 服务支持 14 1 项目概述 1.1.项目背景 随着添加客户名称市场业务和内部基础服务的极大拓展,现有的基础设施服务已经无法满足日益增长的业务、管理压力,数据中心空间、能耗、运维管理压力日益凸显。添加客户名称借助添加虚拟化厂商名称虚拟化技术,对基础设施服务进行扩展和优化改造,使原有或者新增资源得到更高效的利用,大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。采用虚拟化技术,解决了企业信息化建设所面临的现有压力,又增强了企业基础
4、设施稳定性和高效性。 虚拟化技术在支撑连续高效业务的同时,添加客户名称也面临着比传统基础设施上更严峻的安全挑战。传统的数据中心病毒木马感染在虚拟化数据中心中仍然存在。基于虚拟化的特殊性,这类传统的安全问题在虚拟化环境中更难被治理;与此同时,针对虚拟化环境特有的“防病毒风暴”、“升级风暴”、”启动风暴”等问题,传统的安全设计思想已经无法解决。那么,如何设计和规划新的适应虚拟化环境的安全解决思路成为添加客户名称当前考虑的重点。 1.2.建设目标 根据信息系统等级保护安全设计技术要求(GB/T 25070-2021),符合等级保护三级要求的信息系统硬件能够具备如下的安全防护能力:在统一安全策略下防护
5、系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 根据添加客户名称所在行业添加文件名称要求: 此处可添加文件、办法、法规的具体要求,可多罗列 基于上述管理办法及法规要求,本项目将为_客户建立虚拟化中虚拟主机层面的安全防护体系,实现对现有虚拟化环境中的虚拟机、物理机的统一安全
6、管理,实现对虚拟机的安全防护,满足_客户对虚拟主机的安全防护要求。 1.3.设计原则 添加项目方案总体设计原则 本方案设计充分考虑到信息安全系统建设的完整性,实现“分离式部署、集中化防护、统一化管理”大原则。通过对添加客户名称全网虚拟化环境部署虚拟化安全系统,保证其虚拟化环境的文件安全、网络安全、系统加固,增强其抵御外界恶意文件、威胁流量的能力。 实用性 本项目虚拟主机安全能力建成后,能够把企业虚拟化环境中IT安全保护办法落到实处。针对企业内部IT系统的安全管理办法,虚拟主机安全能力需要很好的支撑其IT相关运维工作和业务全流程。 先进性 病毒、木马的变种、更新非常快、网络攻防频率日益加快,项目
7、技术选择要具备极高的先进性。病毒、木马的防治核心在于病毒库和病毒引擎的先进性,网络攻击防护核心在于攻防情报的快速生产。建设的虚拟主机安全能力需要应对新型的已知未知恶意文件和网络攻击,同时保证在隔离情况下的自主主动防御能力。 安全性 建设的虚拟主机安全能力需要具备安全性,包括系统建设、运行的安全和系统管理的安全,当前系统的建设及运行对原网络及虚拟化系统不会造成任何安全风险。另外,建设的虚拟主机安全能力自身应具备抗攻击、抗破坏、无漏洞,保证新建系统不成为原有IT结构安全缺失的一环。 可靠性 建设的虚拟主机安全能力需要保证安全能力可靠性,不应该影响整个虚拟化架构运行和业务运行。整个系统需要具备完善的
8、逃逸机制: 当系统某组件无法工作时,不会造成整体安全能力坍塌; 当系统异常时,不会造成整体虚拟化环境运行中断; 当系统异常时,不会造成整体业务的中断; 当系统异常时,安全日志及配置数据可以逃逸。 可扩展性 建设的虚拟主机安全能力需考虑后期可拓展性,随着虚拟化平台规划和新增扩展,虚拟主机安全能力需灵活适应,必要时自身能够进行性能和功能扩展。 1.4.客户价值 平台分离,与平台自身解耦,强调安全独立运行 整体虚拟化安全解决方案采用自研接口和规范,安全能力独立运行和维护。不管虚拟化平台如何变化,整体安全能力不会受到影响。通过独立接口,可以将更多的奇安信安全能力赋予给客户,实现技术的可演进可迭代。 先
9、进技术,值得依赖的国内首屈一指的杀毒和攻防能力。 基于奇安信云端大数据+多引擎结合的方式,拥有全球最大的病毒木马特征库和黑白名单库和最快云端威胁响应感知系统,本地内置多种专利杀毒引擎和防护模式,全面应对已知病毒、未知病毒威胁、网络攻击,并提供主动防御能力。 灵活扩展,安全能力持续附加 方案采用模块化设计,具备灵活的安全功能扩展能力。客户可根据自身情况,灵活选择安全能力。同时奇安信在云上的安全能力能够通过本方案持续附加给客户,帮助客户在应对应急事件、突发问题时能够进行快速决策和有效响应。 2 需求分析 2.1 安全威胁分析 数据中心虚拟化后,虚拟化基础架构除具有传统物理服务器的所有风险之外,同时
10、也具备虚拟化新型技术下衍生出的安全问题。通过奇安信在虚拟化、云计算上的丰富安全防治经验,结合目前互联网整体安全态势发展,我们认为目前虚拟化环境中的安全威胁主要有以下几点: 新型具备定向攻击性的病毒木马开始流行爆发 近年爆发的勒索病毒和普通的病毒木马相比更具针对性和攻击性,主要针对内网进行感染破坏。传统的静态防病毒体系无法全面防治勒索病毒,对各大政府、企业、高效造成了大面积的影响。对于新型的病毒木马,需要采用更全、更快、更准的病毒库和更智能化的病毒引擎才能解决应对这类快速攻击型的病毒。随着病毒木马的产业链化,很多病毒木马为了逃脱杀毒系统的拦截,病毒木马自身进行了很强的隐匿和变形,以此混淆杀毒系统
11、。传统基于特征的杀毒引擎和病毒库已经无法应对这种弱特征的病毒木马恶意程序。 虚拟化环境成为病毒木马、网络攻击的重灾区 虚拟化环境相比于传统IT架构,其系统单位呈指数级上升。虚拟机临间隔离措施弱,病毒木马传播和横向攻击难度低,一旦虚拟化环境某台虚拟机感染病毒或者被攻陷植入后门,整个虚拟化环境都极有可能被感染。针对虚拟化这种特殊的IT架构,传统的IT安全解决方案很难做到全面拦截和应对。 安全防护能力的高要求和虚拟化追求性能稳定理念相背离 为了提高安全能力和防护效果,需要系统提供尽可能高的资源支撑。在虚拟化环境资源利用率成倍增加的前提下,单位虚拟机所拥有的资源很有限。目前传统的安全解决方案仍然立足于
12、主机层面,此时杀毒能力的资源消耗和虚拟机有限的资源形成了矛盾。虚拟化杀毒所引起的性能消耗,很可能导致虚拟化环境的不稳定,更严重导致整个业务中断。 总体上讲,在虚拟化环境中上,建设虚拟化安全能力,安全防护能力是首要考虑的指标,另外如何平衡防护能力和资源消耗成为衡量虚拟化中安全解决方案的重要指标。 统一集中化部署无法满足租户日益增长的安全需求 传统主机安全产品固定、静态的交付模式无法满足电子政务云下的多租户场景。所有租户共用一套安全模板,由安全运维方统一进行安全管理运维。针对各委办局的不同安全标准及要求,统一集中化的主机安全产品不能够完美契合电子政务云下各租户的主机安全诉求,需要寻求更加灵活、适应
13、多租户环境的主机安全解决方案。 2.2 安全必要性分析 不管是虚拟化服务器还是物理服务器,它们都承载着最重要的数据。因此,这些服务器很容易被内部外部的各种力量进行窥探、破坏、盗用。服务器作为信息数据存储的最终载体,倘若服务器系统被入侵和破坏,整个数据也没有安全可言。那么,防护服务器系统安全成为整个安全防护的最后一环。通常,大部分的安全风险的直接受害者都是主机系统,例如病毒木马感染、网络入侵、数据破坏等。所以,对于虚拟化环境的安全,服务器安全是必须进行防护的重要环节。 为了降低硬件的采购成本,提高服务器资源的利用率。引入虚拟化技术带来IT基础架构的巨大更新,但并没有改变整个IT安全的防护范围,反
14、而增加了虚拟化下IT基础设施的安全防护难度。虚拟化中虚拟主机的灵活状态性,导致传统基于操作系统的安全防护方案失效。加上,虚拟化的数据交换、内存交换、网络交换的复杂实时性,传统的基于文件和静态主体的防护模式很难针对虚拟化进行有效的防护。因此,针对虚拟化特殊环境,不能采用传统的基于操作系统的安全防护模式,转而需要更贴合虚拟化环境特性的安全方案。 虚拟化技术的创新推进了硬件资源使用率的革新,资源利用率的高效使用是使用虚拟化技术的初衷。通过前面分析,虚拟化的安全重要性不言而喻。附加安全能力后,随之带来的是性能的耗损。那么,在虚拟化中建设安全能力,将比传统的安全建设有更高的要求。虚拟化的安全能力首先保证
15、安全能力最大化的同时,不能对虚拟化整体资源造成巨大影响。 针对虚拟化环境,通过虚拟化技术解决虚拟化安全问题,才是虚拟化安全建设的核心思路。建成基于虚拟化的虚拟化安全防护体系,才是虚拟化安全的必要建设目标。 2.3 项目建设需求 添加项目方案总体建设需求 本次_项目主要针对业务系统在虚拟化或云环境中面临的安全问题风险,依据云安全相关标准及行业最佳实践,为虚拟化或者云环境提供安全解决方案,提升整体虚拟化环境的安全防护能力。主要包括防病毒木马防治、恶意文件防护、爆发型威胁主动防御,进一步保障业务系统在虚拟化环境的安全性,整体监控虚拟化环境的文件安全态势,管理和维护虚拟化环境的主机系统安全。 3 建设
16、方案 3.1 整体安全建设方案 奇安信虚拟化安全解决方案是针对大型虚拟化架构或者云计算架构的客户提出的一种配套安全解决方案,基于等保三级建设要求规范,旨在解决虚拟化云计算中各类虚拟化安全问题。协同企业、政府客户云化管理,共同维护和运营一个合规、安全、稳定的云环境。 虚拟化和云计算虽然同宗同源,但经过大量的生产实践和技术积累。虚拟化环境和云环境已经开始进行侧重分化。虚拟化环境主张资源的集中高效利用,而云环境提倡快速编排服务化。针对两种不同的应用场景,奇安信虚拟化安全解决方案提供两套安全能力实现的方案。 奇安信虚拟化安全解决方案,主要针对虚拟化或者云计算环境中的主机层进行安全防护,提供能够满足云建
17、设所遵循的等保三级中对主机安全的安全要求规范的解决方案。通过平台运营扩展+主机立体防护两种业务运营模式,帮助客户实现更好的运营安全能力,同时保证客户能够获取更全面的安全。在整个解决方案中提供: 建立虚拟化安全资源池,构建整体安全运营服务平台,针对超大规模虚拟化和多租户场景提供服务化安全能力(可选); 建立虚拟主机统一管理平台,分析跟踪全网虚拟机安全态势与危险评估,留存虚拟化环境安全事件日志; 提供虚拟主机的恶意代码防范,并对虚拟主机关键位置进行主动防护和监测,解决病毒木马感染虚拟主机的问题; 虚拟主机的安全访问控制,对虚拟主机进行主机间的防火墙策略部署,有效解决主机间互相攻击和感染,避免未授权
18、的访问连接; 虚拟主机的外部攻击抵御,拦截外部对虚拟主机的漏洞、账号的攻击与破解行为。有效保证虚拟主机系统、应用、服务的安全稳定; 虚拟主机的安全状态感知与修复,对虚拟主机的统一安全状态进行扫描和修复,保证虚拟主机的安全基线统一。 3.2 安全能力实现 3.2.1 虚拟主机病毒与恶意文件防治 依靠多年在杀毒领域的技术积累,自主开发出了QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QE_宏病毒检测引擎四大杀毒引擎,进行病毒的安全防御。四大杀毒引擎在运行时可进行数据交互,对虚拟机及服务器进行扫描结果缓存共享,在整个数据中心进行增量扫描从而提高扫描效率。同时,本地查杀引擎可增强不连接外网情况下
19、病毒查杀的效果,优化本地虚拟化环境支持。 为了保证安全防护不对云环境造成影响,主机安全防护组件根植于虚拟主机中,在安全组件的启动和查杀时,会通过管控中心对安全防护组件进行“排队”,避免启动风暴和查杀风暴。另外,更新时可以设置内、外网限速,避免网络拥塞的出现。 由于某些虚拟主机需要对外发布web业务,此时虚拟主机暴露在外部环境下极易被植入网站后门、恶意webshell,从而导致网站被挂马、篡改等。因网站后门的潜伏期较长,对虚拟主机系统影响较大,方案提供内置虚拟主机webshell检测功能,采用云查杀引擎、启发式引擎、本地智能引擎等多种扫描引擎,结合云端500万+的webshell特征库,每天同步
20、更新后门查杀规则,保证每一个后门第一时间暴露并被彻底查杀,保障网站安全。 3.2.2 虚拟主机网络攻击发现与抵御 基于虚拟主机安全防护组件的模式,安全防护组件中的安全策略和虚拟主机无缝绑定,无论虚拟主机漂移至资源池中的任何宿主机均可保证虚拟主机防护策略稳定有效,提供虚拟主机对虚拟主机的访问控制能力。同时可依据用户业务的需要,从IP、端口、协议、方向等方面制定云主机间的防火墙细粒度的访问控制策略,根据安全域的安全标准批量下发给虚拟主机。 安全防护组件中的入侵防御功能能够对外部向虚拟主机发起的常见的拒绝服务攻击、缓冲区溢出攻击、木马后门攻击、WEB攻击等进行检测和防护。并针对虚拟主机存在的系统、应
21、用漏洞进行攻击点防护,防止外部对这些薄弱点进行定向攻击。 3.2.3 虚拟主机系统加固 因模板制作时间和当前时间存在安全空窗时差,模板当时的安全状态可能在现有的安全状态下存在缺陷。本方案提供虚拟主机加固功能,一键扫描虚拟主机的安全配置情况及预置功能的安全状态,并提出安全整改意见,运维人员可使用本方案自动修复这些安全缺陷,也可自行手动整改,保证租户内虚拟主机安全基线一致。同时,对虚拟主机的账号、口令进行加固,提供防暴力破解安全能力,杜绝任意来源的恶意暴力破解。 基于奇安信在云运维和攻防领域的技术积累,本方案提供领先的虚拟化加固能力。通过云上监控虚拟化环境的恶意文件,这里的文件特指在虚拟机上运行的
22、能够突破虚拟化环境向下对虚拟化层或虚拟化平台造成破坏的文件,俗称虚拟化逃逸。结合国内一流的安全服务能力,将虚拟化环境中的诸如此类的文件进行隔离和禁止运行,保证整个虚拟化底层不被破坏。 3.2.4 虚拟化安全统一安全运维 方案可按需提供两层的安全统一运维,方案为虚拟主机设计提供统一安全管理组件。通过安全管理组件,统一对全网虚拟主机进行安全策略运维、安全日志统一采集分析、云端威胁情报推送等一系列自动化管理运维工作。安全管理组件通过与虚拟化平台进行接口对接,将虚拟化平台的虚拟主机资产全量导入安全管理组件中。安全管理组件能够实时感知虚拟化平台的虚拟主机资产变化情况,进而快速将策略进行匹配关联,无需人工
23、干预。整个管理侧主要帮助管理员或者运维人员进行统一管理操作,所有安全能力执行全在虚拟主机的安全组件中,将管理组件和安全能力组件分离,即便是管理组件出现异常,也不会影响安全能力的实时防护。 为了满足大型虚拟化环境或多租户云环境,方案可按需提供更高级别的统一运维管理需要。通过提供平台级的云安全管理平台,将虚拟化主机安全整个组件化,成为云安全管理平台的子模块。根据客户要求,将更多的安全能力,例如堡垒机、防火墙、数据库审计、Web应用防护等云化设备统一集成。实现以安全资源池+云安全管理平台的大型虚拟化、云安全解决方案。 于此同时,奇安信虚拟化安全解决方案全面支持VMware vSphere、H3C C
24、AS、Huawei Fusionpute、Citri_ _enServer、Hyper-V等多种国内、国外虚拟化平台,并可以对虚拟资源池以外的物理资源池或者云端资源池进行统一的安全管理,形成威胁统一管理平台,简化运维成本,提高安全运维水平。 3.3 部署方案 管理组件+安全能力组件的部署方式,管理组件是奇安信网神虚拟化安全的管理端,部署在虚拟服务器或物理服务器上,采用B/S架构,可以随时随地通过浏览器访问。它主要负责受控设备的分组管理、策略制定下发、扫描和升级控制,以及日志和报表查询等。 轻代理部署在需要被保护的物理主机和虚机上,负责各安全防护功能的终端执行,并向控制中心报送相应的运行日志和安
25、全数据。 云安全管理平台+安全组件的部署方式: 主机安全预置在云安全管理平台中,通过平台+组件的交付模式,按需购买和使用主机安全能力。客户无需关注单一安全组件的交付部署,通过云安全管理平台的交付,即可完成包括主机安全、堡垒机、数据库审计等安全能力的部署。主机安全模块分为平台和租户两部分组件: 平台与云安全管理平台集成,通过统一的服务入口,申请安全服务中的主机安全部分。租户侧通过分配得到的主机安全管理资源,在租户内部部署主机安全软件,将虚拟主机进行接入并自主管理维护。 4 方案特色与亮点 4.1 完善的立体防御体系 基于多年互联网安全防护的技术积累,融合了奇安信虚拟化攻防团队的研究成果,奇安信网
26、神虚拟化安全管理系统v7.0提出了Hypervisor、虚拟机、虚拟机应用的三层防护安全架构,利用多引擎病毒查杀方式及虚拟化防火墙的访问控制策略,实现从虚拟机资源池中的底层安全,到虚拟机的系统安全,到虚拟机内部的应用安全的立体防御,为企业提供自内至外、自上之下的安全运维环境。 4.2 未知病毒的查杀能力 QVM-II人工智能检测引擎采用人工智能与机器学习的方法,对奇安信目前已经积累的100多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,这种方式的优点是不依赖某一个病毒或恶意代码的具体特征,而是提取某一族群的恶意代码共性特征,因此,这种检测方法对于某一病
27、毒与恶意代码族群内的新生病毒具有非常强的检测能力,最大程度保护虚拟化环境的安全可控。 4.3 降低补丁修复成本 补丁管理对于企业至关重要,长时间的漏洞空窗期会使企业面临业务系统中断等安全风险,但是企业中的IT环境错综复杂,操作系统多种多样,在进行补丁管理时遇到了诸多问题:例如Windows _P及Server20_3等操作系统厂商已经不再提供技术支持;甚至有的系统在漏洞修复完毕后重启系统发现业务系统无法正常运行,而奇安信虚拟化管理系统提供给用户的虚拟补丁功能,可以在漏洞出现后第一时间联合云端进行规则更新,直接应用到轻代理中,企业无需重启系统或应用,兼容性及稳定更好,及时封堵了漏洞空窗期,大大降
28、低了运维难度。 4.4 全面防护零日漏洞 奇安信补天平台是全球最大的漏洞响应平台,可以让厂商最快发现漏洞。奇安信网神虚拟化安全管理系统v7.0通过和奇安信补天平台进行有机联动,可在第一时间获取零日漏洞信息,并且形成虚拟补丁对操作系统及应用进行加固。另外,奇安信安全管理系统依靠奇安信虚拟化研究团队的研究成果,研发了独有的序列化检测引擎,此引擎依托于虚拟化平台内部的检测机制,根植于Hypervisor层,可实现全面检测各种虚拟化平台的零日漏洞。 4.5 混合环境统一管理 在虚拟化的演变过程中,客户的IT环境会经历从物理环境向虚拟化环境乃至云端环境演变,而且部署环境错综复杂。奇安信网神虚拟化安全管理
29、系统v7.0采用轻代理的部署方式,可对物理资源池、虚拟资源池、云端资源池进行统一的安全防护与管理,并且具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容能力,降低企业运维成本。 4.6 安全能力领先性 奇安信虚拟化安全解决方案是面向虚拟化环境推出的一款虚拟化安全防护方案,与传统方案相比有更加贴合虚拟化使用的特性;方案内集成的安全能力充分转化奇安信固有的安全能力,在国内安全市场中具备先进性。 a) 病毒防治采用云端大数据+多引擎结合的方式,云端拥有全球最大的病毒木马特征库和黑白名单库,本地内置多种专利杀毒引擎,还能对未知病毒威胁提供主动防御能力; b) webshell检测同样利用云端5
30、00万的海量样本资源,结合自主研发的检测引擎,保证了对后门、挂马的检测; c) 基于奇安信在漏洞挖掘、攻防领域的积累和技术前瞻性,主机安全服务的漏洞防护、攻击抵御能力首屈一指; d) 奇安信拥有完善的云端威胁感知和事件处置能力,能够提供比其它传统厂商更快、更有效的应急响应。 5 服务支持 为了给客户提供有保障的可靠服务,为用户切实解决安全问题,奇安信打造了一支顶尖的产品与安全服务团队,整个产品与安全服务团队采用金字塔形架构,共分三层: 第一层:产品远程支持、现场问题排查团队,这个团队人数众多,其中一对一服务就多达400人,724小时待命,登门服务等方式,为用户解决产品使用、配置方面的一般性问题。 第二层:技术工程师支持团队,这个团队人数将近50人,均为奇安信研发的各模块负责人、开发人员组成,这支团队主要对用户现场出现的各种由于产品Bug导致的产品问题进行现场代码级排查、定位与解决。 第三层:安全专家服务团队,这个团队人数大约20人,均由国内知名的安全研究人员、安全咨询专家组成,可以对用户现场发生的各种攻击行为进行现场应急处理、恢复与加固,并能对用户的安全建设提出合理化建议。
