2015101360虛擬化安全管理系統(tǒng)-產(chǎn)品白皮書v2

1、360虛擬化安全管理系統(tǒng)V6.2?2016360企業(yè)安全集團版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，所有版權(quán)均屬360企業(yè)安全集團所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機構(gòu)未經(jīng)360企業(yè)安全集團的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目錄|Contents1 .引言-2-2 .云計算安全-2-2.1 云計算安全范疇-2-2.2 虛擬化現(xiàn)狀與安全挑戰(zhàn)-2-3 .360虛擬化安全管理系統(tǒng)簡介-3-3.1 產(chǎn)品概述-3-3.2 產(chǎn)品架構(gòu)-4-3.3 部署拓?fù)?5-4 .主要功能-5-4.1 多引擎病毒查殺-5-4.2 虛擬補丁-

2、5-4.3 虛擬化防火墻-6-4.4 威脅情報聯(lián)動防御-6-4.5 宿主機防護(hù)-6-5 .優(yōu)秀特性-7-5.1 強大的跨平臺防護(hù)能力Powerfulcross-platformprotectionability-7-5.2 高效彳氐耗的查殺策略Highefficiencylowkillingstrategy-7-5.3 靈活的虛擬機漂移綁定Aflexiblevirtualmachinedriftbinding-7-5.4 有效的虛擬機訪問控制Effectivevirtualmachineaccesscontrol-7-5.5 領(lǐng)先的Hypervisor防護(hù)LeadingtheHyperviso

3、rprotection-8-6 .客戶價值-8-6.1 混合環(huán)境統(tǒng)一管理-8-6.2 完善的立體防御體系-8-6.3 降低補丁修復(fù)成本-9-6.4 全面防護(hù)零日漏洞-9-7 .結(jié)語-9-引言云計算安全(cloudsecurity)是指云計算模式中的安全能力，是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，在云計算的架構(gòu)下，云計算開放網(wǎng)絡(luò)和業(yè)務(wù)共享場景更加復(fù)雜多變，安全性方面的挑戰(zhàn)更加嚴(yán)峻，一些新型的安全問題變得比較突出，如多個虛擬機租戶間并行業(yè)務(wù)的安全運行、虛擬化底層的穩(wěn)定和延續(xù)性等。由于云計算采用了云服務(wù)模式，其基礎(chǔ)IT架構(gòu)發(fā)生了本質(zhì)的變化，傳統(tǒng)的IT安全方案無法對云計算環(huán)境提供有效的安全防護(hù)能力，因此企業(yè)應(yīng)

4、以新的思路來實現(xiàn)云計算環(huán)境的安全。2 .云計算安全2.1 云計算安全范疇針對云計算安全，需要考慮整體安全狀況態(tài)勢，以安全控制的手段在云計算建立過程中一層或多層上實現(xiàn)，包括IT設(shè)備的物理與網(wǎng)絡(luò)安全、系統(tǒng)安全、虛擬化安全、上層應(yīng)用安全等方面，此外，還包括人員、管理層面的安全控制。而虛擬化作為云計算的核心支撐技術(shù)，在考慮云計算安全的時，虛擬化的安全就成了優(yōu)先考慮的重點。2.2 虛擬化現(xiàn)狀與安全挑戰(zhàn)虛擬化軟件作為云計算的基礎(chǔ)架構(gòu)為虛擬化管理與虛擬化安全提供了一個良好的平臺，如著名的Xen、vSphere、Hyper-V等產(chǎn)品。上述虛擬化軟件利用運行在物理服務(wù)器和操作系統(tǒng)之間的中間軟件層Hypervis

5、or,協(xié)調(diào)訪問服務(wù)器上的所有物理設(shè)備和虛擬設(shè)備。Hypervisor也叫虛擬機監(jiān)視器(VirtualMachineMonitor),是這些虛擬化管理軟件的虛擬化技術(shù)核心。隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來越多的企業(yè)意識到Hypervisor安全是虛擬數(shù)據(jù)中心安全的首要條件。針對傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機流量的問題。業(yè)界有些公司使用VMware公司的API開發(fā)了虛擬安全分析器，以檢測虛擬交換機流量一一在虛擬層之上的網(wǎng)絡(luò)層流量。相應(yīng)地也出現(xiàn)了虛擬網(wǎng)絡(luò)防火墻，這種防火墻基于虛擬機管理器，可認(rèn)證有狀態(tài)的虛擬防火墻，檢查所有通過虛擬機的數(shù)據(jù)分組，組織所有未經(jīng)批準(zhǔn)的連接和允許對數(shù)據(jù)分組進(jìn)行更深層次的檢查

6、，確保了虛擬機間部分通信的安全，但是對于虛擬機之間的攻擊流量的特殊性,使用虛擬化廠商的網(wǎng)絡(luò)流量分析已經(jīng)無法解決這樣的問題。虛擬化技術(shù)是生成一個和真實系統(tǒng)行為一樣的虛擬機器，虛擬機像真實操作系統(tǒng)一樣，同樣存在軟件漏洞與系統(tǒng)漏洞。必須像對待真正的操作系統(tǒng)一樣加固虛擬機，給程序不斷地及時打補丁升級，以此來保證虛擬機的安全，同時宿主機的安全需要得到同等的關(guān)注。傳統(tǒng)殺病毒安全軟件可以部署在虛擬機中解決虛擬機防病毒的問題，但傳統(tǒng)的防病毒技術(shù)依靠已知病毒特征樣本對所有文件進(jìn)行詳細(xì)的掃描與分析，準(zhǔn)確率依賴于病毒樣本庫的覆蓋面和規(guī)模，其效率受限于技術(shù)方案的局限性，往往會占用過多的物理機CPU、內(nèi)存、網(wǎng)絡(luò)資源，效

7、果差強人意。傳統(tǒng)的防病毒軟件可以一定程度的解決已知病毒、木馬的威脅，但對于越來越多的APT攻擊卻束手無策。APT很多攻擊行為都會利用0day漏洞進(jìn)行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。此種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要針對大型企業(yè)、國家重要的基礎(chǔ)設(shè)施或者具有核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。由于APT特種木馬的免疫行為，所以傳統(tǒng)的防病毒軟件以及安全控管措施和理念很難有效應(yīng)對APT攻擊。由于云計算與虛擬化環(huán)境自身的特性，企業(yè)需要充分考慮虛擬化的引入為企業(yè)帶來的相應(yīng)的風(fēng)險，根據(jù)各個風(fēng)險點帶來

8、的問題及威脅建設(shè)針對性的防護(hù)方案，以保障企業(yè)數(shù)據(jù)的安全及業(yè)務(wù)系統(tǒng)的平穩(wěn)運行。3 .360虛擬化安全管理系統(tǒng)簡介3.1 產(chǎn)品概述360虛擬化安全管理系統(tǒng)是一款針對于云數(shù)據(jù)中心的虛擬化安全管理系統(tǒng)，可對物理資源池、虛擬資源池、云資源池進(jìn)行統(tǒng)一的安全防護(hù)與集中管理，對宿主機、虛擬機、虛擬機應(yīng)用提供三層防護(hù)安全架構(gòu)，具備對混合虛擬化平臺、混合操作系統(tǒng)、混合系統(tǒng)應(yīng)用環(huán)境的兼容防護(hù)能力。在虛擬化環(huán)境中出現(xiàn)的病毒風(fēng)暴、安全域混亂、宿主機安全、虛擬機之間攻擊等問題，360虛擬化安全管理系統(tǒng)都可提供行之有效的解決辦法。最終為用戶提供一套可跨多種平臺、防護(hù)無死角的綜合虛擬化安全解決方案。3.2產(chǎn)品架構(gòu)360虛擬化

9、安全管理系統(tǒng)主要由360管控中心、安全虛擬機及輕型代理客戶端組成，產(chǎn)品架構(gòu)圖如下圖所示:3.3部署拓?fù)?60安全管理系統(tǒng)部署拓?fù)鋱D如下所示:m醞安全中心,Internet物理服務(wù)器虛擬服簍器安全虛擬機虛擬化浸源池為理福務(wù)莞集群四.主要功能4.1 多引擎病毒查殺360依靠多年在殺毒領(lǐng)域的技術(shù)積累，自主開發(fā)出了QVM人工智能引擎、云查殺引擎、AVE文件修復(fù)引擎、QEX宏病毒檢測引擎四大殺毒引擎，其中，QVM人工智能引擎依托于360云端超過100億條病毒樣本，進(jìn)行家族類可視化分析，可對未知變種病毒實現(xiàn)精準(zhǔn)的查殺與隔離。四大殺毒引擎在運行時可進(jìn)行數(shù)據(jù)交互，對虛擬機及服務(wù)器進(jìn)行掃描結(jié)果緩存共享，在整個數(shù)

10、據(jù)中心進(jìn)行增量掃描從而提高掃描效率。4.2 虛擬補丁補丁管理一直是企業(yè)關(guān)注的核心問題，由于企業(yè)內(nèi)部的IT環(huán)境多種多樣，在進(jìn)行補丁管理的時候面臨的風(fēng)險也日益嚴(yán)峻，如XP系統(tǒng)的補丁管理、熱補丁帶來的物理服務(wù)器重啟風(fēng)險、補丁空窗期等問題。360虛擬化安全管理系統(tǒng)可以通過虛擬補丁的方式對存在漏洞的企業(yè)服務(wù)器操作系統(tǒng)及應(yīng)用進(jìn)行修復(fù)，由于虛擬漏洞修復(fù)模塊無需對操作系統(tǒng)及應(yīng)用進(jìn)行代碼修改，只是對于來自外部的攻擊行為進(jìn)行識別和過濾，無需重啟虛擬機或服務(wù)器，企業(yè)既無需擔(dān)心兼容性問題也無需重啟系統(tǒng)中斷業(yè)務(wù)，因此虛擬補丁可以在保障企業(yè)業(yè)務(wù)系統(tǒng)連續(xù)運行的情況下對攻擊行為進(jìn)行有效防護(hù)。4.3 虛擬化防火墻360虛擬化安

11、全管理系統(tǒng)在虛擬機內(nèi)部植入了輕量化的防火墻守護(hù)程序，該模塊可以通過管理中心進(jìn)行統(tǒng)一訪問控制策略管理，對每臺虛擬機下發(fā)個性化訪問控制策略，且該策略會與虛擬機進(jìn)行適配綁定，無論虛擬機在資源池中如何漂移都不會造成策略失效，甚至管理員可以根據(jù)原有安全域進(jìn)行虛擬安全域劃分，將不同的物理服務(wù)器與虛擬服務(wù)器進(jìn)行安全域劃分，從根本上解決企業(yè)在虛擬化進(jìn)程中經(jīng)常遇到的安全域無法劃分的問題。4.4 威脅情報聯(lián)動防御360虛擬化安全管理系統(tǒng)可以與360威脅感知平臺智能聯(lián)動，接收威脅情報及全球威脅態(tài)勢，智能調(diào)整數(shù)據(jù)中心安全防御策略。，結(jié)合360虛擬化安全在終端上的精確防御能力，實現(xiàn)對虛擬化終端的攻擊防御。天眼威脅感知系

12、統(tǒng)在檢測出網(wǎng)絡(luò)攻擊行為之后，一方面會采用頁面報警、郵件報警的方式對攻擊行為進(jìn)行實時報警，同時，天眼威脅感知系統(tǒng)還會將報警信息實時發(fā)送給部署在終端之上的360虛擬化安全終端安全管理系統(tǒng)進(jìn)行有效聯(lián)動。終端在接收到報警信息之后，會及時根據(jù)報警信息所提供的文件標(biāo)識對終端文件進(jìn)行更新查殺，實現(xiàn)“邊界發(fā)現(xiàn)、終端防御”的防御效果。4.5 宿主機防護(hù)當(dāng)前業(yè)界安全廠商都將安全防護(hù)的核心聚焦虛擬機安全，隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來越多的企業(yè)開始將注意力集中在提供虛擬化服務(wù)的Hypervisor層，360結(jié)合多年的安全防護(hù)經(jīng)驗，并深入研究Hypervisor層系統(tǒng)架構(gòu)與脆弱性分析，大膽提出在Hypervisor層中植

13、入輕型代理的方式來防護(hù)宿主機安全，為虛擬化環(huán)境提供自上而下，由內(nèi)而外的整體安全防護(hù)方案。五.優(yōu)秀特性1.1 強大的跨平臺防護(hù)能力360虛擬化安全管理系統(tǒng)支持VMwarevSphere、MicrosoftHyper-V、H3CCAS、HuaweiFusionCompute、CitrixXenServer、RedhatEnterpriseVirtualization等多種國內(nèi)、國外虛擬化平臺，并可以對虛擬資源池以外的物理資源池或者云端資源池進(jìn)行統(tǒng)一的安全管理，形成威脅統(tǒng)一管理平臺，簡化運維成本，提高安全運維水平。1.2 智能的虛擬機查殺策略360虛擬化安全管理系統(tǒng)在進(jìn)行病毒查殺時會進(jìn)行緩存化處理，

14、由同一虛擬機模板生成的虛擬機在進(jìn)行一次全盤掃描后，將會記錄掃描過的安全文件的特征，多臺虛擬機輕代理會共享掃描緩存，在掃描下一臺虛擬機時會僅僅掃描虛擬機中的差異化文件部分，此掃描方式將會大大提高掃描的速度并降低掃描的資源及時間消耗。并且在掃描多臺虛擬機時能夠自動根據(jù)待掃描虛擬機集群進(jìn)行序列化查殺，只有在結(jié)束一臺虛擬機掃描時才會開始下一臺，因此可以有效避免全盤掃描導(dǎo)致的查殺風(fēng)暴等問題。1.3 靈活的虛擬機漂移綁定在虛擬化資源池中由于虛擬機資源的彈性可變，因此經(jīng)常發(fā)生由于資源枯竭等原因?qū)е碌奶摂M機從不同的安全域之間反復(fù)漂移的情況，而使用無代理方式無法保障整體資源池中都部署安全防護(hù)策略，因此無法保障在

15、漂移后的虛擬機安全策略隨虛擬機綁定。360虛擬化管理系統(tǒng)采用獨有的輕代理部署方式，在虛擬機中植入輕型代理，輕代理安全策略和虛擬機無縫綁定，無論虛擬機漂移至虛擬化資源池中的任何宿主機均可保證虛擬機防護(hù)策略穩(wěn)定有效，提供全時的堅實防護(hù)。1.4 有效的虛擬機訪問控制企業(yè)在虛擬化的過程中，得到了一個高效資源利用率的IT環(huán)境，這依靠的是虛擬機漂移這一優(yōu)質(zhì)特性，但是，客戶原本的安全域劃分將隨著虛擬機漂移將被完全打破，而傳統(tǒng)的安全設(shè)備無法對這一問題束手無策。360虛擬化安全管理系統(tǒng)具有虛擬防火墻功能，它根植于輕代理中，可依據(jù)用戶業(yè)務(wù)的需要，制定防火墻訪問控制策略，根據(jù)安全域規(guī)格批量下發(fā)給虛擬主機后，無論虛擬

16、機漂移到任何位置，虛擬機訪問控制策略不變，原有安全域穩(wěn)定繼承，極大方便了業(yè)務(wù)主機的安全管控工作。1.5 領(lǐng)先的Hypervisor防護(hù)360擁有東半球第一支專業(yè)的虛擬化平臺漏洞研究團隊，已發(fā)現(xiàn)多個帶有CVE編號的虛擬化平臺漏洞，具有深厚的虛擬化安全研究底蘊，在發(fā)現(xiàn)虛擬化平臺安全漏洞時，可在第一時間完成對虛擬化平臺漏洞的研究和防護(hù)。除此之外，通過對Hypervisor層系統(tǒng)架構(gòu)與脆弱性分析，研發(fā)出了一套針對Hypervisor層獨有的序列化檢測引擎，可有效預(yù)防Hypervisor層的零日漏洞，完善宿主機的安全防護(hù)體系。6 .客戶價值6.1 混合環(huán)境統(tǒng)一管理在虛擬化的演變過程中，客戶的IT環(huán)境會經(jīng)

17、歷從物理環(huán)境向虛擬化環(huán)境乃至云端環(huán)境演變，而且部署環(huán)境錯綜復(fù)雜。360虛擬化安全管理系統(tǒng)采用輕代理的部署方式，可對物理資源池、虛擬資源池、云端資源池進(jìn)行統(tǒng)一的安全防護(hù)與管理，并且具備對混合虛擬化平臺、混合操作系統(tǒng)、混合系統(tǒng)應(yīng)用環(huán)境的兼容能力，降低企業(yè)運維成本。6.2 完善的立體防御體系基于多年互聯(lián)網(wǎng)安全防護(hù)的技術(shù)積累，融合了360虛擬化攻防團隊的研究成果，360虛擬化安全管理系統(tǒng)提出了宿主機、虛擬機、虛擬機應(yīng)用的三層防護(hù)安全架構(gòu)，從虛擬機資源池中的底層安全，到虛擬機的系統(tǒng)安全，到虛擬機內(nèi)部的應(yīng)用安全，為企業(yè)提供自內(nèi)至外、自上之下的立體防御體系。6.3 降低補丁修復(fù)成本補丁管理對于企業(yè)至關(guān)重要，

18、長時間的漏洞空窗期會使企業(yè)面臨業(yè)務(wù)系統(tǒng)中斷等安全風(fēng)險，但是企業(yè)中的IT環(huán)境錯綜復(fù)雜，操作系統(tǒng)多種多樣，在進(jìn)行補丁管理時遇到了諸多問題：例如WindowsXP及Server2003等操作系統(tǒng)廠商已經(jīng)不再提供技術(shù)支持；甚至有的系統(tǒng)在漏洞修復(fù)完畢后重啟系統(tǒng)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)無法正常運行，而360虛擬化管理系統(tǒng)提供給用戶的虛擬補丁功能，可以在漏洞出現(xiàn)后第一時間聯(lián)合云端進(jìn)行規(guī)則更新，直接應(yīng)用到輕代理中，企業(yè)無需重啟系統(tǒng)或應(yīng)用，兼容性及穩(wěn)定更好，及時封堵了漏洞空窗期，大大降低了運維難度。6.4 全面防護(hù)零日漏洞360補天平臺是全球最大的漏洞響應(yīng)平臺，可以讓廠商最快發(fā)現(xiàn)漏洞。360虛擬化安全管理系統(tǒng)通過和360補天平臺進(jìn)行有機聯(lián)動，可在第一時間獲取零日漏洞信息，并且形成虛擬補丁對操作系統(tǒng)及應(yīng)用進(jìn)行加固。另外，360安全管理系統(tǒng)依靠360虛擬化研究團隊的研究成果，研發(fā)了獨有的序列化檢測引擎，此引擎依托于虛擬化