网络安全

当前位置:首页>产品服务>网络安全

360虚拟化安全管理系统-解决方案

发布时间:2022-03-12
浏览次数:9633人次
产品服务详情


一.  项目背景以及风险分析
1.1  项目背景

随着云计算的飞速发展,越来越多的企业开始考虑云+业务的运营模式,而云计算的根本在于虚拟化。考虑到虚拟化的优点,XX公司开启了数据中心的虚拟化迁移进程,初步迁移完成后,XX公司数据中心的IT成本大大降低、计算能力快速提升、系统运维变得简单。但随着虚拟化技术的逐步成熟,针对虚拟化的安全事件不断发生,使得XX公司不得不开始考虑数据中心虚拟化后的安全建设。
IDC在一次关于“您认为云计算模式的挑战和问题是什么?”的调查中,安全以74.6%的比率位居榜首,可见安全是人们对云计算最大的担心。实际上,处于云时代的企业,其自身的业务应用和云环境高度关联,哪怕是短短一分钟的停机,对于依赖“云应用”的企业而言,其后果都是灾难性的。由于虚拟化技术是云计算的核心支撑技术,那么企业在考虑云计算安全时,首先要关注的就是底层的虚拟化安全。



虚拟化的引入,IT环境发生了巨变,在带来诸多优点的同时也带来了虚拟化环境下独有的安全问题,如宿主机安全、安全域混乱、三大风暴等,因此XX公司在开始向云迁移核心数据和系统之前首先要解决虚拟化环境中遇到的各种问题。
1.2  风险分析
云数据中心的虚拟化是把物理资源抽象成逻辑资源,在一台宿主机服务器上运行几台甚至几百台互相隔离的虚拟机,不再受限于物理上的界限隔离,让CPU、内存、磁盘这些硬件资源变成可以动态管理的资源池。在虚拟化环境中,系统应用都迁移到宿主机上的虚拟机操作系统里,既要保证各自的稳定运行,又需要对各个虚拟机进行安全数据的隔离,同时又要考虑资源的利用率和业务系统的高度集中,这使得企业在评估虚拟化安全时要考虑诸多的安全风险:
1.2.1  终端木马、病毒的问题
数据中心虚拟化后,企业大部分应用都根植在虚拟机环境中,这些应用中包括了很多的对外应用,黑客可直接通过这些应用侵入到虚拟机内部,遗留木马病毒。另外,虚拟机和宿主机本身都有外部的接口,如USB接口、虚拟网卡与宿主机物理网卡桥接等方式,使得虚拟机感染外界木马、病毒的风险大大增加。这些病毒爆发时,将造成整体资源池负载过高业务中断、企业敏感数据泄露、虚拟机逃逸等问题,对企业带来灾难性的后果。
1.2.2  三大风暴引起资源耗尽
虚拟化弹性可变的优势在瞬息万变的互联网时代越来越明显,而支撑该优势的前提是将服务器资源进行复用,提高资源利用率,传统的安全软件在应用到虚拟化环境当中一定会遇到资源的消耗问题:
“启动风暴”:是指在大量虚拟化资源池中,当同一批虚拟机在同时启动时,安全软件也会同时启动,并进行安全检查,由于资源使用高峰的产生,导致宿主机计算资源枯竭,很容易导致部分资源池不可用或宕机产生。
“杀毒风暴”:传统杀毒软件在部署完成后将默认对所管辖终端或虚拟机进行完整扫描,而且还可以定制某一时间进行重新完整病毒查杀,每一次病毒扫描将会消耗大量的内存、CPU和磁盘IO,当同一宿主机上多台虚拟机同时启动病毒扫描时,很快将把宿主机的计算资源消耗殆尽,并造成业务系统大面积停机,无法使用。
“更新风暴”:当安全软件控制中心更新完安全策略或病毒码及补丁时将通过物理或虚拟网络推送到虚拟终端,由于虚拟网络通道的带宽限制,很容易造成虚拟网络阻塞,从而影响正常业务系统的访问和运营。
1.2.3  核心的宿主机安全问题
一直以来无论虚拟化厂商或安全厂商都将安全的关注点放在虚拟机系统和应用层面,直到近期“毒液”安全漏洞的出现,才将人们的目光转移到宿主机,由于宿主机系统本身也都是基于Windows或Linux系统进行底层重建,因此宿主机不可避免的会面对此类漏洞和风险问题,一旦宿主机的安全防护被忽略,黑客可以直接攻破虚拟机,从而造成虚拟机逃逸。所以,宿主机的安全问题是虚拟化安全的根基。
1.2.4  虚拟机之间的攻击问题
虚拟化就是将现有资源进行重复利用和系统应用集中化的过程,在向虚拟化迈进的过程中需要将原有物理服务器中的系统和应用进行数据迁移,当把不同安全等级或不同防护策略的虚拟机集中运行在同一台宿主机上时,就会出现安全问题。虚拟机和虚拟机之间的通讯依靠虚拟机交换机,由于虚拟交换机的宽泛性,所有的虚拟机都可以随时互相通讯,那么当其中一台虚拟机感染病毒或存在漏洞时,攻击者利用漏洞控制这台虚拟机,然后向宿主机上其他虚拟机发起攻击,由于传统的硬件安全设备无法对虚拟机之间的交互进行检测防护,不能对其他虚拟机提供安全防护能力,攻击者就可以无阻的攻击其他虚拟机。
1.2.5  漂移导致的安全域混乱
虚拟化技术带来了弹性扩展这一优秀特性,是通过虚拟机漂移技术来实现,当宿主机资源消耗过高或者出现故障时,为了保证虚拟机上的业务稳定,虚拟机会漂移到其他的宿主机上。企业的数据中心在虚拟化后,一旦发生虚拟机漂移,原有安全管理员配置好的安全域将被完全打破,甚至会出现部分物理服务器和虚拟机服务器处于同一个安全域这样的情况,而依靠传统防火墙和VLAN的方式将没有办法维持原来的安全域稳定,使得安全域混乱,安全管理出现风险。
1.2.6  跨多个平台的统一管理
当前虚拟化飞速发展,但是虚拟化演变进程还不是非常成熟,各个企业扩展速度也不尽相同,因此会出现很多复杂的虚拟化环境。比如企业在虚拟化进程中,出于某些因素部分物理服务器无法迁移到虚拟化资源池中,出现虚拟化与物理服务器共存的状况;虚拟化前后建设出现差异,造成多种虚拟化平台共存的状况。那么如何对物理资源池和虚拟资源池进行统一管理,如何对多种虚拟化平台进行统一管理,成为了管理员亟需解决的问题。

1.3  需求分析
基于上述风险分析,结合中国XX公司的实际情况,可通过采购和部署虚拟化安全管理系统,搭建虚拟化安全管控中心,来保证公司虚拟化环境的安全,实现公司虚拟化安全的可视化管理,整体掌握全公司安全态势。
针对虚拟化安全管理系统的技术需求如下:
解决病毒、木马的泛滥问题
解决虚拟化“三大风暴”的问题。
通过有效手段实现宿主机安全。
能够防止虚拟机之间相互攻击。
维持漂移后的安全域稳定。
支持跨资源池、跨平台的统一管理。

二.  建设思路
2.1  建设目标
中国XX公司通过采购和部署360虚拟化安全管理系统,在现有虚拟化环境中实行全面覆盖,并搭建虚拟化安全管控平台,实现对现有虚拟化环境或物理服务器都可以进行统一管理,实现虚拟化安全防护,随时掌控整体安全态势。
2.2  建设原则
必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
· 最小影响原则
实施工作尽可能小的影响系统和网络的正常运行,所选用产品尽量避免改变用户的使用习惯。同时,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断)等。
· 易用性原则
要考虑的是实用性和易于操作性。易用性的原则的目的是在保证实用要求和技术可行性的前提下,要选择易于操作和管理的产品,以及适当档次和价格的设备。这主要指:“从实际出发,讲求实效”。
· 可扩展性原则
可扩充性和可延展性主要包括两个方面的内容:一是扩充新的节点做好扩展方案。二是产品必须具有升级能力,能够适应网络新技术发展的要求。
· 可靠性原则
鉴于中国XX公司信息系统规模较大,系统类型复杂,要求终端安全产品必须具有较高的可靠性,和良好的网络管理能力,应能对其进行有效的管理与维护。

建设内容
为中国XX公司提供一套自内至外、自上之下的立体防御体系,实现宿主机、虚拟机、虚拟机应用的三层防护安全架构。在现有虚拟化环境和部分待迁移物理服务器均部署360虚拟化安全管理系统,形成全网虚拟化安全策略统一管理、安全态势综合分析、威胁情报全球联动的虚拟化安全管理平台。

中国XX公司虚拟化安全管理平台
一级数据中心
u    一级数据中心虚拟化安全管理系统
Ø    一级虚拟化安全管理服务器
Ø    一级虚拟机轻型代理客户端
二级数据中心
u    二级数据中心虚拟化安全管理系统
Ø    二级虚拟化安全管理服务器
Ø    二级虚拟机轻型代理客户端

三.  方案设计
3.1  详细设计
360虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统,可对物理资源池、虚拟资源池、云资源池进行统一的安全防护与集中管理,对宿主机、虚拟机、虚拟机应用提供三层防护安全架构,具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。在虚拟化环境中出现的病毒风暴、安全域混乱、宿主机安全、虚拟机之间攻击等问题,360虚拟化安全管理系统都可提供行之有效的解决办法。最终为用户提供一套可跨多种平台、防护无死角的综合虚拟化安全解决方案。
3.1.1  产品系统架构
360虚拟化安全管理系统主要由360管控中心、安全虚拟机及轻型代理客户端组成,产品架构图如下图所示:

3.1.2  功能技术设计

3.1.2.1  多引擎病毒查杀
360依靠多年在杀毒领域的技术积累,自主开发出了QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QEX宏病毒检测引擎四大杀毒引擎,进行病毒的安全防御。四大杀毒引擎在运行时可进行数据交互,对虚拟机及服务器进行扫描结果缓存共享,在整个数据中心进行增量扫描从而提高扫描效率。

3.1.2.1.1  360云查杀检测引擎
Ø    云查杀技术的必要性
随着病毒的大量出现,传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征,仅奇虎360一家安全企业,到目前为止就已经积累了多达100亿的病毒样本,如果算上未经去重的病毒样本,目前已发现的病毒样本已经远远超过100亿的规模,而目前大多数的终端杀毒软件,受本地存储资源的限制,本地病毒特征库的规模大约在1000万 ~ 2000万左右,这个数字只占不到20+ 亿已发现病毒样本的1%,依靠1%的病毒库去检测互联网中肆虐的病毒,这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求,需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。
Ø    360云查杀资源与技术
云查杀技术需要大量的样本资源、计算资源、检测技术资源,如果没有这些资源作支撑,则无法构建高质量的云查杀系统,本质上来说,云查杀系统是一个海量资源系统,这个资源系统中,既包括客户资源,又包括硬件资源与软件算法资源:
· 样本资源
构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑,否则,所构建的云查杀系统将因为缺乏足够的病毒样本积累而难以保证对于已知病毒和恶意代码的检测率。本方案中,我们才用的360云查杀平台,拥有涵盖了近20年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件,其所积累的去重之后病毒样本数量已经超过20亿。
样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足够的病毒样本文件,只有广泛部署了终端系统的情况下,才能在短期内收集足够数量的恶意代码样本文件,奇虎360在全国拥有超过4亿的终端用户,覆盖了全国终端用户的95%以上,其中绝大多数已经选择加入了奇虎360公司的“云安全计划”,这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源,保证了360云查杀系统病毒样本收集的及时、有效。目前平均来说,一个病毒从首次在国内互联网上出现,到被360云查杀系统捕获之间,只有不到10个小时的时间。
· 计算资源
为了构造有效的云查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台标准的服务器(如DELL R720,配置为:双路16核CPU(Xeon E5-2690,单路8核,主频2.9GHz)、Intel C600主板芯片组、内存16GB(ECC DDR3)、硬盘900GB(SAS接口)),每天(24小时)可处理的样本数量大约在3000万个左右,因此,对于标准1000终端的用户来说,若按照每天每台终端提交10个样本进行深度检测,则大约需要4台DELL R720这样配置的服务器组成的云查杀系统才能满足查杀需要。在本项目中,360所提供的公有云查杀系统的规模已经超过了10000台服务器,由这些云服务器所构成的查杀环境,完全可以满足本项目的云端深度查杀需求。
· 算法资源
构建有效了云查杀环境,除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外,还需要先进的未知病毒及恶意代码的检测算法,这样才能够在收集到病毒与恶意代码样本之后,进行有效的分析与处理。因此,对未知病毒与恶意代码的快速检测能力,就成了构建有效的云查杀环境的关键。在本方案中,360所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法,这些算法中,有基于病毒与恶意代码静态样本共性特征的QVM-II算法(该算法采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一),也有目前主流的动态沙箱深度分析技术,同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术,最后,对于非常复杂、难于分析的可疑文件,还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析。以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合,多种手段、人机结合,保证了对病毒与恶意代码分析的万无一失。

3.1.2.1.2  QVM-II人工智能检测引擎
对于病毒和恶意代码的检测,一直存在着两个技术方向,一个是依靠病毒特征匹配的静态检测技术,这种技术的特点是必须依靠已知的病毒特征,一般静态特征匹配的技术适合对已知病毒、恶意代码的检测。另外一种是依靠对病毒行为的动态分析技术,这种技术更适合对未知病毒、恶意代码的检测。这两种技术是目前对病毒进行检测的关键技术,分别实现对已知、未知的病毒及恶意代码检测。
其中采用特征对病毒进行检测的技术又分为两个方向,一个是穷举式病毒特征提取,即针对每个已发现的病毒、恶意代码样本提取各自的病毒特征,这种方式的优点是能够准确识别出已提取特征的病毒与恶意代码,误报率和漏报率都很低。另一种是针对不同族类的病毒及恶意代码提取出共性的族群特征,并以此作为检测依据对恶意代码进行检测。这种方式的优点是不依赖某一个病毒或恶意代码的具体特征,而是提取某一族群的恶意代码共性特征,因此,这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力,同时还能对检测出来的病毒与恶意代码进行族系归类。
QVM-II人工智能检测引擎采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型。该技术的主要组成框架如下:

3.1.2.2  低耗的查杀策略
资源的高利用率是虚拟化的一大优势,传统的安全软件由于其复杂的功能以及查杀的不灵活造成资源风暴,影响业务的稳定性。360虚拟化安全管理系统采用轻代理的部署方式,轻代理根植与虚拟机当中,在轻代理的启动和查杀时,会通过管理控中心对轻代理进行“排队”,避免启动风暴和查杀风暴。另外,360虚拟化安全管理系统在更新时可以设置内、外网限速,避免网络拥塞的出现。
3.1.2.3  宿主机安全防护
当前业界安全厂商都将安全防护的核心聚焦虚拟机安全,随着互联网的飞速发展,越来越多的企业开始将注意力集中在提供虚拟化服务的Hypervisor层,360结合多年的安全防护经验,并深入研究Hypervisor层系统架构与脆弱性分析,大胆提出在Hypervisor层中植入轻型代理的方式来防护宿主机安全,为虚拟化环境提供自上而下,由内而外的整体安全防护方案。
3.1.2.4  灵活的虚拟机漂移绑定
在虚拟化资源池中由于虚拟机资源的弹性可变,因此经常发生由于资源枯竭等原因导致的虚拟机从不同的安全域之间反复漂移的情况,而使用无代理方式无法保障整体资源池中都部署安全防护策略,因此无法保障在漂移后的虚拟机安全策略随虚拟机绑定。360虚拟化管理系统采用独有的轻代理部署方式,在虚拟机中植入轻型代理,轻代理安全策略和虚拟机无缝绑定,无论虚拟机漂移至虚拟化资源池中的任何宿主机均可保证虚拟机防护策略稳定有效,提供虚拟机对虚拟机之间的攻击防护能力。
3.1.2.5  有效的虚拟机访问控制
企业在虚拟化的过程中,得到了一个高效资源利用率的IT环境,这依靠的是虚拟机漂移这一优质特性,但是,客户原本的安全域划分将随着虚拟机漂移将被完全打破,而传统的安全设备无法对这一问题束手无策。360虚拟化安全管理系统具有虚拟防火墙功能,它根植于轻代理中,可依据用户业务的需要,制定防火墙访问控制策略,根据安全域规格批量下发给虚拟主机后,无论虚拟机漂移到任何位置,虚拟机访问控制策略不变,原有安全域稳定继承,极大方便了业务主机的安全管控工作。
3.1.2.6  强大的跨平台防护能力
360虚拟化安全管理系统支持VMware vSphere、Microsoft Hyper-V、H3C CAS、Huawei FusionCompute、Citrix XenServer、Redhat Enterprise Virtualization等多种国内、国外虚拟化平台,并可以对虚拟资源池以外的物理资源池或者云端资源池进行统一的安全管理,形成威胁统一管理平台,简化运维成本,提高安全运维水平。

产品部署
3.1.3  准备工作
1、360虚拟化安全管理系统安装包。
2、Windows Server 2008 虚拟机(360推荐配置:2 * 2 Core,4GB 内存,不小于50GB存储)
3、Cent OS 6.5 虚拟机 (360推荐配置: 2*2Core, 8GB内存,不小于20GB存储)
4、确保以上 Windows Server 2008、Cent OS 虚拟化系统管理平台以及Guest OS网络互通。

3.1.4  部署架构
360虚拟化安全管理系统部署架构如下图所示:


3.1.5  产品安装
1、安装360虚拟化安全管理系统控制中心。



2、配置控制中心端口,通信端口,云查询端口,控制中心登陆密码。


3、登陆控制中心,导入虚拟化平台客户端。




4、安装查杀服务器


5、配置查杀服务器



6、 给虚拟机安装轻代理
安装windows和Linux轻代理客户端程序。



四.  方案优势
4.1.1  完善的立体防御体系
基于多年互联网安全防护的技术积累,融合了360虚拟化攻防团队的研究成果,360虚拟化安全管理系统提出了宿主机、虚拟机、虚拟机应用的三层防护安全架构,从虚拟机资源池中的底层安全,到虚拟机的系统安全,到虚拟机内部的应用安全,为企业提供自内至外、自上之下的立体防御体系。
4.1.2  未知病毒的查杀能力
QVM-II人工智能检测引擎采用人工智能与机器学习的方法,对360目前已经积累的100多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,这种方式的优点是不依赖某一个病毒或恶意代码的具体特征,而是提取某一族群的恶意代码共性特征,因此,这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力,最大程度保护虚拟化环境的安全可控。
4.1.3  降低补丁修复成本
补丁管理对于企业至关重要,长时间的漏洞空窗期会使企业面临业务系统中断等安全风险,但是企业中的IT环境错综复杂,操作系统多种多样,在进行补丁管理时遇到了诸多问题:例如Windows XP及Server2003等操作系统厂商已经不再提供技术支持;甚至有的系统在漏洞修复完毕后重启系统发现业务系统无法正常运行,而360虚拟化管理系统提供给用户的虚拟补丁功能,可以在漏洞出现后第一时间联合云端进行规则更新,直接应用到轻代理中,企业无需重启系统或应用,兼容性及稳定更好,及时封堵了漏洞空窗期,大大降低了运维难度。
4.1.4  全面防护零日漏洞
360补天平台是全球最大的漏洞响应平台,可以让厂商最快发现漏洞。360虚拟化安全管理系统通过和360补天平台进行有机联动,可在第一时间获取零日漏洞信息,并且形成虚拟补丁对操作系统及应用进行加固。另外,360安全管理系统依靠360虚拟化研究团队的研究成果,研发了独有的序列化检测引擎,此引擎依托于虚拟化平台内部的检测机制,根植于Hypervisor层,可实现全面检测各种虚拟化平台的零日漏洞。
4.1.5  混合环境统一管理
在虚拟化的演变过程中,客户的IT环境会经历从物理环境向虚拟化环境乃至云端环境演变,而且部署环境错综复杂。360虚拟化安全管理系统采用轻代理的部署方式,可对物理资源池、虚拟资源池、云端资源池进行统一的安全防护与管理,并且具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容能力,降低企业运维成本。

五.  服务支持
为了给客户提供有保障的可靠服务,为用户切实解决安全问题,360打造了一支顶尖的产品与安全服务团队,整个产品与安全服务团队采用金字塔形架构,共分三层:
第一层:产品远程支持、现场问题排查团队,这个团队人数众多,其中一对一服务就多达400人,7×24小时待命,采取电话支持(4008 136 360),登门服务等方式,为用户解决产品使用、配置方面的一般性问题。
第二层:技术工程师支持团队,这个团队人数将近50人,均为360研发的各模块负责人、开发人员组成,这支团队主要对用户现场出现的各种由于产品Bug导致的产品问题进行现场代码级排查、定位与解决。
第三层:安全专家服务团队,这个团队人数大约20人,均由国内知名的安全研究人员、安全咨询专家组成,可以对用户现场发生的各种攻击行为进行现场应急处理、恢复与加固,并能对用户的安全建设提出合理化建议。

六.  方案总结
360虚拟化安全管理系统是360公司面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位虚拟化安全解决方案。虚拟化安全管理系统秉承信息收集、立体防护、集中管控的设计理念,具备完善的终端防御体系,强大的云安全管理能力,良好的用户体验与易用性,顶尖的产品维护服务团队。能够为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系,并提供企业威胁统一管理、虚拟化安全综合运维等诸多功能,为客户向云计算世界迈进提供了坚实的保障。


上一篇:360新一代智慧防火墙-新边界防御解决方案V1.2

下一篇:基于云平台的信息安全及靶场综合实验平台建设方案

在线咨询

点击这里给我发消息 售前咨询专员

点击这里给我发消息 售后技术支持

在线
咨询

在线留言

24小时免费咨询

请输入您的联系电话,座机请加区号

在线
留言

微信扫一扫

微信
联系
返回
顶部