虚拟化安全介绍

2
3
4
支持的平台
WanaCrypt防护
除了杀毒软件，还能做些什么？
WanaCrypt0r感染流程
1 2 3 4
利用漏洞进入主机，目标未安装ms17-010补丁的PC(winxpwin8.1) 执行payload，释放资源，执行mssecsvc.exe（母体）
解压释放敲诈者模块及配置文件，执行加密流程
1 分布式的防火墙、入侵防御等网络防护，部署在每个计算节点上 安全软件替代中心部署的高性能硬件设备，提供更高的可靠性和 扩展性，同时也极大的降低了安全成本。 2 不仅提供“南北向”内外网的安全，也能防护数据中心内部“东 西向”的威胁。
3
相比SDN的网络安全方案，不改变网络架构，没有流量牵引检测
的网络带宽损耗。 无代理恶意软件防护，极大的降低了安全软件的资源损耗，降低 了数据中心的建设成本。 智能安全防护，可以根据虚拟机内部安装的软件及系统，动态的 调整安全防护策略。
3
4
5
6
入侵防御
1
对已知的漏洞进行虚拟修补，在虚拟机系统及应用不
进行安全补丁升级的情况下，防御针对漏洞的攻击。 防护SQL注入，跨站脚本攻击及其他的利用Web应用 程序漏洞的攻击。 7000多种针对系统漏洞的入侵检测规则。 系统自动侦测虚拟机系统的内容，动态的调整用于检 测的入侵检测的规则库，提高检测的效率。 自动更新功能，及时防御针对最新漏洞的攻击。
2
3 4
5
进程管控
1
进程监控模式可以记录进程运行历史，方便建立基准规 则
2
支持根据进程路径和进程名制定规则，并预置操作系统 信任进程列表
支持白名单和黑名单方式，可针对不同的用户场景灵活 配置管控规则 未被允许的进程将无法使用，彻底阻止勒索软件或其他 恶意软件执行 支持无代理和有代理部署，可支持Windows和Linux操 作系统
单点登录
Citrix XenServer支持
安全特征库
安全态势感知
大屏实时显示数据中心的运维状况
1 2 3 4 5 实时的网络分析，包括流量、连接统计 流量的地理位置分析 安全威胁的地理位置动态展示 数据中心流量及威胁的统计数据
详细的安全事件日志
恶意软件防护
1 无需安装软件客户端的模式下保护虚拟机，防止其受病 毒、间谍软件、木马和其他恶意软件的侵害。 文件系统的实时防护，快速、全盘两种手工文件检测方 式。
虚拟化
虚拟化、云计算安全介绍
产品及原理介绍
产品及原理介绍
客户面临的主要安全问题
边界消失带来的安全防护盲点
由于云计算边界消失的问题，数据 中心内部“东西向”威胁成为主要 的安全问题。传统的安全设备更偏 向“南北向” 内外网的防护，无法 保障数据中心安全。
安全运维困难
根据等保规范，配置了许多不同厂商 的安全产品。由于产品间缺乏联动和
安全组件将网络的行为发送到管理中心进行可视化的分析，对新建连接的分析，可以找到大量的异常SMB的访问行 为，并通过访问日志，找到感染源。
产品发展方向
产品发展方向
Gartner CWPP 模型
传统安全基于特征码防护的防 护开销巨大，但收效甚微。云 计算的防护的核心为： 1. 2. 3. 4. 5. 系统配置及漏洞管理 网络的可视化及微隔离 系统完整性监控 应用控制 漏洞及内存保护
3. 数据分析和回溯，根据行为特征找到攻击源头。 4. 严格的进程管控策略，设定主机上可以执行的程序的白名单， 禁止未经授权的程序运行。
防火墙的微隔离
• 严格的内网访问策略，关键的端口和服务只开放 给授权的机器。
• 对于采用多租服务的云计算资源池，可以有效的 保障关键服务的安全。
• 对于蠕虫病毒，可以有效的控制感染的范围，同 时又有保障关键业务的连通性。
4. 3389端口， 远程桌面的服务端口，关闭它意味着桌面云的基础共享桌面没法实现了
我们其实能做的更多
1. 微隔离， 内网东西的网络隔离策略，保证云计算服务正常运行 的情况下，最大限度的避免病毒及威胁的全网传播。
2. 虚拟补丁，针对漏洞的特征，安全公司在最短的时间内制作主 机入侵防御规则，阻止针对漏洞的攻击行为。虚拟补丁对以下 场景有效 零日攻击，漏洞爆出后第一时间，阻断可能的攻击行为 。 厂商不再做支持的老产品 生产环境下无法及时升级安全补丁的系统
主机的虚拟补丁功能
• 主机的入侵防御功能，在漏洞公布的第一时间在线更新漏洞的特征库，阻止利用漏洞的攻击行为 • WanaCrypt使用的漏洞，在4月14日公布，4月15日虚拟补丁已经制作完成。如果用户部署了入侵防御功能，将 可以阻断病毒的传播，并且能够防御接下来利用同一漏洞的病毒的变种。
可视化的行为分析及预警
加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每个文件使用一个随机密钥，理论上不可破解
修复对于云计算资源池的影响
修复建议 1. 关闭135、137、139、445，3389端口 2. 安装 MS17-010 补丁 修复后，云计算资源池可能彻底不工作，因为 1. 137、138端口都属于UDP端口，它们在局域网中相互传输文件信息时，就会发生作用。而138端口的主要作用就是提 供NetBIOS环境下的计算机名浏览功能 2. 139端口， NetBIOS文件及打印共享服务，关闭意味着没法使用文件及打印机共享功能。 3. 445端口，通用Internet文件系统，在windows主机之间进行网络文件共享是通过使用微软公司自己的CIFS服务实现。
4
5
网络部署架构
360虚拟化防护系统
1 “无代理安全”架构，在虚拟机外部的虚拟化层提供防护， 大幅度节省系统资源，可将虚拟机的密度提升300%以上。 统一的云安全管理平台，集中控管数据中心安全
2
3
支持几乎所有的云计算、虚拟化平台
海量数据处理能力，将虚拟机的安全日志、行为数据发 送管理中心进行大数据分析，可视化的展示。 及时发现未知威胁，可以对行为数据进行多维度的分 析，支持数据挖掘。
4
5
主要的安全功能
恶意代码防护
防火墙
DDos防护
应用控制
入侵防御
可视化数据分析
安全态势感知
进程管控
VMware支持
OpenStack + KVM 支持
控制节点
支持服务 支持服务
网络节点
网络基本服务
计算节点
安全 基本服务 可选的服务
安全特征库
计算
安全信誉服务
网络 网络接口 网络接口 网络接口
管理中心
2 2500多种国内主要网络应用的内容解析及精确识别。
3 上网行为管理，可以针对每个虚拟机用户统一配置管理 策略；阻止、放行特定的应用程序，提高工作效率。 4 自动更新应用解析的规则库，不断增加新应用的支持。
防火墙、DDoS防护
1 2 主机防火墙，配置传基于IP及端口的防火墙策略。 同时支持内外网（南北向）、内部（东西向）的网络隔 离。 无需额外设备和网络调整，可以有效抵御SYN flood， ACK flood，UDP flood，ICMP flood等攻击 配置简单，按照每秒请求流量和报文数量设置阈值，超 过阈值时触发流量清洗 可以对计算机配置不同的防护规则，DDoS防护不会相互 影响 不仅可以防护计算机与外网间的南北向流量，还可以防 护内网的东西向流量
降低，大幅度的增加了数据中心的
建Βιβλιοθήκη Baidu成本。
什么是无代理安全
“无代理安全”，无需在虚拟机内部安装 虚拟化层
管理中心
安全软件，而在宿主机的虚拟化层进行安 全防护。其特点是耗费系统资源极小，不 会对数据中心的业务造成影响。可以大幅 度降低数据中心的建设成本。
为什么要选用无代理安全
相比传统的安全方案的优势：
2
3
感染的文件在虚拟机内部隔离。除去这台虚拟机的用户 ，其他用户无权限读取隔离文件，防止数据泄露问题。
高效的缓存机制，避免不同虚拟机内部的相同文件被重 复检测。 优化安全操作的资源调度，以避免全系统扫描时出现常 见的防病毒风暴。
4
5
6 恶意代码特征库的自动更新。
应用控制
1 三至七层应用防火墙，不仅可以配置传统的基于IP及端 口的防火墙策略，也可以配置基于网络应用的策略。
统一管理，管理成本很高，但收效甚
微。
层出不穷的“未知威胁”
由于数据中心的数据集中存放，成为黑 客“高价值”的猎物。攻击者为了获取 数据，针对数据中心的安全漏洞，不断 变换攻击方法，现有的“基于特征库” 的安全软件对此失效。
安全软件部署成本过高
沿用传统的有代理模式，在每个虚 拟机上安装安全软件耗费了大部分 的系统资源，造成虚拟机密度极具
3
4
5
可视化数据分析
1
支持海量的访问日志、文件安全、防火墙、入侵检测日志 数据的处理。 以虚拟机、操作系统、应用程序、攻击类型、恶意代码类 型、时间等多个维度对文件、网络的海量安全数据进行关 联性分析；并辅以多种图表形式，对同一数据进行描述， 便于用户理解。 支持安全事件的数据挖掘，便于管理人员及时准确的找到 攻击源，阻断安全威胁。 通过对行为数据的分析，快速定位未知威胁。
统一的云计算安全防护
私有云 + 物理环境
+
公有云
构建新型的安全运维体系
威胁情报应用
威 胁 情 报
预测
数据 驱动
防御
用户行为
持续监测分析
应用层 系统交互层 终端层 网络层
响应
检测
THANKYOU
扫描其他漏洞主机，利用ms17-010网络感染其他主机 ，实现大规模传播
分析样本信息
样本下载：https://mega.nz/#!VRtRAaZD!BNcDDAsSSAyb7k3IBdTyy1E1CrOBF5RqVf7MlIFucEI 解压密码：hackerhouse
影响面：除Windows 10外，所有未打MS-17-010补丁的Windows系统都可能被攻击 功能：WannaCry利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具，进行网络端口扫描攻击，目标机器被成功 攻陷后会从攻击机下载WannaCry进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快 速扩散。 母体为mssecsvc.exe，运行后会扫描随机ip的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播，此 外会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。