基于云主機安全構建的云安全體系.pdf

1、安全狗CEO基于云主機安全構建的云安全體系目錄云計算平臺的兩種云安全架構從云主機層面看Docker容器的安全1234從云主機角度可以做到的安全統一的云安全管理平臺5CWPP平臺的最佳實踐案例一、云計算平臺的兩種安全架構一種是以虛擬化網絡安全設備為核心：主要以傳統做硬件防火墻的公司基于SDN方案為代表備注：圖片來自深信服云安全方案兩種解決方案Run in physicalmachines,virtualmachines,containers支持物理主機、云主機、容器Run in one or more publiccloud Infrastructure(HybridCloud)支持一個或多個公

2、有云等混合云架構A single management consoleand a single way to expresssecuriyt policy一個云安全管理中心以及統一的安全策略管理一種是以輕量Agent為核心：主要以Gartner提出的CWPP（Cloud Workload Protection Platforms）云工作負載安全平臺方案為代表，國內外都有一些代表產商，如傳統安全公司趨勢、賽門鐵克，新興安全公司Iiilumio、Varmous等Gartner對CWPP平臺的功能定義國家等級保護2.0版本中對云計算等級保護的要求云計算保護環境是云服務方的云計算平臺，及云租戶在云計算

3、平臺之上部署的軟件及相關組件的集合。其中，云計算平臺的等級保護定級和按照等級的保護工作由云服務方負責，對于大型云計算平臺可以將云計算基礎設施平臺及輔助支撐系統劃分為不同的等級對象，各自獨立定級。如果云租戶在云計算平臺上部署的軟件及相關組件可以構成等級保護定級對象，則一般稱為云租戶信息系統，針對其的具體定級和按等級開展的保護工作由云租戶負責。備注：圖片來自網絡安全等級保護安全設計技術要求 第2部分：云計算安全要求依據等級保護“一個中心三重防護”的設計思想，結合云計算功能分層框架和云計算安全特點，構建云計算安全設計防護技術框架。其中一個中心指安全管理中心，三重防護包括安全計算環境、安全區域邊界和安

4、全通信網絡備注：圖片來自網絡安全等級保護安全設計技術要求 第2部分：云計算安全要求國家等級保護2.0版本中對云計算等級保護的要求二、從(云)主機角度可以做到的安全網絡流向從原來的南北流向升級為：南北+東西流向網絡邊界變遷：(云)主機側的安全監測成重點云環境：80傳統威脅20新興威脅VM/Xen/MS/KVM Hypervisor操作系統業務應用應用防護主機防護應用層安全威脅系統層安全威脅虛擬化安全威脅網絡防護宿主機操作系統傳統純硬件安全模型失效東/西向流量不可見虛擬機間攻擊防護盲點虛擬機單獨管理復雜虛擬機和宿主機之間的安全威脅(云)主機側的安全能力矩陣傳統安全威脅部分(80%)新興安全威脅部分

5、(20%)可以采集了整個云環境中所有云主機采用的WEB應用、數據庫應用、第三方組建、端口等更細粒度的資產。(云)主機側的安全能力矩陣：資產采集無須采用傳統的網絡漏掃設備即可主動發現云主機的系統漏洞、應用漏洞、配置風險、基線風險、弱口令等安全風險。(云)主機側的安全能力矩陣：風險監測通過監測云主機的各種異常行為可第一時間發現云主機是否已經被入侵，準確性遠高于網絡流量設備。(云)主機側的安全能力矩陣：入侵檢測及監測通過監測云主機詳細的進程行為，發現進程異常以及實現進程白名單等功能(云)主機側的安全能力矩陣：進程監測(云)主機側的安全能力矩陣：宿主機安全監測宿主機操作系統虛擬機應用層系統內核虛擬機監

6、控器（VMM）宿主機虛擬機應用層系統內核安全狗虛擬機防護引擎（SVPA）輕代理SA輕代理SA系統監控（進程、文件、網絡）資源監控主動防御安全策略維護安全審核安全檢測安全隔離虛擬機逃逸監測反惡意軟件病毒、木馬查殺虛擬化IDS應用安全在宿主機層進行虛擬機逃逸等新興威脅的監測，也可以把反病毒等比較占資源的傳統安全需求放在宿主機層來實現(云)主機側的安全能力矩陣：微隔離技術為什么不用傳統的VLAN或者基于SDN的虛擬網絡隔離？當隔離的網絡數量增加時投入的硬件成本將大大增加 隔離的策略維護困難，規則數會隨著隔離網絡數量的增加而成倍數的增加 無法適配混合云架構使用基于主機微隔離技術的優勢 適用于大規模數據

7、中心、云數據中心、混合云架構，無需投入大量的硬件成本 讓管理員以可視的方式快速進行內部網絡隔離及加固，減小攻擊面 可以隔離到進程、用戶層面細粒度 可以通過隔離策略識別異常的內網流量(云)主機側的安全能力矩陣：威脅情報執行主機側是威脅情報IOC落地執行最好最豐富的層面，網絡層面往往只能做到C2域名外聯發現、異常協議識別，而主機側可以做到：文件哈希值快速匹配和比對（可實現全網大規模匹配）、實時監測 主機網絡側C2域名實時監測 主機網絡側反彈Shell監測 主機網絡側違規外聯行為監測（連接到特定IP地址）主機網絡側特定協議包監測（DNS Tunnel等）進程異常行為監測（函數調用行為、內存行為）類似

8、于EDR產品的終端威脅捕獵三、統一的云安全管理平臺VMVMVMVMVMVM宿主機VMVMVMVMVMVM宿主機IAAS區安全管理區云安全管理平臺態勢感知平臺統一云安全管理平臺：滿足云等保和管理的要求讓云安全管理變得“主動、可視、可防、可知、可管”統一云安全管理平臺：功能范圍攻擊分析定向攻擊及高級分析攻擊源分析被入侵主機分析攻擊軌跡溯源威脅分析漏洞補丁識別、管理及批量修復系統賬號、權限風險識別及修復網頁后門識別病毒檢測與查殺應用配置風險識別及修復云安全監控系統資源監控進程行為及安全性監控網絡流量監測應用性能監控服務可用性監控云端資產管理批量安全配置掃描批量安全策略設置安全策略系統日志分析web日

9、志分析異常行為分析告警日志分析多公有云管理混合云管理風險管理云安全管理平臺多租戶管理統一云安全管理平臺：融合云安全資源池能力風險管理威脅分析資產管理安全策略云安全監測權限控制日志分析VM虛擬化網絡保護漏洞掃描租戶A虛擬層宿主機資源與性能穩定基礎硬件與網絡安全宿主機資源、性能、安全性監控安全基線檢查云堡壘機資源層安全病毒查殺系統主動防御網站安全防御系統安全加固網絡安全防護防黑防提權VMIAAS 服務層安全租戶層云服務抗DDoS云服務高級滲透測試服務VMVMVM租戶B病毒查殺系統主動防御網站安全防御系統安全加固網絡安全防護防黑防提權VMVMVM云安全資源池物理資源與硬件設施云安全管理平臺威脅分析云

10、安全監控云端資產管理安全策略日志分析風險管理云安全管理平臺云主機安全云安全資源池虛擬化防火墻云堡壘機云掃描器態勢感知SDNAPI接口API接口多租戶管理數據及策略統一云安全管理平臺：融合云安全資源池能力統一云安全管理平臺：實例統一云安全管理平臺：融合態勢感知可視化四、從云主機層面看Docker安全容器的安全問題容器的安全方案構建容器平臺時去考慮安全問題，主要是從四個方面：基礎架構層安全容器調度層安全容器自身的安全應用系統層安全容器的安全方案：安全基線容器的安全方案：交付過程安全基于鏡像進行交付的，需要對鏡像從CI，到部署到生產的過程，每一次的將會都會對它進行簽名認證，這樣確保鏡像最終到生產時是一個安全的，可信的一個資源容器的安全方案：運行時監測和主動防御在Docker主機內核層中心對Docker的運行行為、網絡行為、文件行為進行統一的監視、訪問控制，可以做到對Docker運行時監測和運行時主動保護五、CWPP平臺的最佳實踐案例CWPP平臺案例：安全狗云安全平臺云服務端安全狗公有云云安全平臺用SAAS方式為企業解決(云)數據中心安全問題，提供(云)服務器、應用、業務在內的一站式云安全防護服務。目前用戶量超過30WCWPP平臺案例：CloudPassageCWPP平臺案例：illumioCWPP平臺案例：Varmour謝謝