1. 背景概述
随着移动互联网、云计算的迅猛发展,网络流量及业务应用的分布从以PC主的固定网络向规模更大的手机、平板电脑、智能设备等移动网络转移。应用业务的Web化、APP化也让数据的存储计算更多的上收到云端,海量的信息数据也呈现出多样化和集中化的趋势:从运维成本以及业务管理简化等方面来说,虚拟化无疑可以实现的更好。虚拟化不仅可以最大可能利用资源,更能创造强大的IT效率。所以,如今很多领域都对此应用青睐不已。不过,虚拟的环境中,因为数据,资源,以及服务等都处于高度集中状态,所以一旦受到安全的威胁,其运行的稳定性就会受到影响
2. 虚拟化安全面临的威胁和挑战
2.1. 高级威胁防护面临挑战
54%的高级恶意软件,传统杀毒软件无法检测
基于签名技术的检测无法应对:针对目标攻击无法提前取得样本;零日漏洞无法得到利用特征;定制工具无法得到攻击特征;多态和变形使我们掌握的攻击特征总不及时;数以亿计的规模使检测引擎无法承载。
87%的数据泄露事件因持续渗透网络,传统检测技术无法发现
传统检测方案无法监控网络持续渗透:攻击者具备合法权限,无需使用攻击手段;攻击者针对现有监控措施,有意识规避;攻击者采用内容层面的高级恶意软件攻击;攻击者采用社会工程等多重攻击手段。
30%的高级恶意程序,传统沙箱技术无法发现
传统沙箱技术无法有效发现高级恶意程序:PE类文件检测、防御能力的实时性问题;门针对沙箱检测的逃逸技术(运行环境检测、检测沙箱技术、环境锁、延时执行、针对 C&C 检测的逃逸);应用环境限制等
2.2. 针对操作系统及通用软件漏洞的攻击不断
目前的虚拟服务器主要安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:
大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行
黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常
同时不可忽视的是由于虚拟化环境中Linux服务器的占比增加,其自身系统的漏洞也对安全性产生了很大影响。由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。
2.3. 虚拟化带来新的安全挑战
当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题:
虚拟机内部攻击
传统的网络安全设备无法查看位于同一物理服务器内部各虚拟机之间的网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击。虚拟机内的网络通信有虚拟交换机进行控制。当同一主机上的虚拟机遭受恶意软件攻击时,网络中传统的IPS/IDS设备将可能检测不到异常情况。
硬件资源利用率受到限制
当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,或者以NFV方式运行相关安全功能组件时,这些安全系统均需要占用较高的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。
物理边界模糊
当服务器虚拟化之后,每台物理服务器上面运行了多个虚拟服务器系统,在虚拟化环境里面,当随着业务扩展或使用靠可用性功能之后,系统并不是固定的,而是有可能在几台物理服务器之间进行切换、扩展和调整。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的传统硬件安全防护产品已不能满足虚拟环境的要求。
3. 安全防护需求
通过对虚拟环境及面临威胁的分析,目前在务器虚拟化存在的安全需求主要有几下几点:
1、对虚拟化服务器提供快速高效的未知和已知威胁防护,包括针对关键业务系统及核心数据的APT防护
2、检测外界针对操作系统以及通用应用程序的漏洞,为虚拟服务器提供安全加固
3、在满足安全防护要求情况下,尽可能节省物理服务器硬件资源,提高虚拟服务器的搭载密度,同时降低管理成本及复杂度。
4. 杰思虚拟化安全解决方案
4.1. 架构设计
虚拟化安全解决方案架构包含三部分:
l 杰思安全探针:部署在受保护的服务器或虚拟机上,进行相关安全信息采集、漏洞检测和威胁发现,并可根据控制中心下发的安全策略执行相关安全防护动作
l 杰思高级威胁防护私有云及控制中心:提供集中式威胁及数据分析、策略管理、程序及特征更新,内置智能沙箱检测分析,并通过警报和报告进行监控。根据客户需要及网络和负载环境,可提供单独高级威胁防护私有云系统部署
l 杰思高级威胁防护公有云:收集并整理分析互联网最新威胁情报,基于云端大数据和更为强劲的沙箱进行未知威胁感知,私有云也可单向向其获取最新的分析信息及威胁特点
4.2 方案特点
用服务器异常行为的横向模型检测取代基于静态特征的检测,实时发现高级的攻击行为
APT攻击的初期目标一般是针对少量的服务器,传统的特征检测很难发现它。
杰思安全掌握EDR(终端响应和)核心技术进行操作系统级行为检测,全网虚拟机服务器横向比较;“定点监控(减少不必要的全局监控对性能的影响);行为合规监控(是否调用了超出期望的系统函数,传递的参数是否威胁系统安全)” ,已知攻击或漏洞无论如何变换都可以有效防护。。
横向比对“找不同”的创新检测方法可以快速发现异常,在APT的早期就感知到可疑状况并快速响应。
n 全周期,多维度的攻击事件发现能力和全面的事件关联分析
实时性和准确性往往很难平衡,效率和精度是传统安全方案无法逾越的问题针对的攻击行为的不同阶段,以全面的多维度的分析检测技术予以发现。对攻击事件的全局数据信息进行多维关联展示,全面呈现攻击事件的全貌;
实时检测与防护:实时检测系统状态,探针上实时执行黑/白名单策略;横向对比行为异常,实时提示管理员可以行为和文件。
智能沙箱:充分模拟真实环境应对恶意样本的环境检测;精确查杀PE文件格式的未知恶意软件;数十亿的样本库;通过时钟调速技术,有效避免针对沙箱的延时逃逸;通过大数据挖掘找出正常、恶意两类软件最具有区分度的特征;建立机器学习模型,使用机器学习算法得到恶意软件的识别模型。
“快且准”的平衡,通过EDR技术保障,守住企业信息安全的源头。
n 轻量无感知探针更适易虚拟化环境部署和维护,不给服务器增加额外负担
传统主机防护“全家桶”易让终端不堪重负,特别是在对资源占用敏感的虚拟化环境,即使采用NFV或基于虚拟化层无代理的软件化安全方案,整体占用资源依然很高。
轻量无感知探针:不扫描用户磁盘和网络访问;不收集用户个人信息,对终端使用零干扰;仅检测系统异常行为并分析日志;批量工具静默安装,终端用户无感知。
黑白名单结合,批量策略下发,分时扫描,极小资源消耗。
旁路部署:安全控制中心旁路部署,无需串接在网络出口,虚拟机上探针与与控制中心路由可达即可,虚拟机调整不影响安全防护效果。
“少添乱”的创新设计思想,在威胁防护的部署上更简单、更考虑使用者的体验、更容易在虚拟化环境实行。
灵活多样的产品部署形态和广泛的操作系统版本支持
杰思猎鹰高级威胁防护系统既有适合集团客户大型网络的分布式部署方式,也有针对中小型企业客户的一体化检测防护的单控制中心部署方式。
支持从 Windows XP 开始的全系列 Windows 桌面与服务器版本,以及 kernel 2.6 开始的主流 Linux 发行版。
4.3. 方案配置
型号 数量 备注
杰思猎鹰企业服务器高级威胁防护系统 1套 必配
杰思猎鹰企业服务器高级威胁防护系统-license 若干 根据服务器数量配置
杰思猎鹰企业高级威胁防护私有云平台 1套 根据需要选配
杰思猎鹰企业高级威胁防护产品服务-1年 1年 必配
杰思猎鹰企业高级威胁防护专家服务-1年 1年 根据需要选配
5. 总结
虽然虚拟化IT基础设施将与物理服务器环境共同面对相同的安全挑战,但用户可以充分享用最新安全技术,通过采用由杰思安全所提供的适用于虚拟化环境的安全产品方案,能够优化防护迅速部署解决方案,并且在不引入瓶颈和最大化资源利用率的前提下,可以确保全部虚拟机的安全基线,有效防止已知和未知威胁入侵,帮助用户保障虚拟化环境内的关键业务系统和核心数据安全。
杰思猎鹰高级威胁防护系统可以有效的降低企业级客户部署门槛和使用成本,同时在性能、稳定性和可扩展性上可以满足不同基础架构和规模组织的高级威胁防护需要。支持将安全控制中心服务器部署到客户的局域网或者私有云上,更安全更私密,也可根据后续业务规模和安全需求进行灵活扩展和升级。同时北京杰思安全科技有限公司还可针对私有部署提供一定程度的定制化,更有针对性的保护企业的安全。
|
