1、(2011.1-2011.12)(2011.1-2011.12)虚拟化与云计算安全目录目录云安全架构与技术实现虚拟化的安全问题云计算的安全挑战1 12 23 31虚拟化的分类虚拟化的分类2虚拟化的安全问题虚拟化的安全问题Hypervisor安全VM隔离信息防泄漏OS安全虚拟化安全目录目录云安全架构与技术实现虚拟化的安全问题云计算的安全挑战1 12 23 3 身份与安全管理 帐号盗用,身份仿冒,违规操作,权限滥用 应用与数据安全 SQL注入、跨站等针对应用层的攻击已经成为安全最大的威胁。破坏数据的机密性、完整性和可用性。系统与主机威胁 病毒蠕虫等将占用系统资源、破坏文件和数据。恶意用户也会利用本
2、地漏洞和配置错误来获取额外权限。网络与边界安全 针对网络层的攻击,如拒绝服务、漏洞扫描等。密码破解权限滥用盗号违规操作SQL注入跨站攻击数据泄露蠕虫病毒僵尸网络漏洞扫描木马拒绝服务CC攻击安全威胁传统安全威胁在云计算中仍然存在!传统安全威胁传统安全威胁资源池层虚拟化平台物理设备服务器存储网络应用系统办公应用管理应用业务应用PORTAL基础软件数据库应用中间件操作系统身份与安全管理应用系统和资源所有权的分离,导致云平台管理员可能访问用户数据应用与数据安全不同安全需求的租户可能运行在同一台物理机上,传统安全措施难以处理系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间,其设计和实现中存在漏洞风
3、险网络与边界安全网络边界的模糊化,传统的边界防护手段在虚拟网络中无法直接使用。除传统威胁外,虚拟化、多租户和特权用户问题使得云计算面临更大风险!云计算的新安全挑战云计算的新安全挑战6高速网络对安全性能的挑战高速网络对安全性能的挑战IPSAnti-Virus GatewayUTMVPN对CPU性能的要求SwichFirewallRouter1G10G10G40G100G 服务器接入从千兆向万兆演进 网络骨干从10G向40G/100G演进 安全对硬件的要求远高于网络,但安全硬件的发展却远远落后于网络,形成剪刀差 大二层、大数据等对安全的性能提出了更高的要求7BCPBCP对安全可靠性的挑战对安全可靠
4、性的挑战 以X86架构+开源软件为主的安全设备,无法满足关键业务的高可靠性要求,在云数据中心里一旦出现故障,后果不堪设想APTAPT对安全能力的挑战对安全能力的挑战 DDoS攻击泛滥 IDS/IPS误报频仍 安全能力建设滞后 APT攻击防不胜防vAPT(Advanced Persistent Threat,高级持续性威胁),简单的说就是针对特定组织所作的复杂且多方位的网络攻击。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据。安全产品安全产品安全能力安全能力目录目录云安全架构与技术实现虚拟化的安全问题云计算的安全挑战1 12 23 3云数据中心安全理念云数据中心安全
5、理念SaaS(按需求将应用软件为服务提供给客户)PaaS(中间件优化:应用服务器、数据库服务器、门户服务器)IaaS(虚拟化服务器、存储、网络)虚拟化资源(虚拟网络、服务器、存储)系统资源(网络、服务器、存储)业务支撑服务(客户管理、订购管理、计费)运营支撑服务(实例、映像、资源、资产管理)物理设施提供可信的云服务治理合规性风险管理确保合法用户安全接入:控制特权用户访问防止帐号劫持确保企业策略满足云计算法规遵从需求:虚拟机系统审计跨边界数据流合规应对数据失去控制的风险:数据分区、数据加密虚拟机隔离和攻击防御遵从身份管理隔离合规性治理风险管理遵从身份管理隔离多租户统一身份认证和授权多租户审计多租
6、户隔离云平台云服务法规人员数据法规人员数据确保云的安全运行应用安全方案Web应用防火墙邮件安全网关访问优化方案应用交付广域网优化网络安全方案FireWallIPS/IDSAnti-DDOS虚拟机FireWallSVN(SSL加密)数据加密管道加密方案VES(虚拟机数据加密)安全领域安全方案产品组件虚拟机安全方案虚拟机AVIPS/IDS虚拟机完整性监控数据安全领域应用安全与优化领域虚拟化安全领域网络安全领域安全管理方案iSoC(安全事件管理)VSM(统一策略管理)TSM(终端身份认证)SACG(身份认证准入,访问授权)身份管理与授权方案安全管理领域Anti-DDoS(应用层)VES(VM数据加密
7、)DLP方案网络DLP存储DLP终端DLP云数据中心安全框架云数据中心安全框架12互联网接入区应用和数据区LBDDoS检测中心DDoS清洗中心管理中心SSL VPN管理区DMZ区WEB服务器eMail服务器带外管理网络应用服务器数据库服务器UTMWAFIDSUTM统一运维审计安全管理中心网络管理中心管理员IDS数据库审计UTMUTMUTM内网区WAN系统互联区UTM前置服务器云数据中心之网络安全云数据中心之网络安全13检测中心清洗中心管理中心Internet数据中心1 攻击流量通过互联网直达目标:目标被攻瘫、链路拥塞;2 通过流量镜像或分光,对全部网络流量进行实时检测分析;3 识别攻击源、被攻
8、击的目标以及攻击特征,上报结果;4 根据预先配置的策略,向清洗中心通告攻击源、目标、攻击特征;6 对清洗后的流量进行回注:策略路由,MPLS VPN方式,GRE方式;7 上报攻击流量清洗结果,以及各种攻击日志。业界最高防护清洗性能2200Gbps防护性能秒级防护响应10倍线性扩展能力应用攻击专业防护能力DNS全防护独家支持SSL DDoS防护率先的IPv6攻击保护独家实现慢速攻击零误判100+种DDoS攻击模型库DNS、CC攻击零误判七层过滤及信誉分析技术智能重定向技术5 通过BGP发布主机路由,把攻击流引到清洗中心清洗;基于旁路的基于旁路的DDoSDDoS攻击检测与清洗攻击检测与清洗网络安全
9、 虚拟化安全 应用安全数据安全安全管理云数据中心之大二层安全L2L3FWIDS分流平台因大二层网络内部流量较大,而单台IDS的性能有限,可能造成监听的流量不完全,会话不完整,因此需要通过分流平台进行精准分流FW旁路部署在服务器区交换机上,通过配置VLAN网关的方式,隔离不同网段或VLAN;为避免成为性能瓶颈,其硬件配置要能够达到64字节小包吞吐量双向线速网络安全 虚拟化安全 应用安全数据安全安全管理基于云的未知威胁防护基于云的未知威胁防护快速响应未知威胁基于云的主动防御:全球采集未知威胁分析样本 云侧发现未知威胁特征和恶意网站 设备侧定期同步最新知识库 高性能威胁发现,准实时发现云侧沙箱检测技
10、术:静态:根据威胁基因发现变种 动态:基于异常行为的未知威胁检测 单向同步,避免用户隐私泄露模拟沙箱知识库升级系统云中心实时信誉检测查询系统威胁感知Power Fortress CloudPower Fortress Detection Power Fortress Update-URL/File/Domain/IP/Email的信誉检测查询-接收可疑待检测样本-提交待检测请求到云中心-采集分析样本-DPI/病毒/0-Day/钓鱼/Botnet/恶意网址-威胁判定、信誉评估-Push/Pull-保持和云中心知识库同步-周期性更新安全产品安全检测分行总行网络安全 虚拟化安全 应用安全数据安全安全
11、管理关于安全设备的性能计算关于安全设备的性能计算注:IPS功能对硬件的开销至少为FW功能的2倍以上;AV(网关防病毒)功能对硬件的开销至少为FW功能的10倍以上,因此一般不建议在骨干链路上部署网关防病毒功能链路双向线速(小包)FW吞吐量(大包)开启IPS功能(折合FW吞吐量)开启AV功能(折合FW吞吐量)1GE2GbpsMIPS多核:610GbpsX86架构:1020Gbps至少3倍于FW的硬件配置至少10倍于FW的硬件配置10GE20GbpsMIPS多核:60100GbpsX86架构:100200Gbps至少3倍于FW的硬件配置至少10倍于FW的硬件配置网络安全 虚拟化安全 应用安全数据安全
12、安全管理1.从云平台的角度:虚拟机是云计算操作系统的一个应用2.从虚拟机的角度:云计算操作系统就是原来的硬件层p 云计算安全的核心控制点在云操作系统p 云操作系统需要安全可控硬件资源 操作系统 系统软件 应用软件 云计算硬件资源 操作系统 APP OS 系统软件 应用软件 传统PC系统架构 云计算操作系统 Cloud OS 云计算系统架构 操作系统 APP OS 系统软件 应用软件 VM1VM2云数据中心之云平台安全网络安全 虚拟化安全 应用安全数据安全安全管理方案价值虚拟机的资源完全隔离,包括CPU的隔离内存的隔离磁盘IO的隔离;网络的隔离用户资源滥用虚拟机之间的数据泄漏虚拟机之间相互攻击解
13、决问题虚拟化资源隔离虚拟化资源隔离网络安全 虚拟化安全 应用安全数据安全安全管理19VLAN10VLAN11VLAN30VLAN40VLAN20vSwitch虚拟化平台VLAN11 接入交换汇聚交换虚拟化层接入交换 vSwitchvSwitchvSwitchVLAN11host1虚拟机VLAN隔离同一虚拟交换机内同一VLAN通信:不出虚拟交换机,直接在虚拟交换内部完成交换同一虚拟交换机内不同VLAN通信:通过外部三层互通网关完成VLAN间互通 不同虚拟交换机间同一VLAN通信:同一物理接入交换机内 不同虚拟交换机间同一VLAN通信:跨物理接入交换机网络安全 虚拟化安全 应用安全数据安全安全管理
14、VLAN10VLAN30VLAN40VLAN20vSwitch虚拟化平台接入交换汇聚交换虚拟化层接入交换vSwitchvSwitchvSwitchhost1安全组策略执行安全组策略执行安全组策略执行安全组策略执行安全组1安全组2安全组3云管理(VM部署)如:目的端口80host2host3host_N安全组访问控制策略下发安全组:具有相同的安全策略的一组VM的集合,支持安全组间的访问控制策略和安全组内成员间的互访策略。在虚拟机交换机上实现,原理上相当于Hypervisor层的虚拟化防火墙每个VM一组ACL,互不影响,VM迁移时安全策略自动刷新虚拟机安全组隔离网络安全 虚拟化安全 应用安全数据安
15、全安全管理同VLAN内虚拟机间安全监控VMVMVM.vSwitchVMVMVM.vSwitchVMVMVM.vSwitchLAN Switch流量镜像流量镜像l虚拟环境威胁检测将vSwitch流量镜像到到IDS设备上进行威胁检测,提供虚拟环境可视。恶意软件检测 蠕虫 木马 间谍软件 广告软件 僵尸网络DDOS检测 针对应用服务的DoS 针对操作系统的DoS 扫描探测服务器攻击检测防止对HTTP、FTP、DNS、Mail等服务器的各种攻击:缓冲区溢出、系统或服务漏洞攻击、暴力破解等。Web攻击检测检测Web应用相关攻击,包括Web2.0及后台数据库;对注入攻击、跨站脚本、目录穿越等提供重点防护。
16、IDS网络安全 虚拟化安全 应用安全数据安全安全管理多租户安全隔离 云数据中心 学校A学校B学校C 学校C学校B学校AMPLS VPN CMPLS VPN BMPLS VPN AVlan 100Vlan 200Vlan 300VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVM各个学校在数据中心的业务区,采用VLAN或VS隔离;VSYS CVSYS BVSYS A防火墙通过MPLS VPN与各个学校互联;防火墙启用虚拟系统(VSYS):1.外网口,通过VPN标签,识别来自不同学校的数据流,并送入对应的VSYS;2.内网口,通过VLAN-ID,识别来自不同学校的数据流,并送入
17、对应VSYS;虚拟系统具有完全独立的体验:1.独立的设备管理;2.独立的设备资源享用;3.独立的安全策略部署;4.独立的日志报表查看;网络安全 虚拟化安全 应用安全数据安全安全管理23虚拟化防病毒虚拟化平台无关的集中扫描:利用常规网络协议将防病毒扫描工作offload到集中的扫描服务器上,客户端无扫描引擎,仅需要安装瘦代理。有效降低防病毒扫描、病毒库更新对用户虚拟机的资源占用,提升用户体验。支持的产品:McAfee Move 2.5随机化扫描和更新、扫描结果缓存:定时扫描在一个时间段内随机启动,避免杀毒风暴扫描结果缓存:使用共享的Insight Cache优化扫描,避免不同的VM扫描相同的文件
18、。提升扫描效率、降低对用户VM的资源占用,提升用户体验。支持的产品:Symantec SEP 12.1网络安全 虚拟化安全 应用安全数据安全安全管理云数据中心之Cloud OS安全由于软件存在bug,在安全上就可能引起相应的漏洞,通过对操作系统、数据库、应用的加固以及补丁管理,可以修补这些漏洞通过严格的服务裁剪、网络端口扫描、操作权限及访问控制等措施,保证主机平台对外安全可靠 完整性保护 安全测试 安全配置系统加固系统加固操作系统加固数据库加固应用加固(Web加固)加固加固领域领域加固加固流程流程具体具体方法方法裁撤不必要的组件、服务等代码遵从代码规范遵从业界配置加固规范,如CIS采用业界扫描
19、工具如Appscan完整性校验工具实现审查 代码安全最小化裁剪补丁管理防病毒网络安全 虚拟化安全 应用安全数据安全安全管理25在系统中引入可信任的TPM芯片,软硬件配合保护云环境的安全可信!虚拟化平台/HypervisorTPM可信度量根(可选2):Intel TXT安全扩展度量/信任链传递保存度量值报告度量值/可信状态可信存储根可信报告根应用程序/虚拟机CPUBIOS硬件ROM引导扇区/Bootloader计算节点可信验证服务器虚拟化管理服务器可信度量根(可选1):UEFI BIOS安全启动 利用服务器上TPM芯片,提供Clould OS完整性保护方案,实现云平台的可信启动和可信运行 符合T
20、PM1.2 和 TPM2.0规范 其中TPM2.0 支持中国商密算法SMx,满足国内合规性要求 支持基于UEFI BIOS安全启动机制、或Intel 可信执行技术(TXT)特点TPM基于硬件的安全保证网络安全 虚拟化安全 应用安全数据安全安全管理26安全加固实现方式怎样保证系统安全系统加固操作步骤使用加固工具或脚本自动完成裁撤不必要的组件、服务等公司业界安全测试扫描工具完整性校验工具实现审查补丁管理机制保证系统完善系统加固安全测试补丁管理 在业务节点、管理节点和用户管理 Portal等不同组件采取业界标准安全要求来实现系统加固,保证基础设施的安全性。最小化裁减安全配置完整性保护节点操作系统加固
21、网络安全 虚拟化安全 应用安全数据安全安全管理HypervisorVEM(加密业务管理系统)VM虚拟机管理系统加密业务开通关闭加密AgentIT管理员证书申请CA(证书管理系统)全盘加解密KMC(密钥管理系统)瘦客户端公私钥获取RA证书发放登陆VM,插入UKey最终用户VM加密AgentVM加密Agent磁盘加密方案设计价值l解决数据存储安全、数据访问控制、重用数据删除等数据安全问题。l支持加密算法硬件加速指令,对虚拟机性能影响小l一键式自动化部署,易于加密业务管理。l屏蔽云平台差异,兼容所有类型的Hypervisor数据中心虚拟磁安全隐患盘l管理员非法挂卷l重用虚拟数据空间删除不彻底l数据中
22、心设备失窃云数据中心之数据安全云数据中心之数据安全网络安全 虚拟化安全 应用安全数据安全安全管理云数据中心之安全管理安全技术是实现安全管理的落地手段n安全策略管理是基本手段n安全审计合规是法规遵从n安全风险管理是核心主线安全管理(技术)安全审计合规安全策略管理 安全风险管理安全管理的主体与核心安全管理的质量保证安全管理人员流程技术安全管理标准安全管理工具与落地手段网络安全 虚拟化安全 应用安全数据安全安全管理SVN网关防火墙DDOS网关上网行为管理入侵防御网关入侵检测网关防病毒网关分支机构终端集团总部终端移动办公终端管理对象统一策略中心覆盖全系列安全产品(终端安全、网络安全),实现集中统一管理
23、安全策略批量下发,操作可视化,高效灵活灵活、可定制化开放平台,兼容OSS等管理平台安全策略管理中心 安全策略集中化、智能化、可视化管理安全策略管理网络安全 虚拟化安全 应用安全数据安全安全管理安全审计合规网络安全 虚拟化安全 应用安全数据安全安全管理数据库审计上网行为审计统一安全审计平台细粒度数据库会话审计记录原始数据库,强化审计力度会话记录多条件查询,精确定位n外发文件及内容审计n互联网行为审计(非法言论、不良网站等)n通讯软件内容审计n终端操作审计n存储介质使用审计(USB设备、光驱等)n文件操作审计n非法外连审计终端内控审计n多种运维协议审计(命令行运维、桌面运维类)n人员、账号、操作对
24、象间关联,还原会话信息u主流法规遵从报表模板u原始日志加密密存储,无法篡改IT运维审计目标:完善的风险管理体系,全局把控IT安全风险,为企业业务保驾护航思路:资产管理为基础事前/事中/事后过程管理为主线持续性闭环处理资产管理风险管理事前事中事后安全预防预警机制工单响应闭环跟踪关联分析实时告警工单跟踪知识库关联分析漏洞扫描脆弱性管理事件采集实时告警报告报表配置管理安全风险管理网络安全 虚拟化安全 应用安全数据安全安全管理Internet检测中心安全能力特征库升级中心实时更新定期发布僵木蠕病毒检测引擎漏洞利用分析引擎DPI特征分类引擎安全探针网络钓鱼监测引擎安全管理中心网管员员工网银/OA/CRM等网络钓鱼数据呈现恶意网站感知呈现病毒检测数据呈现僵尸网络信息呈现网络攻击感知呈现基于Google Earth将多种网络威胁实时呈现全局主动安全态势感知全局主动安全态势感知网络安全 虚拟化安全 应用安全数据安全安全管理