《基于云主机安全构建的云安全体系.pdf》由会员分享,可在线阅读,更多相关《基于云主机安全构建的云安全体系.pdf(40页珍藏版)》请在三个皮匠报告上搜索。
1、安全狗CEO基于云主机安全构建的云安全体系目录云计算平台的两种云安全架构从云主机层面看Docker容器的安全1234从云主机角度可以做到的安全统一的云安全管理平台5CWPP平台的最佳实践案例一、云计算平台的两种安全架构一种是以虚拟化网络安全设备为核心:主要以传统做硬件防火墙的公司基于SDN方案为代表备注:图片来自深信服云安全方案两种解决方案Run in physicalmachines,virtualmachines,containers支持物理主机、云主机、容器Run in one or more publiccloud Infrastructure(HybridCloud)支持一个或多个公
2、有云等混合云架构A single management consoleand a single way to expresssecuriyt policy一个云安全管理中心以及统一的安全策略管理一种是以轻量Agent为核心:主要以Gartner提出的CWPP(Cloud Workload Protection Platforms)云工作负载安全平台方案为代表,国内外都有一些代表产商,如传统安全公司趋势、赛门铁克,新兴安全公司Iiilumio、Varmous等Gartner对CWPP平台的功能定义国家等级保护2.0版本中对云计算等级保护的要求云计算保护环境是云服务方的云计算平台,及云租户在云计算
3、平台之上部署的软件及相关组件的集合。其中,云计算平台的等级保护定级和按照等级的保护工作由云服务方负责,对于大型云计算平台可以将云计算基础设施平台及辅助支撑系统划分为不同的等级对象,各自独立定级。如果云租户在云计算平台上部署的软件及相关组件可以构成等级保护定级对象,则一般称为云租户信息系统,针对其的具体定级和按等级开展的保护工作由云租户负责。备注:图片来自网络安全等级保护安全设计技术要求 第2部分:云计算安全要求依据等级保护“一个中心三重防护”的设计思想,结合云计算功能分层框架和云计算安全特点,构建云计算安全设计防护技术框架。其中一个中心指安全管理中心,三重防护包括安全计算环境、安全区域边界和安
4、全通信网络备注:图片来自网络安全等级保护安全设计技术要求 第2部分:云计算安全要求国家等级保护2.0版本中对云计算等级保护的要求二、从(云)主机角度可以做到的安全网络流向从原来的南北流向升级为:南北+东西流向网络边界变迁:(云)主机侧的安全监测成重点云环境:80传统威胁20新兴威胁VM/Xen/MS/KVM Hypervisor操作系统业务应用应用防护主机防护应用层安全威胁系统层安全威胁虚拟化安全威胁网络防护宿主机操作系统传统纯硬件安全模型失效东/西向流量不可见虚拟机间攻击防护盲点虚拟机单独管理复杂虚拟机和宿主机之间的安全威胁(云)主机侧的安全能力矩阵传统安全威胁部分(80%)新兴安全威胁部分
5、(20%)可以采集了整个云环境中所有云主机采用的WEB应用、数据库应用、第三方组建、端口等更细粒度的资产。(云)主机侧的安全能力矩阵:资产采集无须采用传统的网络漏扫设备即可主动发现云主机的系统漏洞、应用漏洞、配置风险、基线风险、弱口令等安全风险。(云)主机侧的安全能力矩阵:风险监测通过监测云主机的各种异常行为可第一时间发现云主机是否已经被入侵,准确性远高于网络流量设备。(云)主机侧的安全能力矩阵:入侵检测及监测通过监测云主机详细的进程行为,发现进程异常以及实现进程白名单等功能(云)主机侧的安全能力矩阵:进程监测(云)主机侧的安全能力矩阵:宿主机安全监测宿主机操作系统虚拟机应用层系统内核虚拟机监
6、控器(VMM)宿主机虚拟机应用层系统内核安全狗虚拟机防护引擎(SVPA)轻代理SA轻代理SA系统监控(进程、文件、网络)资源监控主动防御安全策略维护安全审核安全检测安全隔离虚拟机逃逸监测反恶意软件病毒、木马查杀虚拟化IDS应用安全在宿主机层进行虚拟机逃逸等新兴威胁的监测,也可以把反病毒等比较占资源的传统安全需求放在宿主机层来实现(云)主机侧的安全能力矩阵:微隔离技术为什么不用传统的VLAN或者基于SDN的虚拟网络隔离?当隔离的网络数量增加时投入的硬件成本将大大增加 隔离的策略维护困难,规则数会随着隔离网络数量的增加而成倍数的增加 无法适配混合云架构使用基于主机微隔离技术的优势 适用于大规模数据
7、中心、云数据中心、混合云架构,无需投入大量的硬件成本 让管理员以可视的方式快速进行内部网络隔离及加固,减小攻击面 可以隔离到进程、用户层面细粒度 可以通过隔离策略识别异常的内网流量(云)主机侧的安全能力矩阵:威胁情报执行主机侧是威胁情报IOC落地执行最好最丰富的层面,网络层面往往只能做到C2域名外联发现、异常协议识别,而主机侧可以做到:文件哈希值快速匹配和比对(可实现全网大规模匹配)、实时监测 主机网络侧C2域名实时监测 主机网络侧反弹Shell监测 主机网络侧违规外联行为监测(连接到特定IP地址)主机网络侧特定协议包监测(DNS Tunnel等)进程异常行为监测(函数调用行为、内存行为)类似
8、于EDR产品的终端威胁捕猎三、统一的云安全管理平台VMVMVMVMVMVM宿主机VMVMVMVMVMVM宿主机IAAS区安全管理区云安全管理平台态势感知平台统一云安全管理平台:满足云等保和管理的要求让云安全管理变得“主动、可视、可防、可知、可管”统一云安全管理平台:功能范围攻击分析定向攻击及高级分析攻击源分析被入侵主机分析攻击轨迹溯源威胁分析漏洞补丁识别、管理及批量修复系统账号、权限风险识别及修复网页后门识别病毒检测与查杀应用配置风险识别及修复云安全监控系统资源监控进程行为及安全性监控网络流量监测应用性能监控服务可用性监控云端资产管理批量安全配置扫描批量安全策略设置安全策略系统日志分析web日
9、志分析异常行为分析告警日志分析多公有云管理混合云管理风险管理云安全管理平台多租户管理统一云安全管理平台:融合云安全资源池能力风险管理威胁分析资产管理安全策略云安全监测权限控制日志分析VM虚拟化网络保护漏洞扫描租户A虚拟层宿主机资源与性能稳定基础硬件与网络安全宿主机资源、性能、安全性监控安全基线检查云堡垒机资源层安全病毒查杀系统主动防御网站安全防御系统安全加固网络安全防护防黑防提权VMIAAS 服务层安全租户层云服务抗DDoS云服务高级渗透测试服务VMVMVM租户B病毒查杀系统主动防御网站安全防御系统安全加固网络安全防护防黑防提权VMVMVM云安全资源池物理资源与硬件设施云安全管理平台威胁分析云
10、安全监控云端资产管理安全策略日志分析风险管理云安全管理平台云主机安全云安全资源池虚拟化防火墙云堡垒机云扫描器态势感知SDNAPI接口API接口多租户管理数据及策略统一云安全管理平台:融合云安全资源池能力统一云安全管理平台:实例统一云安全管理平台:融合态势感知可视化四、从云主机层面看Docker安全容器的安全问题容器的安全方案构建容器平台时去考虑安全问题,主要是从四个方面:基础架构层安全容器调度层安全容器自身的安全应用系统层安全容器的安全方案:安全基线容器的安全方案:交付过程安全基于镜像进行交付的,需要对镜像从CI,到部署到生产的过程,每一次的将会都会对它进行签名认证,这样确保镜像最终到生产时是一个安全的,可信的一个资源容器的安全方案:运行时监测和主动防御在Docker主机内核层中心对Docker的运行行为、网络行为、文件行为进行统一的监视、访问控制,可以做到对Docker运行时监测和运行时主动保护五、CWPP平台的最佳实践案例CWPP平台案例:安全狗云安全平台云服务端安全狗公有云云安全平台用SAAS方式为企业解决(云)数据中心安全问题,提供(云)服务器、应用、业务在内的一站式云安全防护服务。目前用户量超过30WCWPP平台案例:CloudPassageCWPP平台案例:illumioCWPP平台案例:Varmour谢谢