虚拟化安全管理系统(轻代理)V7.0技术白皮书20210330-.doc
《虚拟化安全管理系统(轻代理)V7.0技术白皮书20210330-.doc》由会员分享,可在线阅读,更多相关《虚拟化安全管理系统(轻代理)V7.0技术白皮书20210330-.doc(26页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、虚拟化安全管理系统(轻代理)V7.0_技术白皮书_20210330|虚拟化安全管理系统V7.0(轻代理) 技术白皮书 地址:北京市西城区西直门外南路26号院1号 邮编:100044 l 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容,除另有特别注明,版权均为奇安信集团(指包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司)所有,受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。 修订记录 修订日期 修订内容 修订人 20_.11.08 新建 云安全公司 目 录 1
2、.引言 5 2.产品综述 6 2.1.产品设计目标/产品价值 6 2.1.1.产品设计目标 6 2.1.2.产品价值 6 2.2.产品原理介绍 7 2.3.产品的组成和架构 7 2.4.产品模块间数据流程描述 8 2.5.产品组件规格说明 8 3.功能模块详述 10 3.1.防病毒模块 10 3.1.1.防病毒模块设计目标/产品价值 10 3.1.2.防病毒模块特点与优势说明 10 3.1.3.防病毒模块详细功能介绍 10 3.2.Webshell扫描模块 11 3.2.1.Webshell扫描模块设计说明 11 3.2.2.Webshell扫描模块特点与优势说明 11 3.2.3.Websh
3、ell扫描模块功能详述 11 3.3.安全基线模块 11 3.3.1.安全基线模块设计说明 11 3.3.2.安全基线模块特点与优势说明 12 3.3.3.安全基线模块功能详述 12 3.4.防暴力破解模块 12 3.4.1.防暴力破解模块设计说明 12 3.4.2.防暴力破解模块特点与优势说明 12 3.4.3.防暴力破解模块功能详述 12 3.5.防火墙/入侵防御模块 13 3.5.1.防火墙/入侵防御模块设计说明 13 3.5.2.防火墙/入侵防御模块性能说明 13 3.5.3.防火墙/入侵防御模块特点与优势说明 14 3.5.4.防火墙/入侵防御模块功能详述 14 3.6.虚拟化加固模
4、块 15 3.6.1.虚拟化加固模块设计说明 15 3.6.2.虚拟化加固模块特点与优势说明 15 3.6.3.虚拟化加固模块功能详述 15 3.7.网卡流量统计模块 15 3.7.1.网卡流量统计模块设计说明 15 3.7.2.网卡流量统计模块特点与优势说明 15 3.7.3.网卡流量统计模块功能详述 15 4.实施部署说明 17 4.1.虚拟化环境部署 17 4.1.1.部署说明 17 4.1.2.所需设备说明 17 4.1.3.所需通讯资源说明 18 4.1.4.实施拓扑图 19 4.2.混合虚拟化环境 20 4.2.1.部署说明 20 4.2.2.所需设备说明 20 4.2.3.所需通
5、信资源说明 21 4.3.物理服务器环境部署 22 4.3.1.部署说明 22 4.3.2.所需设备说明 22 4.3.3.所需通信资源说明 22 4.4.物理服务器环境和虚拟化环境混合部署 23 4.4.1.部署说明 23 4.4.2.所需设备说明 24 4.4.3.所需通讯资源说明 24 1.引言 随着我国信息化进程的不断发展,云计算等技术迅速兴起,已在深刻改变传统的 IT 基础设施、应用、数据以及 IT 运营管理。同时,新的技术出现也在考验原有安全防护体系。首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系,如网络与信息系统
6、的安全边界的划分和防护、安全控制措施选择和部署、安全监测和安全运维等许多方面。其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了信息机遇,也推进了安全服务内容、实现机制和交付方式的创新和发展。虚拟化作为云计算的支撑技术,虚拟化的安全便是云计算安全的核心因素,随着虚拟化的逐渐普及,虚拟化及云计算面临的安全问题也越来越多,主要有以下几方面: 多虚拟化平台安全无法统一管理:由于虚拟化建设过程中思路不尽相同,这使得企业最终的虚拟化环境错综复杂:物理服务器与虚拟服务器共存、多种虚拟化平台、多种虚拟操作
7、系统、多种系统应用。在安全统一管理的要求下,这需要虚拟化安全管理系统在这种复杂情况下具备较高的兼容能力,对复杂环境进行统一管理,了解全网安全态势,从而进行针对性的规划与策略配置。 主机的木马、病毒、后门文件的风险:第一,传统防病毒安全软件依靠已知病毒特征样本对所有文件进行详细的扫描与分析,准确率依赖于病毒样本库的覆盖面和规模,并且占用过多的物理机CPU、内存,效果差强人意。第二,对于APT攻击束手无策。APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击,且具有持续性及隐蔽性。第三,传统杀毒软件不支持对于网站后门文件的扫描,无法对其进行防范。 此外,虚拟化数据中心还面临扫描风暴、杀毒风暴、
8、升级风暴等问题。奇安信集团从虚拟化底层的安全性出发,通过对虚拟化数据中心的特殊性研究,研发了虚拟化安全管理系统,旨在保证企业业务系统的连续性与稳定性。 2.产品综述 2.1.产品设计目标/产品价值 虚拟化安全管理系统旨在解决企业虚拟化环境下的安全问题,提供对宿主机、虚拟机、虚拟机应用的三层防护能力,采用低耗的技术架构,全面兼容企业物理和虚拟环境,保障企业业务系统的稳定性和连续性,为用户提供一套可跨多种虚拟化平台、具备强大防护能力的虚拟化安全解决方案。 2.1.1.产品设计目标 2.1.1.1.解决病毒、木马的问题 随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。虚
9、拟化安全管理系统集成了奇安信集团强大的杀毒模块,拥有启发引擎、脚本引擎、云查杀引擎等多种引擎,可对各种新兴变种病毒进行有效查杀与隔离。 2.1.1.2.解决多平台安全统一管理问题 企业数据中心环境错综复杂:多种虚拟化平台,多种虚拟机操作系统,物理、虚拟服务器共存,这要求安全软件具备极强的适应性、扩展性、稳定性。虚拟化安全管理系统具有强大的环境兼容能力,可支持各种虚拟化平台以及虚拟机操作系统,并且可以对物理服务器、虚拟服务器进行统一的安全管理。 2.1.2.产品价值 2.1.2.1.APT攻击防护 虚拟化安全管理系统启发引擎是基于特征扫描技术的升级,在原有的特征值识别技术基础上,将反病毒样本分析
10、专家总结的可疑程序样本经验移植到反病毒程序中,根据反编译后的程序所调用的win32函数情况来判断程序是否为病毒、恶意软件,以达到防御未知病毒、恶意软件、变形木马的目的。 2.1.2.2.全网态势监控 虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统,可对物理资源池、虚拟资源池、云资源池进行统一的安全防护与集中管理,对宿主机、虚拟机、虚拟机应用提供三层防护安全架构,具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。由于系统具有极好的兼容特性,面对复杂的企业环境,运维人员所有的操作只需要在管理控制中心上进行,时刻了解全网安全态势。 2.1.2.3.策略漂移绑定 在虚拟
11、化资源池中由于虚拟机资源的弹性可变,因此经常发生由于资源枯竭等原因导致的虚拟机从不同的安全域之间反复漂移的情况。轻代理根植于虚拟机本身,安全策略和虚拟机无缝结合,无论虚拟机漂移至虚拟化资源池中的任何宿主机均可保证虚拟机防护策略稳定有效。 2.2.产品原理介绍 虚拟化安全管理系统将安全防护功能实现在安全轻代理,安全轻代理安装在需要安全防护的主机上,并通过与控制中心之间的网络通讯实现统一管理。控制中心还可以调用虚拟化平台的API将客户的虚拟化结构导入虚拟化安全管理系统之中,保持与虚拟化平台的结构统一。 2.3.产品的组成和架构 虚拟化安全管理系统,由控制中心和轻代理两部分构成。 控制中心 控制中心
12、是虚拟化安全的管理台,部署在虚拟服务器或物理服务器,采用B/S架构,可以随时随地通过浏览器打开访问。 主要负责主机分组管理、策略制定下发、统一扫描、升级以及各种报表查询等。 轻代理 部署在需要被保护的主机上,执行最终的杀毒扫描、升级等操作,并向安全控制中心发送相应的安全数据。 2.4.产品模块间数据流程描述 虚拟化安全管理系统分为两大模块:控制中心、轻代理。模块间通讯流程图如下: 模块间通讯流程 控制中心是虚拟化安全管理系统的管理中心,对轻代理集中管理,可进行策略下发、功能开启/关闭、升级包/病毒库推送等动作。轻代理是主机防护模块,执行防护操作,对控制中心上报日志或任务结果。 轻代理的升级分为
13、主程序升级、病毒库升级和webshell引擎升级。其中,主程序、病毒库、webshell引擎升级时,需连接至控制中心。控制中心会定期从奇安信云端服务器或者其他上级控制中心获取升级数据。 2.5.产品组件规格说明 虚拟化安全管理系统支持的虚拟化平台列表如下: 支持的虚拟化平台 VMware vCenter Citri_ _enServer H3C CAS Hyper-V Huawei FusionSphere 东方通虚拟化 各组件建议配置要求: 组件 支持操作系统 CPU 内存 磁盘 管理控制中心 CentOS 6.8 64bit 4CORE 16G 500G 轻代理 Windows Serve
14、r 20_3 32bit Windows Server 20_3 64bit Windows Server 2021 32bit Windows Server 2021 64bit Windows Server 2021 r2 64bit Windows Server 20_ 64bit Windows Server 20_ R2 64bit CentOS 5 64bit CentOS 6 64bit CentOS 7 64bit Redhat 5 64bit Redhat 6 64bit Redhat 7 64bit Ubuntu 10 64bit Ubuntu 12 64bit Ubunt
15、u 14 64bit SuSE 9 64bit SuSE 10 64bit SuSE 11 64bit Debian 9 64bit Oracle Linu_ 6 64bit Asianu_ 3 64bit Asianu_ 4 64bit Deepin 15.1 64bit NeoKylin 6.7 64bit NeoKylin 7.0 64bit 1CORE 1G 20G 具体内容,请参照安装环境要求手册。 3.功能模块详述 3.1.防病毒模块 3.1.1.防病毒模块设计目标/产品价值 随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。虚拟化安全管理系统集成了奇安
16、信强大的杀毒模块,拥有启发引擎、脚本引擎、云查杀引擎等多种引擎,可对各种新兴变种病毒进行有效查杀与隔离。 虚拟化系统防病毒组件,通过在主机机器上安装一个主机安全代理软件,有效查杀主机上的文件、内存、进程中的恶意程序。 管理员可以通过控制中心对主机进行统一的病毒查杀管理,制定定时查杀任务,辅以我们的主动防护引擎和文件监控模块,确保虚拟化的网络安全。 3.1.2.防病毒模块特点与优势说明 本产品站在特殊而复杂的企业内网环境的角度,以奇安信积累多年的奇安信杀毒技术为核心,辅以实时全面的日志上报分析能力,提供管理员对内网安全性一站式解决方案。 奇安信依靠多年在杀毒领域的技术积累,自主开发出了云查杀引擎
17、、启发引擎、脚本引擎等杀毒引擎,各引擎在运行时可进行数据交互,对主机进行扫描结果缓存共享,在整个数据中心进行增量扫描从而提高扫描效率。 3.1.3.防病毒模块详细功能介绍 快速扫描:快速扫描系统目录、系统启动项、浏览器配置、系统登录和服务、文件和系统内存; 全盘扫描:扫描所有磁盘(当前所有挂载的)目录的文件; 强大查杀:自定义指定扫描引擎、扫描目录等进行更高效率的查杀扫描; 隔离区恢复:对主机隔离区指定时间段,指定文件路径或者文件名或者病毒文件进行恢复,恢复到原始路径。 主动防御:通过主动防御引擎实时监测系统变化,第一时间有效防护系统。 定时查杀:对主机进行定时扫描,降低管理员的工作量。 3.
18、2.Webshell扫描模块 3.2.1.Webshell扫描模块设计说明 为更好的防护黑客攻击,降低运维成本,虚拟化安全管理系统集成了奇安信自研的webshell扫描引擎,可对各种网站后门文件进行扫描与隔离。 WebShell 引擎包含了40万以上的网站后门样本和大量的后门特征码,双重机制保证对于样本的有效检测与查杀。奇安信云端通过机器学习对WebShell引擎进行更新。 管理员可以通过控制中心对主机进行统一的webshell扫描,制定定时扫描任务。 3.2.2.Webshell扫描模块特点与优势说明 本产品站在特殊而复杂的企业虚拟化环境的角度,以奇安信积累多年的webshell技术为核心,
19、辅以奇安信自研的webshell扫描引擎和实时全面的日志上报分析能力,通过强大样本库、特征库、机器学习引擎保证强大的检测查杀能力,提供管理员对虚拟化安全性一站式解决方案。 3.2.3.Webshell扫描模块功能详述 Webshell扫描:扫描主机WEB服务目录中的文件是否存在后门 。 Webshell隔离:将扫描结果中带有后门的文件隔离 Webshell删除:对主机隔离区中的指定文件进行删除。 Webshell加白:可以将扫描结果中的文件加白,也可将选定文件加白 3.3.安全基线模块 3.3.1.安全基线模块设计说明 在宿主机及云主机内扫描设定的检查项,对不合规项进行统计上报,同时系统给出相
20、应的建议操作,保障云环境的安全合规。 3.3.2.安全基线模块特点与优势说明 安全基线模块针对Linu_和Windows操作系统制定不同的扫描项,对操作系统上不合理的系统配置,参数配置等进行全面安全基线扫描,给出综合分数,可以直观了解当前安全状态,并可以对扫描结果进行一键修复。 3.3.3.安全基线模块功能详述 基线扫描:扫描系统的系统配置、参数、弱口令,得到系统相关内容的合规状态,并给出修复意见 系统加固:修复基线扫描出的问题 3.4.防暴力破解模块 3.4.1.防暴力破解模块设计说明 随着网络入侵事件的不断增加以及黑客攻击水平的不断提高,主机受到暴力破解的威胁越来越多。 针对这一背景,虚拟
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 安全管理 系统 代理 V7 技术 白皮书 20210330
限制150内