虚拟化安全产品解决方案

1.、项目概述 

1.1. 项目背景 
 

        随着客户市场业务和内部基础服务的极大拓展，现有的基础设施服务已经无法满足日益增长的业务、管理压力，数据中心空间、能耗、运维管理压力日益凸显。客户借助虚拟化技术，对基础设施服务进行扩展和优化改造，使原有或者新增资源得到更高效的利用，大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。采用虚拟化技术，解决了企业信息化建设所面临的现有压力，又增强了企业基础设施稳定性和高效性。 

        虚拟化技术在支撑连续高效业务的同时，客户也面临着比传统基础设施上更严峻的安全挑战。传统的数据中心病毒木马感染在虚拟化数据中心中仍然存在。基于虚拟化的特殊性，这类传统的安全问题在虚拟化环境中更难被治理；与此同时，针对虚拟化环境特有的“防病毒风暴”、“升级风暴”、”启动风暴”等问题，传统的安全设计思想已经无法解决。那么，如何设计和规划新的适应虚拟化环境的安全解决思路成为[添加客户名称]当前考虑的重点。 
 

1.2. 建设目标 
 

        根据《信息系统等级保护安全设计技术要求》（GB/T 25070-2010），符合等级保护三级要求的信息系统硬件能够具备如下的安全防护能力：在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 

        基于上述管理办法及法规要求，本项目将为客户建立虚拟化中虚拟主机层面的安全防护体系，实现对现有虚拟化环境中的虚拟机、物理机的统一安全管理，实现对虚拟机的安全防护，满足客户对虚拟主机的安全防护要求。 


 

2、建设方案

2.1. 整体安全建设方案 
 

        虚拟化安全解决方案是针对大型虚拟化架构或者云计算架构的客户提出的一种配套安全解决方案，基于等保三级建设要求规范，旨在解决虚拟化云计算中各类虚拟化安全问题。协同企业、政府客户云化管理，共同维护和运营一个合规、安全、稳定的云环境。 

        虚拟化和云计算虽然同宗同源，但经过大量的生产实践和技术积累。虚拟化环境和云环境已经开始进行侧重分化。虚拟化环境主张资源的集中高效利用，而云环境提倡快速编排服务化。针对两种不同的应用场景，虚拟化安全解决方案提供两套安全能力实现的方案。 

        虚拟化安全解决方案，主要针对虚拟化或者云计算环境中的主机层进行安全防护，提供能够满足云建设所遵循的等保三级中对主机安全的安全要求规范的解决方案。通过平台运营扩展+主机立体防护两种业务运营模式，帮助客户实现更好的运营安全能力，同时保证客户能够获取更全面的安全。在整个解决方案中提供： 

 建立虚拟化安全资源池，构建整体安全运营服务平台，针对超大规模虚拟化和多租户场景提供服务化安全能力（可选）；

 建立虚拟主机统一管理平台，分析跟踪全网虚拟机安全态势与危险评估，留存虚拟化环境安全事件日志；

 提供虚拟主机的恶意代码防范，并对虚拟主机关键位置进行主动防护和监测，解决病毒木马感染虚拟主机的问题； 

 虚拟主机的安全访问控制，对虚拟主机进行主机间的防火墙策略部署，有效解决主机间互相攻击和感染，避免未授权的访问连接；

 虚拟主机的外部攻击抵御，拦截外部对虚拟主机的漏洞、账号的攻击与破解行为。有效保证虚拟主机系统、应用、服务的安全稳定；

 虚拟主机的安全状态感知与修复，对虚拟主机的统一安全状态进行扫描和修复，保证虚拟主机的安全基线统一。


 

2.2. 安全能力实现 

2.2.1  虚拟主机病毒与恶意文件防治 

        依靠多年在杀毒领域的技术积累，自主开发出了 QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QEX宏病毒检测引擎四大杀毒引擎，进行病毒的安全防御。四大杀毒引擎在运行时可进行数据交互，对虚拟机及服务器进行扫描结果缓存共享，在整个数据中心进行增量扫描从而提高扫描效率。同时，本地查杀引擎可增强不连接外网情况下病毒查杀的效果，优化本地虚拟化环境支持。 

        为了保证安全防护不对云环境造成影响，主机安全防护组件根植于虚拟主机中，在安全组件的启动和查杀时，会通过管控中心对安全防护组件进行“排队”，避免启动风暴和查杀风暴。另外，更新时可以设置内、外网限速，避免网络拥塞的出现。 

        由于某些虚拟主机需要对外发布 web业务，此时虚拟主机暴露在外部环境下极易被植入网站后门、恶意webshell，从而导致网站被挂马、篡改等。因网站后门的潜伏期较长，对虚拟主机系统影响较大，方案提供内置虚拟主机webshell检测功能，采用云查杀引擎、启发式引擎、本地智能引擎等多种扫描引擎，结合云端 500万+的webshell特征库，每天同步更新后门查杀规则，保证每一个后门第一时间暴露并被彻底查杀，保障网站安全。 
 

2.2.2  虚拟主机网络攻击发现与抵御 

        基于虚拟主机安全防护组件的模式，安全防护组件中的安全策略和虚拟主机无缝绑定，无论虚拟主机漂移至资源池中的任何宿主机均可保证虚拟主机防护策略稳定有效，提供虚拟主机对虚拟主机的访问控制能力。同时可依据用户业务的需要，从IP、端口、协议、方向等方面制定云主机间的防火墙细粒度的访问控制策略，根据安全域的安全标准批量下发给虚拟主机。 

安全防护组件中的入侵防御功能能够对外部向虚拟主机发起的常见的拒绝服务攻击、缓冲区溢出攻击、木马后门攻击、WEB攻击等进行检测和防护。并针对虚拟主机存在的系统、应用漏洞进行攻击点防护，防止外部对这些薄弱点进行定向攻击。 

2.2.3  虚拟主机系统加固 

        因模板制作时间和当前时间存在安全空窗时差，模板当时的安全状态可能在现有的安全状态下存在缺陷。本方案提供虚拟主机加固功能，一键扫描虚拟主机的安全配置情况及预置功能的安全状态，并提出安全整改意见，运维人员可使用本方案自动修复这些安全缺陷，也可自行手动整改，保证租户内虚拟主机安全基线一致。同时，对虚拟主机的账号、口令进行加固，提供防暴力破解安全能力，杜绝任意来源的恶意暴力破解。 

基于在云运维和攻防领域的技术积累，本方案提供领先的虚拟化加固能力。通过云上监控虚拟化环境的恶意文件，这里的文件特指在虚拟机上运行的能够突破虚拟化环境向下对虚拟化层或虚拟化平台造成破坏的文件，俗称虚拟化逃逸。结合国内一流的安全服务能力，将虚拟化环境中的诸如此类的文件进行隔离和禁止运行，保证整个虚拟化底层不被破坏。 
 

2.2.4  虚拟化安全统一安全运维 

        方案可按需提供两层的安全统一运维，方案为虚拟主机设计提供统一安全管理组件。通过安全管理组件，统一对全网虚拟主机进行安全策略运维、安全日志统一采集分析、云端威胁情报推送等一系列自动化管理运维工作。安全管理组件通过与虚拟化平台进行接口对接，将虚拟化平台的虚拟主机资产全量导入安全管理组件中。安全管理组件能够实时感

        知虚拟化平台的虚拟主机资产变化情况，进而快速将策略进行匹配关联，无需人工干预。整个管理侧主要帮助管理员或者运维人员进行统一管理操作，所有安全能力执行全在虚拟主机的安全组件中，将管理组件和安全能力组件分离，即便是管理组件出现异常，也不会影响安全能力的实时防护。 

为了满足大型虚拟化环境或多租户云环境，方案可按需提供更高级别的统一运维管理需要。通过提供平台级的云安全管理平台，将虚拟化主机安全整个组件化，成为云安全管理平台的子模块。根据客户要求，将更多的安全能力，例如堡垒机、防火墙、数据库审计、Web 应用防护等云化设备统一集成。实现以安全资源池+云安全管理平台的大型虚拟化、云安全解决方案。 

于此同时，虚拟化安全解决方案全面支持 VMware vSphere、H3C CAS、Huawei FusionCompute、Citrix XenServer、Hyper-V等多种国内、国外虚拟化平台，并可以对虚拟资源池以外的物理资源池或者云端资源池进行统一的安全管理，形成威胁统一管理平台，简化运维成本，提高安全运维水平。 
 

2.3. 部署方案 
 

        管理组件+安全能力组件的部署方式，管理组件是网神虚拟化安全的管理端，部署在虚拟服务器或物理服务器上，采用B/S架构，可以随时随地通过浏览器访问。它主要负责受控设备的分组管理、策略制定下发、扫描和升级控制，以及日志和报表查询等。 

        轻代理部署在需要被保护的物理主机和虚机上，负责各安全防护功能的终端执行，并向控制中心报送相应的运行日志和安全数据。 

整个系统的逻辑部署架构如下图所示： 


云安全管理平台+安全组件的部署方式： 


        主机安全预置在云安全管理平台中，通过平台+组件的交付模式，按需购买和使用主机安全能力。客户无需关注单一安全组件的交付部署，通过云安全管理平台的交付，即可完成包括主机安全、堡垒机、数据库审计等安全能力的部署。主机安全模块分为平台和租户两部分组件： 

平台与云安全管理平台集成，通过统一的服务入口，申请安全服务中的主机安全部分。租户侧通过分配得到的主机安全管理资源，在租户内部部署主机安全软件，将虚拟主机进行接入并自主管理维护。 

3、方案特色与亮点 

3.1. 完善的立体防御体系 

        基于多年互联网安全防护的技术积累，融合了 虚拟化攻防团队的研究成果，网神虚拟化安全管理系统v7.0提出了Hypervisor、虚拟机、虚拟机应用的三层防护安全架构，利用多引擎病毒查杀方式及虚拟化防火墙的访问控制策略，实现从虚拟机资源池中的底层安全，到虚拟机的系统安全，到虚拟机内部的应用安全的立体防御，为企业提供自内至外、自上之下的安全运维环境。 
 

3.2. 未知病毒的查杀能力 

        QVM-II人工智能检测引擎采用人工智能与机器学习的方法，对 目前已经积累的100多亿病毒样本进行多次切片学习，抽取出病毒与恶意代码的共性特征，建立恶意代码的不同族系模型，这种方式的优点是不依赖某一个病毒或恶意代码的具体特征，而是提取某一族群的恶意代码共性特征，因此，这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力，最大程度保护虚拟化环境的安全可控。 
 

3.3. 降低补丁修复成本 

        补丁管理对于企业至关重要，长时间的漏洞空窗期会使企业面临业务系统中断等安全风险，但是企业中的IT环境错综复杂，操作系统多种多样，在进行补丁管理时遇到了诸多问题：例如Windows XP及Server2003等操作系统厂商已经不再提供技术支持；甚至有的系统在漏洞修复完毕后重启系统发现业务系统无法正常运行，而虚拟化管理系统提供给用户的虚拟补丁功能，可以在漏洞出现后第一时间联合云端进行规则更新，直接应用到轻代理中，企业无需重启系统或应用，兼容性及稳定更好，及时封堵了漏洞空窗期，大大降低了运维难度。 
 

3.4. 全面防护零日漏洞 

        补天平台是全球最大的漏洞响应平台，可以让厂商最快发现漏洞。网神虚拟化安全管理系统v7.0通过和 补天平台进行有机联动，可在第一时间获取零日漏洞信息，并且形成虚拟补丁对操作系统及应用进行加固。另外，安全管理系统依靠虚拟化研究团队的研究成果，研发了独有的序列化检测引擎，此引擎依托于虚拟化平台内部的检测机制，根植于Hypervisor 层，可实现全面检测各种虚拟化平台的零日漏洞。 
 

3.5. 混合环境统一管理 

        在虚拟化的演变过程中，客户的 IT环境会经历从物理环境向虚拟化环境乃至云端环境演变，而且部署环境错综复杂。网神虚拟化安全管理系统 v7.0采用轻代理的部署方式，可对物理资源池、虚拟资源池、云端资源池进行统一的安全防护与管理，并且具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容能力，降低企业运维成本。 
 

3.6. 安全能力领先性

        虚拟化安全解决方案是面向虚拟化环境推出的一款虚拟化安全防护方案，与传统方案相比有更加贴合虚拟化使用的特性；方案内集成的安全能力充分转化固有的安全能力，在国内安全市场中具备先进性。 

a) 病毒防治采用云端大数据+多引擎结合的方式，云端拥有全球最大的病毒木马特征库和黑白名单库，本地内置多种专利杀毒引擎，还能对未知病毒威胁提供主动防御能力；

b) webshell检测同样利用云端 500万的海量样本资源，结合自主研发的检测引擎，保证了对后门、挂马的检测；

c) 基于 在漏洞挖掘、攻防领域的积累和技术前瞻性，主机安全服务的漏洞防护、攻击抵御能力首屈一指；

d) 拥有完善的云端威胁感知和事件处置能力，能够提供比其它传统厂商更快、更有效的应急响应。