DCS安全防护最佳实践

1、ySymantec.DCS系统安全防护最佳实践高级系统工程师关福君2014年10月23日软件定义数据中心安全防护最佳实践专用业务终端安全防护最佳实践企业IT架构重塑对安全建设意味着什么IT服务管理业务IT运营系统分析系统莒业终端中间件中间件中间件故据库据库酸据库数据展现/分析数据集市/挖掘数据仓库大宗商品化 架构大宗商品化 哪WelVA PPWeh/A PP企业终端办公缘益泛终端仅是原有防护动终顺 手段在覆盖范 围上犷展吗？接入Web/APP按需缩放架构运营业务新基础设施的安全传统技术适应吗？数据传统架构的优化提升化架构HAs > Service企业业务连续性信息安全智能防护体系数据中心

2、安全威胁的变化第三方接入的威胁数据泄密身份欺诈运维1:理的安全风险集中化管理，加大越权访问、权 限滥用安全策略是否能随虚机同步迁移服务器的安全风险来自互联网的威胁病毒、黑客攻击应用漏洞利用，进行业务欺 诈及盗用内部终端的威胁病毒、木马、蠕虫爆发敏感/机型信息泄露更大量的Web应用与接口增加了攻击面 X86化下大量的Linux和Windows,漏洞风险加 虚拟化的使用，虚拟主机爆炸式增长，风险快速蔓延 非授权的访问、系统变更 虚拟化基础设施成为新的风险点数据中心安全适应新的转型软件定义数据中心所有的基础设施资源都将被虚拟化以服务的方式提供(DeliveredasService)数据中心完全可通过

3、软件实现自动化的管控。1.抽象化.2.资源池化.3.自动化.赛门铁克安全解决/主机、网络、存储虚拟化/池化整合，按需提供/模版式的自动快速部署SDDC将会是动态并以应用为中心服务器威胁趋势在改变，威胁防护的策略应是主动响应部署几周Ei近年来ATM入侵事件频发，给业务运营带来风险2014年5月29日据澳门日 报报道，澳门司警破获跨 境计算机犯罪集团，首次发 现不法分子利用计算机病毒 程序，攻陷澳门一间银行七 配自动柜员机，行动中拘捕易感染恶意代码I访植入或甑卜玄3 *两名乌克兰男 2011年开始，国内某漏洞 网站爆出银行ATM机存 在安全漏洞，2012年某 几个国有大行也被爆ATM 机存在漏洞。

4、黑客利用漏 洞可以获取管理员权限， 进而执行任何恶意行为。2012年,某银行ATM机感 染恶意代码，防病毒系统 运行出现异常，前台显示 病毒查杀界面，用户受到 相当程度的惊吓。业务运营风险Windows XP停止支持全球至少有9 5 %的ATM运行在Windows XP±VISA针对ATM防护建议 2014年4月8日，微软停止WindowsXP技术支持 根据Microsoft的说法，XP遭遇安全风险（如病毒和恶意软件）的几率提高了五倍 国内银行ATM机大多运行在WindowsXP±，很长时间内都无法完成升级和迁移 现有A1；M硬伸至性能上无法满足升级要求，全面升级成本太后）

5、 了角翠现有ATM硬件是否支持升级 禁止ATM上任何与支付无关的应用和功能 监控ATM文件完整性，作为预防措施安全运维压力部署嵌入式系统无法安装常规防病毒软件wn防病毒软件需要频繁升级病毒特征库，无法与升级互联网隔离;操作系统补丁需要升级后肺部署防病毒软件，面临无法安装、病毒定义码欢切更新和扫描性能等问题安全运维防护防病毒软件对系统资源和带宽消耗极大，导致卬"ATM系统不稳定ATM品牌众多，防护策略和手段差异大，无法集中进行安全管理不部署安全防护软件无法满足监管要求SymantecDataCenterSecurity(DCS)让安全满足软件定义数据中心的体系结构提供针对。day攻击与

6、APT攻击的安全防护加固过期的系统并且提供化解攻击方案提供实时的可视化管理与控制满足合规要求DCS系统产品家族DCSV6.0DCS： Server(NEW)DCS：ServerAdvanced(SCSPSERVER)数据中心安全防护专用终端安全防护DataCenterSecurity:Server6.0可缩放的安全防护集成到VMWare最新NSX技术- 提供无Agent的病毒防护- 赛门铁克文件信誉技术降低误报率自动化伸缩满足数据中心增长£强化VMWare的网络与服务虚拟化安全- 集成安全策略到统一安全管理平台，可用弹性控制安全部署DataCenterSecurity:ServerA

7、dvanced6.0可伸缩的安全防护加大数据中心安全控制能力-新一代的SCSP产品功能将会服务器加固过程-根据安全策略提供规则向导保护技术；智能白名单、进程、基本无需事先了解服务器应用程序应用程序的发现与信誉机制选择应用程序和沙箱保护方式应用程序配置文件开箱即用的默认沙箱controller,database,mai:(domain所有已经存在SCSP的功能DCS:SA&SCSPClient安全防护的基本原理服务及后台进程交互式程序DNS ServerRegistryNetworkDevices默认的服务及程序Memory进程访问控制为每一个程序集分配一 个沙箱，每个沙箱根据 策略的定

8、义实现有限的 资源访问和行为控制Chrome fOutlookKernel “RPC被保护主机大多数应用只需要有限 的资源以完成相关工作但大多数程序拥有远远 超出其自身要求的资源 恶意的入侵攻击常常利 用这些空隙ySymantec.新IT环境下的新安全防护需求2软件定义数据中心安全防护最佳实践专用业务终端安全防护最佳实践14SDDC安全防护需求分析关键资源保护（配置文件、注!安全管理需求虚拟化基础设施安全监控与审：计；安全策略前置，随身行安全防护需求;恶意软件防护；系统及应用漏洞防护册表、系统用户等）主机用户权限滥用控制系统进程控制系统变更监控系统边界防护1.恶意软件防护不是需求的所有。2、安

9、全防护的对象不仅是VM。3、安全防护是分级别的。4、最强防护一定是在系统层。DCS数据中心安全防护的架构UO/J032CLdDDU应用场景工:恶意软件防护需求描述数据中心主要采用VMWare虚拟化技术实现，虚拟主机的操作系统以Windows为针对VM实现恶意软件防护能力，并在被保护对象上不希望安装防护客户端程序；解决方案部署DCS:S系统，与NSX集成提供Agentless的恶意软件防护功能。应用场景2:基本的安全攻击防护能力需求描述对数据中心的服务器进行安全攻击检测对数据中心的服务器进行安全攻击防护General SettingsOHAppNcitloo SMidbOM OptionsC=H

10、EdhMHost SecurMy ProgramsOBE&Mirterna ExjMoraCZHE«*linterne sixmME3BEd«>Microson Exchange Ser verEcfflMiaoson Office£Edit MkosoH SQL ServerEdi!阳Outlool 8 OUbok ExpressC31Ed则Oracle RDBI4SOS Saeidbox Option冬sere解决方案部署DCS:SA对数据中心的服务器进行安全攻击检测及安全攻击防御MemoryCwihols苗ErafclsBufferOverfl

11、owDetecton司BlockiiuiuBiialmemoryallocMiona-IEdt4ErcepiionsforunusualmenrayalccatonsBIckHunu811Mmemorypermiaienchanges_Edt卜Exceptionsforunysuolmemccvpermissionchanges刊BlochturningoffDataExecutionPreventionDIP)Ed中IExceptionsforturningoffDotaExecutionPrevention.I'DEP)General Settingsdit ESystem Fil

12、eWatch MonitorGlobal FileWatch SettingsMonitor System-Critical FilesCore System FilesMonitor File CreateMonitor File DeleteMonitor File AccessMonitor File ModificationEdit 田Core System Configuration Files回Monitor File CreateMonitor File DeleteMonitor File AccessMonitor File ModificationEdit 田Report

13、File Differences1°Monitor File Checksums Monitor File ChecksumsDate Time RestrictionsDate Time Restrictions应用场景3:系统关键配置完整性监控需求描述数据中心拥有大量的关键业务服务器,服务器上的业务系统配置文件、操作系统配置文件非常关键，一旦被非授权修改将导致业务系统异常；需要对服务器关键目录或目录内的文件进行完整性检查。解决方案部署DCS:SA对关键业务主机的文件及目录的创建、修改、访问情况，文件的完整性变化，进行实时监控告警,包括提供引起变化的进程或用户，变更的相关内容；应用

14、场景4:最小权限需求描述数据中心拥有的部分服务器要求在一个绝对安全的环境下运行，只有被允许的操作才能够在系统中执行，保证系统以最小的权限运行。解决方案在数据中心部署DCS:SA,对服务器关键资源的使用进行"锁定"。的安全防护应用场景5:虚拟化基础架构的安全防护MofnevSplieierSX_Dctectlo<iPolcySettnce需求描述：数据中心采用VMWare虚拟化软件,需要对vSphereHypervisor主机进行安全检测，及时发现针对宿主机的攻击行为、针对宿主机非授权变更行为；解决方案部署DCS:SA对Hypervisor主机进行安全检测，包括针对攻击

15、行为的检测和配置变更的检测。GoncrdSettingsCkOalPolkySettingsEdrp|ES：<HostServerLoga)dWKFilePatnSett像*dtl*lES'HotfS-FrvrFieI.IWakviPdlngImer/al44nnItttdddEEEESXHootM©IntegrityWrrtor(HNT03)ESXConfmonfifesESXconfESXHostCommandLineInterface(CLI)MonttorCLILoyinDetectionCLIFailedLoginDetectionFaredlontiiesh

16、odtimerteivalandSeverityKecordindividualratedLogrs)toconsoeCLIRootLoghDetectcnCLiUseiLoghDetectionCLiLoinDeteambasedOnTmeofDayorweekCLICommandMonitofinQMonRoiSUDOCommandsMonitoiAJIRootCommardsFSXHcSHrawallMontforHostESXFwewalAlbwAlincomngPortsHostESXFrewalAlbwAlOutgoingPortsHoc!e$XNonStandfitfdPorte

17、rotocolMocif»c«tiorESXHostAdmmtstratorWebAccessMonorESXHostAcifnmWebAccessFaieclLoginDetectionFaedLogotrreshau,lint-mief/ai,ancbevetiyRecordbdviduaiFaledLogln(sitoConsoieESXHostAcltnlnWebAccessInvalidRequestDetectionRecordrxividuanvd©RequesttoConsoleESXHostAttackDetectionAttackDetecti

18、onDateandTineResectionsHrtPiHTTPS'.unerabltyScannngctivtyDetectedESXSystemViiWarf#dtyScanningActMyDetectedNMAPNSEScanningAdiytyDetected安全前置：虚拟化管理平台的资源管理【-】aBriKi、r七A-*tb£囹】1-资源官理曲d心3roig0017Z.Z9.3Jg172.2P,3.12g172.».3.13口17Z,Z9.3J4g5口172.43.16g17Z.5,3.17口8

19、明0田器19R2加SyMCQJ«ng5u_Weruing6AD浮CCSH确乙乂/1/V入门"ZSvilQ1”如.103”2如小Q"2293.I2Q172293.1331722S.3.H317229,3.15317229.3.163172393173172393183帝172293M093H172293113g172(338sm©必银一炊斤9g电CCS.SCT小：O».W!H-Ur“c©VC551MIWUMdglXR什么是朝机与，汨耳机一样，算帆。诩炯因力狂言即AM作不日<

20、;L作达J9-五vCcrterSc台主机司自行，基本任务险启动虐“1争墉焦虑必!l.R-JCfv第TRG*0TJAtxZt笫W力卬®g囱电珏eHP机口蝴M>打网纱后0CPSCSP净5C5P_8»t_l_nJXa>$pcCpSSIM田TJ1,5-5elOSDlX3ZgT_Redhat5.4|博1_反6曲加inuxJMJ田l_Redhatlinux_M_2海IJWn2003R2g并牌才总近秒曾克席(CX.Q帔(DToler»珈机而笛茁又，小川）渗加城SCul*l明汕>1而.6*TJWn2008R2而VMeV5M由jn:c受品8日右近鲨口中打开M.Cu

21、l*Alt»rM甲申网co耳超,的00QIjsacc-vSphereClient文件编榕视图附活单以）系统管理从）插件色）帮助00松主页D用药单D电虚I以机和模撅oa®|受|瞪歇ccIrvr禺照况第reu口口口N1已发现副机172.Z9.3.1D12SYI4CjmccLinux_R.&dhatJSUSE10SP1X32s)jsellSPl-64bi3-资源交付克隆©转换成虚拟机CD.从该填机部罢屋旗机）劾1螂艮伊）Ctrl+?在新窗口市打开怎）Ctrl+Mt+K更命名01）从清华中移豚的从磁盘删除03负源官1埋：自多

22、个虚拟观用组、资源池，资源组下多个虚拟机。弹舞翻出瞠露t瘫全系统客户端，客户端静默，而后以此虚拟资源交付：以该模板为基准，创建虚拟机资源T_RedhatLinux_M。安全前置的技术实现效果IsmccEhlEbkf3曲dusterOl口17Z.?.3.10J5172.312口172,5.3.13J45172,».3.15口172,9.3.16J7|172,9.3.1012SYNCyang5u_KisrJngT；AD(3CC5(3SCSPSCSPzrfc.Lrux田3PC器SS1M海卫竺

23、竺"pl%银孕|TJ<£lhat5Wl祥T_RdhatUn必U昆T_RcdhWinLix_M_2理lJMn2003R2那T_n2OOBP2注UM臣：<x;*lbo%,»*.rrrrSynmntrc<ExfISy«»trniProtEmcS.2.9LoagMoc|oyirodmnCmneciMTo:Loctihootserver细自”卜_-(iPreferencesAdvancoOSeaichIfteMCtkPreventionDetecCon/AssetPdk.k-1$驾PNcy修172.2531017229341G17223

24、.3.12?S5YWC(5B8HSuj4«HJ»»avyn*CommonCoimgsJgJCcmTKnCann(uraScnABtKMlesbVindowsKodesSoIbtw3”LruxMM3qoup岬性G»ynLiiwrjiuL»bpvS.OtriOG?3ym_wii_mJL8tt>v$00noCustomPrewentionPeldesMoCH»fcKame|IPAddressPoHcyferstonl°SLastContact9XSC笠_Mm17229.3242口sj,m_urix_ru!Lsbpv5.0.0

25、r70LingOUl-20131409T.RechatUnux.w.i172293241s，E_unxjrQ3clon_8Cp22.29070Linw01-201314egT_Rech3tLmux_H_2172292240s)m_unx_Froterton_5tp<6229870Lirlk(M明月-2(meX!T_Win2003R217229.3249syn)_K(Uacwied_A,§Mon.2.9.670Vrflndwi01儿月201314eWJ_VVT»2(XW?2172293283/二制n-praclQn_CM0_3.29670Wlndsrs。

26、1少月2。13“JPO*eyJ$YMC®川”11MPapelof1torI_ReanatL*nvx_M_iG«n«ralNIupsiCorFigaGrowEvsrte|Historyharm:Verier：OperathoSytnwDom3hPAddratfifCrewee丁一口用，儿5.2967。liWx2B.19l6g力SWPTjjjg181ssi48&OT2Q09镇的一。)3Ml31VW2O13170043CSTWodflfrtO1.?S.2t>13M363BCSTLBKCcrtac：01-7.r-2Q1314:3：33CST资源发布后，DCS

27、SA客户端自动注册到管理控制台从Vmware虚拟平台同步资源组织架构根据资源组，自动化安全入侵防护策略下发和执行虚拟机飘移到不同的资源组，可以自动继承资源组已有的安全策略防护效果示例：DCS:SA内存攻击防护攻击原理-利用Windows口令缓存加密算法可逆的缺陷,对系统核心进程lsass.exe进行线程注入攻击，破解内存中的账户口令攻击效果-获取Windows上曾登录过的所有帐户口令攻击演示选定BiaikAtz1.0z8&(alpha)Traltenent du Kiwi <Feb 9 2012 01:46:57) */C:Win32>ninikatz.exeninilca

28、tz1-0x86<alpha>ZZhttp:z/blog-gentiIkiw1-citznimlkatzninikAtz#privilege：<lebuy|Dnnandcd,ACT1UATIONduprivilege:SeDelxiyPriuileye:OKninihatz#inject：procc33loass.cxc3cktirl3Q.dllPH0CESSENTR¥32<13as3.cxc>.t：li32Pi-o33lD-436Ittontcdoconnexionducliont.Sorvcurconnect©qunclient!iossa

29、c(cdupi'ocoscus：Bienvenuedan©unppoceeeuedictMGentil攻击成功后可获得系统开机后所有曾登录过账户的明文口令SekupLSD：iilniKatztt向Isassex谶程;主人esdesdcurit6sdansISASS，dll文件AutlicntificationJd5FV，/VUtilisatcurprincipalDonckincd，authcntiFicationmsul_W:lm<d8c«43fc93Sllb9Ubfe»9Ub>：R;73A964niUil：edmin：UEBSERUER?9

30、b67f2bI«dUafkJ4'9393d9?c?al8?3c，ntlnC61cbr2b68f|wdiqcwt;：synantccAuthentificationIdPackagedauthentificationUtilisateiiFprincipalDnnained，authentIficationmsu1_P:lm<6ae?31b73c59d7eAc089c0>蚓dig，匕：0；996：Negotiate：NFIWORKSERUICE：NTAUTHORITYaad3h435l)5I404eeaad3M35b51404entln<31d6cfeWdi如

31、演示所示，获取到admin账户的口令为AutlientificntiunIdPackaged，authenti£icationUtilisutcurprincipalPonaincdauthentification0；61536NTLMmsul_U：vdicst：n.t.<LU1DK0>n.t.CLUIDK0>Symantec,Administrator的口令为symantec123Utilisateur principal Dtmaine d1 authentification ms u 1 _Q :lm<46ace4cdffab372cb353dc >

32、;icc21c4<108AnthentificationId：«；1W/421Packaged?authentification：NTLM：AdRinistratop：WFBSERUER79力67£2h£8皿£。4，如81)92£89。居9/7ntlnCsynctnf;ecP123内存攻击防护效果JDJxlMemoryControlsEnableBufferOverflowDetectionBlockunusualmemoryallocationsExceptionsforunusualmemoryallocationsastContac

33、tfin-2012235532CST1-nj-2012112709CST1-n>2012114417CST1-MfJ-2012114708CSTBlockunusualmEdiExceptionsrmissionchangesBlockturningSCSP服务端开启异常内存保护。tSP阻止了线程注入攻击EdK*ExceptionsforturningoffDataExecutionPrevention(DEP)IKiMkrosoWRpcpserMod9ChkAcc.logJ59rMod9IChkAcc.logMeAWebserver11-'1B113905FileACCESSW

34、arningFilewiteDeniedfoisxnosi®。oncvmnDOWSVdebuUserModeK;hkAcc.lOQAWebserver11-7UJ113050MemoryZccessWarningThreadinjectionbfprocessmimikatzexeintoprocessl。砒DO*VSlsysiem32MsaasexeAdmin内存攻击防护效果（续）CA命令提示符9 2612 01：46：5?> */C：Win32>ninika.tz.exeniniLatz1.0x86<a,lpha>/决TraitementduKiwi<

35、;Feb/littp：/blog.ffentilkiwi.Gon/miinikataUiniatzttprivilege:debugDemanded'ACTIUATIONduprivilege：SeDebugPriuilege:OKnimiJatzinject：processlsass.exeseKurAsa-dll-PBOCESSENTR?32(lsass.exe>.th32ProcessID=436AttentedeconnexionduclientC：Wir)32>.攻击失败，并且攻击工具被SCSP自动杀死bd小结：DCS是SDDC安全防护的首选全面覆盖虚拟化环境-三

36、位一体，全面防护重量级防护，轻量级运行-全面加固WindowsVMVMVMVMLinuxVMVMCCS-节省资源多系统平台覆盖可实现安全零维护- 无签名，免升级- 策略模板化- 策略随身行VMVMvShieldEdge/AppA.vCenterCCSI安全配置评估DCSJl电）基础架构触防护Im演用分髓U和认证Y Symantec.软件定义数据中心安全防护最佳实践赛门铁克DataCenterSecurity解决方案发布会|新IT环境下的新安全防护需求专用业务终端安全防护最佳实践银行自助柜员机（ATM）使用现状口口由atm品牌众多，口口碑运营模式复杂多样国内主要品牌有迪堡、神码、长城、广电、德利

37、多富、日立、升腾、新大陆、怡化、实达等品牌众多，各家的系统和运营模式不同，安全防护措施和标准也不同系统操作系统复杂多样,从嵌入式向标准Window过渡，WinXP是当前主流平台由于系统配置较低，国内主流ATM厂商（如广电运通）早期均以Embeded系统为标配现在ATM厂家可按照用户需求提供系统，如：WinXP+WinxpEmbededWinXP开发成熟稳定,Win7需要更高的硬件,增加成本，如无特别要求，厂家一般都提供WinXP发展银行逐渐淘汰早期ATM设备来满足更为安全的业务需求银监会要求2015年之前完成有磁卡到磁卡+IC卡的支撑改造，早期ATM机已不适应该需求新ATM设备硬件配置：2G内

38、存+500G硬盘银行自助柜员机（ATM）安全防护现状和问题安全统方面安全防护现状 国内ATM品牌几乎都不提供集成安全解决方案 硬件+裸系统+业务软件 厂家只能提供本品牌的维护，常见做法就是在现场重刷系统存在的问题和风险 ATM品牌众多,安全防护策略和手段差异大，无法建立统一的ATM设备安全集中管理平台 银行柜面终端防护手段与ATM基本相同恶意代码防护方面安装传统防病毒软件是现在主要的安全防护手段，防病毒软件存在诸多不适应 很多嵌入式系统无法安装常规防病毒软件 防病毒软件本身的系统资源和带宽消耗极大，导致ATM系统不稳定。当发生故障时,经常发生和ATM厂家扯皮的现象'防病毒软件需要依靠频

39、繁的病毒特征库升级，占用网络带宽 防病毒软件是针对设备内存在的病毒文件的检测和处理,无法防护外部直接攻击安全补丁方面安装非常有限的Windows补丁由于ATM的业务特殊性，银行无法及时部署Windows补丁-攻击者可以利用Windows漏洞侵入ATM设备获得最高权限从而控制整个设备安全锁定保障ATM最小权限的安全运行环境SCSPClient 锁定ATM的网络环境，严格限制网络通讯 只允许ATM应用与后台特 定服务器通讯网络环境”锁定应用环境"锁定" 锁定应用进程运行环境，严格 限制可运行的进程及资源 只允许ATM的应用进程及其 调用的系统进程和资源运行 进程间继承关系智能检测识别可以有效控制恶意代码的传播和感染，防护网络攻击可以有效控制恶意代码、非法进程的执行和活动ATM及柜面终端机 锁定系统运行环境和资源 开启系统资源保护，防止 缓冲区溢出、进程注入、 内存注入等攻击;®:系统环境"锁定"策略“统一”管理 支持所有ATM设备和系统 集中管理ATM安全防护策略 统一监控AT