虚拟化安全管理系统（轻代理）V7.0产品解决方案20222130

第20页共20页虚拟化平安管理系统〔轻代理〕V7.0产品解决方案20222130虚拟化平安管理系统V7.0〔轻代理〕产品解决方案地址：北京市西城区西直门外南路26号院1号：100044l版权声明本文中出现的任何文字表达、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团〔指包括但不限于奇安信科技集团股份、网神信息技术〔北京〕股份、北京网康科技〕所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面受权答应，不得以任何方式复制或引用本文的任何片段。修订记录修订日期修订内容修订人2022.11.05新建云平安公司目录1工程概述41.1.工程背景41.2.建立目的41.3.设计原那么51.4.客户价值62需求分析^p62.1平安威胁分析^p62.2平安必要性分析^p72.3工程建立需求83建立方案83.1整体平安建立方案83.2平安才能实现93.2.1虚拟主机病毒与恶意文件防治93.2.2虚拟主机网络攻击发现与抵御103.2.3虚拟主机系统加固103.2.4虚拟化平安统一平安运维113.3部署方案114方案特色与亮点124.1完善的立体防御体系124.2未知病毒的查杀才能134.3降低补丁修复本钱134.4全面防护零日破绽134.5混合环境统一管理144.6平安才能领先性145效劳支持141工程概述1.1.工程背景随着[添加客户名称]市场业务和内部根底效劳的极大拓展，现有的根底设施效劳已经无法满足日益增长的业务、管理压力，数据中心空间、能耗、运维管理压力日益凸显。[添加客户名称]借助[添加虚拟化厂商名称]虚拟化技术，对根底设施效劳进展扩展和优化改造，使原有或者新增资得到更高效的利用，大幅削减设备的资本支出、降低与电力和冷却相关的能本钱以及节省物理空间。采用虚拟化技术，解决了企业信息化建立所面临的现有压力，又增强了企业根底设施稳定性和高效性。虚拟化技术在支撑连续高效业务的同时，[添加客户名称]也面临着比传统根底设施上更严峻的平安挑战。传统的数据中心病毒木马感染在虚拟化数据中心中仍然存在。基于虚拟化的特殊性，这类传统的平安问题在虚拟化环境中更难被治理；与此同时，针对虚拟化环境特有的“防病毒风暴”、“晋级风暴”、”启动风暴”等问题，传统的平安设计思想已经无法解决。那么，如何设计和规划新的适应虚拟化环境的平安解决思路成为[添加客户名称]当前考虑的重点。1.2.建立目的根据《信息系统等级保护平安设计技术要求》〔GB/T25070-2022〕，符合等级保护三级要求的信息系统硬件可以具备如下的平安防护才能：在统一平安策略下防护系统免受来自外部有组织的团体〔如一个商业情报组织或犯罪组织等〕，拥有较为丰富资〔包括人员才能、计算才能等〕的威胁发起的恶意攻击、较为严重的自然灾难〔灾难发生的强度较大、持续时间较长、覆盖范围较广等〕以及其他相当危害程度的威胁〔内部人员的恶意威胁、无意失误、较严重的技术故障等〕所造成的主要资损害，可以发现平安破绽和平安事件，在系统遭到损害后，可以较快恢复绝大局部功能。根据[添加客户名称]所在行业《[添加文件名称]》要求：[此处可添加文件、方法、法规的详细要求，可多罗列]基于上述管理方法及法规要求，本工程将为xxx客户建立虚拟化中虚拟主机层面的平安防护体系，实现对现有虚拟化环境中的虚拟机、物理机的统一平安管理，实现对虚拟机的平安防护，满足xxx客户对虚拟主机的平安防护要求。1.3.设计原那么[添加工程方案总体设计原那么]本方案设计充分考虑到信息平安系统建立的完好性，实现“别离式部署、集中化防护、统一化管理”大原那么。通过对[添加客户名称]全网虚拟化环境部署虚拟化平安系统，保证其虚拟化环境的文件平安、网络平安、系统加固，增强其抵御外界恶意文件、威胁流量的才能。Ø实用性本工程虚拟主机平安才能建成后，可以把企业虚拟化环境中IT平安保护方法落到实处。针对企业内部IT系统的平安管理方法，虚拟主机平安才能需要很好的支撑其IT相关运维工作和业务全流程。Ø先进性病毒、木马的变种、更新非常快、网络攻防频率日益加快，工程技术选择要具备极高的先进性。病毒、木马的防治核心在于病毒库和病毒引擎的先进性，网络攻击防护核心在于攻防情报的快速消费。建立的虚拟主机平安才能需要应对新型的未知恶意文件和网络攻击，同时保证在隔离情况下的自主主动防御才能。Ø平安性建立的虚拟主机平安才能需要具备平安性，包括系统建立、运行的平安和系统管理的平安，当前系统的建立及运行对原网络及虚拟化系统不会造成任何平安风险。另外，建立的虚拟主机平安才能自身应具备抗攻击、抗破坏、无破绽，保证新建系统不成为原有IT构造平安缺失的一环。Ø可靠性建立的虚拟主机平安才能需要保证平安才能可靠性，不应该影响整个虚拟化架构运行和业务运行。整个系统需要具备完善的逃逸机制：当系统某组件无法工作时，不会造成整体平安才能坍塌；当系统异常时，不会造成整体虚拟化环境运行中断；当系统异常时，不会造成整体业务的中断；当系统异常时，平安日志及配置数据可以逃逸。Ø可扩展性建立的虚拟主机平安才能需考虑后期可拓展性，随着虚拟化平台规划和新增扩展，虚拟主机平安才能需灵敏适应，必要时自身可以进展性能和功能扩展。1.4.客户价值Ø平台别离，与平台自身解耦，强调平安独立运行整体虚拟化平安解决方案采用自研接口和标准，平安才能独立运行和维护。不管虚拟化平台如何变化，整体平安才能不会受到影响。通过独立接口，可以将更多的奇安信平安才能赋予给客户，实现技术的可演进可迭代。Ø先进技术，值得依赖的国内首屈一指的杀毒和攻防才能。基于奇安信云端大数据+多引擎结合的方式，拥有全球最大的病毒木马特征库和黑白库和最快云端威胁响应感知系统，本地内置多种专利杀毒引擎和防护形式，全面应对病毒、未知病毒威胁、网络攻击，并提供主动防御才能。Ø灵敏扩展，平安才能持续附加方案采用模块化设计，具备灵敏的平安功能扩展才能。客户可根据自身情况，灵敏选择平安才能。同时奇安信在云上的平安才能可以通过本方案持续附加给客户，帮助客户在应对应急事件、突发问题时可以进展快速决策和有效响应。2需求分析^p2.1平安威胁分析^p数据中心虚拟化后，虚拟化根底架构除具有传统物理效劳器的所有风险之外，同时也具备虚拟化新型技术下衍生出的平安问题。通过奇安信在虚拟化、云计算上的丰富平安防治经历，结合目前互联网整体平安态势开展，我们认为目前虚拟化环境中的平安威胁主要有以下几点：Ø新型具备定向攻击性的病毒木马开场流行爆发近年爆发的讹诈病毒和普通的病毒木马相比更具针对性和攻击性，主要针对内网进展感染破坏。传统的静态防病毒体系无法全面防治讹诈病毒，对各大政府、企业、高效造成了大面积的影响。对于新型的病毒木马，需要采用更全、更快、更准的病毒库和更智能化的病毒引擎才能解决应对这类快速攻击型的病毒。随着病毒木马的产业链化，很多病毒木马为了逃脱杀毒系统的拦截，病毒木马自身进展了很强的隐匿和变形，以此混淆杀毒系统。传统基于特征的杀毒引擎和病毒库已经无法应对这种弱特征的病毒木马恶意程序。Ø虚拟化环境成为病毒木马、网络攻击的重灾区虚拟化环境相比于传统IT架构，其系统单位呈指数级上升。虚拟机临间隔离措施弱，病毒木马传播和横向攻击难度低，一旦虚拟化环境某台虚拟机感染病毒或者被攻陷植入后门，整个虚拟化环境都极有可能被感染。针对虚拟化这种特殊的IT架构，传统的IT平安解决方案很难做到全面拦截和应对。Ø平安防护才能的高要求和虚拟化追求性能稳定理念相背离为了进步平安才能和防护效果，需要系统提供尽可能高的资支撑。在虚拟化环境资利用率成倍增加的前提下，单位虚拟机所拥有的资很有限。目前传统的平安解决方案仍然立足于主机层面，此时杀毒才能的资消耗和虚拟机有限的资形成了矛盾。虚拟化杀毒所引起的性能消耗，很可能导致虚拟化环境的不稳定，更严重导致整个业务中断。总体上讲，在虚拟化环境中上，建立虚拟化平安才能，平安防护才能是首要考虑的指标，另外如何平衡防护才能和资消耗成为衡量虚拟化中平安解决方案的重要指标。Ø统一集中化部署无法满足租户日益增长的平安需求传统主机平安产品固定、静态的交付形式无法满足电子政务云下的多租户场景。所有租户共用一套平安模板，由平安运维方统一进展平安管理运维。针对各委办局的不同平安标准及要求，统一集中化的主机平安产品不可以完美契合电子政务云下各租户的主机平安诉求，需要寻求更加灵敏、适应多租户环境的主机平安解决方案。2.2平安必要性分析^p不管是虚拟化效劳器还是物理效劳器，它们都承载着最重要的数据。因此，这些效劳器很容易被内部外部的各种力量进展窥探、破坏、盗用。效劳器作为信息数据存储的最终载体，倘假设效劳器系统被入侵和破坏，整个数据也没有平安可言。那么，防护效劳器系统平安成为整个平安防护的最后一环。通常，大局部的平安风险的直承受害者都是主机系统，例如病毒木马感染、网络入侵、数据破坏等。所以，对于虚拟化环境的平安，效劳器平安是必须进展防护的重要环节。为了降低硬件的采购本钱，进步效劳器资的利用率。引入虚拟化技术带来IT根底架构的宏大更新，但并没有改变整个IT平安的防护范围，反而增加了虚拟化下IT根底设施的平安防护难度。虚拟化中虚拟主机的灵敏状态性，导致传统基于操作系统的平安防护方案失效。加上，虚拟化的数据交换、内存交换、网络交换的复杂实时性，传统的基于文件和静态主体的防护形式很难针对虚拟化进展有效的防护。因此，针对虚拟化特殊环境，不能采用传统的基于操作系统的平安防护形式，转而需要更贴合虚拟化环境特性的平安方案。虚拟化技术的创新推进了硬件资使用率的革新，资利用率的高效使用是使用虚拟化技术的初衷。通过前面分析^p，虚拟化的平安重要性不言而喻。附加平安才能后，随之带来的是性能的耗损。那么，在虚拟化中建立平安才能，将比传统的平安建立有更高的要求。虚拟化的平安才能首先保证平安才能最大化的同时，不能对虚拟化整体资造成宏大影响。针对虚拟化环境，通过虚拟化技术解决虚拟化平安问题，才是虚拟化平安建立的核心思路。建成基于虚拟化的虚拟化平安防护体系，才是虚拟化平安的必要建立目的。2.3工程建立需求[添加工程方案总体建立需求]本次xxxx工程主要针对业务系统在虚拟化或云环境中面临的平安问题风险，根据云平安相关标准及行业最正确理论，为虚拟化或者云环境提供平安解决方案，提升整体虚拟化环境的平安防护才能。主要包括防病毒木马防治、恶意文件防护、爆发型威胁主动防御，进一步保障业务系统在虚拟化环境的平安性，整体监控虚拟化环境的文件平安态势，管理和维护虚拟化环境的主机系统平安。3建立方案3.1整体平安建立方案奇安信虚拟化平安解决方案是针对大型虚拟化架构或者云计算架构的客户提出的一种配套平安解决方案，基于等保三级建立要求标准，旨在解决虚拟化云计算中各类虚拟化平安问题。协同企业、政府客户云化管理，共同维护和运营一个合规、平安、稳定的云环境。虚拟化和云计算虽然同宗同，但经过大量的消费理论和技术积累。虚拟化环境和云环境已经开场进展侧重分化。虚拟化环境主张资的集中高效利用，而云环境提倡快速编排效劳化。针对两种不同的应用场景，奇安信虚拟化平安解决方案提供两套平安才能实现的方案。奇安信虚拟化平安解决方案，主要针对虚拟化或者云计算环境中的主机层进展平安防护，提供可以满足云建立所遵循的等保三级中对主机平安的平安要求标准的解决方案。通过平台运营扩展+主机立体防护两种业务运营形式，帮助客户实现更好的运营平安才能，同时保证客户可以获取更全面的平安。在整个解决方案中提供：Ø建立虚拟化平安资池，构建整体平安运营效劳平台，针对超大规模虚拟化和多租户场景提供效劳化平安才能〔可选〕；Ø建立虚拟主机统一管理平台，分析^p跟踪全网虚拟机平安态势与危险评估，留存虚拟化环境平安事件日志；Ø提供虚拟主机的恶意代码防范，并对虚拟主机关键位置进展主动防护和监测，解决病毒木马感染虚拟主机的问题；Ø虚拟主机的平安访问控制，对虚拟主机进展主机间的防火墙策略部署，有效解决主机间互相攻击和感染，防止未受权的访问连接；Ø虚拟主机的外部攻击抵御，拦截外部对虚拟主机的破绽、账号的攻击与破解行为。有效保证虚拟主机系统、应用、效劳的平安稳定；Ø虚拟主机的平安状态感知与修复，对虚拟主机的统一平安状态进展扫描和修复，保证虚拟主机的平安基线统一。3.2平安才能实现3.2.1虚拟主机病毒与恶意文件防治依靠多年在杀毒领域的技术积累，自主开发出了QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QEX宏病毒检测引擎四大杀毒引擎，进展病毒的平安防御。四大杀毒引擎在运行时可进展数据交互，对虚拟机及效劳器进展扫描结果缓存共享，在整个数据中心进展增量扫描从而进步扫描效率。同时，本地查杀引擎可增强不连接外网情况下病毒查杀的效果，优化本地虚拟化环境支持。为了保证平安防护不对云环境造成影响，主机平安防护组件根植于虚拟主机中，在平安组件的启动和查杀时，会通过管控中心对平安防护组件进展“排队”，防止启动风暴和查杀风暴。另外，更新时可以设置内、外网限速，防止网络拥塞的出现。由于某些虚拟主机需要对外发布web业务，此时虚拟主机暴露在外部环境下极易被植入网站后门、恶意webshell，从而导致网站被挂马、篡改等。因网站后门的埋伏期较长，对虚拟主机系统影响较大，方案提供内置虚拟主机webshell检测功能，采用云查杀引擎、启发式引擎、本地智能引擎等多种扫描引擎，结合云端500万+的webshell特征库，每天同步更新后门查杀规那么，保证每一个后门第一时间暴露并被彻底查杀，保障网站平安。3.2.2虚拟主机网络攻击发现与抵御基于虚拟主机平安防护组件的形式，平安防护组件中的平安策略和虚拟主机无缝绑定，无论虚拟主机漂移至资池中的任何宿主机均可保证虚拟主机防护策略稳定有效，提供虚拟主机对虚拟主机的访问控制才能。同时可根据用户业务的需要，从IP、端口、协议、方向等方面制定云主机间的防火墙细粒度的访问控制策略，根据平安域的平安标准批量下发给虚拟主机。平安防护组件中的入侵防御功能可以对外部向虚拟主机发起的常见的回绝效劳攻击、缓冲区溢出攻击、木马后门攻击、WEB攻击等进展检测和防护。并针对虚拟主机存在的系统、应用破绽进展攻击点防护，防止外部对这些薄弱点进展定向攻击。3.2.3虚拟主机系统加固因模板制作时间和当前时间存在平安空窗时差，模板当时的平安状态可能在现有的平安状态下存在缺陷。本方案提供虚拟主机加固功能，一键扫描虚拟主机的平安配置情况及预置功能的平安状态，并提出平安整改意见，运维人员可使用本方案自动修复这些平安缺陷，也可自行手动整改，保证租户内虚拟主机平安基线一致。同时，对虚拟主机的账号、口令进展加固，提供防暴力破解平安才能，杜绝任意来的恶意暴力破解。基于奇安信在云运维和攻防领域的技术积累，本方案提供领先的虚拟化加固才能。通过云上监控虚拟化环境的恶意文件，这里的文件特指在虚拟机上运行的可以打破虚拟化环境向下对虚拟化层或虚拟化平台造成破坏的文件，俗称虚拟化逃逸。结合国内一流的平安效劳才能，将虚拟化环境中的诸如此类的文件进展隔离和制止运行，保证整个虚拟化底层不被破坏。3.2.4虚拟化平安统一平安运维方案可按需提供两层的平安统一运维，方案为虚拟主机设计提供统一平安管理组件。通过平安管理组件，统一对全网虚拟主机进展平安策略运维、平安日志统一采集分析^p、云端威胁情报推送等一系列自动化管理运维工作。平安管理组件通过与虚拟化平台进展接口对接，将虚拟化平台的虚拟主机资产全量导入平安管理组件中。平安管理组件可以实时感知虚拟化平台的虚拟主机资产变化情况，进而快速将策略进展匹配关联，无需人工干预。整个管理侧主要帮助管理员或者运维人员进展统一管理操作，所有平安才能执行全在虚拟主机的平安组件中，将管理组件和平安才能组件别离，即便是管理组件出现异常，也不会影响平安才能的实时防护。为了满足大型虚拟化环境或多租户云环境，方案可按需提供更高级别的统一运维管理需要。通过提供平台级的云平安管理平台，将虚拟化主机平安整个组件化，成为云平安管理平台的子模块。根据客户要求，将更多的平安才能，例如堡垒机、防火墙、数据库审计、Web应用防护等云化设备统一集成。实现以平安资池+云平安管理平台的大型虚拟化、云平安解决方案。于此同时，奇安信虚拟化平安解决方案全面支持VMwarevSphere、H3CCAS、HuaweiFusionCompute、CitrixXenServer、Hyper-V等多种国内、国外虚拟化平台，并可以对虚拟资池以外的物理资池或者云端资池进展统一的平安管理，形成威胁统一管理平台，简化运维本钱，进步平安运维程度。3.3部署方案管理组件+平安才能组件的部署方式，管理组件是奇安信网神虚拟化平安的管理端，部署在虚拟效劳器或物理效劳器上，采用B/S架构，可以随时随地通过阅读器访问。它主要负责受控设备的分组管理、策略制定下发、扫描和晋级控制，以及日志和报表查询等。轻代理部署在需要被保护的物理主机和虚机上，负责各平安防护功能的终端执行，并向控制中心报送相应的运行日志和平安数据。云平安管理平台+平安组件的部署方式：主机平安预置在云平安管理平台中，通过平台+组件的交付形式，按需购置和使用主机平安才能。客户无需关注单一平安组件的交付部署，通过云平安管理平台的交付，即可完成包括主机平安、堡垒机、数据库审计等平安才能的部署。主机平安模块分为平台和租户两局部组件：平台与云平安管理平台集成，通过统一的效劳入口，申请平安效劳中的主机平安局部。租户侧通过分配得到的主机平安管理资，在租户内部部署主机平安软件，将虚拟主机进展接入并自主管理维护。4方案特色与亮点4.1完善的立体防御体系基于多年互联网平安防护的技术积累，交融了奇安信虚拟化攻防团队的研究成果，奇安信网神虚拟化平安管理系统v7.0提出了Hypervisor、虚拟机、虚拟机应用的三层防护平安架构，利用多引擎病毒查杀方式及虚拟化防火墙的访问控制策略，实现从虚拟机资池中的底层平安，到虚拟机的系统平安，到虚拟机内部的应用平安的立体防御，为企业提供自内至外、自上之下的平安运维环境。4.2未知病毒的查杀才能QVM-II人工智能检测引擎采用人工智能与机器学习的方法，对奇安信目前已经积累的100多亿病毒样本进展屡次切片学习，抽取出病毒与恶意代码的共性特征，建立恶意代码的不同族系模型，这种方式的优点是不依赖某一个病毒或恶意代码的详细特征，而是提取某一族群的恶意代码共性特征，因此，这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测才能，最大程度保护虚拟化环境的平安可控。4.3降低补丁修复本钱补丁管理对于企业至关重要，长时间的破绽空窗期会使企业面临业务系统中断等平安风险，但是企业中的IT环境错综复杂，操作系统多种多样，在进展补丁管理时遇到了诸多问题：例如WindowsXP及Server2022等操作系统厂商已经不再提供技术支持；甚至有的系统在破绽修复完毕后重启系统发现业务系统无法正常运行，而奇安信虚拟化管理系统提供应用户的虚拟补丁功能，可以在破绽出现后第一时间结合云端进展规那么更新，直接应用到轻代理中，企业无需重启系统或应用，兼容性及稳定更好，及时封堵了破绽空窗期，大大降低了运维难度。4.4全面防护零日破绽奇安信补天平台是全球最大的破绽响应平台，可以让厂商最快发现破绽。奇安信网神虚拟化平安管理系统v7.0通过和奇安信补天平台进展有机联动，可在第一时间获取零日破绽信息，并且形成虚拟补丁对操作系统及应用进展加固。另外，奇安信平安管理系统依靠奇安信虚拟化研究团队的研究成果，研发