云计算安全建设探讨

云计算安全建设探讨主题云计算概述云计算的特征与面临的安全威胁趋势科技云安全解决之道2/3/2023Confidential|Copyright2012TrendMicroInc.1云计算基本架构及安全配置2/3/2023Confidential|Copyright2012TrendMicroInc.2云计算和传统网络的区别云计算环境，基础网络架构统一化，存储和计算资源高度整合，传统的安全设备部署边界正逐步消失，云计算环境下的安全部署需寻找新的模式。传统边界的安全隔离与访问控制是传统安全防护的重要原则，很大程度上依赖于各区域之间明显清晰的区域边界，强调的是针对不同的安全区域设置有差异化的安全防护策略。2/3/2023Confidential|Copyright2012TrendMicroInc.4云计算的特征2/3/2023Confidential|Copyright2012TrendMicroInc.5虚拟化的基础架构IT资源数据面向服务的体系架构服务管理平台各种业务应用基于云计算的服务用户=成本…充分利用虚拟化,标准化,动态架构和自动化的技术…将节省下来的运营成本投入到新的业务创新的领域+标准化自动化+灵活性虚拟化+动态架构云计算面临的安全威胁根据云计算安全联盟(简称为CSA)在2013年5月统计的前三大威胁是1.数据泄漏2.数据丢失

3.帐户劫持虚拟化引入的安全威胁多租户引入的安全威胁2/3/2023Confidential|Copyright2012TrendMicroInc.6Hypervisor脆弱性引入的安全威胁Hypervisor(通俗理解为虚拟化核心)脆弱性不可避免从虚拟机攻击Hypervisor虚拟机逃逸从云计算管理网络攻击Hypervisor缓冲区溢出拒绝服务2/3/2023Confidential|Copyright2012TrendMicroInc.72008-2010ESX/ESXi重要漏洞概览2/3/2023Confidential|Copyright2012TrendMicroInc.2虚拟机逃逸介绍2/3/2023Confidential|Copyright2012TrendMicroInc.9虚拟机逃逸，是指在已控制一个VM的前提，通过利用各种安全漏洞攻击Hypervisor典型案例：蓝色药丸、CloudBurst逃逸后果安装Hypervisor级后门拒绝服务攻击数据窃取控制其它虚拟机

虚拟机存储安全威胁2/3/2023Confidential|Copyright2012TrendMicroInc.10休眠虚拟机的存储安全威胁：虚拟机篡改、数据泄密休眠虚拟机中可能存在脆弱性和过期病毒特征库AppOSESX/Xen/Hyper-VAppOSAppOSAppAVAppAVAppAVAppOSAppOSAppAVAppAV休眠的虚拟机活动的虚拟机虚拟机运行安全威胁(内部通讯)2/3/2023Confidential|Copyright2012TrendMicroInc.11同一物理机的虚拟机之间的信息交互由于在机器内部进行，因此，传统的网络安全设备无法对虚拟机间流量进行监控OSAppAVOSAppAVOSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitch潜伏的活动的虚拟机运行安全威胁（资源冲突）2/3/2023Confidential|Copyright2012TrendMicroInc.12ESX/Xen/Hyper-VOSAppAVTypicalAVConsole3:00amScan病毒扫描和补丁管理在同一台主机同一时刻进行，导致资源竞争.服务器性能降低和恶意软件位于同一个权限级别，容易被恶意卸载虚拟机运行安全威胁(虚拟机迁移)2/3/2023Confidential|Copyright2012TrendMicroInc.13虚拟机是否会迁移到一个不安全的网络中虚拟机迁移过程中是否可以确保安全策略的一致OSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitch潜伏的OSAppAV活动的趋势科技深度防护虚拟化环境无客户端底层防护示意vNICvSwitchvNICvNICvNICVMsafeAPIvShieldAPIESX/ESXi针对虚拟化层的防护DSVA22趋势科技深度防护2/3/2023Confidential|Copyright2012TrendMicroInc.21IDS/IPS应用程序防护应用程序控制防火墙深度包检测完整性监控日志审计侦测/阻止基于操作系统漏洞的已知/零日攻击监视/控制本机应用程序支持所有IP-based的协议、提供细粒度过滤，并且可针对单独的网络接口侦测/阻止针对目录/文件/键值的未授权/恶意修改安全事件增强性审计侦测/阻止基于应用程序漏洞的已知/零日攻击无代理模式防毒防恶意程序底层无代理防护多租户网络融合引入的安全威胁在多租户云计算环境中，各租户之间的物理网络边界变得模糊，可能只存在逻辑上的网络边界配置不妥，可能导致数据泄密多租户为APT(高级可持续性威胁)提供更多潜在的入口2/3/2023Confidential|Copyright2012TrendMicroInc.14APT的6个阶段2/3/2023Confidential|Copyright2012TrendMicroInc.15第一阶段情报收集第二阶段首次突破防线

第三阶段幕后操纵通讯第四阶段横向移动第五阶段情报，资料，信息挖掘第六阶段资料外传或破坏APT攻击的特点歹徒全部为维吾尔男性以伪装的拐杖为武器混过安检飞机起飞后拆卸拐杖，得到凶器飞机起飞后实施劫机行为2/3/2023Confidential|Copyright2012TrendMicroInc.182012年629新疆东突劫机案19APT攻击的特点

攻击有明确的目的攻击代码是全新的，经过“反安全”考验攻击一般由渗透开始，由内而外渗透经常采用社交工程学原理攻击行为带有连续性特征

20攻击者带有恶意附件的

社交工程邮件恶意C&C站点安博士（Ahnlab）更新服务器删除所有文件破坏MBR破坏MBR删除所有文件Unix/Linux服务器区Windows终端受害企业邮件成本低，且今日企业业务运行无法缺乏邮件攻击手法1：社交工程邮件InternalUseOnly攻击手法2：水坑攻击21攻击者恶意C&C站点安博士（Ahnlab）更新服务器攻击者利用合法更新机制将破坏性恶意程序快速部署到终端删除所有文件破坏MBR破坏MBR删除所有文件Unix/Linux服务器区Windows终端受害企业通常情况下，连接服务器需要输入账号和密码。但是安博士的APC服务器是无需输入账号和密码即可连接的不合格产品InternalUseOnly攻击手法3：多样化的定制恶意程序22攻击者恶意C&C站点安博士（Ahnlab）更新服务器删除所有文件破坏MBR破坏MBR删除所有文件Unix/Linux服务器区Windows终端受害企业攻击者为目标环境定制恶意程序。共使用76种恶意程序，其中9种是破坏性代码，其余67种的用途是事前渗透和监视InternalUseOnly攻击手法4：对服务器的定制攻击23攻击者恶意C&C站点安博士（Ahnlab）更新服务器删除所有文件破坏MBR破坏MBR删除所有文件Unix/Linux服务器区Windows终端受害企业取得终端上留存的服务器登入信息，进行远程攻击攻击者充分了解目标使用作业系统，针对不同版本Unix或Linux服务器撰写破坏性恶意程序，意图中断重要IT业务服务针对性攻击的防护困难点针对性、定制化的攻击针对攻击目标环境针对攻击目标的防护机制客制化的恶意软件攻击目标明确量小不易发觉攻击样本难以取得长期、不间断的纠缠落叶扫不尽，秋风吹又堆只要攻击者不放弃，威胁一直持续存在现有安全防护为何不足？社交工程邮件制作精巧，寄送数量少，甚至发送自信任的联络人，不会被认为是垃圾邮件边界安全设备（如防火墙、IPS等）大多针对由外向内的攻击，邮件、U盘、移动设备等能够轻易绕过这些防御，直接进入企业网络内部攻击者多使用未知恶意程序，以特征码比对为基础的安全产品无法辨识恶意程序多由内向外发起恶意通讯，频率低，入侵防御设备难以发现异常当攻击者取得内部员工账号密码，合法登入服务器原则上不会被记录传统的规则库、代码库比对无法应对定制化攻击云计算安全设计国家战略2/3/2023Confidential|Copyright2012TrendMicroInc.161、2、实时分析系统:

沙盒27恶意代码hash值恶意代码URL恶意代码连接地址

各种日志数据网络封包信息等等EXELNKVBSSWFPDFRTFDOCPPTXLSEtc…支持文件格式文档系统变动,网络封包程序调用分析500+基准规则虚拟环境注册表探针内存探针网络活动探针文件系统探针程序探针加入TDA侦测规则中(C&CIP,SHA1/IP/Port/URL)2/3/202328Confidential|Copyright2012TrendMicroInc.威胁行为总览连接恶意站点连接未评测站点连接高度可疑站点连接可疑站点连接已知命令与控制服务器可疑DDoS行为可疑僵尸行为文档头含有可执行代码生成执行文件反查杀，自我保护自动执行或更改系统配置欺瞒，社会工程学下载、分享或复制文件间谍行为、重定向或资料窃取异常或含有已知恶意软件特征修改进程、服务或内存Rootkit，伪装可疑网络通讯行为通过文件或代码整个生命周期内将会执行的动作判断其危害性！！！TDA专家系统:云安全百科介绍云安全百科MTSSPNCensusWRSThreatWrite-upTEFRSCharon威胁行为分析文件系统监控注册表监控Windows服务监控网络报文捕获Rootkit行为屏幕截图首次发现事件最后发现时间流行度感染区域国家分布行业分布常用文件名常见文件路径感染平台信息漏洞信息威胁概要恶意软件家族威胁变种相关博客链接相关威胁新闻相关垃圾邮件潜在威胁等级潜在分布感染途径病毒名称病毒库版本与发布尔日期病毒别名网络详细信誉度信息每天处理超过1.9TB的数据每天从使用云安全的客户那里接受超过290亿次判断请求每天阻拦超过40亿个安全威胁每天分析超过3亿个网址每小时对超过400万个域名，IP地址和主机给出信誉评价每天找出超过1500万个攻击行为的垃圾邮件和钓鱼/挂马网站每天收到超过4亿5000万次文件分析请求每天阻拦超过80万个恶意文件每天从超过6千万个节点获得信息反馈依靠大数据技术，趋势科技“安全云”每天接触、审判几十亿个“罪犯”，精通所有坏人的“共性”，确保TDA沙盒系统的判断规则库“精确而全面”趋势科技云安全解决之道虚拟化引入的安全威胁的解决之道－－趋势科技深度防护Hypervisor脆弱性引入的安全威胁虚拟机管理过程中引入的安全威胁多租户引入的安全威胁的解决之道－－趋势科技TDA多租户网络物理融合引入的安全威胁多租户数据集中存储引入的安全威胁2/3/2023Confidential|Copyright2012TrendMicroInc.20HyperVisor不是安全的隔离手段，有些系统管理员利用VLAN来管理虚拟服务器，但Gartner副总裁兼院士级分析师NeilMacDonald明确指出：“VLAN和路由接入控制对于安全隔离来说都不够充分。”Gartner出版的指南要求，必须部署某类虚拟化防火墙。NSSLabs–Q114全球第一服务反应速度Confidential|Copyright2014TrendMicroInc.Source:https:///reports/consumer-endpoint-protection-comparative-analysis-report-socially-engineered-malware

Confidential|Copyright2014TrendMicroInc.SmartProtecti