虚拟化安全管理系统V70

虚拟化安全管理系统（轻代理）V7.0_技术白皮书_20XX 年 0330多虚拟化平台安全无法统一管理：由于虚拟化建设过程中思路不尽相 同，这使得企业最终的虚拟化环境错综复杂：物理服务器与虚拟服务器共 存、多种虚拟化平台、多种虚拟操作系统、多种系统应用。在安全统一管 理的要求下，这需要虚拟化安全管理系统在这种复杂情况下具备较高的兼 容能力，对复杂环境进行统一管理，了解全网安全态势，从而进行针对性 的规划与策略配置。主机的木马、病毒、后门文件的风险：第一，传统防病毒安全软件依 靠已知病毒特征样本对所有文件进行详细的扫描与分析，准确率依赖于病 毒样本库的覆盖面和规模，并且占用过多的物理机CPU、内存，效果差强 人意。第二，对于APT攻击束手无策。APT很多攻击行为都会利用0day 漏洞进行网络渗透和攻击，且具有持续性及隐蔽性。第三，传统杀毒软件 不支持对于网站后门文件的扫描，无法对其进行防范。此外，虚拟化数据中心还面临扫描风暴、杀毒风暴、升级风暴等问 题。奇安信集团从虚拟化底层的安全性出发，通过对虚拟化数据中心的特 殊性研究，研发了虚拟化安全管理系统，旨在保证企业业务系统的连续性 与稳定性。2. 产品综述2.1.产品设计目标/产品价值虚拟化安全管理系统旨在 解决企业虚拟化环境下的安全问题，提供对宿主机、虚拟机、虚拟机应用 的三层防护能力，采用低耗的技术架构，全面兼容企业物理和虚拟环境， 保障企业业务系统的稳定性和连续性，为用户提供一套可跨多种虚拟化平 台、具备强大防护能力的虚拟化安全解决方案。2.1.1. 产品设计目标2.1.1.1 .解决病毒、木马的问题随着黑客攻击 手段的不断进化，新兴病毒样本成指数倍增长，传统杀毒引擎已疲于应 对。虚拟化安全管理系统集成了奇安信集团强大的杀毒模块，拥有启发引 擎、脚本引擎、云查杀引擎等多种引擎，可对各种新兴变种病毒进行有效 查杀与隔离。2.1.1.2. 解决多平台安全统一管理问题 企业数据中心环境错综复杂： 多种虚拟化平台，多种虚拟机操作系统，物理、虚拟服务器共存，这要求 安全软件具备极强的适应性、扩展性、稳定性。虚拟化安全管理系统具有 强大的环境兼容能力，可支持各种虚拟化平台以及虚拟机操作系统，并且 可以对物理服务器、虚拟服务器进行统一的安全管理。2.1.2. 产品价值2.1.2.1. APT攻击防护虚拟化安全管理系统启发引擎 是基于特征扫描技术的升级，在原有的特征值识别技术基础上，将反病毒 样本分析专家总结的可疑程序样本经验移植到反病毒程序中，根据反编译 后的程序所调用的Win32函数情况来判断程序是否为病毒、恶意软件，以 达到防御未知病毒、恶意软件、变形木马的目的。2.1.2.2. 全网态势监控 虚拟化安全管理系统是一款针对于云数据中心 的虚拟化安全管理系统，可对物理资源池、虚拟资源池、云资源池进行统 一的安全防护与集中管理，对宿主机、虚拟机、虚拟机应用提供三层防护 安全架构，具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。由于系统具有极好的兼容特性，面对复杂的企业环境，运维人员所有的操作只需要在管理控制中心上进行，时刻了解全网安全态 势。2.1.2.3. 策略漂移绑定在虚拟化资源池中由于虚拟机资源的弹性可 变，因此经常发生由于资源枯竭等原因导致的虚拟机从不同的安全域之间 反复漂移的情况。轻代理根植于虚拟机本身，安全策略和虚拟机无缝结 合，无论虚拟机漂移至虚拟化资源池中的任何宿主机均可保证虚拟机防护 策略稳定有效。2.2. 产品原理介绍虚拟化安全管理系统将安全防护功能实现在安全 轻代理，安全轻代理安装在需要安全防护的主机上，并通过与控制中心之 间的网络通讯实现统一管理。控制中心还可以调用虚拟化平台的API将客 户的虚拟化结构导入虚拟化安全管理系统之中，保持与虚拟化平台的结构 统一。2.3. 产品的组成和架构 虚拟化安全管理系统，由控制中心和轻代理 两部分构成。控制中心控制中心是虚拟化安全的管理台，部署在虚拟服务器或物 理服务器，采用B/S架构，可以随时随地通过浏览器打开访问。主要负责主机分组管理、策略制定下发、统一扫描、升级以及各种报 表查询等。轻代理部署在需要被保护的主机上，执行最终的杀毒扫描、升级等 操作，并向安全控制中心发送相应的安全数据。2.4. 产品模块间数据流程描述虚拟化安全管理系统分为两大模块：控制中心、轻代理。模块间通讯流程图如下:模块间通讯流程 控制中心是虚拟化安全管理系统的管理中心，对轻 代理集中管理，可进行策略下发、功能开启/关闭、升级包/病毒库推送等 动作。轻代理是主机防护模块，执行防护操作，对控制中心上报日志或任 务结果。轻代理的升级分为主程序升级、病毒库升级和webshell引擎升级。 其中，主程序、病毒库、webshell引擎升级时，需连接至控制中心。控制 中心会定期从奇安信云端服务器或者其他上级控制中心获取升级数据。2.5. 产品组件规格说明虚拟化安全管理系统支持的虚拟化平台列表 如下:支持的虚拟化平台 VMware vCenter Citrix XenServer H3C CAS Hyper-V Huawei FusionSphere东方通虚拟化各组件建议配置要求：组件支持操作系统CPU内存磁盘管理控制中心CentOS 6.8 64bit 4CORE 16G 500G 轻代理 Windows Server 20XX 年 32bit Windows Server 20XX 年 64bit Windows Server 20XX 年 32bit Windows Server 20XX 年 64bit Windows Server 20XX 年 r2 64bit Windows Server 20XX 年 64bit Windows Server 20XX 年 R2 64bit CentOS 5 64bit CentOS 6 64bit CentOS 7 64bit Redhat 5 64bit Redhat 6 64bit Redhat 7 64bit Ubuntu 10 64bit Ubuntu 12 64bit Ubuntu 14 64bit SuSE 9 64bit SuSE 10 64bit SuSE 11 64bit Debian 9 64bit Oracle Linux 6 64bit Asianux 3 64bit Asianux 4 64bit Deepin 15.1 64bit NeoKylin 6.7 64bit NeoKylin 7.0 64bit 1CORE 1G 20G 具体内 容，请参照安装环境要求手册。3. 功能模块详述3.1.防病毒模块3.1.1.防病毒模块设计目标/产品 价值随着黑客攻击手段的不断进化，新兴病毒样本成指数倍增长，传统 杀毒引擎已疲于应对。虚拟化安全管理系统集成了奇安信强大的杀毒模 块，拥有启发引擎、脚本引擎、云查杀引擎等多种引擎，可对各种新兴变 种病毒进行有效查杀与隔离。虚拟化系统防病毒组件，通过在主机机器上安装一个主机安全代理软 件，有效查杀主机上的文件、内存、进程中的恶意程序。管理员可以通过控制中心、对主机进行统一的病毒查杀管理，制定定时 查杀任务，辅以我们的主动防护引擎和文件监控模块，确保虚拟化的网络 安全。3.1.2. 防病毒模块特点与优势说明本产品站在特殊而复杂的企业内 网环境的角度，以奇安信积累多年的奇安信杀毒技术为核心，辅以实时全 面的日志上报分析能力，提供管理员对内网安全性一站式解决方案。奇安信依靠多年在杀毒领域的技术积累，自主开发出了云查杀引擎、 启发引擎、脚本引擎等杀毒引擎，各引擎在运行时可进行数据交互，对主 机进行扫描结果缓存共享，在整个数据中心进行增量扫描从而提高扫描效 率。3.1.3. 防病毒模块详细功能介绍快速扫描：快速扫描系统目录、系 统启动项、浏览器配置、系统登录和服务、文件和系统内存；全盘扫描：扫描所有磁盘（当前所有挂载的）目录的文件；强大查杀：自定义指定扫描引擎、扫描目录等进行更高效率的查杀扫 描；隔离区恢复：对主机隔离区指定时间段，指定文件路径或者文件名或 者病毒文件进行恢复，恢复到原始路径。主动防御：通过主动防御引擎实时监测系统变化，第一时间有效防护 系统。定时查杀：对主机进行定时扫描，降低管理员的工作量。3.2. Webshell扫描模块3.2.1. Webshell扫描模块设计说明为更好的 防护黑客攻击，降低运维成本，虚拟化安全管理系统集成了奇安信自研的 webshell扫描引擎，可对各种网站后门文件进行扫描与隔离。WebShell引擎包含了 40万以上的网站后门样本和大量的后门特征 码，双重机制保证对于样本的有效检测与查杀。奇安信云端通过机器学习 对WebShell引擎进行更新。管理员可以通过控制中心、对主机进行统一的webshell扫描，制定定 时扫描任务。3.2.2. Webshell扫描模块特点与优势说明本产品站在特殊而复杂的 企业虚拟化环境的角度，以奇安信积累多年的webshell技术为核心、，辅 以奇安信自研的webshell扫描引擎和实时全面的日志上报分析能力，通 过强大样本库、特征库、机器学习引擎保证强大的检测查杀能力，提供管 理员对虚拟化安全性一站式解决方案。3.2.3. Webshell扫描模块功能详述 Webshell扫描：扫描主机WEB服 务目录中的文件是否存在后门。Webshell隔离：将扫描结果中带有后门的文件隔离Webshell删除： 对主机隔离区中的指定文件进行删除。Webshell加白：可以将扫描结果中的文件加白，也可将选定文件加 白3.3.安全基线模块3.3.1.安全基线模块设计说明在宿主机及云主机 内扫描设定的检查项，对不合规项进行统计上报，同时系统给出相应的建 议操作，保障云环境的安全合规。3.3.2. 安全基线模块特点与优势说明安全基线模块针对Linux和Windows操作系统制定不同的扫描项，对操作系统上不合理的系统配 置，参数配置等进行全面安全基线扫描，给出综合分数，可以直观了解当 前安全状态，并可以对扫描结果进行一键修复。