NSC2015郑斌:虚拟化系统环境下的安全防护

主持人:下面让我们有请瑞星虚拟化产品开发总监郑斌先生和我们分享,有请。

在郑总分享他的精彩的干货之前,有请工作人员上台让郑总先帮我们抽出三个三等奖。

郑斌:感谢主办方给我这么一个机会能和大家做一个沟通交流,也算不上什么演讲,就和大家交流一些我们公司的想法以及我们对当前虚拟化系统环境下安全的一些看法。

我来自瑞星公司,我是瑞星公司的虚拟化产品开发总监郑斌,我演讲的主题是虚拟化系统环境下的安全防护。大家对虚拟化都有一定的了解,我的演讲分为三个部分,第一部分是虚拟化环境的快速发展,第二部分是虚拟化环境的安全问题,第三部分是虚拟化环境下的安全防护。作为我们是一直做安全出身的,大家也非常了解了,我之后为大家一一介绍。

首先是虚拟化环境的快速发展,虚拟化概念已经不是一个什么新兴概念了,它比云这个概念提出的更早。当然随着近两年比较热的”互联网+”和云计算的提出,虚拟化也越来越多的被大家提及,虚拟化的发展速度也越来越快。我们已经从原来早先的PC时代,我们已经完全摆脱它了,原来传统的工作业务都在PC和服务器上,现在已经迁到了存储上,我们的也迁到了服务器上,以云的方式推广给大家。随着云的推广,接入方式越来越多,不仅是PC机的接入,移动产品的接入,比如我们的笔记本、iPad和手机端都可以进行接入办公。

我们下面看到的这些场景,以前如果我们要完成工作业务肯定要在自己的单位进行,随着互联网发展和云计算的发展,我们已经开始用笔记本、Pad和手机进行移动办公或者网络会议,当然随着最近的苹果watch这样的东西出现以后,我们也更多的体会到这些产品带来的便捷,它可以关注我们的健康状况,时刻反馈我们的地址和所在的导航信息之类的。再比如像特斯拉这样的电动车等都是互联网带给我们的好处。

但随着这些好处的产生,我们也会出现一些问题,比如我们进行电话会议和远程视频会议的时候,有没有担心一些什么,比如我们的电话会议会不会被监听,我们自己在使用apple  watch的时候会不会担心我们时刻处于的位置和经常活动的位置被暴露出来。我们的汽车以前只使用导航,当然随着特斯拉和其他一些应用的产生,我们在汽车上娱乐化越来越多,但同时我们的汽车中控系统有可能被入侵,中控系统一旦被入侵很有可能造成电影中的场景,对我们的人身安全产生影响。

说到这些可以提到虚拟化环境面临的安全问题。云计算和云网络是一个非常庞大的议题,今天我们只讲其中一部分,也就是说虚拟化环境面临的安全问题。我们说到虚拟化环境,虚拟化环境遇到什么问题呢?其实,虚拟化环境面临很多问题,它的风险就是在于我们使用虚拟化的时候,除了要面对传统环境下的安全风险之外,我们还要面临虚拟化自己Hypervisor层自身的安全漏洞。除此之外,由于虚拟化平台的应用越来越广泛,聚焦度越来越高,是也面临了高度的APT攻击问题和防护间隙问题。

既然使用了虚拟化,为什么还会要面临传统环境需要面临的问题,这么先进,比传统出现的更晚,这样技术难道不能规避传统的问题吗?我们看一下,我们对比物理和虚拟体系的结构可以发现,实际上我们的虚拟结构相对于传统的物理结构不但没有减少任何部分,反而增加了Hypervisor层,每增加一部分都面临这一部分需要面临的风险,也就是Hypervisor层自身的漏洞风险,同时在虚拟平台上运营的传统的系统环境,他们还是要面临以前同样要面临的风险。我们的威胁无处不在,比如我们系统自身,我们经常使用windows系统和link系统,这么多年都在不停的打补丁,有各种各样的漏洞,同样我们的一些厂商还在不断的完善Hypervisor层和底层,还有我们的系统文档也是带来一些风险,当然介质也越来越多了,以前是三寸盘的时代,现在变成了光盘介质和U盘介质,我们接入的介质越多,感染的风险就越大。现在大家已经离不开网络了,比如大家在座的有可能一边听演讲,一边在办公,大家在刷微博,关心最近的股市,还好现在已经停牌了,大家可以专心的听听演讲了。

随着网络的接入我们也面临了更多的接入风险,比如收发邮件中的一些附件和链接,有些人随手就会点开,当然还有一些网页浏览和其他东西的下载,以及APP的下载都会给我们带来一些风险。

除了这些外,我更想说的是APT攻击问题。什么是APT攻击,为什么认为它很严重?APT攻击是我们叫做高级的持续性威胁,它相对于传统来说有一个很大的区别,首先我们说它高级,是说它的攻击手段相对于传统的手段来说变得更高级。我们以前说感染病毒,不管是木马还是蠕虫和其他类型的病毒,可能黑客自己都不知道抛给谁了,就挂在一个网站上或者撒网式的铺出去,至于感染的用户或肉机对我有没有用处我都不关心,赶上一个是一个。但APT的攻击手段不一样了,它更高级目标更明确。

第二,它的持续性。我们以前都说攻击了以后,比如说感染了一次性也就完了,我破坏和盗取你的数据,或者破坏你的硬盘,但现在不一样了,它是持续性的,持续很久,有可能几年甚至几十年

当然还有一个是它的威胁,我们为什么认为它的威胁高,稍后我给大家介绍。

我们说到APT攻击有些人可能很了解了,也有一些人不了解,我给大家介绍一下。APT攻击其实很多了,有这么多的APT攻击,我给大家简单介绍一下。比如说这里面极光攻击,它攻击的是google,这么大的企业的资料和信息也被窃取过。作为中国国内的人最了解的第一个APT攻击很有可能是震网攻击,大家听过各种他的名字,其实就是震网攻击,就是当时对伊朗的布什尔核电站进行过很大影响的一个攻击行为。当然国内当时反应也很强烈,很多涉密单位也找到我们反病毒厂商,要求我们立刻应对这种攻击,因为它与传统攻击不同,还会窃取你一定的消息,并且它不只是针对于传统的PC机或服务器,它都已经渗透到工业层面上了,已经影响到核电站的发展,影响到核进程。

还有RSA窃取,它是攻击EMC旗下的RSA公司。它做了一个产品,这个技术叫做SQLAD(音),这就是一种访问的控制技术,当黑客攻击以后,它窃取了RSA公司的SQLAD(音)技术,同时窃取了它的资料和一些安全信息。用户应用安全厂商的产品一定相信它能够进行防护,这个黑客窃取了它的消息以后,拿到了SQLAD(音)技术以后就找对应的客户,谁用我就攻击谁,因为它现在已经可以绕过这个客户了,所以它的攻击非常有目的性。还有其他的夜龙和暗鼠针对的是一些能源公司和军工单位,有这么多的攻击,我想给大家说,其实我们每个人和每个企业都无法保证自己不是下一个攻击目标。因为我们发现,这种所谓的APT攻击不仅仅攻击一些军工单位,一些政府机关,我去窃取你的资料,它还会攻击google这样的企业,攻击类似于RSA这样的安全厂商,像卡巴斯基等也遭受过这样的攻击。我们每个人的资料,现在快递之前产生过卖资料的行为,现在也是这样,每个人的资料在很多网站上登,你输入的资料都是非常正确的资料,你的姓名、你的电话、甚至于有些调查表调查你的收入,这些资料被拿到以后就会产生一些诈骗行为,所以每个人都要防范APT攻击。

如何防范APT攻击呢?它是怎样攻击的?我给大家简单介绍一下。我们说它这么高级,攻击手段这样那样,我们还可以简单的总结一下它是怎样攻击的。为什么说它是很高级的攻击手段,就是它有针对性了。比如我想攻击一个单位,我首先会通过facebook、推特、微信之类的一些公司的公众帐号,我先关注这个公司的高管是谁,这个公司有什么相应的发布行为,它经常需要和哪些单位联系,我通过对它的研究,我来定制接下来的一些攻击手段。我不是盲目的攻击了,就像电影里的杀手一样,杀手出手和恶棍不同,恶棍出手过去直接给一棍子,行不行就不知道,很有可能被练过武术的人就给打倒了。杀手是调查完数据以后才会攻击。怎么攻击呢?比如说,非常常见的是叫做鱼叉类型的攻击,我既然收集了这个高管的资料,知道他平常的一些行为,我会发一些邮件,伪装成他的领导发给他,你去查一下这个邮件,看完以后二十分钟来我的单位,我和你详细谈里面的内容,你可能就会把这个附件打开。或者我投放一些你感兴趣的,比如你对户外登山感兴趣,我给你投放一些链接告诉你新出现的器械,或者新出现的旅游咨询,你会点这些链接,你一旦打开这些链接以后我就把恶意程序投放给你,之后恶意程序会在感染的机器上开后门。开后门以后,我就直接利用这台机器吗?它关了怎么办?我的后台有一个comne  coter  服务器(音),我把之前开了后门的机器进行操控,我通过它返回这个机器继续攻击对应需要攻击环境的其他机器,内部的,外部攻击非常难,我不能没事老给他发邮件。比如现在微信圈大家一点儿都不犹豫直接就打开了,反正是朋友发的,他跟你要个银行卡密码你不会给,但你发这个游戏很好玩,你一点儿都不犹豫就会打开,但一旦你发现你的手机中毒以后再发你会很谨慎,所以他不会利用外部的攻击行为,它可以在内部不停的扩散攻击。因为它可以利用更多的服务器去干吗呢?去以合法的身份访问你的存储和你的文件服务器,去获取它对应需要的资料,这个资料我拿到不行,它拿到以后还在你的环境内,它要想办法把你的东西传出来。它里面有一个暂存服务器,最后利用这个服务器返过来传给黑客。这是它的攻击步骤。

它比较重要的有几个病毒。大家听得比较多的是Stuxnet震网病毒,当时它感染了伊朗的布什尔核电站,发现的时间是2010年6月,但因为不是因为它自身小的Bug我们很难发现它,因为它很先进,它无法在酒吧那样的系统上运行,但有一个代码编写失误了,它在酒吧上启动了,造成蓝屏,大家调查了以后发现了它,要不然它的潜伏期很长的。

除了这个之外还有Duqu,这是2011年9月发现的,我们发现它里面有一种我们从来没有看到过的编程语言来编写,这就很麻烦了,这是说编辑这个病毒的人员能力非常强,可以自创编程语言。以前我们可以知道他想干什么,但现在很难。

还有一个Flame,它的构造更复杂,危害性更大,传播方式比以前更丰富,它通过USB、网络多种方式传播,可以说是目前世界上最复杂的病毒,我们也说它是最危险的病毒,它除了自身传播之外,还会借助它自身去传播震网这种具有影响力的病毒。

这张图表是近些年APT攻击的统计,我们发现近些年这个数据呈现爆发式增长,其实不是这些年,而是它潜伏了很久,近些年才被我们逐一发现。

我们发现了这个问题,就看到虚拟化面临这么高危险的事情,我们如何对我们的虚拟化进行安全防护呢?首先,不防护是肯定不行的,因为一旦你不防护,就面临病毒交叉感染,核心企业的数据和用户数据会泄露,黑客入侵我们的系统,我们会面临更多的系统漏洞问题。有的人说我们就安全防护,我们使用这么多年的安全防护产品了,我就接着在虚拟化环境上部署。但如果我们部署传统的安全防护软件可以吗?实际上它有一些弊端。比如说,最主要的大家都了解了,就是一个过度的资源消耗问题,我们需要反复在每一台虚拟服务器上部署我们的安全产品,它可能对存储有一定的消耗。另外,企业级安全防护会有一些定时查杀,要定时进行安全防护检查,定时启动都会造成我们的CPU和I/O资源的过大占用。还有一个定时更新的风暴,我们为了安全防护,我们会不停的更新病毒码,它会进行网络带宽的使用。有的企业说我们不担心这样的资源损耗,我就部署传统的,也行,但还有一个问题,它会存在防护间隙。我们使用虚拟化知道虚拟化有很多功能,我们主要使用的功能,就在于我们的业务在向虚拟化迁移的时候我们会用模板分发的功能,这个功能好用,第一,非常快速,当我们想扩展业务的时候,通过模板可以快速的部署我们的新业务。第二,就是DPM业务,这是电源管理,我们使用虚拟化就是为了持久性和节约资源,DPM肯定是我们常用的,它会进行电源管理。第三是恢复快照功能,这些功能会给我们带来什么样的防护间隙。我们部署一台虚拟机以后,我们会给它部署安全产品,之后我们把它变成模板,很简单,我们有业务就分发,新加机器就加,但既然是我们的模板就不会经常更新,模板不更新的话,我们的模板就是旧的,一旦分发虚拟机,虚拟机一开启,它的病毒码就不是最新的,它就会面临最新的防护安全问题。

DPM功能是同样的,当我们发现物理服务器上有很多的虚拟机不再工作的时候,那我们就会进行电源管理把它迁移走,然后我们会把主机关闭,主机上相对应的它的虚拟机也关闭了。之后我们想用这个机器的时候会把它再开启,病毒码又过期了,比如我们有一个礼拜没有开,这个礼拜新产生的病毒是防护不了的。

很多企业都说中毒了恢复快照。首先你不知道病毒什么时候潜入的,其次你恢复快照,很多企业对业务连续性要求非常高,是不允许中断的,哪怕重启都不行,更何况恢复快照,哪怕你一旦恢复快照,你就恢复到之前的病毒码了,你还是暴露出来你的防护间隙。除此之外,我们知道在进行环境部署的时候,我们会用一些设备,比如ADS、APS这些设备,防止外部网络入侵。但我们知道传统的ADS和APS设备只能阻拦外部的入侵,我们使用虚拟化以后,知道里面有很多虚拟交换机,同一个主机上的其他虚拟机互相间进行通讯的时候,实际上不经过外部的虚拟机,这一部分怎么办?我们的程序和黑客会利用合法的身份访问登录你的办公环境,进入以后才会进行病毒的分发和传播,你的内部没有任何的网络安全防护,一旦被入侵后,我们就无法阻止网络安全的传播。我们没有任何的ADS设备或其他的防火墙能保证防护的非常全面,一点儿入侵都没有,这是不可能的。

除此之外我们面临的是资源压力不断的上升,资源的索取,我们的病毒码不断的更新,存储要求越来越高。以前大家都抱怨,一开你们的安全防护产品我们的机子卡得要命这就是安全索取的问题。我们的管理员为了保证我们的病毒码都是最新的,会不停的更新病毒码,做的工作量非常大,而我们索取的资源和利用的人工资源最后都转化成我们的人工成本,我们一次性投入的成本无法一次性兑现,要不断的进行追加成本。有没有一种方法我们有没有办法解决虚拟化的防护呢?

我们作为安全厂商提供了无代理安全防护。我们看到这种环境就是一台物理服务器上有很多台虚拟机,每个虚拟机上我们都部署了安全防护产品,这是传统的方式。这些安全防护产品很占用资源,我们有没有办法精简或者减少这些资源消耗。有的安全厂商提出来我们精简客户端,以前500兆现在50兆,精简客户端带来的就是功能的减少,安全防护能力的下降,再说了,你再精简它还在,你也不能解决这个问题,怎么办?我们就提出来,那就是无代理。我们把所有的代理都卸掉,我们的虚拟机里不需要部署这种安全产品,我们只是针对于主机的,以前我们说一个物理机就部署一个,现在我们就这么做。一个物理机部署一个安全产品,这个安全产品保护整台物理机上所有的虚拟化安全。我们现在有使用过虚拟化的单位可以知道,它可能一个物理机上,我们能放甚至于三百左右的虚拟桌面,几十台虚拟服务器,这都是可以做到的,你部署一次全都保护,那多好。

除此之外无代理安全防护产品还有其他的一些优势,比如我们部署上非常快捷。我们知道随着我们虚拟不断的脚步的加快,我们肯定有一些扩展问题。随着虚拟化扩展,你的安全防护边界也会不断的扩展,扩展起来非常麻烦,无代理安全防护就非常简单。假如我们的安全环境中需要增加一台物理服务器,如果我们是传统的,一家虚拟机就要做这么多事,开机、安装、部署网络、重启等很多事,无代理我们只需要这些操作,导入设备、配置网络、开启设备。为什么呢?刚才说了,我们针对这台物理服务器的安全防护产品只需要部署一次,并且我们用模板的方式提供的,大家使用虚拟化都知道模板只需要导入就可以了,很简单。怎么看出它很简单,我的物理服务器上这次要增加100台虚拟机,传统的方式你这种工作来一百次,如果是我们呢,一次就够了,因为部署一次保护这上面所有的虚拟机。增加虚拟服务器,当然就更明显了,传统的我们来一遍吧,对于我们来说,增加任何一台十台五十台你都不需要做,以后你只要部署了一次,整个物理服务器上所有的虚拟机我们都保护你的安全。

除了这些,部署快捷和节约资源以外,你们把存储资源节约了,部署也很快捷,我们更关心安全防护,你是安全产品,功能全不全。那肯定的,我们有很全面的功能,比如主动扫描、实时监控、防火墙、恶意攻击防护等等的,架设你外部漏入的恶意程序来进行内部扩散的时候我们同样能够进行安全防护。我们的产品就有这样的特点,与虚拟化环境完美结合,能够降低成本,部署也非常快捷,建议扩展,功能完善而且能够全面防护,但我说的其实是无代理安全产品,并不一定说这一个产品,只是提出一个无代理安全的防护方式。

当然虚拟化环境下,我们需要更加全面的防护,我们说虚拟化只是云计算的一部分,我们除了对虚拟化层的安全防护之外,还有更多的安全防护。比如说移动办公,我们移动接入难道就不需要它办公了吗?也需要办公,我们需要用移动安全的管理,我们的网站和云安全平台是不是真正的安全,我们有这种兼容性的检查需要做,并且我们每个人其实我们只是做自己的本职工作,安全的工作有安全的专家来评估更好,所以也需要一些安全的团队对你的网站的建装性和当前的环境进行一些评估,确定它是不是真正的安全,所以以整套的安全防护需要各个产品的互相结合,当你做好全面的防护以后,就再也不怕APT攻击了。

谢谢大家。

上一篇:NSC2015齐亚卓:制造企业精益安全管理

下一篇:NSC2015王广清:燃气行业信息安全体系建设