云计算安全建设探讨.pptx

资源描述

云计算安全建设探讨.pptx

《云计算安全建设探讨.pptx》由会员分享，可在线阅读，更多相关《云计算安全建设探讨.pptx（35页珍藏版）》请在冰点文库上搜索。

云计算安全建设探讨.pptx

云计算安全建设探讨,主题,云计算概述云计算的特征与面临的安全威胁趋势科技云安全解决之道,7/18/2023,Confidential|Copyright2012TrendMicroInc.,1,云计算基本架构及安全配置,7/18/2023,Confidential|Copyright2012TrendMicroInc.,2,云计算和传统网络的区别,云计算环境，基础网络架构统一化，存储和计算资源高度整合，传统的安全设备部署边界正逐步消失，云计算环境下的安全部署需寻找新的模式。

传统边界的安全隔离与访问控制是传统安全防护的重要原则，很大程度上依赖于各区域之间明显清晰的区域边界，强调的是针对不同的安全区域设置有差异化的安全防护策略。

7/18/2023,Confidential|Copyright2012TrendMicroInc.,4,云计算的特征,7/18/2023,Confidential|Copyright2012TrendMicroInc.,5,虚拟化的基础架构,IT资源,数据,面向服务的体系架构,服务管理平台,各种业务应用,基于云计算的服务,用户,=,充分利用虚拟化,标准化,动态架构和自动化的技术将节省下来的运营成本投入到新的业务创新的领域,+,标准化,自动化,+,虚拟化,+,动态架构,云计算面临的安全威胁,根据云计算安全联盟（简称为CSA）在2013年5月统计的前三大威胁是1.数据泄漏2.数据丢失3.帐户劫持虚拟化引入的安全威胁多租户引入的安全威胁,7/18/2023,Confidential|Copyright2012TrendMicroInc.,6,Hypervisor脆弱性引入的安全威胁,Hypervisor（通俗理解为虚拟化核心）脆弱性不可避免从虚拟机攻击Hypervisor虚拟机逃逸从云计算管理网络攻击Hypervisor缓冲区溢出拒绝服务,7/18/2023,Confidential|Copyright2012TrendMicroInc.,7,2008-2010ESX/ESXi重要漏洞概览,7/18/2023,Confidential|Copyright2012TrendMicroInc.,2,虚拟机逃逸介绍,7/18/2023,Confidential|Copyright2012TrendMicroInc.,9,虚拟机逃逸，是指在已控制一个VM的前提，通过利用各种安全漏洞攻击Hypervisor典型案例：

虚拟机篡改、数据泄密休眠虚拟机中可能存在脆弱性和过期病毒特征库,App,OS,ESX/Xen/Hyper-V,App,OS,App,OS,App,OS,App,OS,休眠的虚拟机,活动的虚拟机,虚拟机运行安全威胁（内部通讯）,7/18/2023,Confidential|Copyright2012TrendMicroInc.,11,同一物理机的虚拟机之间的信息交互由于在机器内部进行，因此，传统的网络安全设备无法对虚拟机间流量进行监控,OS,App,AV,OS,OS,OS,NetworkIDS/IPS,vSwitch,vSwitch,潜伏的,活动的,虚拟机运行安全威胁（资源冲突）,7/18/2023,Confidential|Copyright2012TrendMicroInc.,12,ESX/Xen/Hyper-V,OS,App,AV,TypicalAVConsole,3:

00amScan,病毒扫描和补丁管理在同一台主机同一时刻进行，导致资源竞争.服务器性能降低和恶意软件位于同一个权限级别，容易被恶意卸载,虚拟机运行安全威胁（虚拟机迁移）,7/18/2023,Confidential|Copyright2012TrendMicroInc.,13,虚拟机是否会迁移到一个不安全的网络中虚拟机迁移过程中是否可以确保安全策略的一致,OS,App,AV,OS,NetworkIDS/IPS,vSwitch,vSwitch,潜伏的,趋势科技深度防护,虚拟化环境无客户端底层防护示意,vNIC,vSwitch,vNIC,vNIC,vNIC,VMsafeAPIvShieldAPI,ESX/ESXi,针对虚拟化层的防护,DSVA,22,趋势科技深度防护,7/18/2023,Confidential|Copyright2012TrendMicroInc.,21,IDS/IPS,应用程序防护,应用程序控制,防火墙,深度包检测,完整性监控,日志审计,侦测/阻止基于操作系统漏洞的已知/零日攻击,监视/控制本机应用程序,支持所有IP-based的协议、提供细粒度过滤，并且可针对单独的网络接口,侦测/阻止针对目录/文件/键值的未授权/恶意修改,安全事件增强性审计,侦测/阻止基于应用程序漏洞的已知/零日攻击,无代理模式防毒,防恶意程序,底层无代理防护,多租户网络融合引入的安全威胁,在多租户云计算环境中，各租户之间的物理网络边界变得模糊，可能只存在逻辑上的网络边界配置不妥，可能导致数据泄密多租户为APT（高级可持续性威胁）提供更多潜在的入口,7/18/2023,Confidential|Copyright2012TrendMicroInc.,14,APT的6个阶段,7/18/2023,Confidential|Copyright2012TrendMicroInc.,15,APT攻击的特点,歹徒全部为维吾尔男性以伪装的拐杖为武器混过安检飞机起飞后拆卸拐杖，得到凶器飞机起飞后实施劫机行为,7/18/2023,Confidential|Copyright2012TrendMicroInc.,18,2012年629新疆东突劫机案,19,APT攻击的特点,20,攻击者,带有恶意附件的社交工程邮件,恶意C&C站点,安博士（Ahnlab）更新服务器,删除所有文件,破坏MBR,破坏MBR,删除所有文件,Unix/Linux服务器区,Windows终端,受害企业,邮件成本低，且今日企业业务运行无法缺乏邮件,攻击手法1：

社交工程邮件,InternalUseOnly,攻击手法2：

水坑攻击,21,攻击者,恶意C&C站点,安博士（Ahnlab）更新服务器,攻击者利用合法更新机制将破坏性恶意程序快速部署到终端,删除所有文件,破坏MBR,破坏MBR,删除所有文件,Unix/Linux服务器区,Windows终端,受害企业,通常情况下，连接服务器需要输入账号和密码。

但是安博士的APC服务器是无需输入账号和密码即可连接的不合格产品,InternalUseOnly,攻击手法3：

多样化的定制恶意程序,22,攻击者,恶意C&C站点,安博士（Ahnlab）更新服务器,删除所有文件,破坏MBR,破坏MBR,删除所有文件,Unix/Linux服务器区,Windows终端,受害企业,攻击者为目标环境定制恶意程序。

共使用76种恶意程序，其中9种是破坏性代码，其余67种的用途是事前渗透和监视,InternalUseOnly,攻击手法4：

对服务器的定制攻击,23,攻击者,恶意C&C站点,安博士（Ahnlab）更新服务器,删除所有文件,破坏MBR,破坏MBR,删除所有文件,Unix/Linux服务器区,Windows终端,受害企业,取得终端上留存的服务器登入信息，进行远程攻击,攻击者充分了解目标使用作业系统，针对不同版本Unix或Linux服务器撰写破坏性恶意程序，意图中断重要IT业务服务,针对性攻击的防护困难点,针对性、定制化的攻击针对攻击目标环境针对攻击目标的防护机制客制化的恶意软件攻击目标明确量小不易发觉攻击样本难以取得长期、不间断的纠缠落叶扫不尽，秋风吹又堆只要攻击者不放弃，威胁一直持续存在,现有安全防护为何不足？

社交工程邮件制作精巧，寄送数量少，甚至发送自信任的联络人，不会被认为是垃圾邮件边界安全设备（如防火墙、IPS等）大多针对由外向内的攻击，邮件、U盘、移动设备等能够轻易绕过这些防御，直接进入企业网络内部攻击者多使用未知恶意程序，以特征码比对为基础的安全产品无法辨识恶意程序多由内向外发起恶意通讯，频率低，入侵防御设备难以发现异常当攻击者取得内部员工账号密码，合法登入服务器原则上不会被记录传统的规则库、代码库比对无法应对定制化攻击,云计算安全设计国家战略,7/18/2023,Confidential|Copyright2012TrendMicroInc.,16,实时分析系统:

沙盒,27,恶意代码hash值恶意代码URL恶意代码连接地址各种日志数据网络封包信息等等,EXELNKVBSSWFPDFRTFDOCPPTXLSEtc,支持文件格式,文档,系统变动,网络封包程序调用分析,500+基准规则,虚拟环境,加入TDA侦测规则中（C&CIP,SHA1/IP/Port/URL）,7/18/2023,28,Confidential|Copyright2012TrendMicroInc.,威胁行为总览,连接恶意站点,连接未评测站点,连接高度可疑站点,连接可疑站点,连接已知命令与控制服务器,可疑DDoS行为,可疑僵尸行为,文档头含有可执行代码,生成执行文件,反查杀，自我保护,自动执行或更改系统配置,欺瞒，社会工程学,下载、分享或复制文件,间谍行为、重定向或资料窃取,异常或含有已知恶意软件特征,修改进程、服务或内存,Rootkit，伪装,可疑网络通讯行为,通过文件或代码整个生命周期内将会执行的动作判断其危害性！

TDA专家系统:

云安全百科介绍,威胁行为分析文件系统监控注册表监控Windows服务监控网络报文捕获Rootkit行为屏幕截图,网络详细信誉度信息,每天处理超过1.9TB的数据每天从使用云安全的客户那里接受超过290亿次判断请求每天阻拦超过40亿个安全威胁每天分析超过3亿个网址每小时对超过400万个域名，IP地址和主机给出信誉评价每天找出超过1500万个攻击行为的垃圾邮件和钓鱼/挂马网站每天收到超过4亿5000万次文件分析请求每天阻拦超过80万个恶意文件每天从超过6千万个节点获得信息反馈,依靠大数据技术，趋势科技“安全云”每天接触、审判几十亿个“罪犯”，精通所有坏人的“共性”，确保TDA沙盒系统的判断规则库“精确而全面”,趋势科技云安全解决之道,虚拟化引入的安全威胁的解决之道趋势科技深度防护Hypervisor脆弱性引入的安全威胁虚拟机管理过程中引入的安全威胁多租户引入的安全威胁的解决之道趋势科技TDA多租户网络物理融合引入的安全威胁多租户数据集中存储引入的安全威胁,7/18/2023,Confidential|Copyright2012TrendMicroInc.,20,HyperVisor不是安全的隔离手段，有些系统管理员利用VLAN来管理虚拟服务器，但Gartner副总裁兼院士级分析师NeilMacDonald明确指出：

“VLAN和路由接入控制对于安全隔离来说都不够充分。

”Gartner出版的指南要求，必须部署某类虚拟化防火墙。

https:

/,Confidential|Copyright2014TrendMicroInc.,SmartProtectionSuiteAugust,2014,全球第一数据中心防护平台,2014业界第一终端防护平台,2014第一高级威胁侦测率,2014业界第一混合云安全管理平台,1997年，趋势科技在南京建立中国研发中心（CDC），拥有600多位研发工程师2003年，与中国公安部国家计算机病毒应急处理中心共建天津病毒响应中心（TrendLabChina）2007年，在上海成立中国网络安全监测实验室（CRTL）持续投入&开发云安全解决方案：

500多位工程师，8年探索，400多项国际专利2009年至今，趋势科技全球云安全市场占有率第一完全国产化认证,趋势科技中国有限公司,17,2008年，福州大学云计算安全2012年，福建省发改委政务云安全2012年，福建省教育厅云计算安全2012年，泉州市政务云安全2013年，福建省公安消防总队云计算安全2013年，莆田市卫生局区域医疗云安全2013年，中医药大学云安全2014年，龙岩市上杭县教育云安全2014年，龙岩市数办政务云安全虚拟化（非云计算）安全项目不一一列举,趋势科技云安全在福建,谢谢!

姜剑13901609933Matthew_JiangTrendM,

展开阅读全文