基于云主机安全构建的云安全体系.pdf

《基于云主机安全构建的云安全体系.pdf》由会员分享，可在线阅读，更多相关《基于云主机安全构建的云安全体系.pdf（40页珍藏版）》请在三个皮匠报告上搜索。

1、安全狗CEO基于云主机安全构建的云安全体系目录云计算平台的两种云安全架构从云主机层面看Docker容器的安全1234从云主机角度可以做到的安全统一的云安全管理平台5CWPP平台的最佳实践案例一、云计算平台的两种安全架构一种是以虚拟化网络安全设备为核心：主要以传统做硬件防火墙的公司基于SDN方案为代表备注：图片来自深信服云安全方案两种解决方案Run in physicalmachines,virtualmachines,containers支持物理主机、云主机、容器Run in one or more publiccloud Infrastructure(HybridCloud)支持一个或多个公

2、有云等混合云架构A single management consoleand a single way to expresssecuriyt policy一个云安全管理中心以及统一的安全策略管理一种是以轻量Agent为核心：主要以Gartner提出的CWPP（Cloud Workload Protection Platforms）云工作负载安全平台方案为代表，国内外都有一些代表产商，如传统安全公司趋势、赛门铁克，新兴安全公司Iiilumio、Varmous等Gartner对CWPP平台的功能定义国家等级保护2.0版本中对云计算等级保护的要求云计算保护环境是云服务方的云计算平台，及云租户在云计算

3、平台之上部署的软件及相关组件的集合。其中，云计算平台的等级保护定级和按照等级的保护工作由云服务方负责，对于大型云计算平台可以将云计算基础设施平台及辅助支撑系统划分为不同的等级对象，各自独立定级。如果云租户在云计算平台上部署的软件及相关组件可以构成等级保护定级对象，则一般称为云租户信息系统，针对其的具体定级和按等级开展的保护工作由云租户负责。备注：图片来自网络安全等级保护安全设计技术要求 第2部分：云计算安全要求依据等级保护“一个中心三重防护”的设计思想，结合云计算功能分层框架和云计算安全特点，构建云计算安全设计防护技术框架。其中一个中心指安全管理中心，三重防护包括安全计算环境、安全区域边界和安

4、全通信网络备注：图片来自网络安全等级保护安全设计技术要求 第2部分：云计算安全要求国家等级保护2.0版本中对云计算等级保护的要求二、从(云)主机角度可以做到的安全网络流向从原来的南北流向升级为：南北+东西流向网络边界变迁：(云)主机侧的安全监测成重点云环境：80传统威胁20新兴威胁VM/Xen/MS/KVM Hypervisor操作系统业务应用应用防护主机防护应用层安全威胁系统层安全威胁虚拟化安全威胁网络防护宿主机操作系统传统纯硬件安全模型失效东/西向流量不可见虚拟机间攻击防护盲点虚拟机单独管理复杂虚拟机和宿主机之间的安全威胁(云)主机侧的安全能力矩阵传统安全威胁部分(80%)新兴安全威胁部分

5、(20%)可以采集了整个云环境中所有云主机采用的WEB应用、数据库应用、第三方组建、端口等更细粒度的资产。(云)主机侧的安全能力矩阵：资产采集无须采用传统的网络漏扫设备即可主动发现云主机的系统漏洞、应用漏洞、配置风险、基线风险、弱口令等安全风险。(云)主机侧的安全能力矩阵：风险监测通过监测云主机的各种异常行为可第一时间发现云主机是否已经被入侵，准确性远高于网络流量设备。(云)主机侧的安全能力矩阵：入侵检测及监测通过监测云主机详细的进程行为，发现进程异常以及实现进程白名单等功能(云)主机侧的安全能力矩阵：进程监测(云)主机侧的安全能力矩阵：宿主机安全监测宿主机操作系统虚拟机应用层系统内核虚拟机监

6、控器（VMM）宿主机虚拟机应用层系统内核安全狗虚拟机防护引擎（SVPA）轻代理SA轻代理SA系统监控（进程、文件、网络）资源监控主动防御安全策略维护安全审核安全检测安全隔离虚拟机逃逸监测反恶意软件病毒、木马查杀虚拟化IDS应用安全在宿主机层进行虚拟机逃逸等新兴威胁的监测，也可以把反病毒等比较占资源的传统安全需求放在宿主机层来实现(云)主机侧的安全能力矩阵：微隔离技术为什么不用传统的VLAN或者基于SDN的虚拟网络隔离？当隔离的网络数量增加时投入的硬件成本将大大增加 隔离的策略维护困难，规则数会随着隔离网络数量的增加而成倍数的增加 无法适配混合云架构使用基