云虚拟化安全风险剖析.pptx

云虚拟化威胁分析 毒液漏洞 虚拟机逃逸 关键词 虚拟化 云安全 解决方案 序章 云计算和云安全 云业务 中间件 SAAS 邮件 PAAS IAAS 媒体云 游戏云 电商云 o2o云 金融云 医疗云 政务云 物联网云 智能硬件云 基础设施云 oa crm 门户 邮件 图片 音乐 云计算 记录 网络 聊天 更多 安全事件 ? 网易大面积服务器瘫痪 ? 艺龙网遭受DDOS攻击 ? 大麦网千万数据泄露 ? 亚马逊云业务遭受毒液漏洞 云安全 Hypervisor Service Host Server ● SQL Inject ● DDOS ● Rootkit ● Trojans ● XSS ● 爆破 ● Backdoor ● Virus 云盾 主机卫士 云盾防护web攻击， DDOS攻击，爆破攻击 主机卫士防护虚拟机恶 意代码攻击 类型：有代理，无代理 毒液漏洞无解！ 360掌握更多“毒液漏洞” 360 Marvel Team 目前总计发现16个虚拟化安全漏洞， 可以通过在单台虚拟机中执行漏洞利用程序，造成虚拟机 逃逸和服务器宕机的效果。 第一章 什么是虚拟化 国内主流 Xen Kvm Vmware系统 虚拟化系统 功能 量化分配 灵活调度 虚拟化服务器体系 vcpu vmm device interface service vmmu control interface 操作系统 虚拟化服务器的威胁根源 虚拟机 设备仿真 虚拟机 设备仿真 宿主机 物理设备 普通服务器 物理设备 虚拟化服务器 ? 用户空间 send ? 内核空间 syscall tcp_* ip_* dev_* e1000_* ? 仿真设备 网卡 hub slirp app app app 设备仿真原理 kernel 网卡设备仿真器 qemu 第二章 安全风险 xen vm-es kvm Total 2012 35 12 8 50 2013 43 13 16 72 2014 53 15 25 103 60 50 40 30 20 10 0 2012 2013 2014 xen vm-es kvm 虚拟化漏洞爆发 ? 虚拟化 = 宿主机 逃逸攻击 拒绝服务攻击 ? 虚拟机 = 虚拟机 侧信道攻击 恶意扫描 风险来源 虚拟机逃逸 毒液漏洞 毒液漏洞 补丁代码分析 Linux上重现成功 Windows上重现成功 其他重要漏洞 ? CVE-2012-0217 XEN SYSRET 指令漏洞 ? CVE-2014-3610 KVM 指令解码漏洞 ? CVE-2015-6815 qemu e1000 网卡设备漏洞 ? More 360 0days 第三章 解决方案 VM VM VM Hypervisor 虚拟化带来的典型安全问题 ? 预防并阻断黑客利用虚 拟系统漏洞 ? 在网络隔离和虚拟化接 口上限制非授权虚拟机 对网络的渗透 最接近的终端安全产品 轻代理 杀毒客 户端 虚拟化 主机 控制 中心 终端安全产品并不能解决问题 ? 轻代理和云架构冲突 网络隔离 资源消耗 ? 不能解决新型安全问题 Linux系统安全技术储备严重不足 关键技术1：虚拟化漏洞挖掘 feedback Step 3 自动化漏洞挖掘成果显著 Step 2 test Control Center Step 1 analysis ? 70天 ? 2种平台 ? 16枚漏洞 关键技术2：热补丁技术 ? user space层 ? hypervisor层 ? 优势 业务无需中断 快速修复 关键技术3：无代理技术 ? 穿透hypervisor ? 通过共享设备完成传输 ? 优势 保证网络隔离 相比轻代理效率高 360云安全架构 360云安全体系 360云安全保障体系 数据安全 物理安全 应用安全 系统安全 虚拟化安全 网络安全 贯 穿 始 终 的 安 全 审 计 Web云防护系统 各级OS加固 威胁管控 网络攻击防御 主机备份与销毁 hypervisor加固 物理隔离 电力保障 介质管理 生物识别 数据防泄密 访问控制 分层隔离 用户控制 漏洞扫描与检测 多租户隔离 漏洞研究 防火墙与IPS 加密传输 引 管理中心 样本缓存 白名单 补丁缓存 适配层 vm 适配层 vm 核心 vm擎 加固虚拟层 加固虚拟层 360云虚拟化加固方案 深入，高效，便捷地解决云虚拟化安全问题 ? ? 加固虚拟化层 实时监控虚拟设备